Política de privacidad
Última actualización: 2026-06-19
1. Quiénes somos
GST CRANES DIŞ TİCARET LİMİTED ŞİRKETİ (opera gstcranes.com)
es el responsable del tratamiento de los datos personales tratados a través de esta plataforma. Contáctenos en [email protected] para cualquier asunto de privacidad, o [email protected] para consultas generales.
GST Cranes está operado por GST CRANES DIŞ TİCARET LİMİTED ŞİRKETİ, utilizando el operador comercial indicado en documentos de pago, formularios de pedido o información societaria. GST Cranes respalda el RGPD, el RGPD del Reino Unido, la CCPA/CPRA y otros derechos de privacidad aplicables cuando correspondan.
Sinanpaşa Mah. Süleyman Seba Cad. No: 14 İç Kapı No: 5, Beşiktaş/İstanbul, Türkiye
Los residentes de la UE/EEE y del Reino Unido pueden contactarnos en el correo indicado arriba para cualquier solicitud relativa a sus derechos de protección de datos. Respondemos en el plazo de un mes conforme a los plazos del RGPD/RGPD del Reino Unido, salvo que se aplique un periodo obligatorio más corto. Si la estructura final de lanzamiento exige un representante conforme al artículo 27 de la UE, publicaremos aquí su nombre, dirección y datos de contacto antes de basarnos en dicha estructura.
2. Datos que recopilamos
| Categoría | Ejemplos | Finalidad | Base jurídica |
|---|---|---|---|
| Cuenta | Correo electrónico, nombre, empresa, país | Inicio de sesión, contacto, verificación KYB | Contrato (art. 6(1)(b)) |
| Anuncios | Marca/modelo/fotos/ubicación/precio/especificaciones de la grúa | Publicación en el marketplace | Contrato |
| Consultas | Correo/teléfono/mensaje del comprador | Conectar comprador↔vendedor | Interés legítimo (art. 6(1)(f)) |
| Subidas de imágenes | Fotos de entrada para identificación visual | Sugerir automáticamente marca/modelo | Consentimiento (art. 6(1)(a)) |
| Suscripción a notificaciones web push | Endpoint VAPID + claves | Alertas de anuncios, respuestas del agente | Consentimiento |
| Marketing por email | Dirección del destinatario, eventos de apertura/clic | Boletín, envío promocional | Consentimiento (solo opt-in) |
| Eventos de interacción | Vistas de página, vistas de anuncios, chats con agente | Inteligencia de leads, clasificación | Interés legítimo |
| Pago | Cargos de pago alojado, reembolsos, dirección de cobro | Suscripción, tarifas de promoción | Contrato |
| Registros del servidor | IP (hasheada), agente de usuario, ruta de solicitud | Seguridad, prevención de abusos | Interés legítimo |
3. Subencargados
- Cloudflare, Inc. — alojamiento, base de datos (D1), almacenamiento de objetos (R2), CDN. Residencia de datos en la UE + EE. UU. política de privacidad
- Anthropic, PBC — Claude API para respuestas del agente. Con sede en EE. UU. política de privacidad
- OpenAI, OpCo LLC — generación de folletos con gpt-image-2. Con sede en EE. UU. política de privacidad
- Roboflow, Inc. — clasificación de imágenes de grúas. Con sede en EE. UU.
- Postmark (Wildbit, LLC) — correo electrónico transaccional. Con sede en EE. UU.
- SendGrid (Twilio Inc.) — envío masivo de correo de marketing (subusuario fijado en la UE para destinatarios de la UE).
- Proveedor de pagos — Proceso de pago alojado y procesamiento de pagos donde estén habilitados para servicios de pago aptos.
- Hetzner Online GmbH — sistema interno de infraestructura de correo, Alemania. política de privacidad
- Google LLC, LinkedIn Corporation, Apple Inc., Meta Platforms Ireland Ltd — inicio de sesión OAuth (solo si elige iniciar sesión con redes sociales).
- Google Analytics 4 & Google Ads (Google LLC) — analítica web y medición de conversiones publicitarias — se carga solo si acepta cookies de analítica/marketing (desactivadas por defecto; se respeta Global Privacy Control).
4. Conservación
- Datos de la cuenta — durante la vida de su cuenta + 6 meses tras la eliminación (por reclamaciones legales).
- Anuncios — hasta que los elimine o 12 meses después de su caducidad.
- Consultas — 24 meses (para resolver disputas).
- Registros del servidor / eventos de interacción — 12 meses.
- Registros de pago — 7 años (legislación fiscal).
- Marketing por correo electrónico — hasta que se dé de baja + 30 días para confirmación.
- Registro de consentimiento — durante la vigencia del consentimiento + 3 años tras su retirada.
5. Sus derechos (artículos 15-22 del RGPD)
- Acceso — solicite una copia de sus datos. Use la página de exportación de datos .
- Rectificación — corrija datos inexactos desde la configuración de la cuenta.
- Supresión ("derecho al olvido") — elimine su cuenta y todos los datos asociados desde eliminación de cuenta.
- Limitación — pausar el tratamiento mientras impugna su exactitud. Escriba a [email protected].
- Portabilidad — recibir sus datos en JSON mediante la herramienta de exportación de datos.
- Oposición — darse de baja de los correos de marketing mediante el enlace de baja, u oponerse al tratamiento por interés legítimo por correo electrónico.
- Reclamación — presentar una reclamación ante su autoridad de control local (p. ej., CNIL en Francia, BfDI en Alemania, ICO en el Reino Unido).
6. Residentes en California (CCPA / CPRA)
Los residentes en California tienen derechos adicionales:
- Derecho a saber — categorías de información personal recopilada, fuentes, fines empresariales y terceros con los que se comparte. Consulte las secciones 2-3 anteriores.
- Derecho de supresión — igual que la supresión del RGPD, mediante eliminación de cuenta.
- Derecho a excluirse de la venta o cesión — nosotros no vendemos su información personal. Respetamos la señal del navegador Global Privacy Control (GPC) automáticamente.
- Derecho a limitar el uso de información sensible — no tratamos información sensible más allá de lo contractualmente necesario.
- Derecho a la no discriminación — ejercer sus derechos no afecta al servicio.
No vender ni compartir mi información personal
7. Transferencias internacionales
Los datos personales pueden transferirse fuera del EEE/Reino Unido a proveedores de servicios en EE. UU. (Cloudflare, Anthropic, OpenAI, Roboflow, Postmark, SendGrid, Proveedor de pagos) y otras jurisdicciones adecuadas cuando sea necesario (Proveedor de pagos). Nos basamos en Cláusulas Contractuales Tipo (Decisión de la Comisión 2021/914), el Anexo de Transferencia Internacional de Datos del Reino Unido cuando sea necesario, decisiones de adecuación cuando existan y medidas complementarias. Cuando está disponible, preferimos puntos de alojamiento de datos en la UE (Cloudflare EU, SendGrid EU subuser, Hetzner Germany).
8. Sanciones y control de exportaciones
GST Cranes cumple las sanciones de la OFAC de EE. UU. y de la UE. Se bloquea el acceso desde países embargados (Irán, Cuba, Corea del Norte, Siria, Crimea/Donetsk/Luhansk, Bielorrusia). Las ventas de grúas que incluyan productos de doble uso (grúas móviles con capacidad de elevación >200 t) pueden requerir una declaración de usuario final según el artículo 744 del EAR / Reglamento (CE) 428/2009 del Consejo de la UE.
9. Seguridad
Todos los datos en tránsito usan TLS 1.2+. En reposo, Cloudflare D1 + R2 están cifrados. Las firmas de webhook se verifican con HMAC y comparación en tiempo constante. Web Push usa JWT firmados con VAPID. Las contraseñas se cifran con hash Argon2id mediante Lucia. Los subencargados están sujetos a acuerdos de tratamiento de datos.
10. Notificación de brechas
En el improbable caso de una brecha de datos personales, notificaremos a la autoridad de control en un plazo de 72 horas conforme al artículo 33 del RGPD, y a las personas afectadas sin dilación indebida conforme al artículo 34 cuando la brecha suponga un alto riesgo para sus derechos y libertades.
11. Cambios
Los cambios importantes se anunciarán por correo electrónico y mediante un banner en el sitio durante 30 días. La fecha de «última actualización» en la parte superior refleja la versión actual.
Para las cookies en concreto, consulte nuestra Política de cookies.