Política de privacidad

POLÍTICA DE PRIVACIDAD

Aviso: Esta es una traducción automática. La versión original en inglés de este documento es la única versión plenamente vigente, jurídicamente vinculante y siempre actualizada. En caso de discrepancia o duda de interpretación, prevalecerá la versión en inglés.

Última actualización: 15 de marzo de 2026

La presente Política de Privacidad explica cómo Todologo S.L., que opera bajo la marca XXL Lashes, recopila, utiliza, conserva, comparte y protege los datos personales cuando usted visita www.xxllashes.com, realiza un pedido, se pone en contacto con nosotros, se suscribe a comunicaciones de marketing, crea una cuenta, deja una reseña o interactúa con nosotros de cualquier otra forma.

Tratamos de procesar los datos personales de forma lícita, leal y transparente, de conformidad con el Reglamento General de Protección de Datos (RGPD) y con la normativa española aplicable en materia de protección de datos, incluida la Ley Orgánica 3/2018.

1. Responsable del tratamiento

El responsable del tratamiento de sus datos personales es:

Todologo S.L.
Calle Jaen 8
29680 Estepona (Málaga)
España
Email: info@xxllashes.com
Teléfono: +34 67 441 7788

Marca utilizada en el sitio web: XXL Lashes

Para cualquier consulta relacionada con la privacidad o para ejercer sus derechos en materia de protección de datos, puede ponerse en contacto con nuestro Contacto de Privacidad en:

info@xxllashes.com

2. Qué datos personales podemos recopilar

Dependiendo de cómo interactúe con nosotros, podremos recopilar y tratar las siguientes categorías de datos personales:

A. Datos de identidad y contacto

  • nombre
  • dirección de facturación
  • dirección de envío
  • dirección de correo electrónico
  • número de teléfono
  • nombre de la empresa
  • NIF / número fiscal cuando proceda

B. Datos de cuenta y perfil de cliente

  • datos de acceso o de cuenta
  • historial de pedidos
  • preferencias guardadas
  • datos relacionados con lista de deseos, avisos de reposición o programas de fidelización, cuando se utilicen

C. Datos de transacción y pago

  • detalles del pedido
  • productos comprados
  • estado del pago
  • método de pago
  • identificadores de transacción

Normalmente no almacenamos nosotros mismos los datos completos de la tarjeta. Los pagos con tarjeta suelen ser procesados a través de proveedores de servicios de pago.

D. Datos de comunicaciones

  • correos electrónicos
  • mensajes enviados mediante formularios de contacto
  • solicitudes de atención al cliente
  • mensajes de chat
  • comunicaciones por WhatsApp o SMS, cuando se utilicen
  • notas relacionadas con llamadas telefónicas, cuando sean necesarias para el servicio de atención al cliente

E. Datos de marketing e interacción

  • estado de suscripción a newsletters
  • preferencias de marketing por SMS
  • datos de interacción con campañas
  • aperturas y clics de correos electrónicos, cuando las herramientas de marketing elegidas por usted realicen ese seguimiento
  • envío de reseñas
  • datos de solicitudes de influencers o mayoristas
  • datos de formación o reservas

F. Datos técnicos y de uso

  • dirección IP
  • tipo de navegador
  • tipo de dispositivo
  • ubicación aproximada derivada de la IP
  • identificadores de cookies
  • visitas a páginas
  • comportamiento de navegación en el sitio web
  • información de procedencia
  • interacciones con anuncios o campañas

G. Datos de prevención del fraude y seguridad

  • señales del dispositivo y de la transacción
  • indicadores de riesgo del pedido
  • datos de verificación
  • registros de actividad sospechosa o de eventos relacionados con devoluciones de cargo

3. Cómo recopilamos los datos personales

Podemos recopilar datos personales:

  • directamente de usted cuando realiza un pedido, crea una cuenta, se pone en contacto con nosotros, se suscribe a marketing, deja una reseña, envía una solicitud o se comunica con nosotros de cualquier otro modo,
  • automáticamente mediante cookies, píxeles, etiquetas, registros y tecnologías similares cuando navega por nuestro sitio web, de acuerdo con sus preferencias de cookies cuando sea necesario,
  • de proveedores de servicios que nos ayudan a gestionar pedidos, pagos, entregas, análisis, comprobaciones antifraude o marketing,
  • de plataformas publicitarias y redes sociales cuando interactúa con nuestros anuncios o contenidos,
  • y de fuentes públicas o de terceros, cuando sea relevante y legal.

4. Finalidades del tratamiento y bases jurídicas

Conforme al RGPD, los datos personales deben tratarse sobre una base jurídica válida, como la ejecución de un contrato, el cumplimiento de una obligación legal, el interés legítimo o el consentimiento.

Podemos tratar datos personales para las siguientes finalidades:

A. Tramitar y cumplir pedidos

Esto incluye:

  • recibir y confirmar pedidos,
  • procesar pagos,
  • organizar el envío y la entrega,
  • emitir facturas,
  • gestionar devoluciones, reembolsos, cambios y pedidos por suscripción,
  • prestar atención al cliente en relación con compras.

Base jurídica: ejecución de un contrato; cumplimiento de obligaciones legales cuando proceda.

B. Comunicarnos con usted

Esto incluye:

  • enviar confirmaciones de pedido, actualizaciones de envío, información de seguimiento, facturas, avisos de suscripción, mensajes de servicio y respuestas de soporte.

Base jurídica: ejecución de un contrato; intereses legítimos en atención al cliente y administración del negocio.

C. Gestionar cuentas de cliente

Esto incluye:

  • crear y administrar cuentas,
  • permitir el inicio de sesión,
  • guardar preferencias,
  • facilitar un proceso de compra más rápido,
  • mostrar el historial de pedidos cuando esté disponible.

Base jurídica: ejecución de un contrato; intereses legítimos en proporcionar funcionalidades de cuenta.

D. Enviar comunicaciones comerciales

Esto incluye:

  • newsletters,
  • correos promocionales,
  • marketing por SMS,
  • actualizaciones de productos,
  • recordatorios,
  • ofertas y campañas,
  • y, cuando proceda, audiencias de remarketing.

Base jurídica: consentimiento cuando la ley lo exija; en algunos casos, interés legítimo cuando la ley lo permita y sin perjuicio de su derecho de oposición. Puede darse de baja o retirar su consentimiento en cualquier momento.

E. Mostrar reseñas, testimonios y contenido generado por usuarios

Esto incluye:

  • recopilar y mostrar reseñas,
  • enviar solicitudes de reseña tras una compra,
  • moderar o responder reseñas cuando sea necesario.

Base jurídica: intereses legítimos en recopilar opiniones de clientes y promocionar nuestros productos; consentimiento cuando sea necesario para usos concretos.

F. Mejorar nuestro sitio web, productos, servicios y marketing

Esto incluye:

  • analizar el tráfico del sitio web,
  • medir el rendimiento de campañas,
  • comprender el comportamiento del cliente,
  • probar funcionalidades del sitio web,
  • mejorar la navegación, el rendimiento y el contenido,
  • y crear audiencias para publicidad.

Base jurídica: consentimiento cuando sea necesario para cookies analíticas o publicitarias y tecnologías similares; intereses legítimos para mejoras básicas del servicio y análisis internos cuando sea lícito y esté debidamente configurado.

G. Detectar fraude, uso indebido y actividad ilícita

Esto incluye:

  • controles antifraude,
  • revisión del riesgo de pedidos,
  • prevención de devoluciones de cargo,
  • comprobaciones de transacciones sospechosas,
  • prevención del abuso de cuentas,
  • y medidas de seguridad del sitio web o del sistema.

Base jurídica: intereses legítimos en proteger nuestro negocio, a nuestros clientes, nuestro sitio web y el entorno de pago; cumplimiento de obligaciones legales cuando proceda.

H. Cumplir obligaciones legales, fiscales, contables y regulatorias

Esto incluye:

  • conservar registros de transacciones,
  • responder a solicitudes legales,
  • cumplir requisitos fiscales y contables,
  • gestionar reclamaciones legales y conservar pruebas.

Base jurídica: cumplimiento de obligaciones legales; intereses legítimos en la defensa de reclamaciones legales.

I. Gestionar solicitudes, peticiones de mayoristas, consultas de influencers, reservas y solicitudes relacionadas con formación

Base jurídica: medidas precontractuales; ejecución de un contrato; intereses legítimos en evaluar solicitudes y gestionar relaciones comerciales.

5. Cookies, píxeles y tecnologías similares

Utilizamos cookies y tecnologías similares en nuestro sitio web. Estas pueden incluir:

  • cookies estrictamente necesarias,
  • cookies de preferencias,
  • cookies analíticas,
  • cookies de marketing o publicidad.

También utilizamos herramientas conectadas con plataformas como Google, Meta y otros proveedores de servicios para análisis, medición de campañas y remarketing, con sujeción a su consentimiento cuando sea necesario.

Puede gestionar sus preferencias a través de nuestro banner de cookies o de nuestra herramienta de configuración de cookies. Para más información, consulte nuestra Política de Cookies.

Conforme al RGPD y a los criterios aplicables en España, los usuarios deben ser informados sobre el uso de cookies y, en el caso de tecnologías no esenciales, generalmente se requiere el consentimiento antes de que dichas tecnologías se instalen o lean, salvo que exista una exención legal.

6. Proveedores y destinatarios de datos personales

Podemos compartir datos personales con terceros de confianza cuando sea necesario para las finalidades descritas anteriormente. Dependiendo del contexto, estas entidades pueden actuar como encargados del tratamiento, proveedores de servicios o responsables independientes.

Entre ellos pueden incluirse:

  • Shopify y servicios relacionados con Shopify para alojamiento web, checkout, gestión de pedidos, mensajería y operaciones de comercio electrónico
  • Shopify Payments y otros proveedores de pago
  • PayPal
  • Klarna
  • Google Analytics
  • Google Ads
  • Meta Pixel / servicios publicitarios de Meta
  • TikTok Pixel / servicios publicitarios de TikTok
  • Judge.me
  • transportistas y aplicaciones de envío
  • proveedores de ERP y gestión de pedidos
  • proveedores de correo electrónico y comunicaciones
  • SimpleVAT
  • asesores informáticos, de seguridad, legales, fiscales y profesionales, cuando sea necesario

También podremos divulgar datos personales:

  • cuando la ley lo exija,
  • ante juzgados, autoridades regulatorias, autoridades fiscales, fuerzas y cuerpos de seguridad u otras autoridades públicas, cuando sea legalmente necesario,
  • en relación con una fusión, adquisición, reestructuración o venta de activos,
  • o cuando sea necesario para formular, ejercer o defender reclamaciones legales.

7. Transferencias internacionales de datos

Algunos de los proveedores que utilizamos pueden tratar datos personales fuera del Espacio Económico Europeo (EEE), incluidos los Estados Unidos u otros países.

Cuando los datos personales se transfieran fuera del EEE, procuraremos utilizar un mecanismo de transferencia lícito conforme al RGPD, que podrá incluir:

  • una decisión de adecuación adoptada por la Comisión Europea con arreglo al artículo 45 del RGPD,
  • el EU-U.S. Data Privacy Framework cuando el destinatario participe en él,
  • o las Cláusulas Contractuales Tipo de la Comisión Europea y, cuando proceda, medidas complementarias con arreglo al artículo 46 del RGPD.

Dado que la configuración de nuestros proveedores puede evolucionar con el tiempo, el mecanismo exacto de transferencia puede variar según el proveedor y el servicio utilizado.

8. Durante cuánto tiempo conservamos los datos personales

El RGPD exige que los datos personales se conserven no más tiempo del necesario para las finalidades para las que fueron recopilados, permitiendo no obstante su conservación cuando sea necesaria para cumplir obligaciones legales o gestionar reclamaciones legales.

Con carácter general, conservamos los datos personales conforme a los siguientes criterios:

  • Datos de pedidos y facturas: durante el tiempo necesario para ejecutar el contrato y posteriormente durante el plazo exigido por las obligaciones fiscales, contables, mercantiles y legales aplicables
  • Datos de cuentas de cliente: mientras la cuenta permanezca activa y durante un plazo razonable posterior, salvo que se solicite su supresión y la conservación no sea exigible por otro motivo
  • Datos de marketing: hasta que se dé de baja, retire su consentimiento, se oponga o los datos dejen de ser necesarios para la finalidad de marketing
  • Datos de soporte y correspondencia: durante el tiempo necesario para gestionar la consulta y durante un plazo razonable posterior cuando sea necesario para seguimiento, registro o reclamaciones legales
  • Datos de reseñas, solicitudes y consultas: durante el tiempo necesario para gestionar la solicitud, la relación o la finalidad de publicación
  • Datos técnicos, analíticos y relacionados con cookies: conforme a la duración de la cookie correspondiente, la configuración de la plataforma, los requisitos legales y nuestros ciclos internos de revisión
  • Datos de prevención del fraude y seguridad: durante el tiempo razonablemente necesario para investigar, prevenir, acreditar o defenderse frente a fraude, abusos o reclamaciones legales

Cuando sea posible, podremos eliminar, anonimizar o agregar los datos una vez que ya no sean necesarios.

9. Si debe proporcionar datos personales

Algunos datos personales son necesarios para que podamos:

  • tramitar pedidos,
  • cobrar pagos,
  • entregar productos,
  • prestar atención al cliente,
  • o cumplir obligaciones legales.

Si no proporciona los datos requeridos, es posible que no podamos tramitar su pedido, prestar determinados servicios o responder eficazmente a su solicitud.

La aportación de datos para marketing o para cookies no esenciales es, con carácter general, voluntaria.

10. Decisiones automatizadas y elaboración de perfiles

Podemos utilizar herramientas automatizadas para ayudar a detectar fraude, evaluar riesgos de transacción, personalizar marketing, medir el rendimiento de campañas o adaptar la experiencia en el sitio web.

No obstante, por regla general no adoptamos decisiones que produzcan efectos jurídicos o de similar importancia basándonos exclusivamente en medios automatizados sin una intervención humana adecuada.

Por ejemplo, los pedidos sospechosos pueden ser marcados por herramientas automatizadas de fraude y posteriormente revisados manualmente antes de adoptar una decisión definitiva.

11. Sus derechos

Conforme al RGPD, las personas interesadas pueden tener derecho a:

  • acceder a sus datos personales,
  • rectificar datos inexactos o incompletos,
  • solicitar su supresión,
  • solicitar la limitación del tratamiento,
  • oponerse a determinados tratamientos,
  • recibir la portabilidad de los datos cuando proceda,
  • retirar su consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento,
  • y presentar una reclamación ante una autoridad de control.

Si desea ejercer sus derechos, puede ponerse en contacto con nosotros en:

info@xxllashes.com

Podremos pedirle que verifique su identidad antes de responder a su solicitud.

Si se encuentra en España, también tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que sus datos personales han sido tratados de forma ilícita.

12. Opciones de marketing

Puede darse de baja de nuestros correos de marketing haciendo clic en el enlace de baja incluido en el email o poniéndose en contacto con nosotros.

Si recibe marketing por SMS de nuestra parte, puede darse de baja mediante el método indicado en el propio mensaje o contactándonos.

La retirada del consentimiento no afecta a la licitud del tratamiento realizado con anterioridad a dicha retirada.

13. Seguridad de los datos

Adoptamos medidas técnicas y organizativas razonables destinadas a proteger los datos personales frente a destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso no autorizado.

Ningún sistema puede garantizarse como completamente seguro, pero tratamos de utilizar salvaguardas adecuadas y proporcionadas a la naturaleza de los datos y a los riesgos existentes, tal como exige el RGPD.

14. Sitios web y servicios de terceros

Nuestro sitio web puede contener enlaces a sitios web de terceros, plugins, funciones de redes sociales o servicios externos.

No somos responsables de las prácticas de privacidad, del contenido ni de la seguridad de los sitios web o servicios de terceros. Le recomendamos leer sus avisos de privacidad por separado.

15. Menores

Nuestro sitio web y nuestros productos no están dirigidos específicamente a menores.

No recopilamos de manera consciente datos personales de menores infringiendo la normativa aplicable. Si cree que un menor nos ha proporcionado datos personales de forma ilícita, póngase en contacto con nosotros para que podamos revisarlo y, cuando proceda, eliminar dichos datos.

16. Cambios en esta Política de Privacidad

Podremos actualizar esta Política de Privacidad periódicamente para reflejar cambios legales, técnicos u operativos.

La versión más reciente estará siempre publicada en nuestro sitio web con la fecha de entrada en vigor actualizada.

17. Contacto

Si tiene cualquier pregunta sobre esta Política de Privacidad o sobre cómo tratamos los datos personales, puede ponerse en contacto con:

Todologo S.L. / XXL Lashes
Calle Jaen 8
29680 Estepona (Málaga)
España
Email: info@xxllashes.com
Teléfono: +34 67 441 7788