起草网站隐私政策

以下隐私政策为基础模板，需由网站运营方在上线前根据实际业务、所属或目标市场、数据流向与第三方合作情况进行补充、核验与本地化。如与适用法律发生冲突，以适用法律为准。

launchpad.example 隐私政策

1. 引言与适用范围
1.1 本隐私政策载明我们在运营网站 launchpad.example（以下简称“本网站”）过程中如何收集、使用、共享、保存和保护与您有关的个人信息，以及您在适用法律项下的权利与选择。
1.2 本政策适用于您访问、浏览或使用本网站及与本网站相关的在线功能、内容与服务。若本网站链接至第三方网站或服务，第三方处理活动不受本政策约束，您应查阅相应第三方的隐私政策。
1.3 为确保透明及合规，我们在本政策中参照并（在适用时）履行欧盟/英国《通用数据保护条例》（GDPR/UK GDPR）、美国加利福尼亚州《消费者隐私法/隐私权法》（CCPA/CPRA）、中华人民共和国《个人信息保护法》（PIPL）等主要隐私与数据保护框架的要求。具体适用取决于您的居住地与我们处理活动的地域关联。

2. 定义
2.1 “个人信息/个人数据”系指已识别或可识别自然人的任何信息（例如姓名、联系方式、在线标识符、设备与使用数据等）。
2.2 “处理”系指对个人信息进行的任何操作或操作集（包括收集、存储、使用、披露、传输、删除等）。
2.3 “我们”“本公司”通常指本网站的个人信息控制者/业务经营者。实际控制者信息见第3条。
2.4 其他未定义术语应以适用法律（包括GDPR、CCPA/CPRA、PIPL）的定义为准。

3. 控制者/经营者与联系方式
3.1 控制者/经营者：请填写运营主体的法定名称、注册与联系地址。
示例：[运营主体全称]，[注册地与注册地址]。
3.2 常用联系渠道：电子邮箱与邮寄地址。
示例：privacy@launchpad.example；[邮寄地址]。
3.3 数据保护官或隐私负责人（如法律要求或您自愿指定）：[姓名/职务/联系方式]。
3.4 在欧盟/英国的代表（如法律要求）：[代表机构名称与联系方式]。
3.5 在中国大陆的个人信息保护负责人（如适用）：[姓名/联系方式]。

4. 我们收集的个人信息类别
根据您与本网站的交互情况，我们可能收集以下类别的信息（具体以实际为准）：
4.1 标识与联系信息：姓名、用户名、电子邮箱、电话号码、账号标识符。
4.2 账户凭证与偏好设置：密码（经适当技术措施保护）、语言与通知偏好。
4.3 交易与支付信息（如适用）：订单记录、账单信息、支付通道返回的部分交易标识（我们不直接保存完整支付卡信息，除非业务必要且采用合规方案）。
4.4 技术与使用数据：IP地址、设备与浏览器信息、访问时间戳、引用页面、页面停留时长、点击路径、Cookie与类似技术生成的在线标识符。
4.5 位置数据：基于IP的粗略地理定位；如启用并征得您的同意，可能处理更精确的位置信息（如适用法律要求）。
4.6 通信与交互：您向我们提交的询问、反馈、支持工单、用户生成内容。
4.7 营销数据：订阅状态、互动记录、偏好或同意记录。
4.8 敏感个人信息（仅在明确必要且符合法律要求时处理）：例如精确定位、账户登录凭据、政府颁发的身份证件信息、生物识别信息等。若需处理，将在法律要求时征得单独同意并在用途受限的前提下进行。

5. 处理目的与法律依据
5.1 服务提供与运营：创建与管理账户、提供网站功能、客户支持、故障排除、履行合同或在订立合同前应您的请求采取措施。法律依据：履行合同、合法利益、必要时为法律义务。
5.2 安全与防欺诈：监测、检测及防止安全事件、滥用与违法行为，维护系统与数据完整性。法律依据：合法利益、法律义务。
5.3 分析与改进：衡量与改善网站性能、开展统计与受众分析、产品研究与测试。法律依据：合法利益；在要求取得Cookie/追踪同意的法域，以同意为依据。
5.4 营销与通讯：发送服务通知、征得同意后发送促销信息、个性化内容（如适用）。法律依据：同意或合法利益（在要求同意的法域，基于同意）。
5.5 合规与争议处理：履行法律义务、回应监管与执法请求、行使或抗辩法律主张。法律依据：法律义务、合法利益。
5.6 其他经您授权的目的：基于您的明示同意；您可随时撤回，但不影响撤回前基于同意的处理合法性。

6. Cookie与类似技术
6.1 我们使用必要性Cookie以实现核心功能，并可能使用分析与广告Cookie以改进服务与衡量成效。在欧盟/英国及其他要求事先同意的法域，我们将通过同意管理工具征得您的选择性同意。
6.2 您可通过浏览器设置或我们的偏好中心管理Cookie；禁用非必要Cookie可能影响部分功能。
6.3 若采用跨场景行为广告或与第三方共享在线标识符，我们将在适用法域提供相应的选择退出机制（见第11条及第12条）。

7. 个人信息的共享与披露
我们仅在以下情形下共享：
7.1 服务提供商/受托处理者：为托管、分析、通信、支付、客服等目的，在合同约束下代表我们处理数据，目的受限、禁止超出用途使用、并实施适当安全措施。
7.2 关联公司：在必要且合法的范围内，按照本政策与适用法律共享。
7.3 法律、合规与安全：依据法律、监管或法院命令，或为保护我们、用户或公众的权利、财产与安全而必要时披露。
7.4 交易变更：发生合并、收购、资产转让或破产程序时，在符合法律的前提下转移相关数据，并在合理范围内通知您。
7.5 经同意或依法允许的其他情形：在取得您的同意或法律允许范围内进行。

8. 跨境数据传输
8.1 若您的个人信息被转移至境外（或自境外访问），我们将在法律要求时采取适当的传输机制与保障措施，例如：
- 欧盟/英国：欧盟标准合同条款（SCCs）、英国国际数据传输附录/协议（IDTA/Addendum），并在需要时采取补充措施。
- 中国大陆：如适用PIPL，依据第38条及配套规则，通过政府安全评估、个人信息保护认证或与境外接收方签署标准合同等路径，并履行必要评估与告知义务。
- 其他法域：依据当地法律要求采取等效的保障措施。
8.2 我们将评估接收地法律与实践对数据主体权利的影响，并在必要时调整技术与组织措施。

9. 保留期限
9.1 我们在达成处理目的所必需的最短期限内保存您的个人信息，并参考以下标准确定具体期限：处理目的、法定时效与强制留存要求、合同与争议解决需要、安全与审计需求。
9.2 期限届满后，我们将删除或匿名化处理；如出于法律义务或公共利益需要继续保存，将仅在必要范围内保留并隔离访问。

10. 安全措施
10.1 我们实施与风险相称的技术与组织措施，包括但不限于访问控制、加密与脱敏（在可行时）、最小权限、日志审计、员工隐私与安全培训、供应商审查与合同约束。
10.2 尽管我们已尽商业上合理的努力，但任何网络传输或存储均无法保证绝对安全。若发生影响您权利与自由的数据泄露事件，我们将依据适用法律通知监管机构与受影响个人。

11. 您的权利与选择
您的权利取决于您的居住地与适用法律。您可通过第3条联系方式提出请求，我们将在法定期限内处理。
11.1 欧盟/英国（GDPR/UK GDPR）权利：访问、纠正、删除、限制处理、数据可携带、反对基于合法利益或直接营销的处理、撤回同意（不影响撤回前处理之合法性）、不受仅基于自动化决策且对您产生法律或类似重大影响的约束（受法定例外）。您亦有权向所在地或工作地的监督机构投诉。
11.2 美国加利福尼亚州（CCPA/CPRA）权利：知情（收集、使用、披露、出售/共享的类别与具体信息）、删除、纠正、不歧视、访问与可携，以及就“出售”或“共享”（用于跨情境行为广告）选择退出，并就敏感个人信息的使用与披露行使限制权（如适用）。我们将在法律要求时识别并尊重兼容的全局隐私控制（GPC）信号。若我们进行“出售/共享”，将提供“不出售或共享我的个人信息”链接或等效机制；若我们不进行“出售/共享”，将在本政策中明确说明。
11.3 中国大陆（PIPL）权利：知情与决定、查询与复制、更正与补充、删除、撤回同意、请求解释处理规则、拒绝自动化决策的仅结果性决定（依法例外除外），以及依法行使与个人信息出境相关的权利。对于涉及重要平台、算法推荐或敏感个人信息处理的事项，我们将在法律要求时向您提供相应说明或便捷选项。
11.4 其他法域：我们将依照当地法律提供等同或相当的权利与救济。
11.5 身份核验与授权代理：为保护安全，我们可能在响应请求前核验您的身份；在允许代理的法域，您可委托授权代理人代为提出请求（需提供有效授权与验证材料）。

12. 营销通信与个性化
12.1 您可通过邮件中的退订链接或联系我们取消订阅营销通信。我们仍可能就服务事务发送必要通知。
12.2 对于基于Cookie或类似标识的个性化与广告，您可在Cookie偏好中心或通过适用法域的退出机制进行管理；对于GPC信号，我们在法律要求时予以识别与尊重。

13. 儿童隐私
13.1 本网站并非以未满13周岁（或当地法律另行规定的年龄）儿童为目标受众。我们不会在明知的情况下收集未达该年龄门槛的儿童个人信息。
13.2 如您为监护人并认为我们误收集了儿童个人信息，请联系我们以便及时删除或依法处理。
13.3 在欧盟/英国或其他要求更高同意年龄的法域，我们将遵循当地关于未成年人同意与监护授权的规定。

14. 第三方链接与社交媒体插件
本网站可能包含至第三方网站或服务的链接、社交媒体小部件或登录组件。第三方对个人信息的处理受其隐私政策约束，我们不对其独立行为承担责任。

15. 政策更新
我们可能基于法律、监管或业务变更更新本政策。重大变更时，我们将通过本网站显著位置公告或其他合理方式通知您，并在法律要求时征得您的同意。政策更新后继续使用本网站将视为您已阅读并理解更新内容（法律另有要求的除外）。

16. 投诉与救济
若您对我们的数据处理有任何疑问或不满，欢迎先行联系我们以协商解决。您亦可向有管辖权的监管机构或法院寻求救济。欧盟/英国居民可联系当地数据保护监管机构；中国大陆个人可向依法有权处理的机关投诉或提起诉讼；美国加州居民可向加州总检察长办公室反映。

17. 联系我们
- 电子邮箱：privacy@launchpad.example
- 邮寄地址：[填写]
- 数据保护官/隐私负责人（如适用）：[填写]
- 欧盟/英国代表（如适用）：[填写]
- 中国大陆个人信息保护负责人（如适用）：[填写]

18. 加州居民专属披露（如适用CPRA）
18.1 过去12个月内收集的个人信息类别：可能包括标识符、互联网或其他电子网络活动信息、地理位置信息、推断信息等（依第4条所述及实际为准）。
18.2 商业或业务目的：见第5条。披露的第三方类别：见第7条。
18.3 出售/共享个人信息：请选择其一并据实披露：
- [我们不出售或共享加州居民的个人信息（包括用于跨情境行为广告）。]
或
- [我们可能为跨情境行为广告目的共享在线标识符；您可通过“不出售或共享我的个人信息”链接或GPC信号选择退出。]
18.4 敏感个人信息的使用与披露：我们不会将敏感个人信息用于推断消费者特征，且仅在有限、必要的业务目的范围内处理；您可在适用情形下行使限制权。
18.5 不歧视承诺：我们不会因您行使CPRA权利而对您进行不合理差别待遇。

19. 欧盟/英国居民补充说明（如适用GDPR/UK GDPR）
19.1 控制者身份与代表：见第3条。
19.2 法律依据与利益衡量：见第5条。就基于合法利益的处理，我们追求的利益包括网站运营与安全、功能改进、受众测量、欺诈预防等，且不会凌驾于您的基本权利与自由之上。
19.3 跨境传输保障：见第8条。可根据请求提供关键保障摘要。
19.4 投诉路径：您可向所在地监督机构投诉；我们将积极配合监管机构调查与处置。

20. 中国大陆个人信息处理补充说明（如适用PIPL）
20.1 处理规则：遵循合法、正当、必要、诚信与明示目的原则，限于实现既定目的的最小范围。
20.2 委托处理与共同处理：若涉及委托，我们与受托方将订立合同，约束其处理目的、期限、方式与安全措施；共同处理的，将依法明确各方权责。
20.3 出境规则：见第8条。涉及出境前，我们将进行个人信息保护影响评估并留存记录。
20.4 自动化决策：如使用算法进行个性化推荐，我们将确保透明、公平与结果可解释，并提供便捷拒绝或关闭的选项（法律或业务必要另有规定的除外）。

生效日期与版本
- 生效日期：[填写，例如：2025-01-01]
- 版本号：[填写]

重要提示与使用指引
- 本基础政策为通用模板。请根据实际数据流、第三方名单（含名称、所在地、用途与法律地位）、Cookie与追踪技术清单、是否进行“出售/共享”、是否处理敏感个人信息、是否开展跨境传输及使用的传输机制等进行补充。
- 在要求提供特定披露或机制的法域（如Cookie同意横幅、GPC识别、DPA/标准合同、未成年人验证与同意思路等），请在上线前完成技术与流程落地，并定期复核。

Privacy Policy for synccloud.test

Effective Date: [Insert Date]

1. Scope and Overview
This Privacy Policy describes how [Operator Legal Name], the operator of synccloud.test (“SyncCloud,” “we,” “us,” or “our”), collects, uses, discloses, and otherwise processes personal data and personal information when you access or use our website located at https://synccloud.test (the “Website”), contact us, or otherwise interact with us. This Policy is intended to satisfy applicable requirements under data protection and privacy laws, including, as applicable, the EU General Data Protection Regulation (EU) 2016/679 (“GDPR”), the UK GDPR and Data Protection Act 2018, the Swiss Federal Act on Data Protection (“FADP”), and U.S. state privacy laws such as the California Consumer Privacy Act of 2018, as amended by the California Privacy Rights Act (“CCPA/CPRA”).

If you are a business customer using any SyncCloud products or services beyond the Website, our role in relation to user content and data may be as a “processor” or “service provider” on your instructions, subject to a separate agreement and data processing addendum (DPA). This Policy addresses our processing as a “controller” or “business” with respect to the Website and our own business operations.

2. Controller; Representative; Data Protection Officer
- Controller: [Operator Legal Name], [Registered Address], [Country]
- Contact: [privacy@synccloud.test] or [Postal Address]
- Data Protection Officer (if applicable): [Name/Title], [DPO Contact Email]
- EU/UK Representative (if required by law): [Representative Name and Contact Details]

3. Definitions
- “Personal data” (GDPR/FADP) means any information relating to an identified or identifiable natural person.
- “Personal information” (CCPA/CPRA) means information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked with a particular consumer or household.
- “Process” or “processing” means any operation performed on personal data/personal information, including collection, storage, use, disclosure, and deletion.
- “Controller”/“Business” determines the purposes and means of processing; “Processor”/“Service Provider” processes data on behalf of the controller/business pursuant to instructions.

4. Categories of Data We Collect
Depending on your interactions with the Website, we may collect and process the following categories:
- Identifiers: name, username, email address, postal address, phone number, IP address, online identifiers, and cookie identifiers.
- Account and Authentication Data: account credentials and settings (if you create an account or sign in).
- Commercial Information: records of services requested, trial enrollments, and communications related to our offerings.
- Internet or Network Activity: browsing history on the Website, log data, pages viewed, referral URLs, timestamps, session duration, and interactions with Website features.
- Device and Technical Data: device type, operating system, browser type, language preferences, network information, and approximate location (based on IP).
- Communications and Support Data: content of messages you send to us (e.g., inquiries, support requests), survey responses, and feedback.
- User-Provided Content: information you upload or submit via forms on the Website.
- Sensitive Personal Information (as defined by applicable law): we do not seek to collect sensitive personal information via the Website (e.g., government identifiers, precise geolocation, financial account credentials, health data). If you nonetheless submit such information, we will process it only as necessary for the purpose for which it was provided and consistent with applicable law.

5. Sources of Personal Data
We obtain data:
- Directly from you (e.g., form submissions, account registration, correspondence).
- Automatically from your device and browser through cookies, SDKs, pixels, and similar technologies when you use the Website.
- From third parties, where lawful, such as analytics providers, referral partners, or single sign-on providers (if enabled).

6. Purposes and Legal Bases (GDPR/UK GDPR/FADP)
We process personal data for the following purposes and, where applicable, under the corresponding legal bases:
- Provide and Operate the Website, create and manage accounts, and deliver requested information or services: performance of a contract or pre-contractual steps (GDPR Art. 6(1)(b)).
- Communicate with You, including responding to inquiries and providing administrative notices: performance of a contract or legitimate interests (Art. 6(1)(f)) in operating our business and responding to requests.
- Security and Fraud Prevention, including monitoring, detecting, and preventing malicious or unauthorized activity: legitimate interests (Art. 6(1)(f)) and/or compliance with legal obligations (Art. 6(1)(c)).
- Analytics, Service Improvement, and Research to understand usage, improve Website functionality, and enhance user experience: legitimate interests (Art. 6(1)(f)).
- Marketing and Promotions, including sending newsletters or updates: consent (Art. 6(1)(a)) where required; otherwise legitimate interests (Art. 6(1)(f)). You may opt out at any time.
- Compliance with Laws, Legal Process, and Enforcement of Terms: legal obligations (Art. 6(1)(c)) and legitimate interests (Art. 6(1)(f)).
Where we rely on consent, you may withdraw it at any time without affecting the lawfulness of processing prior to withdrawal.

7. Cookies and Similar Technologies
We use cookies and similar technologies to:
- Enable core site functionality and security.
- Perform analytics and measure Website performance.
- Remember preferences.
- If enabled, deliver or assess marketing communications.
Non-essential cookies will be used where required only with your consent. You can manage preferences through our cookie banner or your browser settings. For details, see our Cookie Policy: [Link].

8. Disclosures of Personal Data
We disclose personal data to:
- Service Providers/Processors: hosting providers, analytics vendors, communication tools, customer support platforms, security and anti-fraud services, and other vendors that process data on our behalf under contractual confidentiality, security, and data protection obligations.
- Business Partners: if you engage with integrations, referrals, or co-branded offerings, we may share limited data as necessary and lawful, with appropriate disclosures.
- Corporate Transactions: in connection with mergers, acquisitions, financing, or sale of assets, subject to appropriate safeguards and continued protection of your data.
- Legal and Safety: to courts, law enforcement, regulators, or others when we believe disclosure is required or permitted by law, or necessary to protect rights, safety, and property.
We do not allow service providers to use personal data for their own independent purposes, and we require them to implement appropriate technical and organizational measures to protect it.

9. International Data Transfers
If personal data is transferred outside your jurisdiction (e.g., from the EEA, UK, or Switzerland to a country not deemed to provide an adequate level of protection), we will ensure appropriate safeguards, such as:
- EU Standard Contractual Clauses (SCCs); and/or
- UK International Data Transfer Addendum (IDTA)/Addendum to the SCCs; and
- Additional safeguards as necessary under applicable law.
A copy of applicable transfer mechanisms can be requested via the contact information below, subject to redactions for confidentiality.

10. Data Retention
We retain personal data for as long as necessary to fulfill the purposes described in this Policy, including to comply with legal, accounting, or reporting requirements; resolve disputes; and enforce agreements. Retention periods vary by data category and purpose and are determined by:
- The duration of your relationship with us.
- The sensitivity of the data and potential risk of harm from unauthorized use or disclosure.
- Legal or regulatory record-keeping requirements.
We will securely delete or anonymize data when it is no longer needed for the purposes for which it was collected, subject to legal obligations.

11. Security
We implement appropriate technical and organizational measures designed to protect personal data against accidental or unlawful destruction, loss, alteration, unauthorized disclosure, or access. While we strive to ensure security, no method of transmission over the Internet or method of electronic storage is fully secure.

12. Your Rights (EEA, UK, and Switzerland)
Subject to conditions and exceptions under applicable law, you may have the right to:
- Access your personal data and obtain a copy.
- Rectify inaccurate or incomplete personal data.
- Erase personal data (right to be forgotten).
- Restrict processing.
- Object to processing based on our legitimate interests, and to object to processing for direct marketing at any time.
- Data portability.
- Withdraw consent where processing is based on consent.
You also have the right to lodge a complaint with your competent supervisory authority. To exercise rights, contact us at [privacy@synccloud.test]. We may require verification of your identity.

13. U.S. State Privacy Notices (including California)
A. Notice at Collection (California)
We collect the following categories of personal information, as defined by the CCPA/CPRA, for the purposes described above and as further detailed below. We retain such information as described in Section 10.
- Identifiers: e.g., name, email address, IP address.
- Customer Records: e.g., account information, billing contact details.
- Internet/Network Information: e.g., browsing or search history on the Website, interactions with our pages.
- Geolocation Data: approximate location derived from IP address.
- Inferences: limited inferences drawn from your interactions to improve service and communications.
- Sensitive Personal Information: we do not intend to collect; if provided, we use it only as necessary for limited, disclosed purposes and do not use it to infer characteristics.
Sources include you, your devices, and service providers (e.g., analytics). We use and disclose these categories for the business purposes described in Sections 6–8.
Selling/Sharing: We do not sell personal information, and we do not share personal information for cross-context behavioral advertising as those terms are defined by the CCPA/CPRA. If this practice changes, we will update this Policy, honor Global Privacy Control (GPC) signals as required, and provide a “Do Not Sell or Share My Personal Information” mechanism.
Use/Disclosure of Sensitive Personal Information: We do not use or disclose sensitive personal information for purposes other than those permitted by Cal. Civ. Code § 1798.121 and regulations (e.g., service provision, security, short-term transient use).

B. California Consumer Rights
Subject to verification and exceptions, California residents may:
- Request to Know/Access the categories and specific pieces of personal information we collected about you, the sources, purposes, and categories of third parties to whom we disclosed it.
- Request Deletion of personal information we collected from you.
- Request Correction of inaccurate personal information.
- Request to Limit use and disclosure of sensitive personal information (if applicable).
- Opt Out of sale or sharing (if applicable; see above).
- Non-Discrimination: We will not discriminate against you for exercising your rights.
How to Submit a Request: Email [privacy@synccloud.test] or use [Web Form URL]. We will verify your identity using information you provide and our records. Authorized Agents may submit requests on your behalf with proof of authorization and subject to verification.

C. Other U.S. State Laws
If you are a resident of Virginia, Colorado, Connecticut, Utah, or other states with comprehensive privacy laws, you may have similar rights (access, correction, deletion, portability, and the right to opt out of targeted advertising, sale, and profiling in furtherance of decisions with legal or similarly significant effects). To exercise, contact us at [privacy@synccloud.test]. Appeals: If we deny your request, you may appeal by replying to our decision email with “Privacy Rights Appeal” in the subject line.

14. Children’s Privacy
The Website is not directed to children, and we do not knowingly collect personal data from individuals under the age of 16. If you believe a child has provided us with personal data, contact us at [privacy@synccloud.test], and we will take appropriate steps to delete such data as required by law.

15. Third-Party Links and Services
The Website may include links to third-party sites, services, or integrations. We are not responsible for the privacy practices of such third parties. We encourage you to review their privacy policies before providing personal data to them.

16. Role as Processor/Service Provider (If You Use SyncCloud Services Beyond the Website)
For customer content and data processed on behalf of enterprise or business customers within SyncCloud products, we act as a processor/service provider under applicable law, and our processing is governed by the applicable service agreement and DPA: [Link to DPA]. In such cases, the customer is the controller/business responsible for providing appropriate privacy notices to end users.

17. Changes to This Policy
We may update this Policy to reflect changes in our practices, technologies, legal requirements, or other factors. When we make material changes, we will update the Effective Date above and take additional steps as required by law (e.g., prominent notice or obtaining consent where necessary). Your continued use of the Website after an update signifies your acknowledgment of the revised Policy.

18. Contact Us
For questions, requests, or complaints regarding this Policy or our privacy practices, contact:
- Email: [privacy@synccloud.test]
- Mail: [Operator Legal Name], [Address], [City, State/Province, Postal Code], [Country]
- EEA/UK Data Subjects: You may also contact our DPO or EU/UK Representative (if appointed) using the details provided above and have the right to lodge a complaint with your local supervisory authority.

Important Notes
- Please customize bracketed fields (e.g., legal entity name, contact information, DPO/representative details, DPA link, cookie policy link, web form URL) and align statements about data categories, cookies, marketing, and disclosures with your actual practices before publishing.
- This Policy is intended to satisfy legal transparency requirements; it does not itself create contractual or third-party beneficiary rights unless expressly stated.

Política de Privacidad de globecommerce.example

Fecha de entrada en vigor: [•]

1. Identidad del Responsable y ámbito de aplicación
- Responsable del tratamiento: [Denominación social completa de la entidad titular de globecommerce.example], con domicilio en [•], y NIF/ID fiscal [•] (en adelante, “GlobeCommerce” o el “Responsable”).
- Contacto general: [correo de contacto para privacidad] / [dirección postal].
- Delegado/a de Protección de Datos (si aplica): [nombre y datos de contacto del DPO].
- Esta Política se aplica al sitio web globecommerce.example, a sus subdominios y/o aplicaciones vinculadas, así como a las interacciones derivadas de la compraventa de bienes/servicios, atención al cliente, comunicaciones de marketing y navegación en el sitio (en conjunto, los “Servicios”).

2. Definiciones
A efectos de esta Política:
- “Datos Personales”: toda información sobre una persona física identificada o identificable.
- “Tratamiento”: cualquier operación realizada sobre Datos Personales (p. ej., recopilación, registro, conservación, consulta, transmisión, supresión).
- “Encargado del tratamiento” o “Procesador”: tercero que trata Datos Personales por cuenta del Responsable.
- “Autoridad de control competente”: la autoridad de protección de datos con competencia sobre el interesado según su residencia o la sede del Responsable.

3. Categorías de Datos Personales tratados
Según el uso de los Servicios, podemos tratar:
- Datos de identificación y contacto: nombre, apellidos, dirección, correo electrónico, teléfono, país/estado/provincia, idioma.
- Datos de cuenta: credenciales, identificadores de usuario, roles, preferencias, historial de actividad en la cuenta.
- Datos transaccionales: información de pedidos, historial de compras, importes, moneda, métodos de pago, estado de pago y de envío. Nota: si utilizamos pasarelas de pago de terceros, GlobeCommerce no accede a números completos de tarjeta; los gestiona el proveedor de pagos conforme a estándares PCI-DSS.
- Datos de entrega y logística: direcciones de envío, instrucciones, número de seguimiento.
- Soporte y comunicaciones: contenido de consultas, reclamaciones, grabaciones o transcripciones (si procede), metadatos de comunicación.
- Marketing y publicidad: preferencias, suscripciones, interacciones con campañas, tokens de consentimiento.
- Datos de uso y navegación: identificadores en línea (cookies, píxeles), dirección IP, agente de usuario, tipo de dispositivo/navegador, sistema operativo, zona horaria, páginas visitadas, duración de sesión, enlaces externos, y, cuando esté habilitado y consentido, geolocalización aproximada.
- Datos de redes sociales (si el usuario inicia sesión o interactúa mediante terceros): identificadores, alias y tokens mínimos necesarios conforme a la autorización otorgada en la plataforma de origen.

4. Origen de los datos
- Directamente del interesado al registrarse, comprar, comunicarse o configurar preferencias.
- Automáticamente, a través de cookies y tecnologías similares, cuando visita globecommerce.example, según configuración de consentimiento.
- De terceros autorizados: pasarelas de pago, proveedores logísticos, herramientas de analítica/marketing, y, cuando corresponda, plataformas de identidad o redes sociales; siempre conforme a lo permitido por la ley y los consentimientos aplicables.

5. Finalidades del tratamiento y bases jurídicas
Dependiendo de la jurisdicción aplicable, tratamos los Datos Personales para las siguientes finalidades y, cuando rija el Reglamento (UE) 2016/679 (RGPD) y/o la normativa del Reino Unido (UK GDPR), bajo las bases jurídicas indicadas:

5.1. Prestación de servicios y cumplimiento contractual
- Gestionar registros de cuenta, autenticación, cestas de compra, pedidos, cobros, facturación, envíos y devoluciones.
- Atender consultas, proporcionar soporte y administrar garantías.
Base jurídica (RGPD/UK GDPR): ejecución de un contrato o aplicación de medidas precontractuales a petición del interesado.

5.2. Cumplimiento de obligaciones legales
- Obligaciones contables, fiscales y de defensa de los derechos de los consumidores.
- Prevención, detección y denuncia de fraude y cualesquiera ilícitos o incumplimientos normativos.
Base jurídica: cumplimiento de obligaciones legales del Responsable.

5.3. Intereses legítimos
- Mantener la seguridad de los Servicios, prevenir abusos y fraudes, y realizar controles antifraude razonables.
- Mejorar y optimizar el rendimiento, funcionalidad y usabilidad de los Servicios; estadísticas internas y analítica agregada.
- Gestionar comunicaciones transaccionales y no promocionales vinculadas al servicio.
Base jurídica: interés legítimo del Responsable, ponderado frente a los derechos y libertades del interesado. El interesado puede oponerse cuando proceda.

5.4. Consentimiento
- Envío de comunicaciones comerciales por medios electrónicos.
- Uso de cookies y tecnologías similares no estrictamente necesarias.
- Publicidad personalizada (“comportamental”) y medición avanzada, cuando lo exija la ley.
- Captura de ubicación precisa (si se ofrece tal funcionalidad).
Base jurídica: consentimiento del interesado, que puede retirarse en cualquier momento sin efecto retroactivo.

5.5. Protección de intereses vitales y/o interés público
- Solo si fuera estrictamente necesario para proteger intereses vitales del interesado o cumplir tareas en interés público, en la medida prevista por la ley.

6. Decisiones automatizadas y elaboración de perfiles
- GlobeCommerce [no adopta / adopta] decisiones basadas exclusivamente en tratamientos automatizados que produzcan efectos jurídicos o afecten significativamente de modo similar al interesado. Si se aplicaran tales decisiones, se informará al interesado sobre la lógica utilizada, la importancia y las consecuencias previstas, y sobre su derecho a obtener intervención humana, expresar su punto de vista y a impugnar la decisión.

7. Destinatarios y divulgación de datos
- Encargados del tratamiento: proveedores que prestan servicios de alojamiento, mantenimiento, seguridad, analítica, mensajería, pasarelas de pago, verificación antifraude, logística y atención al cliente; sujetos a contratos que cumplen el art. 28 RGPD (o equivalentes).
- Terceros independientes: autoridades administrativas o judiciales, fuerzas de seguridad, asesores legales y auditores cuando exista obligación o habilitación legal; terceros en operaciones corporativas (fusiones, adquisiciones, reestructuraciones), en cuyo caso los datos se tratarán conforme a esta Política y a las leyes aplicables.
- Divulgaciones con fines comerciales: cuando la legislación de California (CCPA/CPRA) resulte aplicable, podremos divulgar categorías de datos a socios para “fines comerciales” en los términos de dicha normativa. Véase el apartado 12.2.

8. Transferencias internacionales
- Si se transfieren datos fuera del Espacio Económico Europeo (EEE) y/o del Reino Unido, implementamos garantías adecuadas: Cláusulas Contractuales Tipo de la Comisión Europea, el International Data Transfer Agreement (IDTA) del Reino Unido, o mecanismos equivalentes, evaluaciones de impacto de transferencias y medidas suplementarias cuando corresponda.
- Para otras jurisdicciones (p. ej., Brasil, LGPD), se aplicarán los mecanismos de transferencia previstos por la ley local.

9. Plazos de conservación
- Conservamos los Datos Personales durante el tiempo necesario para cumplir las finalidades del tratamiento y las obligaciones legales aplicables.
- Criterios orientativos: datos de cuenta y transacciones se conservan mientras exista la relación contractual y, tras su finalización, durante [•] años para atender obligaciones fiscales, contables, garantías y prescripción de acciones; evidencias de consentimientos se conservan mientras esté vigente el consentimiento y por el plazo adicional necesario para prueba de cumplimiento; datos de marketing se conservan hasta la revocación del consentimiento u oposición, y luego se bloquean o suprimen conforme a ley.
- Transcurridos los plazos, los datos se suprimirán, anonimizarán o bloquearán de acuerdo con la normativa aplicable.

10. Seguridad de la información
- Adoptamos medidas técnicas y organizativas apropiadas, proporcionales al riesgo, que pueden incluir cifrado en tránsito y en reposo, seudonimización, controles de acceso basados en necesidad de conocer, registros de actividad, pruebas de seguridad, gestión de vulnerabilidades y planes de respuesta ante incidentes.
- Notificaremos brechas de seguridad conforme a los requisitos legales aplicables.

11. Derechos de los interesados y ejercicio
Según la jurisdicción y en los términos previstos por la ley:

11.1. EEE/Reino Unido (RGPD/UK GDPR)
- Derechos: acceso, rectificación, supresión, limitación, portabilidad, oposición, a no ser objeto de decisiones basadas exclusivamente en tratamientos automatizados en los términos legales, y a retirar el consentimiento en cualquier momento.
- Ejercicio: mediante solicitud a [correo de derechos] o [formulario en el sitio], acreditando identidad cuando sea necesario.
- Reclamaciones: ante la autoridad de control competente de su residencia o lugar del supuesto incumplimiento.

11.2. California (CCPA/CPRA)
- Derechos: conocer/categorías de información recopilada, fuentes, finalidades, categorías de terceros receptores; acceder a información específica; corregir inexactitudes; eliminar datos; optar por no “vender” o “compartir” datos para publicidad conductual entre contextos; limitar el uso/divulgación de información personal sensible; no ser discriminado por el ejercicio de derechos.
- Ejercicio: a través de [URL del portal de derechos] o [teléfono gratuito si aplica], con verificación razonable de identidad. Los agentes autorizados deben aportar autorización escrita y verificar identidad.
- Señales de preferencia: cuando proceda, respetamos señales de exclusión universales (opt-out preference signals) conforme a CPRA.

11.3. Brasil (LGPD)
- Derechos: confirmación del tratamiento, acceso, corrección, anonimización/bloqueo/eliminación de datos innecesarios o excesivos, portabilidad, información sobre comparticiones, revocación del consentimiento, oposición a tratamientos ilegítimos, y revisión de decisiones automatizadas conforme a ley.
- Ejercicio: a través de [correo de derechos] o [formulario en el sitio].

Responderemos en los plazos legales aplicables. En determinados casos, podremos solicitar información adicional para verificar la identidad o precisar la solicitud.

12. Disposiciones específicas de cumplimiento

12.1. Marketing y comunicaciones electrónicas
- Enviaremos comunicaciones comerciales por medios electrónicos solo con base jurídica válida (consentimiento o, cuando lo permita la ley, interés legítimo en relación con clientes existentes), ofreciendo en todo momento mecanismos eficaces de baja.

12.2. CCPA/CPRA: notificación en el momento de la recopilación y divulgaciones
- Categorías de información personal recopilada: identificadores, información comercial (transacciones), información de Internet u otra actividad de red (navegación), datos de geolocalización aproximada, inferencias de preferencias limitadas para personalización, y, cuando sea estrictamente necesario, información personal sensible [especificar si corresponde].
- Fines: prestación del servicio, seguridad y prevención del fraude, análisis, mejoras del sitio, marketing conforme a ley, cumplimiento normativo.
- “Venta” o “compartir” de información personal: [No realizamos / Podemos realizar] “ventas” o “compartir” según CPRA. Si se realizan, el usuario puede ejercer el derecho de exclusión en [URL “No vender ni compartir mi información personal”] y/o mediante señales de preferencia compatibles.
- Retención: según los criterios del apartado 9 y según la naturaleza de la categoría de datos.

13. Cookies y tecnologías similares
- Utilizamos cookies propias y de terceros para fines estrictamente necesarios, de funcionalidad, analítica, rendimiento y, con su consentimiento, publicidad personalizada.
- Puede gestionar sus preferencias a través del Centro de Preferencias de Cookies [URL] y/o la configuración de su navegador. Consulte la Política de Cookies para información detallada sobre tipos, finalidades, duraciones y terceros.

14. Menores de edad
- Los Servicios no están dirigidos a menores de [16/13] años, según la jurisdicción. No recopilamos intencionadamente Datos Personales de menores sin el consentimiento verificable de sus progenitores o tutores cuando la ley lo exige. Si cree que un menor nos ha proporcionado datos sin la debida autorización, contáctenos para proceder a su eliminación o adopción de medidas adecuadas.

15. Enlaces de terceros
- Los Servicios pueden contener enlaces a sitios o servicios de terceros. GlobeCommerce no controla tales sitios ni es responsable de sus prácticas de privacidad. Se recomienda revisar las políticas de privacidad de los terceros antes de facilitarles datos.

16. Representantes y contactos jurisdiccionales (si aplican)
- Representante en la UE (art. 27 RGPD): [nombre y datos de contacto].
- Representante en el Reino Unido (UK GDPR): [nombre y datos de contacto].
- En Brasil, canal de atención al titular de datos (LGPD): [correo y/o canal específico].

17. Modificaciones de la Política
- Podremos actualizar esta Política para reflejar cambios legislativos, regulatorios o en nuestro tratamiento. Publicaremos la versión actualizada con la fecha de entrada en vigor. Cuando los cambios sean sustanciales o se requiera consentimiento, adoptaremos las medidas de notificación oportunas.

18. Contacto
- Para consultas sobre privacidad o el ejercicio de derechos: [correo de privacidad], [dirección postal]. Al presentar su solicitud, indique claramente su identidad y el derecho que desea ejercer.

Aviso importante
- Esta Política proporciona un marco general y debe ser adaptada a la estructura societaria, flujos de datos, bases jurídicas efectivas, proveedores, jurisdicciones objetivo y prácticas reales de GlobeCommerce. Complete los campos marcados [•], revise las categorías de datos, finalidades, bases jurídicas y periodos de conservación según su caso, e incorpore los mecanismos, enlaces y formularios efectivos (p. ej., Centro de Preferencias de Cookies, portal de derechos, “No vender ni compartir mi información personal”). Además, verifique las obligaciones locales específicas (p. ej., registros de actividades de tratamiento, evaluaciones de impacto, nombramiento de DPO, avisos de recopilación “just-in-time”, carteles o disclosures sectoriales) según su industria y ubicaciones operativas.