Aviso de Privacidad | TCGmercado

TCGmercado (en adelante, "TCGmercado", "nosotros" o "el responsable"), con domicilio fiscal en México, es el responsable del tratamiento de los datos personales que nos proporciones. Este aviso se emite conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y, en su caso, al Reglamento General de Protección de Datos (RGPD) cuando el usuario se ubique en territorio de la Unión Europea.

1. Datos que recopilamos

Datos de identificación: nombre, correo electrónico, teléfono, país y dirección de envío.
Datos de cuenta: contraseña (hasheada), preferencias de idioma, configuración de 2FA.
Datos de uso: historial de compras, listings publicados, ratings emitidos, mensajes intercambiados.
Datos técnicos: dirección IP, user-agent, identificadores de dispositivo, cookies de sesión.
Datos de pago: NO almacenamos datos de tarjetas. El procesamiento es 100% delegado a procesadores certificados (Stripe, MercadoPago, PayPal según el flujo) que cumplen con PCI-DSS.

2. Finalidad del tratamiento

Tus datos se utilizan para:

Crear y mantener tu cuenta.
Procesar pedidos, envíos y disputas.
Facilitar la comunicación entre comprador y vendedor.
Cumplir obligaciones fiscales y legales aplicables (facturación electrónica en México, etc.).
Prevenir fraude y abuso (heurísticas de seguridad, bloqueo de IPs sospechosas).
Notificarte de actualizaciones, ofertas y novedades del servicio (cuando aceptes).

3. Compartición con terceros

Solo compartimos datos cuando es indispensable:

Procesadores de pago (Stripe, MercadoPago, PayPal) para liquidación.
Servicios de envío y paquetería (DHL, Estafeta, FedEx, etc.) para entregar productos.
Autoridades fiscales o judiciales mexicanas cuando exista requerimiento formal.
Proveedores de infraestructura: Cloudflare (CDN, WAF), Wasabi (almacenamiento), Mailjet (correos transaccionales). Todos firmados con DPA.

No vendemos ni alquilamos tus datos a terceros para fines de marketing.

4. Tus derechos ARCO (LFPDPPP) / GDPR

Puedes ejercer en cualquier momento los siguientes derechos:

Acceso: exportar TODA tu data en JSON desde la opción "Descargar mis datos" en tu panel de cuenta.
Rectificación: editar tus datos en el panel /dashboard/profile.
Cancelación (derecho al olvido): cerrar tu cuenta en /dashboard/security/close-account. Soft-delete inmediato + anonimización completa tras 30 días.
Oposición: desactivar comunicaciones de marketing en preferencias. Datos operativos (orders, disputas) se conservan por obligación fiscal.

Para cualquier consulta o reclamación contacta a: [email protected]. Si consideras que tus derechos no se atienden, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en https://www.inai.org.mx/.

5. Conservación de datos

Cuenta activa: mientras la mantengas vigente.
Cuenta cerrada: 30 días de soft-delete (reversible), luego anonimización permanente.
Datos fiscales (facturas, órdenes): conservados 10 años por obligación fiscal mexicana (Artículo 30 CFF).
Logs de seguridad (loginActivity): 90 días.

6. Medidas de seguridad

Contraseñas hasheadas con bcrypt.
2FA TOTP disponible para todas las cuentas.
Cifrado TLS 1.3 en tránsito (Cloudflare).
Cifrado at-rest en almacenamiento Wasabi.
Backups automatizados y geo-replicados.
Rate limiting y bloqueo de IPs sospechosas.
Auditoría de accesos administrativos.

7. Cookies

Usamos cookies esenciales para la sesión (tcg_refresh - httpOnly, sameSite=lax) y para preferencias del usuario. No usamos cookies de tracking publicitario de terceros sin tu consentimiento explícito.

8. Cambios al aviso

Cualquier cambio sustancial será notificado por correo electrónico con al menos 30 días de anticipación y publicado en esta página con fecha de actualización.

Texto base. Fernando ajustará antes de producción para refinar redacción legal definitiva.