SolucionesFuncionesPreciosDocumentaciónEmpieza ahoraEmpieza ahora
← Volver al blog

Protección de datos en un marketplace

Por Paul5 min de lectura
Protección de datos en un marketplace

Protección de datos en un marketplace

Gestionar un marketplace significa que no eres solo un minorista: eres un responsable del tratamiento de datos. Cada pedido realizado en tu plataforma genera datos de clientes de los que eres legalmente responsable, independientemente de qué vendedor lo haya preparado.

Este artículo aborda 2 desafíos distintos a los que se enfrenta todo operador de marketplace. En primer lugar, la legal: cómo garantizar que los datos de clientes y pedidos se almacenen y procesen de acuerdo con la normativa local. En segundo lugar, el operativo: cómo evitar que los vendedores recopilen datos de clientes de formas que eludan tu plataforma.

Por qué es importante

Como operador de marketplace, te sitúas entre tus clientes y tus vendedores. Cuando los clientes proporcionan datos privados a tu marketplace, como sus nombres, direcciones y datos de contacto, tienes obligaciones legales sobre el almacenamiento y el tratamiento de datos.

Las normativas locales difieren en sus detalles, pero convergen en el mismo principio: el operador de la plataforma es responsable. Ya sea bajo el RGPD en Europa, la CCPA en California o la PDPA en el Sudeste Asiático.

Cómo se gestiona esto

Procesamiento de datos: Garnet lo gestiona todo de forma segura. Como app de Shopify, Garnet procesa toda la gama de datos que fluyen a través de tu marketplace: detalles de clientes, pedidos, productos, comisiones, y estados de preparación de pedidos. Esto es necesario para operar funciones principales como la división de pedidos, cálculo de comisiones, y sincronización de entregas.

Todos estos datos se procesan bajo estrictas medidas de seguridad: cifrados en reposo y en tránsito, transmitidos por HTTPS a través de APIs seguras y una VPC protegida, con sumas de verificación de webhooks para garantizar la integridad, controles de acceso por rol y monitorización en tiempo real con registro completo de actividad. Para la lista completa, consulta el política de seguridad.

Almacenamiento de datos: solo los datos de los vendedores se almacenan en Garnet. Procesar datos no es lo mismo que almacenarlos. Los datos de clientes, pedidos y productos permanecen en Shopify, que cuenta con la certificación SOC 2 Type II y cumple con el RGPD.

Garnet almacena únicamente los datos del vendedor estrictamente necesarios para operar el marketplace: dirección de correo electrónico, nombre de marca, dirección de entrega (solo cuando se usa tarifas de envío en tiempo real), y cualquier campo adicional que el operador del marketplace elija recopilar, como número de teléfono, logotipo o descripción del negocio, todo configurable a través de campos de vendedor.

Hay que destacar que los datos financieros y legales (datos bancarios, documentos KYC, registros de liquidaciones) nunca son almacenados por Garnet: residen íntegramente dentro de tu proveedor de pagos (Stripe, Mollie, Airwallex, etc.).

Subencargados del tratamiento y RGPD

Según el RGPD, cuando utilizas servicios de terceros para tratar datos personales en tu nombre, dichos servicios actúan como subencargados del tratamiento. Como operador del marketplace (responsable del tratamiento de datos), eres responsable de garantizar que cada subencargado cumpla con los estándares del RGPD.

En un marketplace de Garnet típico, la cadena de subencargados tiene este aspecto:

Subencargado del tratamiento Rol Datos procesados
Shopify Alojamiento, pago, registros de clientes Datos de clientes y pedidos
Garnet Lógica del marketplace, división de pedidos, comisiones Datos del vendedor, enrutamiento de pedidos
Proveedor de pagos (Stripe, Mollie, etc.) Pagos, liquidaciones, KYC Datos financieros y legales

Cada uno de estos proveedores mantiene su propia documentación de cumplimiento del RGPD y su Acuerdo de Procesamiento de Datos (DPA). Como responsable del tratamiento de datos, debes asegurarte de que exista un DPA con cada subencargado. Los propios compromisos de procesamiento de datos de Garnet se detallan en política de privacidad. Si necesitas firmar un DPA con Garnet, contáctanos y te proporcionaremos uno.

2. Gestión de datos para evitar que los vendedores eludan la plataforma

Por qué es importante

Hay un segundo riesgo que los operadores suelen subestimar: los vendedores que utilizan los datos de los pedidos para saltarse tu plataforma.

Uno de tus vendedores empieza a recopilar datos de clientes de sus pedidos y los usa para contactar directamente con esos clientes, fuera de tu marketplace. Pierdes visibilidad sobre esas relaciones y, potencialmente, esos clientes, en favor de un vendedor que se suponía que trabajaba contigo, no alrededor de ti.

Los vendedores que acumulan datos directos de clientes pueden captar clientes fuera de la plataforma o simplemente gestionar mal información sensible. Esto supone tanto un riesgo empresarial como un riesgo de cumplimiento normativo: pierdes el control sobre el destino de los datos de tus clientes.

Cómo lo gestiona Garnet

El principio es la minimización de datos por diseño: los vendedores reciben solo lo que necesitan para preparar un pedido, nada más.

Los vendedores solo ven sus propios pedidos. El acceso del vendedor está limitado al individuo pedidos asignado a ellos. Un vendedor no tiene visibilidad sobre los pedidos de otros vendedores, no tiene acceso a los datos de clientes de toda la plataforma y no puede construir una imagen del comportamiento de los clientes en todo tu marketplace.

Tú controlas exactamente lo que ven los vendedores. Como operador del marketplace, decides qué campos del cliente se muestran a los vendedores en su propio pedido mediante Panel de administración > Pedidos > Campos visibles. Los valores predeterminados de Garnet funcionan para la mayoría de los marketplaces, y puedes ajustarlos según tu sector y modelo de negocio. Esta configuración está completamente documentada en detalles del pedido sección.

Por defecto, esto es lo que ve un vendedor en un pedido:

Campo Visible para el vendedor
Nombre completo
Dirección de entrega
Número de teléfono
Email Ofuscado (un alias aleatorio)

Los correos electrónicos de los clientes se ofuscan por defecto. En lugar de pasar la dirección de correo electrónico real a los vendedores, Garnet la sustituye por un alias aleatorio. Los vendedores reciben información suficiente para preparar los pedidos y enviar el pedido, pero no puede crear una lista de contactos ni volver a captar a tus clientes fuera de la plataforma. Para más información sobre cómo funciona el envío entre vendedores, consulta nuestra guía sobre gestión del envío en marketplaces.

Resumen

Cumplimiento legal

Tipo de dato Dónde reside
Datos de clientes y pedidos Shopify (SOC 2, cumple con el RGPD)
Datos del perfil del vendedor Garnet (AWS, cifrado en reposo y en tránsito)
Datos financieros y legales Proveedor de pagos (Stripe, Mollie, etc.)

Acceso a datos del vendedor

Campo Visible para el vendedor
Nombre completo
Dirección de entrega
Número de teléfono
Email Ofuscado (alias aleatorio)
Pedidos de otros vendedores Nunca

La arquitectura descrita anteriormente garantiza que los datos de los clientes permanezcan bajo tu control, que los vendedores reciban exactamente lo que necesitan para operar, y que no circule más información de la necesaria. Si estás empezando, consulta nuestra guía sobre cómo lanzar tu marketplace.

Para una visión completa de los compromisos de seguridad de Garnet, consulta política de seguridad y política de privacidad.

Reservar una reunión con nosotros

Reserva una consulta gratuita para hablar de tu proyecto de marketplace y descubrir cómo Garnet puede ayudarte a lanzarlo y escalarlo.
Nuestras llamadas están disponibles en inglés y francés.

RecursosNewsletter

Recibe novedades sobre las funciones de Garnet.

Logo de Garnet Marketplace