Aviso legal: Esta política se rige por la Ley 81 del 26 de marzo de 2019 de la República de Panamá sobre Protección de Datos Personales y su Decreto Reglamentario 285 del 28 de mayo de 2021. Al usar nuestros servicios, aceptas las prácticas aquí descritas.
1. Responsable del tratamiento
Empresas Centrales SA ("ECSA", "nosotros") es una sociedad anónima panameña, distribuidora de materiales de construcción, ferretería y herramientas, con domicilio en Plaza Luxury, Nuevo Chorrillo, Arraiján, provincia de Panamá Oeste, República de Panamá.
Horario de atención: Lunes a Sábado, 7:00 a.m. – 5:00 p.m.
2. Datos que recopilamos
2.1 Datos que tú nos proporcionas directamente
Datos de identificación: nombre completo, cédula o RUC, fecha de nacimiento (opcional).
Datos de contacto: dirección física de entrega, correo electrónico, número de teléfono.
Datos de cuenta: nombre de usuario, contraseña cifrada (nunca almacenamos contraseñas en texto claro).
Datos comerciales: historial de compras, productos visualizados, lista de deseos, reseñas que publiques.
Datos de pago: método de pago (efectivo / tarjeta / Yappy / transferencia / ACH); NO almacenamos números completos de tarjetas de crédito — se procesan a través de proveedores certificados PCI-DSS.
2.2 Datos que recopilamos automáticamente
Datos técnicos: dirección IP, tipo de navegador, sistema operativo, idioma, zona horaria.
Datos de uso: páginas visitadas, tiempo de permanencia, productos buscados, clicks, eventos (vía Google Analytics 4).
Cookies: ver sección 8.
3. Finalidades del tratamiento
Finalidad
Datos usados
Base legal
Procesar pedidos y entregas
Identificación, contacto, pago
Ejecución de contrato
Emitir facturas legales DGI
Identificación, RUC/cédula
Obligación legal (DGI)
Atención al cliente y soporte post-venta
Contacto, historial compras
Ejecución de contrato
Programa de fidelización (ECSA Rewards)
Historial compras, contacto
Consentimiento
Marketing personalizado (correo, WhatsApp)
Contacto, preferencias
Consentimiento (opt-in)
Análisis estadísticos y mejoras del sitio
Datos técnicos, de uso (anonimizados)
Interés legítimo
Prevención de fraude
Datos técnicos, transaccionales
Interés legítimo
Cumplimiento legal y contable
Identificación, transacciones
Obligación legal (Ley 76)
4. Base legal del tratamiento
Tratamos tus datos personales conforme a las bases legales del artículo 6 de la Ley 81 de 2019:
Consentimiento: cuando te suscribes al boletín o aceptas marketing personalizado.
Ejecución de contrato: para procesar tu compra y entregarte el producto.
Obligación legal: para emitir facturas, retenciones y reportes a la DGI; conservar registros contables (Ley 76 de 1976 – Código de Comercio).
Interés legítimo: para prevenir fraude, mejorar el servicio, defender derechos en procedimientos legales.
5. Destinatarios y transferencias internacionales
5.1 Compartimos datos con:
Proveedores tecnológicos: Google Cloud / Firebase (hosting y base de datos), Cloudflare (CDN y DNS), Mailchimp (email marketing — solo si te suscribes).
Proveedores de pago: Banco General (Yappy), Banesco, BAC Panamá, Credicorp Bank, redes Visa/Mastercard — solo lo necesario para procesar el pago.
Servicios de mensajería/entrega: WhatsApp Business para comunicación, transportistas locales para envíos.
Autoridades públicas: DGI, ANSE u órganos judiciales, cuando lo requiera la ley.
The Factory HKA: proveedor autorizado de facturación electrónica DGI Panamá.
5.2 Transferencias internacionales
Algunos de nuestros proveedores (Google, Cloudflare, Mailchimp) procesan datos en servidores ubicados fuera de Panamá (principalmente Estados Unidos y Europa). Estas transferencias se realizan al amparo de:
Cláusulas Contractuales Estándar (SCC) aprobadas por la Unión Europea.
Compromisos de confidencialidad y medidas técnicas equivalentes a las exigidas por la Ley 81.
Tu consentimiento explícito al usar el servicio.
6. Plazos de conservación
Tipo de dato
Plazo de retención
Cuenta de cliente activa
Mientras la cuenta esté activa + 1 año
Datos de facturación / contabilidad
10 años (obligación Código de Comercio Panamá)
Logs de seguridad / auditoría
5 años
Datos de marketing (suscriptor)
Hasta que retires el consentimiento
Cookies analíticas
14 meses (Google Analytics 4)
Backups del sistema
365 días (rotación con cifrado)
7. Tus derechos (ARCO + P)
Conforme a los artículos 7–10 de la Ley 81 tienes derecho a:
Acceso: solicitar copia de tus datos personales que tratamos.
Rectificación: corregir datos inexactos o incompletos.
Cancelación / supresión: solicitar el borrado de tus datos cuando ya no sean necesarios o retires el consentimiento.
Oposición: oponerte al tratamiento por motivos legítimos.
Portabilidad: recibir tus datos en formato estructurado y transferibles a otro responsable.
Limitación del tratamiento: mientras se resuelve una rectificación o impugnación.
No ser objeto de decisiones automatizadas con efectos jurídicos relevantes (ej. denegación de crédito) sin intervención humana.
Cómo ejercerlos: envía un correo a ventas@ecsapty.com con el asunto "DERECHOS ARCO" e incluye copia de tu cédula o pasaporte para verificar identidad. Tenemos 10 días hábiles para responder (artículo 11 Ley 81).
Si no estás conforme con nuestra respuesta, puedes presentar una queja ante la Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) — autoridad de control en Panamá: www.antai.gob.pa.
8. Cookies y tecnologías similares
Usamos cookies y almacenamiento local (localStorage, IndexedDB) para:
Esenciales: mantener tu carrito, sesión iniciada, preferencias de idioma. No requieren consentimiento (artículo 23 Decreto 285).
Analíticas (Google Analytics 4): medir tráfico y mejorar el sitio. Anonimizamos IPs.
Marketing: solo si das consentimiento explícito vía banner.
Puedes desactivar cookies desde la configuración de tu navegador. Eliminar cookies esenciales puede romper funciones del sitio (ej. el carrito).
9. Medidas de seguridad
Aplicamos medidas técnicas y organizativas conforme al artículo 12 Ley 81:
Cifrado en tránsito (HTTPS/TLS 1.3) y en reposo (Google Cloud encryption-at-rest AES-256).
Autenticación multifactor (MFA) obligatoria para personal administrativo.
Reglas de acceso granulares (Firestore Security Rules) — el cliente solo ve sus propios datos.
App Check de Firebase para prevenir abuso de API por bots.
Backups cifrados con retención de 365 días.
Logs de auditoría de eventos sensibles (cambio de precios, anulación de facturas, cierres de caja).
Capacitación periódica del personal en protección de datos.
Procedimiento de respuesta a incidentes y notificación a la ANTAI dentro de las 72 horas en caso de brecha (artículo 25 Ley 81).
10. Menores de edad
Nuestros servicios están dirigidos a personas mayores de 18 años. No recopilamos conscientemente datos de menores de edad sin el consentimiento expreso de sus padres o tutores. Si detectamos una cuenta de un menor sin autorización, será eliminada.
11. Cambios a esta política
Podemos actualizar esta política para reflejar cambios legales, técnicos o de negocio. Publicaremos la versión vigente con la fecha de actualización en esta misma página. Si los cambios son sustanciales, te notificaremos por correo electrónico con al menos 15 días de anticipación.
12. Contacto del Encargado de Protección de Datos
Si tienes preguntas sobre esta política, sobre el tratamiento de tus datos, o quieres ejercer tus derechos:
Postal: Plaza Luxury, Nuevo Chorrillo, Arraiján, Panamá Oeste, Panamá
Tiempo de respuesta: 10 días hábiles máximo (artículo 11 Ley 81).
Autoridad de control: ANTAI — Autoridad Nacional de Transparencia y Acceso a la Información de Panamá. Puedes presentar quejas o reclamos en www.antai.gob.pa si consideras que tus derechos no fueron atendidos.