Política de privacidad

Introducción

Le damos la bienvenida a la política de privacidad de مولكم. Somos una empresa saudí que ofrece soluciones de comercio electrónico y estamos comprometidos con la protección de la privacidad del usuario según los más altos estándares internacionales.

Esta política se aplica a:

• Comerciantes: que utilizan nuestra plataforma para crear y gestionar tiendas.
• Clientes: que compran en tiendas creadas en nuestra plataforma.
• Visitantes: que navegan por nuestro sitio web.

Datos que recopilamos

Recopilamos diferentes tipos de datos para proporcionar y mejorar nuestros servicios:

Datos de la cuenta

• Nombre completo y dirección de correo electrónico
• Número de teléfono y dirección
• Nombre de la empresa (para comerciantes)
• Información de pago (cifrada y protegida)

Datos de uso

• Historial de pedidos y transacciones
• Productos añadidos o actualizados
• Sus interacciones con las funciones de la plataforma
• Páginas visitadas y tiempo en el sitio

Datos técnicos

• Dirección IP y tipo de navegador
• Sistema operativo y tipo de dispositivo
• Cookies
• Geolocalización (con su permiso)

Contenido que usted proporciona

• Imágenes y descripciones de productos
• Logotipos y marcas comerciales
• Contenido generado por AI
• Mensajes y notas

Cómo usamos sus datos

Utilizamos sus datos para los siguientes fines:

• Prestación de servicios Crear y gestionar su cuenta, procesar pedidos y habilitar pagos.
• Mejora de su experiencia Personalizar el contenido, sugerir funciones y mejorar la interfaz de usuario.
• Comunicación con usted Actualizaciones importantes, notificaciones de pedidos y soporte.
• Seguridad y protección Detectar fraudes, prevenir abusos y proteger sus derechos y los nuestros.
• Analítica Comprender cómo se utilizan los servicios para seguir mejorándolos.
• Cumplimiento legal Cumplir con las leyes y normativas aplicables.

No utilizaremos sus datos para marketing directo sin su consentimiento explícito.

Base legal para el tratamiento

Procesamos los datos personales sobre las siguientes bases legales:

• Ejecución de un contrato Datos necesarios para prestar los servicios que ha solicitado (configuración de la tienda, pedidos).
• Consentimiento Cuando usted acepta explícitamente el tratamiento para fines específicos (p. ej., marketing).
• Intereses legítimos Para mejorar los servicios, prevenir el fraude y mantener la seguridad de la plataforma.
• Obligación legal Cuando la ley nos exige procesar datos (p. ej., para impuestos y facturas).

Uso compartido de datos

Nunca vendemos sus datos personales. Sin embargo, podemos compartir datos en los siguientes casos:

Proveedores de servicios:

• Pasarelas de pago (Tap, Mada) - para procesar pagos
• Alojamiento en la nube - para almacenar datos
• Servicios de analítica - para comprender el uso
• Servicios de correo electrónico - para comunicarnos con usted

Requisitos legales:

Podemos divulgar datos en respuesta a solicitudes legales, para proteger nuestros derechos legales o en emergencias para proteger la seguridad.

Transferencias de negocio:

En caso de fusión o adquisición, los datos pueden ser transferidos a la nueva entidad con el mismo nivel de protección.

Garantía: Todos los terceros con los que compartimos datos están obligados por contrato a protegerlos y a utilizarlos únicamente para los fines definidos.

Meta Tech Provider commitments

Mollkom is a Meta-registered Tech Provider serving merchants who need to build storefronts, connect Facebook and Instagram accounts, run and manage ad campaigns, and auto-reply to customer messages. As part of this role we make the following commitments to you and to Meta:

• We never request more Meta permissions than are strictly required to power the feature you yourself enabled (principle of least privilege).
• We never share, sell, or reuse your access tokens for any other merchant — every merchant has isolated tokens stored in a tenant-scoped row.
• Access tokens are encrypted at rest (AES-256) and we proactively refresh long-lived tokens before expiry so your service does not silently break.
• We comply with Meta Platform Terms, Developer Policies, and Data Use Policy, and we honor any advertising restrictions Meta places on content or audiences.
• When you remove the app from your Facebook account ('Apps and Websites' → Remove), our server receives a Deauthorize ping over HTTPS with a verified HMAC-SHA256 signature, and deletes the related access tokens and connections within seconds.
• When you submit a 'User data deletion request' from Facebook, our server receives the signed request, deletes data linked to your Meta App-Scoped User ID, and returns a Confirmation Code starting with 'mollkom-del-' which you can use to track the deletion via Meta itself.
• We run periodic security reviews of our Meta integration and respond to any App Review or security inquiries from Meta within the timeframes their policies set.

Seguridad de los datos

Tomamos medidas estrictas para proteger sus datos:

• Cifrado Datos cifrados en tránsito (TLS 1.3) y en reposo (AES-256).
• Autenticación Autenticación multifactor y contraseñas con hash.
• Monitorización Monitorización continua en busca de amenazas y actividad sospechosa.
• Acceso limitado El acceso a los datos está limitado al personal autorizado.
• Copias de seguridad Copias de seguridad periódicas almacenadas de forma segura en varias ubicaciones.
• Pruebas Pruebas de seguridad periódicas y actualizaciones continuas.

Su responsabilidad: Debe mantener su contraseña en secreto y notificarnos inmediatamente de cualquier acceso no autorizado.

Sus derechos

Bajo los principios de la PDPL de Arabia Saudí y el RGPD, usted tiene los siguientes derechos:

• Derecho de acceso Solicite una copia de los datos personales que conservamos.
• Derecho de rectificación Corregir datos inexactos o incompletos.
• Derecho de supresión Solicitar la eliminación de sus datos personales ('derecho al olvido').
• Derecho a la portabilidad Recibir sus datos en un formato legible por máquina.
• Derecho de oposición Oponerse a determinadas actividades de tratamiento.
• Derecho a la limitación del tratamiento Solicitar limitaciones sobre cómo usamos sus datos.
• Derecho a retirar el consentimiento Retirar el consentimiento cuando el tratamiento se base en él.

Cómo ejercer sus derechos: envíe un correo electrónico a privacy@mollkom.com y le responderemos en un plazo de 30 días.

Data deletion

We give you four separate ways to delete your data from Mollkom — choose whichever fits your situation:

1. Disconnect a single social account

From your store dashboard → Settings → Integrations → pick the account (Facebook, Instagram, TikTok, WhatsApp, YouTube, X, Snapchat) → click 'Disconnect'. This removes only the access tokens and the page / ad account / Pixel / catalog data tied to that channel. The rest of your store data (products, orders, other social channels) stays untouched.

2. Delete your full Mollkom account (Self-service)

From your store dashboard → Settings → Account → 'Delete account', type the confirmation word and click Delete. The system runs a single atomic transaction that deletes: your stores and everything cascading from them (products, orders, shipping settings and themes, Meta / Instagram / TikTok / WhatsApp / YouTube / X / Snapchat accounts and their tokens, ad accounts, Pixels, catalogs), your profile, your roles, your team members, push notification tokens (mobile + web), notification preferences, store customers, storage files (images and attachments), and finally your auth user record (auth.users). All technical error logs and AI usage logs are anonymized (user_id stripped) — analytics signals stay, but no link back to you. An audit row is written to account_deletion_events so platform super-admins can later prove deletion to regulators.

3. Email request

Email your deletion request from the address registered on your account to privacy@mollkom.com and we will respond within 30 days max. This option is useful if you cannot sign in (e.g., lost password or device). We verify your identity before executing.

4. Request via Meta (User data deletion request)

If you previously enabled the Meta integration, from your Facebook settings ('Settings & privacy' → 'Settings' → 'Apps and websites' → pick the Mollkom Merchant app → 'Remove') you can request data deletion. Meta forwards the signed request to our server, which immediately deletes everything linked to your Meta App-Scoped User ID: access tokens, connected Facebook pages, Instagram accounts, ad accounts, Pixels, catalogs, webhook events. Our server returns a Confirmation Code starting with 'mollkom-del-' which you can use to track the request.

What is kept and not deleted?

• Invoices and financial transaction records: kept 7 years (regulatory tax requirement — Zakat, Tax and Customs Authority).
• Technical error logs and AI usage logs: anonymized — user_id is stripped but the row body is kept for performance tuning and bug detection.
• The deletion audit row itself (account_deletion_events): kept to prove deletion to regulators later. It contains user_id, deletion timestamp, and store count — no access tokens, no store content.

Official Meta callback endpoints:

• Data Deletion Request: https://xpqboxafsvkwejwufdam.supabase.co/functions/v1/meta-data-deletion-callback
• Deauthorize: https://xpqboxafsvkwejwufdam.supabase.co/functions/v1/meta-deauth-callback

Cookies

Utilizamos cookies para mejorar su experiencia:

• Necesarias Requeridas para que el sitio funcione (inicio de sesión, carrito).
• Funcionales Recuerdan sus preferencias (idioma, configuración).
• Analíticas Nos ayudan a entender cómo utiliza el sitio.
• Marketing Se usan para mostrar anuncios relevantes (solo con su consentimiento).

Gestión de cookies: puede ajustar la configuración de su navegador; desactivar algunas cookies puede afectar a la funcionalidad.

Conservación de datos

Conservamos los datos durante los siguientes periodos:

Una vez finalizado el periodo de conservación, eliminamos o anonimizamos irreversiblemente los datos.

Transferencias internacionales de datos

Como empresa saudí que presta servicios a clientes de todo el mundo, es posible que necesitemos transferir datos fuera de Arabia Saudí:

Garantías de transferencia:

• Transferir solo a jurisdicciones con una protección adecuada.
• Utilizar cláusulas contractuales tipo (SCCs) aprobadas.
• Asegurar que los destinatarios cumplan con los mismos estándares de protección.
• Cifrar todos los datos en tránsito.

Para usuarios de la UE: seguimos los requisitos de transferencia del GDPR y los mecanismos aprobados por la Comisión Europea.

Privacidad de los menores

Nuestros servicios no están dirigidos a menores de 18 años y no recopilamos sus datos de forma intencionada.

Si es usted padre, madre o tutor legal y cree que su hijo/a nos ha proporcionado datos personales, póngase en contacto con nosotros en privacy@mollkom.com y los eliminaremos a la mayor brevedad.

Actualizaciones de la política

Podemos actualizar esta política ocasionalmente para reflejar cambios en nuestras prácticas o en la legislación.

• Publicaremos las actualizaciones en esta página con una nueva fecha.
• Para cambios sustanciales, enviaremos una notificación por correo electrónico.
• El uso continuado implica la aceptación de la política actualizada.
• Le recomendamos que revise esta página periódicamente.

Contacto

Si tiene preguntas o dudas sobre la privacidad, póngase en contacto con nosotros:

• Delegado de protección de datos (DPO) privacy@mollkom.com
• Soporte general support@mollkom.com
• Dirección Reino de Arabia Saudita

Nuestro objetivo es responder a las consultas sobre privacidad en un plazo de 30 días.

Derecho a reclamar: Si no está satisfecho con nuestra respuesta, puede presentar una reclamación ante la autoridad competente (Saudi Data & AI Authority - SDAIA).