Saltar al contenido principal
— Tutorial conceptual

GDPR para descargas digitales

Bajo el GDPR, tu tienda es el responsable del tratamiento y Alva Apps es el encargado. Alva guarda el email y el nombre del cliente vinculados a cada pedido de Shopify, el ID del pedido, las claves de licencia asignadas tras la compra y un registro de descargas por intento (IP, user agent, marca de tiempo). Este artículo es informativo y no constituye asesoramiento legal — habla con un abogado de privacidad para detalles jurisdiccionales. A continuación tienes el resumen honesto de qué se guarda, dónde reside y cómo gestionar una solicitud del interesado.

Última actualización · 6 de mayo de 2026 Tiempo de lectura · 4 min Autor ·

Qué guarda Alva sobre tus clientes

  • Email y nombre del cliente — copiados del pedido de Shopify cuando se dispara orders/paid.
  • Referencias del pedido — el ID del pedido de Shopify, el número de pedido y los line items que se asignaron a archivos digitales o claves de licencia.
  • Registros de uso de descarga — cada intento de descarga escribe una fila con la dirección IP, el user agent, la marca de tiempo y el archivo solicitado. Sustenta los límites antifraude y la exportación del registro por cliente.
  • Asignaciones de claves de licencia — el valor concreto de la clave entregada a cada cliente, almacenado en PurchaseLicenseKey.
  • Registros de email — qué emails de entrega ha enviado Alva (asunto, destinatario, marca de tiempo de envío).

Alva no guarda datos de pago, direcciones de envío ni nada que Shopify no transmita a través del webhook del pedido.

Dónde residen los datos

Las filas de cliente, los registros de compra, las claves de licencia, los registros de descarga y los registros de email se alojan en una base de datos PostgreSQL en Heroku. Los archivos de producto subidos se alojan en Cloudflare R2. Los emails de entrega salientes se enrutan por Postmark o MailerToGo según el plan y el estado del dominio personalizado. La lista actual de subprocesadores y el mecanismo de transferencia internacional están en la política de privacidad de Alva — léela junto a este artículo.

Solicitud de exportación de datos del cliente (Article 15)

Shopify dispara un webhook customers/data_request a Alva cuando el comerciante envía una solicitud desde el admin de Shopify. Alva está registrada para ese tema (en shopify.app.toml bajo compliance_topics) y confirma cada disparo, pero la exportación se genera manualmente en lugar de enviarse por email automáticamente. Reenvía el email del cliente y el ID del pedido a digitaldownloads@alvaapps.com y devolveremos las filas correspondientes en un plazo de 30 días.

Para la mayoría de los casos los datos ya están a mano: la página de detalle del pedido muestra el email del cliente, las claves de licencia y el registro de descargas; Ajustes → Registro de descargas exporta un CSV por cliente. Combinado con la propia exportación de clientes de Shopify, eso suele cubrir una solicitud del Article 15 sin necesidad de involucrar al soporte de Alva.

Captura de pantalla necesaria

Shopify Partners admin → Configuración de la app → Panel de webhooks de cumplimiento mostrando los tres temas registrados (customers/data_request, customers/redact, shop/redact) para Alva Digital Downloads. O alternativamente una fila CSV de muestra anonimizada de la exportación del registro de descargas. Cromo del navegador recortado, sin datos reales del comerciante visibles.

El panel de webhooks de cumplimiento de Shopify — Alva está registrada para los tres temas.

Solicitud de borrado de datos del cliente (Article 17)

El derecho al olvido se canaliza por el webhook customers/redact de Shopify, que Shopify dispara 60 días después de que el responsable marque a un cliente para su anonimización — una ventana estándar que cubre contracargos abiertos y flujos de reembolso. Alva está registrada para el tema y, al recibirlo, anonimizamos las filas correspondientes de Customer, Purchase, PurchaseLicenseKey, DownloadLog y EmailLog para ese email de cliente.

Qué se elimina: identificadores personales, filas de registro de descargas y filas de registro de email. Qué se conserva: contadores agregados y los archivos de producto subyacentes que has subido — esos son tus datos, no los del cliente. Para activar un borrado fuera del flujo de Shopify, escribe a soporte con el email del cliente y los números de pedido.

Solicitud de borrado de datos de la tienda (desinstalación)

El tema shop/redact y una desinstalación completa borran todo lo vinculado a la tienda. La mecánica, qué sobrevive y cómo hacer una copia primero se explican en Qué pasa si desinstalo Alva Digital Downloads.

Preguntas frecuentes

¿Tiene Alva un Acuerdo de Tratamiento de Datos (DPA)?

Sí. Escribe a digitaldownloads@alvaapps.com y enviaremos un DPA firmado que designa a Alva Apps como encargado y a tu tienda como responsable. El DPA referencia los subprocesadores listados en la política de privacidad y las Cláusulas Contractuales Tipo para transferencias internacionales.

¿Cuánto tiempo guarda Alva los datos del cliente después de un pedido?

El email del cliente, los metadatos del pedido, las asignaciones de claves de licencia y los registros de uso de descarga se conservan durante toda la vida útil de tu instalación. Solo se eliminan cuando desinstalas la app o cuando envías una solicitud de anonimización para ese cliente. No hay purga automática por tiempo.

¿Dónde se almacenan físicamente los datos?

Los registros de pedidos y los registros de descarga residen en PostgreSQL en Heroku. Los archivos subidos residen en Cloudflare R2. Los emails salientes se envían por Postmark o MailerToGo. La lista actual de subprocesadores está en la política de privacidad en /privacy-policy.html.

Ver también

Facturación y planes

Qué pasa si desinstalo Alva

La ruta completa de desinstalación — qué se elimina, qué se conserva y cómo prepararse.

 Facturación y planes

Qué funciones requieren un plan de pago

Los DPAs y los dominios de email personalizados están en los planes de pago — referencia rápida.

 Fraude y seguridad

Audita decisiones antifraude con el registro de acciones

El registro de descargas no es la única superficie de auditoría — las acciones antifraude se registran por separado.

¿Te ha resultado útil?

¿Sigues atascado? Escríbenos.

Última actualización 2026-05-06