GFA Group S.L. was incorporated by deed dated 23 November 2021, before the Notary Public of Madrid, Juan Aznar de la Haza, under number 765 of his protocol.

Below we set out the purposes, legal bases, retention periods and other details for the data processing activities we carry out through this website:

By completing a purchase and clicking "I accept the terms of service", you consent to the use of your phone number for promotional SMS. You may unsubscribe at any time.

If you join YUXUS Rewards, we process additional data specifically for the operation of the programme:

We apply the principle of data minimisation (Art. 5(1)(c) GDPR). We only collect data strictly necessary for each purpose. Specifically, we do not collect your full date of birth (only the year to verify age), nor detailed web browsing data (only the fact of the visit, not the pages visited), nor data from your social media profiles (only the fact that you have shared content).

To operate our website, process purchases and run the YUXUS Rewards programme, we share your data with the following data processors, with whom we have signed data processing agreements in accordance with Article 28 of the GDPR:

These providers only process your data following our documented instructions and do not use it for their own purposes. Additionally, where required by law, your data may be disclosed to the Tax Authority, banks, and public bodies with jurisdiction.

For Klarna payments, at checkout we may transmit your contact information and order details so Klarna can assess eligibility for its payment methods. Your data is processed in accordance with Klarna's privacy policy.

You may request a copy of the appropriate transfer safeguards by contacting us at info@yuxus.es.

Your data is transferred to the United States and Canada through our technology providers. These transfers are protected by European Commission adequacy decisions (EU-US Data Privacy Framework, Decision 2023/1795, and Canada adequacy decision) and, as an additional mechanism, by Standard Contractual Clauses approved by the European Commission (Implementing Decision 2021/914).

We have carried out Transfer Impact Assessments to verify that your data is protected at a level equivalent to that of the GDPR.

As a data subject, you may exercise the following rights:

To exercise any of these rights, send a request to info@yuxus.es or by post to Calle Fuencarral 74, 28004 Madrid, Spain (for the attention of GFA Group S.L.), attaching a copy of your national ID or equivalent identification document. We will respond within a maximum of 1 month from receipt of the request.

If you believe your rights have not been properly addressed, you may file a complaint with the Spanish Data Protection Agency (AEPD): C/ Jorge Juan 6, 28001 Madrid — www.aepd.es

YUXUS Rewards uses automated processes to assign your membership tier (Initiate, Explorer, Climber, Summit, Refuge) based on accumulated points, and to activate the benefit freeze after 12 months of purchase inactivity. These decisions are based exclusively on objective and predefined criteria set out in the Programme's Terms and Conditions.

No other automated decisions with legal or significant effects are made based on your data. You have the right to obtain human intervention, express your point of view and contest these decisions by contacting info@yuxus.es.

If you are between 14 and 17 years old, you may register for YUXUS Rewards on your own. We have written this Privacy Policy in clear language so that you can understand how we use your data. If you are under 14, you cannot register for the Programme. If we become aware that a person under 14 has registered without parental or guardian consent, we will immediately delete their data.

The tracking of daily website visits for point accumulation requires the use of cookies or similar technologies. This tracking is subject to your prior consent through our cookie banner, in accordance with Article 22.2 of the LSSI-CE. You can consult our full Cookie Policy at Cookie Policy.

We apply appropriate technical and organisational measures to protect your data, matched to the level of risk entailed by the processing, including encryption in transit (HTTPS/TLS) and at rest (AES-256), role-based access controls, encrypted backups, and periodic security audits. These measures are designed to guarantee the completeness, confidentiality and availability of your data.

In accordance with applicable data protection regulations and Law 34/2002 of 11 July (LSSI-CE), GFA Group S.L. has profiles on Instagram and TikTok for the purpose of advertising products and services.

By joining our pages on social networks, you authorise the processing of personal information published on your public profile. This information is only used within the social network and is not added to any separate file.

You may access the privacy policies of each social network and configure your profile to guarantee your privacy at any time. You may exercise all your data protection rights as described in section 7 above.

Publications

Users may post comments, links, images, photographs or any other multimedia content on our pages. Users must hold ownership or have the necessary rights. Content violating morality, ethics, intellectual or industrial property rights, image rights or applicable law will be removed, and the user may be permanently blocked.

GFA Group S.L. is not responsible for content freely published by users. Images posted on our social pages are not stored in any separate file by GFA Group S.L. but remain on the social network.

Contests and promotions

GFA Group S.L. reserves the right to organise contests and promotions. Terms and conditions will be published on the social network, in compliance with LSSI-CE and applicable regulations. The social network does not sponsor, support or administer our promotions.

Advertising

GFA Group S.L. uses social networks to advertise products and services. Any direct commercial communications will comply with GDPR and LSSI-CE requirements. Recommending our page to others is not considered advertising.

Social network privacy policies:

• Instagram: instagram.com/about/legal/privacy
• TikTok: tiktok.com/legal/page/eea/privacy-policy

We may update this Privacy Policy to reflect changes in our data practices or applicable legislation. Any significant changes will be communicated by email and published on this page. The "last updated" date at the top indicates when the latest revision was made.

GFA Group S.L. fue constituida mediante escritura de fecha 23 de noviembre de 2021, ante el Notario de Madrid, Juan Aznar de la Haza, bajo el número 765 de su protocolo.

A continuación detallamos las finalidades, bases legales, plazos de conservación y demás información sobre los tratamientos de datos que realizamos a través de este sitio web:

Al completar una compra y hacer clic en "Acepto los términos del servicio", consientes el uso de tu número de teléfono para el envío de SMS promocionales. Puedes darte de baja en cualquier momento.

Si te unes a YUXUS Rewards, tratamos datos adicionales específicamente para la operación del programa:

Aplicamos el principio de minimización de datos (Art. 5.1.c RGPD). Solo recogemos los datos estrictamente necesarios para cada finalidad. En concreto, no recogemos tu fecha de nacimiento completa (solo el año para verificar la edad), ni datos sobre tu navegación detallada en la web (solo el hecho de la visita, no las páginas visitadas), ni datos de tus perfiles de redes sociales (solo el hecho de que has compartido un contenido).

Para operar nuestro sitio web, procesar compras y gestionar el programa YUXUS Rewards, compartimos tus datos con los siguientes encargados del tratamiento, con quienes tenemos suscritos contratos conforme al artículo 28 del RGPD:

Estos proveedores solo tratan tus datos siguiendo nuestras instrucciones documentadas y no los utilizan para sus propios fines. Adicionalmente, cuando la ley lo requiera, tus datos podrán ser comunicados a la Agencia Tributaria, bancos y organismos públicos competentes.

Para pagos con Klarna, en el momento del pago podemos transmitir tus datos de contacto y detalles del pedido para que Klarna pueda evaluar tu elegibilidad. Tus datos se procesan conforme a la política de privacidad de Klarna.

Puedes solicitar una copia de las garantías de transferencia contactándonos en info@yuxus.es.

Tus datos se transfieren a Estados Unidos y Canadá a través de nuestros proveedores tecnológicos. Estas transferencias se amparan en las decisiones de adecuación de la Comisión Europea (EU-US Data Privacy Framework, Decisión 2023/1795, y decisión de adecuación de Canadá) y, como mecanismo adicional, en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914).

Hemos realizado evaluaciones de impacto de las transferencias para verificar que tus datos están protegidos con un nivel equivalente al del RGPD.

Como interesado, puedes ejercer los siguientes derechos:

Para ejercer cualquiera de estos derechos, envía tu solicitud a info@yuxus.es o por correo postal a Calle Fuencarral 74, 28004 Madrid, España (a la atención de GFA Group S.L.), adjuntando copia de tu DNI o documento identificativo equivalente. Responderemos en un plazo máximo de 1 mes desde la recepción de la solicitud.

Si consideras que tus derechos no han sido atendidos correctamente, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): C/ Jorge Juan 6, 28001 Madrid — www.aepd.es

YUXUS Rewards utiliza procesos automatizados para asignar tu nivel de membresía (Initiate, Explorer, Climber, Summit, Refuge) en función de los puntos acumulados, y para activar la congelación de beneficios tras 12 meses de inactividad de compra. Estas decisiones se basan exclusivamente en criterios objetivos y predefinidos en los Términos y Condiciones del Programa.

No se realizan otras decisiones automatizadas con efectos legales o significativos sobre tus datos. Tienes derecho a obtener intervención humana, expresar tu punto de vista e impugnar estas decisiones contactando a info@yuxus.es.

Si tienes entre 14 y 17 años, puedes inscribirte en YUXUS Rewards por ti mismo/a. Hemos redactado esta Política de Privacidad en un lenguaje claro para que puedas comprender cómo usamos tus datos. Si tienes menos de 14 años, no puedes inscribirte en el Programa. Si tenemos constancia de que un menor de 14 años se ha inscrito sin consentimiento de sus padres o tutores, procederemos a eliminar sus datos de inmediato.

El seguimiento de visitas diarias a la web para la acumulación de puntos requiere el uso de cookies o tecnologías similares. Este seguimiento está sujeto a tu consentimiento previo a través de nuestro banner de cookies, de conformidad con el artículo 22.2 de la LSSI-CE. Puedes consultar nuestra Política de Cookies completa en Política de Cookies.

Aplicamos medidas técnicas y organizativas apropiadas para proteger tus datos, acordes con el nivel de riesgo que conlleva el tratamiento, incluyendo cifrado en tránsito (HTTPS/TLS) y en reposo (AES-256), controles de acceso basados en roles, copias de seguridad cifradas y auditorías de seguridad periódicas. Estas medidas garantizan la integridad, confidencialidad y disponibilidad de tus datos.

De conformidad con la normativa vigente en materia de Protección de Datos y la Ley 34/2002, de 11 de julio (LSSI-CE), GFA Group S.L. tiene perfiles en Instagram y TikTok con el objetivo de publicitar sus productos y servicios.

Al unirte a nuestras páginas en redes sociales, nos autorizas a tratar la información personal publicada en tu perfil público. Esta información solo se utiliza dentro de la propia red social y no se incorpora a ningún fichero separado.

Puedes acceder en todo momento a las políticas de privacidad de cada red social y configurar tu perfil para garantizar tu privacidad. Puedes ejercer todos tus derechos de protección de datos como se describe en la sección 7 anterior.

Publicaciones

Los usuarios pueden publicar comentarios, enlaces, imágenes, fotografías o cualquier otro contenido multimedia en nuestras páginas. El usuario debe ser titular de los mismos o contar con los derechos necesarios. Se retirará cualquier contenido que atente contra la moral, la ética, la propiedad intelectual o industrial, el derecho a la imagen o la ley, pudiendo solicitar el bloqueo permanente del usuario.

GFA Group S.L. no se hace responsable de los contenidos publicados libremente por los usuarios. Las imágenes publicadas en nuestras páginas sociales no se almacenan en ningún fichero separado por parte de GFA Group S.L., sino que permanecen en la red social.

Concursos y promociones

GFA Group S.L. se reserva el derecho a organizar concursos y promociones. Las bases se publicarán en la red social, cumpliendo siempre con la LSSI-CE y la normativa aplicable. La red social no patrocina, avala ni administra nuestras promociones.

Publicidad

GFA Group S.L. utiliza las redes sociales para publicitar sus productos y servicios. Cualquier comunicación comercial directa cumplirá con las exigencias del RGPD y la LSSI-CE. Recomendar nuestra página a otros usuarios no se considera publicidad.

Políticas de privacidad de las redes sociales:

• Instagram: instagram.com/about/legal/privacy
• TikTok: tiktok.com/legal/page/eea/privacy-policy

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas de datos o en la legislación aplicable. Cualquier cambio significativo será comunicado por email y publicado en esta página. La fecha de "última actualización" en la parte superior indica cuándo se realizó la última revisión.