Política de Privacidad — Mercadonet TikTok Publisher

1. Quiénes somos y a qué se aplica esta política

Mercadonet TikTok Publisher (en adelante, «el Producto» o «la Aplicación») es un servicio de gestión de contenidos operado por Mercadonet Global S.L. («Mercadonet», «nosotros»). El Producto permite a creadores, agencias y marcas autorizar su cuenta de TikTok mediante el flujo OAuth oficial y enviar archivos MP4 al inbox de TikTok como borrador para su posterior revisión y publicación dentro de la propia app de TikTok.

Esta Política de Privacidad regula específicamente el tratamiento de los datos obtenidos a través de las APIs públicas de TikTok for Developers (Login Kit y Content Posting API) en el contexto del Producto. Si visitas otras secciones del sitio mercadonet.es no relacionadas con TikTok Publisher, se aplica la Política de Privacidad general de Mercadonet.

Al pulsar «Conectar mi cuenta de TikTok» y autorizar la aplicación en tiktok.com aceptas esta Política de Privacidad y los Términos de Servicio de TikTok Publisher.

2. Qué datos de TikTok tratamos

Solicitamos a TikTok los scopes mínimos imprescindibles para que el Producto funcione. No leemos comentarios, mensajes privados, listas de seguidores, métricas históricas ni ningún dato fuera del alcance estricto declarado:

Dato	Origen	Para qué lo usamos
open_id	TikTok Login Kit (scope user.info.basic)	Identificador interno único que TikTok asigna a tu cuenta en relación con nuestra aplicación. Lo usamos como clave para vincular tus tokens y publicaciones en nuestro sistema.
display_name	TikTok Login Kit (scope user.info.basic)	Nombre visible de tu cuenta de TikTok. Lo mostramos en el panel para que confirmes que has conectado la cuenta correcta.
avatar_url	TikTok Login Kit (scope user.info.basic)	URL de tu foto de perfil de TikTok. Se muestra en el panel junto al display name.
access_token y refresh_token	OAuth callback de TikTok	Tokens cifrados que permiten al backend de Mercadonet TikTok Publisher invocar la Content Posting API en tu nombre dentro de los scopes que has autorizado.
publish_id	Content Posting API (scope video.upload)	Identificador que devuelve TikTok cuando llamamos a /v2/post/publish/inbox/video/init/. Lo guardamos para mostrarte el estado de la subida en tu panel.
Metadatos del archivo MP4 que tú subes	Carga directa en nuestra app	Nombre, tamaño, duración y formato del MP4 que tú decides enviar al inbox de TikTok. El fichero binario se transfiere al upload_url que TikTok devuelve y, salvo necesidad técnica puntual de reintento, no se conserva en nuestros servidores tras la subida.

No recogemos ni almacenamos tu contraseña de TikTok. El flujo OAuth se realiza íntegramente en tiktok.com y nosotros sólo recibimos los tokens emitidos por TikTok tras tu autorización expresa.

3. Para qué los usamos (finalidades)

• Prestación del Producto. Permitirte conectar tu cuenta de TikTok, identificar tu cuenta en el panel y enviar MP4 al inbox de TikTok mediante la Content Posting API.
• Seguridad y prevención de abuso. Detectar y bloquear usos automatizados maliciosos, reintentos abusivos o intentos de eludir el rate limit oficial de TikTok.
• Soporte técnico. Resolver incidencias cuando contactas con [email protected] y, si procede, reproducir el fallo con los publish_id afectados.
• Cumplimiento legal. Atender requerimientos de autoridades competentes y conservar la información estrictamente exigida por la normativa fiscal y mercantil.

No utilizamos tus datos de TikTok para publicidad, perfilado comercial, venta a terceros ni entrenamiento de modelos de IA.

4. Base legal del tratamiento

• Ejecución de contrato (art. 6.1.b RGPD): el tratamiento de open_id, display_name, avatar_url, tokens OAuth y publish_id es necesario para prestar el Producto que tú nos solicitas activamente al pulsar «Conectar mi cuenta de TikTok».
• Consentimiento (art. 6.1.a RGPD): la autorización OAuth que otorgas en tiktok.com constituye consentimiento expreso para los scopes que apruebas. Puedes retirar este consentimiento en cualquier momento (ver sección 9).
• Interés legítimo (art. 6.1.f RGPD): para fines de seguridad, prevención de fraude y mejora interna del Producto, con la garantía de no prevalecer sobre tus derechos.
• Obligación legal (art. 6.1.c RGPD): para los datos que debamos conservar por imperativo de la normativa fiscal, mercantil o de protección de consumidores.

5. Dónde se almacenan y cuánto tiempo

Ubicación de los datos. El backend que recibe el callback OAuth, intercambia el code por tokens, almacena los datos y orquesta las llamadas a la Content Posting API está alojado en Raiola Networks S.L., proveedor de hosting con datacenters en la Unión Europea. El landing y las páginas legales están servidas desde GitLab Pages (GitLab Inc.) detrás de la CDN de Cloudflare. Los tokens OAuth se almacenan cifrados en reposo en la base de datos del hosting de Raiola.

Plazos de conservación.

• Tokens OAuth (access_token, refresh_token): mientras tu cuenta esté conectada al Producto. Si revocas el acceso (sección 9) los borramos en menos de 24 horas.
• open_id, display_name, avatar_url: mientras tu cuenta esté conectada. Se eliminan junto con los tokens cuando revocas.
• publish_id y metadatos de subidas: hasta 12 meses tras la subida, para que puedas consultar el histórico de envíos. Pasado ese plazo se anonimizan los registros estadísticos.
• Archivo MP4: se transfiere al upload_url de TikTok y, salvo retención puntual por reintento técnico, no se conserva en nuestros servidores tras la subida.
• Logs de seguridad: hasta 30 días para diagnóstico de incidentes y prevención de abuso.
• Datos requeridos por ley: se conservan durante los plazos legales aplicables (normativa fiscal y mercantil).

6. Con quién los compartimos

No vendemos ni cedemos tus datos a terceros con fines publicitarios. Los encargados del tratamiento que intervienen estrictamente en la prestación del servicio son:

• TikTok (ByteDance Ltd.) — como proveedor de las APIs Login Kit y Content Posting. La interacción con TikTok se rige por sus propios términos y política de privacidad.
• Raiola Networks S.L. — proveedor de hosting del backend de apptiktok.mercadonet.es (UE).
• Cloudflare Inc. — CDN delante de mercadonet.es para el landing y las páginas legales.
• GitLab Inc. — almacenamiento del código fuente del landing (GitLab Pages).

Excepcionalmente, podríamos compartir datos con autoridades públicas competentes cuando exista una obligación legal de hacerlo, debidamente notificada.

7. Transferencias internacionales

El núcleo del servicio (backend OAuth + storage) se aloja en la Unión Europea (Raiola, España). Determinados encargados del tratamiento como Cloudflare, GitLab y TikTok pueden tener actividad fuera del Espacio Económico Europeo. En tales casos las transferencias se amparan en las salvaguardas previstas en el Capítulo V del RGPD, principalmente Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

8. Tus derechos

Como titular de los datos puedes ejercer en cualquier momento los siguientes derechos reconocidos por el RGPD y la LOPDGDD:

• Acceso — saber qué datos tuyos tratamos.
• Rectificación — corregir datos inexactos.
• Supresión — solicitar el borrado de tus datos cuando ya no sean necesarios.
• Limitación — pedir que paremos determinados tratamientos.
• Oposición — oponerte a tratamientos basados en interés legítimo.
• Portabilidad — recibir tus datos en formato estructurado y legible.
• Retirar el consentimiento — en cualquier momento, sin que afecte a la licitud del tratamiento anterior.

Para ejercerlos basta con escribirnos a [email protected] indicando el derecho concreto que deseas ejercer y un medio para verificar tu identidad. Responderemos en el plazo máximo de un mes.

Si consideras que el tratamiento no es conforme a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

9. Cómo revocar el acceso a tu cuenta de TikTok

Tienes dos vías equivalentes para desconectar Mercadonet TikTok Publisher de tu cuenta de TikTok. Ambas invalidan inmediatamente el access_token y el refresh_token:

1. Desde Mercadonet: en tu panel de apptiktok.mercadonet.es, pulsa «Desconectar TikTok». Llamamos al endpoint /v2/oauth/revoke/ de TikTok y borramos tus tokens y datos asociados en menos de 24 horas.
2. Desde TikTok: abre la app de TikTok → Perfil → Ajustes y privacidad → Seguridad → Gestionar aplicaciones conectadas → Mercadonet TikTok Publisher → Revocar acceso.

Tras la revocación, cualquier intento de llamada a la API en tu nombre fallará y nuestros sistemas eliminarán el registro asociado.

10. Cookies y tecnologías similares

El landing en mercadonet.es/tiktok no instala cookies de terceros con fines publicitarios ni de seguimiento. El backend en apptiktok.mercadonet.es utiliza estrictamente las cookies técnicas necesarias para mantener la sesión OAuth y proteger el formulario frente a CSRF. Para más detalle consulta la Política de Cookies general de Mercadonet.

11. Menores de edad

Mercadonet TikTok Publisher está dirigido a creadores, agencias y profesionales mayores de 18 años. Si tienes constancia de que un menor está utilizando el Producto, escríbenos a [email protected] para que procedamos a eliminar la cuenta y los datos asociados.

12. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios técnicos, normativos o en la propia API de TikTok. La versión vigente está siempre disponible en esta URL con la fecha de última actualización al inicio del documento. Si los cambios son sustanciales, lo comunicaremos por email a los usuarios conectados con al menos 15 días de antelación.

13. Contacto y reclamaciones

Para cualquier cuestión relativa a esta Política de Privacidad o al tratamiento de tus datos en Mercadonet TikTok Publisher:

• Email: [email protected]
• Responsable: Mercadonet Global S.L., CIF B-98407901
• Autoridad de control: Agencia Española de Protección de Datos — www.aepd.es