1. Information We Collect

Personal Information

When you use our Service, we may collect the following personally identifiable information:

• Name (first and last)
• Email address
• Phone number
• Mailing and shipping address
• Payment information (processed securely by third-party providers — we do not store payment card details)
• Account credentials
• Order history and preferences

Usage Data

We automatically collect information about how you access and interact with our Service, including:

• IP address, browser type, and device information
• Pages visited, time spent, and navigation patterns
• Referring website or source
• Unique device identifiers and diagnostic data

Cookies & Tracking Technologies

We use cookies and similar technologies (beacons, tags, scripts) to enhance your experience, analyze usage, and improve our Service. You can configure your browser to refuse cookies, but some features of the Service may not function properly without them.

Types of cookies we use:

• Essential Cookies: Required for the Service to function (e.g., shopping cart, authentication)
• Preference Cookies: Remember your settings and preferences
• Analytics Cookies: Help us understand how visitors use our Service
• Marketing Cookies: Used to deliver relevant advertisements

2. How We Use Your Information

High Hemp Co. uses the information we collect for the following purposes:

• To process and fulfill your orders
• To provide customer support and respond to inquiries
• To send transactional communications (order confirmations, shipping updates)
• To send marketing communications (with your consent; you may opt out at any time)
• To administer our rewards and loyalty program
• To improve our Service, website, and product offerings
• To detect, prevent, and address fraud, security issues, and technical problems
• To comply with legal obligations

3. Legal Basis for Processing (GDPR)

If you are located in the European Economic Area (EEA), our legal basis for processing your personal data depends on the context:

• Contractual necessity: To fulfill orders and provide the Service
• Consent: For marketing communications and non-essential cookies
• Legitimate interest: To improve our Service, prevent fraud, and conduct analytics
• Legal obligation: To comply with applicable laws and regulations

4. How We Share Your Information

We do not sell your personal information. We may share your data with trusted third parties only as follows:

• Service Providers: Companies that help us operate our business (payment processors, shipping carriers, email platforms, analytics providers). These parties are contractually obligated to protect your data and use it only for the services they provide to us.
• Legal Requirements: When required by law, court order, or governmental regulation, or to protect our rights, safety, or property.
• Business Transfers: In connection with a merger, acquisition, or sale of assets, your data may be transferred to the successor entity.

Third-Party Services

We use the following categories of third-party service providers:

• Payment Processing: Shopify Payments / Stripe (PCI-DSS compliant). We never store your credit card information.
• Shipping: USPS, UPS, FedEx, ShipEngine
• Analytics: Google Analytics, Shopify Analytics
• Email Marketing: As applicable (e.g., Klaviyo, Shopify Email)
• Loyalty & Rewards: As applicable

5. Data Retention

We retain your personal information only as long as necessary to fulfill the purposes outlined in this policy, unless a longer retention period is required or permitted by law. Specifically:

• Order data is retained for at least 7 years for tax and legal compliance
• Account data is retained while your account is active and for a reasonable period thereafter
• Marketing data is retained until you unsubscribe or request deletion
• Usage data is generally retained for up to 26 months for analytics purposes

6. Data Security

We implement appropriate administrative, technical, and physical safeguards to protect your personal information against unauthorized access, alteration, disclosure, or destruction. These include encrypted connections (SSL/TLS), secure payment processing, access controls, and regular security assessments.

However, no method of transmission over the Internet or method of electronic storage is 100% secure. While we strive to protect your data, we cannot guarantee its absolute security.

7. Data Breach Notification

In compliance with Puerto Rico's Citizen Information on Data Banks Security Act (10 L.P.R.A. §§ 4051–4055), in the event of a security breach that compromises your personal information, we will:

• Notify affected individuals as expeditiously as possible
• Notify the Puerto Rico Department of Consumer Affairs (DACO) within 10 days of discovering the breach
• Provide written or authenticated electronic notice describing the breach, the data involved, and steps being taken
• Cooperate with law enforcement if the breach involves suspected criminal activity

8. Your Rights

All Users

• Access the personal data we hold about you
• Request correction of inaccurate or incomplete data
• Request deletion of your personal data
• Opt out of marketing communications at any time
• Disable cookies through your browser settings

EEA Residents (GDPR)

In addition to the above, if you are in the EEA, you have the right to:

• Object to the processing of your personal data
• Request restriction of processing
• Request data portability (receive your data in a structured, machine-readable format)
• Withdraw consent at any time where processing is based on consent
• Lodge a complaint with your local data protection authority

Puerto Rico Residents

Under the laws of the Commonwealth of Puerto Rico, you have the right to be notified of any data breach affecting your personal information. You may also request access to, correction of, or deletion of your personal data by contacting us.

To exercise any of these rights, contact us at legal@highhemp.co. We may verify your identity before processing your request.

9. Children's Privacy

Our Service is not directed to anyone under the age of 21. We do not knowingly collect personal information from anyone under 21. If you are a parent or guardian and believe your child has provided us with personal data, please contact us at legal@highhemp.co and we will take steps to remove that information.

10. International Data Transfers

Your information may be transferred to and maintained on servers located outside of your jurisdiction. If you are located outside of the United States and choose to provide information to us, your data will be transferred to and processed in the United States and Puerto Rico, where data protection laws may differ from your jurisdiction. Your submission of information represents your consent to this transfer.

11. Do Not Track Signals

Some browsers offer a "Do Not Track" (DNT) feature. Our Service does not currently respond to DNT signals. However, you can manage your cookie preferences through your browser settings.

12. Links to Third-Party Sites

Our Service may contain links to websites not operated by us. We are not responsible for the privacy practices of third-party sites. We encourage you to review their privacy policies before providing any personal information.

13. Changes to This Policy

We may update this Privacy Policy from time to time. Changes will be posted on this page with an updated effective date. For significant changes, we will notify you via email or a prominent notice on our Service. We encourage you to review this policy periodically.

Política de Privacidad

Fecha de vigencia: 29 de marzo de 2026

1. Información que Recopilamos

Información Personal

Cuando utiliza nuestro Servicio, podemos recopilar la siguiente información de identificación personal:

• Nombre (nombre y apellido)
• Dirección de correo electrónico
• Número de teléfono
• Dirección postal y de envío
• Información de pago (procesada de forma segura por proveedores externos — no almacenamos datos de tarjetas de pago)
• Credenciales de cuenta
• Historial de pedidos y preferencias

Datos de Uso

Recopilamos automáticamente información sobre cómo accede e interactúa con nuestro Servicio, incluyendo:

• Dirección IP, tipo de navegador e información del dispositivo
• Páginas visitadas, tiempo de permanencia y patrones de navegación
• Sitio web o fuente de referencia
• Identificadores únicos de dispositivo y datos de diagnóstico

Cookies y Tecnologías de Seguimiento

Utilizamos cookies y tecnologías similares (balizas, etiquetas, scripts) para mejorar su experiencia, analizar el uso y mejorar nuestro Servicio. Puede configurar su navegador para rechazar cookies, pero algunas funciones del Servicio pueden no funcionar correctamente sin ellas.

Tipos de cookies que utilizamos:

• Cookies Esenciales: Necesarias para el funcionamiento del Servicio (carrito de compras, autenticación)
• Cookies de Preferencia: Recuerdan sus configuraciones y preferencias
• Cookies de Análisis: Nos ayudan a comprender cómo los visitantes usan nuestro Servicio
• Cookies de Marketing: Utilizadas para mostrar anuncios relevantes

2. Cómo Utilizamos su Información

High Hemp Co. utiliza la información que recopilamos para los siguientes propósitos:

• Procesar y completar sus pedidos
• Proporcionar soporte al cliente y responder a consultas
• Enviar comunicaciones transaccionales (confirmaciones de pedido, actualizaciones de envío)
• Enviar comunicaciones de marketing (con su consentimiento; puede darse de baja en cualquier momento)
• Administrar nuestro programa de recompensas y lealtad
• Mejorar nuestro Servicio, sitio web y ofertas de productos
• Detectar, prevenir y abordar fraude, problemas de seguridad y problemas técnicos
• Cumplir con obligaciones legales

3. Base Legal para el Procesamiento (RGPD)

Si usted se encuentra en el Espacio Económico Europeo (EEE), nuestra base legal para procesar sus datos personales depende del contexto:

• Necesidad contractual: Para cumplir pedidos y proporcionar el Servicio
• Consentimiento: Para comunicaciones de marketing y cookies no esenciales
• Interés legítimo: Para mejorar nuestro Servicio, prevenir fraude y realizar análisis
• Obligación legal: Para cumplir con leyes y regulaciones aplicables

4. Cómo Compartimos su Información

No vendemos su información personal. Podemos compartir sus datos con terceros de confianza únicamente de la siguiente manera:

• Proveedores de Servicios: Empresas que nos ayudan a operar nuestro negocio (procesadores de pago, transportistas, plataformas de correo electrónico, proveedores de análisis). Estas partes están contractualmente obligadas a proteger sus datos.
• Requisitos Legales: Cuando lo exija la ley, orden judicial o regulación gubernamental, o para proteger nuestros derechos, seguridad o propiedad.
• Transferencias Comerciales: En conexión con una fusión, adquisición o venta de activos, sus datos pueden ser transferidos a la entidad sucesora.

5. Retención de Datos

Retenemos su información personal solo el tiempo necesario para cumplir con los propósitos descritos en esta política, a menos que la ley requiera o permita un período de retención más largo.

• Datos de pedidos: al menos 7 años por cumplimiento fiscal y legal
• Datos de cuenta: mientras su cuenta esté activa y por un período razonable después
• Datos de marketing: hasta que cancele su suscripción o solicite la eliminación
• Datos de uso: generalmente hasta 26 meses para fines analíticos

6. Seguridad de los Datos

Implementamos salvaguardas administrativas, técnicas y físicas apropiadas para proteger su información personal contra acceso no autorizado, alteración, divulgación o destrucción. Estas incluyen conexiones cifradas (SSL/TLS), procesamiento seguro de pagos, controles de acceso y evaluaciones periódicas de seguridad.

Sin embargo, ningún método de transmisión por Internet o almacenamiento electrónico es 100% seguro. Aunque nos esforzamos por proteger sus datos, no podemos garantizar su seguridad absoluta.

7. Notificación de Violación de Datos

En cumplimiento con la Ley de Seguridad de Información Ciudadana en Bancos de Datos de Puerto Rico (10 L.P.R.A. §§ 4051–4055), en caso de una violación de seguridad que comprometa su información personal:

• Notificaremos a las personas afectadas lo antes posible
• Notificaremos al Departamento de Asuntos del Consumidor de Puerto Rico (DACO) dentro de los 10 días posteriores al descubrimiento de la violación
• Proporcionaremos notificación escrita o electrónica autenticada describiendo la violación, los datos involucrados y las medidas que se están tomando
• Cooperaremos con las autoridades si la violación involucra actividad criminal sospechosa

8. Sus Derechos

Todos los Usuarios

• Acceder a los datos personales que tenemos sobre usted
• Solicitar la corrección de datos inexactos o incompletos
• Solicitar la eliminación de sus datos personales
• Cancelar la suscripción a comunicaciones de marketing en cualquier momento
• Desactivar cookies a través de la configuración de su navegador

Residentes del EEE (RGPD)

Además de lo anterior, si se encuentra en el EEE, tiene derecho a:

• Oponerse al procesamiento de sus datos personales
• Solicitar la restricción del procesamiento
• Solicitar la portabilidad de datos (recibir sus datos en formato estructurado y legible por máquina)
• Retirar su consentimiento en cualquier momento cuando el procesamiento se base en su consentimiento
• Presentar una reclamación ante su autoridad local de protección de datos

Residentes de Puerto Rico

Bajo las leyes del Estado Libre Asociado de Puerto Rico, usted tiene derecho a ser notificado de cualquier violación de datos que afecte su información personal. También puede solicitar acceso, corrección o eliminación de sus datos personales contactándonos.

Para ejercer cualquiera de estos derechos, contáctenos en legal@highhemp.co. Podemos verificar su identidad antes de procesar su solicitud.

9. Privacidad de Menores

Nuestro Servicio no está dirigido a personas menores de 21 años. No recopilamos conscientemente información personal de menores de 21 años. Si usted es padre, madre o tutor y cree que su hijo nos ha proporcionado datos personales, contáctenos en legal@highhemp.co y tomaremos medidas para eliminar esa información.

10. Transferencias Internacionales de Datos

Su información puede ser transferida y mantenida en servidores ubicados fuera de su jurisdicción. Si se encuentra fuera de los Estados Unidos y decide proporcionarnos información, sus datos serán transferidos y procesados en los Estados Unidos y Puerto Rico, donde las leyes de protección de datos pueden diferir de las de su jurisdicción. Su envío de información representa su consentimiento a esta transferencia.

11. Señales de "No Rastrear"

Algunos navegadores ofrecen la función "No Rastrear" (DNT). Nuestro Servicio actualmente no responde a señales DNT. Sin embargo, puede gestionar sus preferencias de cookies a través de la configuración de su navegador.

12. Enlaces a Sitios de Terceros

Nuestro Servicio puede contener enlaces a sitios web no operados por nosotros. No somos responsables de las prácticas de privacidad de sitios de terceros. Le recomendamos revisar sus políticas de privacidad antes de proporcionar información personal.

13. Cambios a Esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Los cambios se publicarán en esta página con una fecha de vigencia actualizada. Para cambios significativos, le notificaremos por correo electrónico o mediante un aviso destacado en nuestro Servicio.