Politica de Privacidad — Uruguay
Ultima actualizacion: 20 de mayo de 2026
1. Responsable del Tratamiento
cepaos LLC, sociedad de responsabilidad limitada constituida en el Estado de Wyoming, Estados Unidos, es responsable del tratamiento de los datos personales recopilados a traves de la plataforma cepaos ("la Plataforma").
- Correo de contacto: privacidad@cepaos.com
- Delegado de proteccion de datos: dpo@cepaos.com
Representante en la UE (Art. 27 RGPD): La designacion de un representante en la Union Europea conforme al articulo 27 del Reglamento General de Proteccion de Datos esta en proceso de formalizacion. Los datos de contacto definitivos se publicaran en un plazo maximo de 14 dias. Mientras tanto, las consultas sobre proteccion de datos de residentes de la UE pueden dirigirse a privacy@cepaos.com.
2. Datos Personales que Recopilamos
2.1 Datos Proporcionados por el Usuario
- Nombre completo y cargo
- Direccion de correo electronico
- Numero de telefono (opcional)
- Nombre de la organizacion, identificacion fiscal y domicilio
- Informacion de facturacion y metodos de pago (procesados por dLocalGo o Stripe segun mercado)
- Datos de perfil y preferencias de la cuenta
2.2 Datos Recopilados Automaticamente
- Direccion IP y datos de geolocalizacion aproximada
- Tipo de navegador y sistema operativo
- Paginas visitadas, tiempo de permanencia y flujos de navegacion
- Identificadores de dispositivo y cookies (ver Politica de Cookies)
- Registros de acceso y logs de seguridad
2.3 Datos de la Organizacion
El Usuario puede ingresar datos operativos de su organizacion (inventarios, lotes, procesos productivos, datos comerciales). Estos datos se tratan conforme a los Terminos y Condiciones y al Acuerdo Marco de Servicios aplicable. cepaos trata dichos datos como informacion confidencial del Cliente.
3. Bases Legales del Tratamiento
Tratamos datos personales sobre las siguientes bases legales:
- Ejecucion contractual: para prestar el servicio contratado y gestionar la cuenta del Usuario.
- Consentimiento: para comunicaciones de marketing, analitica no esencial y cookies opcionales. El consentimiento puede retirarse en cualquier momento.
- Interes legitimo: para mejorar la seguridad de la plataforma, prevenir fraudes y generar analitica agregada.
- Obligacion legal: para cumplir con obligaciones fiscales, registros contables y requerimientos de autoridades competentes.
4. Finalidades del Tratamiento
- Prestar y mantener el servicio de la Plataforma
- Gestionar la cuenta, autenticacion y control de accesos
- Procesar pagos y facturacion
- Enviar notificaciones operativas y de seguridad
- Proporcionar soporte tecnico al Usuario
- Mejorar la Plataforma mediante analitica agregada y anonimizada
- Cumplir con obligaciones legales y regulatorias
- Prevenir fraudes y garantizar la seguridad de la Plataforma
- Enviar comunicaciones de marketing (solo con consentimiento)
5. Comparticion de Datos
cepaos no vende datos personales. Compartimos datos unicamente con:
5.1 Subprocesadores
Los siguientes proveedores procesan datos personales por cuenta de cepaos bajo contratos de tratamiento (DPA) y, cuando aplica, con las Clausulas Contractuales Tipo (SCC) de la Comision Europea o adhesion al EU-U.S. Data Privacy Framework como mecanismo de transferencia internacional. Para mayor detalle veanse las Secciones 6 y 10.
| Proveedor | Funcion | Ubicacion | Base / mecanismo legal |
|---|---|---|---|
| Stripe Inc. | Procesador de pagos (non-LATAM) | Estados Unidos | EU-U.S. DPF + SCC + Stripe DPA |
| dLocal Pty Ltd | Procesador de pagos (LATAM) | Uruguay | Equivalencia GDPR (Decision UE 2012) + DPA |
| Supabase Inc. | Base de datos y autenticacion | EE.UU. / UE | SCC + Supabase DPA |
| Railway Corp. | Hosting de aplicacion | Estados Unidos | SCC + Railway DPA |
| Cloudflare Inc. | CDN y proteccion DDoS | Estados Unidos (red global) | EU-U.S. DPF + SCC + Cloudflare DPA |
| Upstash Inc. | Cache y rate limiting (Redis) | Estados Unidos | SCC + Upstash DPA |
| Resend Inc. | Correo transaccional | Estados Unidos | SCC + Resend DPA |
| Sentry / Functional Software | Monitoreo de errores | Estados Unidos | SCC + Sentry DPA |
| PostHog Inc. | Analitica de producto (con consentimiento) | Estados Unidos / UE | SCC + PostHog DPA |
Datos compartidos con Stripe (Usuarios non-LATAM): correo electronico del administrador, nombre de la organizacion, identificador Stripe Customer ID y Stripe PaymentMethod ID (tokenizado). cepaos no recibe ni almacena el numero de tarjeta.
Datos compartidos con dLocal Go (Usuarios LATAM): correo electronico del administrador, identificador de cliente y token de tarjeta. cepaos no recibe ni almacena el numero de tarjeta.
5.2 Autoridades
Podemos divulgar datos personales cuando lo requiera una orden judicial, requerimiento de autoridad competente o cuando sea necesario para proteger derechos, propiedad o seguridad de cepaos, nuestros usuarios o el publico.
6. Transferencias Internacionales
Los datos personales pueden transferirse a paises fuera de la jurisdiccion del Usuario, incluyendo Estados Unidos. Aplicamos las siguientes salvaguardas:
- Clausulas contractuales tipo (SCC) aprobadas por la Comision Europea
- Evaluaciones de impacto de transferencia cuando corresponde
- Acuerdos de procesamiento de datos (DPA) con todos los subprocesadores
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
7. Retencion de Datos
- Datos de cuenta: durante la vigencia de la suscripcion mas 30 dias tras la cancelacion.
- Registros de facturacion: 10 anos (obligacion legal fiscal).
- Logs de seguridad: 12 meses.
- Datos de analitica: 24 meses en formato agregado y anonimizado.
- Copias de seguridad: eliminadas dentro de los 90 dias posteriores a la eliminacion de los datos originales.
8. Seguridad
Implementamos medidas tecnicas y organizativas para proteger los datos personales, incluyendo:
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
- Aislamiento multi-tenant con Row Level Security (RLS) en PostgreSQL
- Autenticacion con tokens seguros via Supabase Auth
- Rate limiting y proteccion contra ataques de fuerza bruta
- Monitoreo continuo de seguridad y alertas automatizadas
- Acceso restringido basado en roles (RBAC)
- Auditorias periodicas de seguridad
9. Derechos del Titular de los Datos
Segun la legislacion aplicable, el Usuario tiene los siguientes derechos:
- Acceso: solicitar una copia de los datos personales que conservamos.
- Rectificacion: corregir datos inexactos o incompletos.
- Supresion: solicitar la eliminacion de datos personales.
- Portabilidad: recibir datos en formato estructurado y legible por maquina (CSV, JSON).
- Oposicion: oponerse al tratamiento basado en interes legitimo.
- Limitacion: restringir temporalmente el tratamiento en ciertos casos.
- Retiro del consentimiento: retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.
Para ejercer estos derechos, contacte a privacidad@cepaos.com. Responderemos dentro de los plazos previstos por la ley aplicable a su jurisdiccion (ver Seccion 10).
10. Cumplimiento — Uruguay (Ley 18.331)
Ley 18.331 Proteccion de Datos Personales y Accion de "Habeas Data"
cepaos cumple con la Ley 18.331 de Proteccion de Datos Personales y Accion de "Habeas Data", su Decreto Reglamentario 414/009, y la Ley 19.670 que actualizo el regimen.
Principios (Ley 18.331 cap. I)
- Legalidad
- Veracidad
- Finalidad
- Previo consentimiento informado
- Seguridad de los datos
- Reserva
- Responsabilidad
Derechos del Titular (Ley 18.331 cap. III)
- Derecho de informacion (art. 13): conocer la existencia de la base de datos, su finalidad e identidad del responsable.
- Derecho de acceso (art. 14): obtener informacion clara, exenta de codificacion y, en su caso, traducida.
- Derecho de rectificacion, actualizacion, inclusion o supresion (art. 15): corregir o suprimir datos.
- Habeas Data (art. 37): accion judicial ante incumplimiento.
Plazo de respuesta: 5 dias habiles desde la recepcion (art. 14). Solicitudes a privacidad@cepaos.com.
Transferencia Internacional (Ley 18.331 art. 23)
La transferencia a paises sin nivel adecuado de proteccion requiere consentimiento del titular o clausulas contractuales con garantias equivalentes. La URCDP ha declarado a la UE como pais con nivel adecuado; Estados Unidos requiere clausulas contractuales tipo. cepaos aplica SCC en todas sus transferencias a EE.UU.
Registro ante la URCDP
cepaos esta inscripto en el Registro de Bases de Datos de la URCDP conforme al art. 29 de la Ley 18.331. Los datos del registro pueden consultarse ingresando el numero de RUT en el sitio web de la URCDP.
Autoridad de Control — URCDP
La Unidad Reguladora y de Control de Datos Personales (URCDP), dependiente de la AGESIC, es el organo de control: https://www.gub.uy/unidad-reguladora-control-datos-personales/.
11. Menores de Edad
La Plataforma esta dirigida exclusivamente a operaciones comerciales (B2B) y no recopila intencionalmente datos de menores de 18 anos. Si tomamos conocimiento de que hemos recopilado datos de un menor, procederemos a eliminarlos de inmediato.
12. Modificaciones a esta Politica
cepaos puede actualizar esta Politica de Privacidad periodicamente. Las modificaciones se notificaran con al menos 30 dias de anticipacion por correo electronico y/o aviso en la Plataforma. La fecha de la ultima actualizacion se indica al inicio de este documento.
13. Contacto
Para consultas sobre privacidad y proteccion de datos:
- Privacidad: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Estos términos pueden ser actualizados periódicamente. La versión vigente es la publicada en cepaos.com. Para consultas legales, escribí a legal@cepaos.com.