Aviso GDPR

1. Cuándo aplica el GDPR a tu uso

El Reglamento (UE) 2016/679 (GDPR) protege a las personas residentes en el Espacio Económico Europeo (EEE) cuando una organización fuera de la UE les ofrece bienes o servicios o monitorea su comportamiento. Tiendli opera principalmente en Argentina, Uruguay y Paraguay y no orienta activamente sus servicios al mercado europeo. Sin embargo, si vivís en el EEE, Reino Unido o Suiza y creás una cuenta, comprás en una Tienda alojada en nuestra plataforma o navegás el marketplace, te aplicamos las garantías que esta página describe.

Si no estás en el EEE/UK/Suiza, esta política te informa cómo opera nuestra plataforma; tus derechos sustantivos surgen de la legislación de tu país (ver la Política de Privacidad).

2. Nuestro rol bajo el GDPR

Nuestro rol cambia según el contexto del dato:

• Somos responsables (controllers) respecto de los datos de los usuarios que se registran en Tiendli: comerciantes que abren una Tienda, compradores que se crean una cuenta, visitantes del sitio público. Decidimos para qué los tratamos y cómo.
• Somos encargados (processors) respecto de los datos que un Comercio carga en su Tienda sobre sus propios clientes. El Comercio es el responsable principal; nosotros tratamos esos datos por su cuenta siguiendo las instrucciones del Comercio y las nuestras como infraestructura.
• Sub-encargados: trabajamos con terceros (hosting, procesadores de pago, email transaccional, analítica) que pueden tratar datos por nuestra cuenta. Mantenemos contratos con garantías compatibles con el GDPR y la lista actualizada de sub-encargados disponible bajo pedido.

3. Responsable del tratamiento

El responsable del tratamiento es Tiendli S.A., con sede principal en el Cono Sur. Podés contactarnos a través del formulario de contacto indicando "Aviso GDPR" en el asunto. Para consultas específicamente de privacidad, el equipo de privacidad responde dentro de los 30 días que exige el artículo 12.3 del GDPR.

4. Categorías de datos que tratamos

El detalle completo está en la Política de Privacidad. En síntesis:

• Datos identificativos: nombre, email, teléfono, país, identificación fiscal cuando aplica.
• Datos de cuenta: credenciales encriptadas, configuración de la Tienda, preferencias.
• Datos transaccionales: historial de pedidos, montos, métodos de pago (sin almacenar datos completos de tarjetas).
• Datos de uso: dirección IP, identificadores de dispositivo, páginas visitadas, eventos del dashboard.
• Comunicaciones: mensajes que nos enviás, respuestas de soporte, encuestas.

No tratamos categorías especiales de datos personales (origen racial, opiniones políticas, religión, salud, orientación sexual, datos biométricos o genéticos) salvo que sean estrictamente necesarios para procesar una operación que vos iniciaste y bajo tu consentimiento explícito.

5. Bases legales del tratamiento

Cada tratamiento que hacemos se apoya en una base jurídica del artículo 6 del GDPR:

• Ejecución de un contrato (art. 6.1.b): para abrir y mantener tu cuenta, procesar pedidos y reservas, brindar soporte, facturarte el plan que contrataste.
• Cumplimiento de una obligación legal (art. 6.1.c): conservar registros fiscales y contables, atender requerimientos de autoridad competente, prevenir lavado de activos.
• Interés legítimo (art. 6.1.f): mejorar la plataforma con métricas agregadas, prevenir fraude, comunicarte novedades operativas directamente relacionadas con tu cuenta. Realizamos un balance previo entre nuestro interés y tus derechos; si lo pedís, te explicamos el análisis del caso concreto.
• Consentimiento (art. 6.1.a): comunicaciones puramente comerciales (newsletters, promociones), cookies de análisis, activación de integraciones opcionales con terceros. Tu consentimiento es libre, específico, informado e inequívoco, y podés retirarlo en cualquier momento sin afectar la validez del tratamiento previo.

6. Transferencias fuera del EEE

Tiendli opera servidores y socios técnicos ubicados en Argentina, Uruguay, Paraguay y otros países terceros (típicamente Estados Unidos, Brasil o regiones similares según el proveedor). Cuando transferimos tus datos personales desde el EEE/UK/Suiza a estos países, lo hacemos con al menos una de estas garantías:

• Decisiones de adecuación: la Comisión Europea ha reconocido a Argentina y Uruguay como países con un nivel de protección adecuado. Las transferencias a estos destinos no requieren garantías adicionales.
• Cláusulas contractuales tipo (SCC): para destinos sin decisión de adecuación, firmamos las cláusulas modelo aprobadas por la Comisión Europea con cada sub-encargado.
• Medidas suplementarias: cifrado en tránsito y en reposo, segregación de identificadores, controles de acceso, auditorías de seguridad.

Podés solicitarnos copia de las salvaguardias específicas aplicables a un proveedor puntual escribiendo al contacto descrito en la sección 9.

7. Plazos de conservación

Conservamos cada categoría por el tiempo mínimo necesario para cumplir su finalidad:

• Cuenta activa: mientras dure la relación. Te avisamos antes de cualquier baja por inactividad prolongada.
• Datos contables y de facturación: el plazo exigido por la ley fiscal de cada jurisdicción aplicable (entre 5 y 10 años desde la última transacción).
• Logs técnicos y de seguridad: 90 días en sistemas online; archivos comprimidos hasta 18 meses para investigación de incidentes.
• Datos de marketing: hasta que retires el consentimiento.
• Cookies de análisis: 13 meses como máximo.
• Cuenta dada de baja: 30 días de gracia (por si te arrepentís); luego anonimizamos o eliminamos salvo obligación legal de conservación.

8. Tus derechos como titular

El GDPR te reconoce, como persona residente en el EEE/UK/Suiza, los siguientes derechos sobre tus datos personales:

• Acceso (art. 15): obtener confirmación de si tratamos tus datos y, en su caso, copia.
• Rectificación (art. 16): corregir datos inexactos o completar datos incompletos.
• Supresión / "derecho al olvido" (art. 17): pedir la eliminación cuando el dato ya no es necesario, retiraste el consentimiento, te opusiste al tratamiento o el dato fue tratado ilícitamente.
• Limitación (art. 18): pedir que suspendamos el tratamiento mientras se resuelve una disputa sobre exactitud, base legal o ejercicio de oposición.
• Portabilidad (art. 20): recibir tus datos en un formato estructurado, de uso común y lectura mecánica, o pedir que los transmitamos directamente a otro responsable cuando sea técnicamente posible.
• Oposición (art. 21): oponerte al tratamiento basado en interés legítimo o a la elaboración de perfiles para marketing directo.
• No ser objeto de decisiones automatizadas (art. 22): que ninguna decisión que produzca efectos jurídicos sobre vos se base únicamente en tratamiento automatizado, salvo las excepciones que prevé el GDPR.
• Retirar consentimiento (art. 7.3): cuando el tratamiento se base en consentimiento, podés retirarlo en cualquier momento sin afectar el tratamiento previo.

9. Cómo ejercer tus derechos

Para ejercer cualquiera de estos derechos:

1. Escribinos a través del formulario de contacto indicando "Solicitud GDPR" en el asunto.
2. Identificate (nombre completo, email de la cuenta, país de residencia) y aclará qué derecho querés ejercer y sobre qué tratamiento concreto.
3. Podemos pedirte documentación adicional para verificar tu identidad cuando la solicitud lo amerite, conforme al art. 12.6 del GDPR.

Respondemos dentro de un mes desde recibida la solicitud (extensible a dos meses adicionales en casos complejos, avisándote). El ejercicio de estos derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas, donde podemos cobrar un canon razonable o negarnos a actuar conforme al art. 12.5.

10. Representante en la UE

Al momento de esta publicación, Tiendli no orienta sistemáticamente sus servicios al mercado europeo y, por lo tanto, no ha designado un representante en la UE en los términos del artículo 27 del GDPR. Si esto cambia, actualizaremos esta sección con los datos del representante designado. Mientras tanto, podés ejercer todos tus derechos directamente con nosotros por las vías descritas en la sección 9.

11. Delegado de Protección de Datos

El GDPR exige designar un Delegado de Protección de Datos (DPO) cuando el tratamiento principal del responsable implica observación habitual y sistemática a gran escala o tratamiento a gran escala de categorías especiales (art. 37). Nuestra actividad principal no encuadra en estos supuestos, por lo que no contamos con un DPO formal. Cualquier consulta de privacidad la canaliza nuestro equipo de privacidad a través del contacto descrito en la sección 9. Si la regulación o nuestra actividad cambian y se vuelve exigible, lo informaremos en este aviso.

12. Autoridad de control

Si considerás que tratamos tus datos de forma contraria al GDPR, tenés derecho a presentar una reclamación ante una autoridad de control en la UE. Podés elegir:

• La autoridad del Estado miembro donde tenés tu residencia habitual.
• La autoridad del Estado miembro donde trabajás.
• La autoridad del lugar donde se cometió la supuesta infracción.

El listado oficial de autoridades de control está disponible en la web del Comité Europeo de Protección de Datos (EDPB). Para usuarios en Reino Unido, la autoridad es el ICO; para Suiza, el FDPIC.

Antes de presentar reclamación, te invitamos a contactarnos: queremos resolver lo que detectes y, en muchos casos, una conversación directa va más rápido que un procedimiento administrativo.

13. Cambios a este aviso

Podemos actualizar este aviso cuando cambie la normativa europea aplicable, ampliemos los servicios al mercado europeo o mejoremos nuestras prácticas internas. Publicamos siempre la versión vigente en esta misma URL e indicamos la fecha de última actualización al inicio. Si los cambios afectan sustancialmente cómo tratamos tus datos, te avisamos por email con al menos 30 días de anticipación.