¿Quiénes somos?
ShopSuite es una plataforma SaaS que permite a comerciantes ("merchants") operar tiendas online. Procesamos datos de dos tipos de usuarios: los merchants (nuestros clientes directos) y los buyers (compradores en las tiendas operadas por los merchants).
Bajo GDPR/LGPD, los merchants son los Data Controllers (deciden qué datos recolectan de sus buyers); ShopSuite es Data Processor (procesa esos datos por cuenta del merchant).
Datos que recolectamos
Del Buyer (comprador)
| Dato | Finalidad | Base legal | Retención |
|---|---|---|---|
| Login, notificaciones de pedidos | Ejecución del contrato | Mientras la cuenta esté activa + 1 año | |
| Nombre, apellido | Personalización | Ejecución del contrato | Idem |
| Dirección de envío | Cumplir el pedido | Ejecución del contrato | 7 años (obligación contable) |
| IP, User-Agent | Seguridad (anti-fraude, lockout) | Interés legítimo | 90 días |
| Historial de compras | Acceso del usuario, recomendaciones | Ejecución del contrato | 7 años |
| Newsletter consent | Marketing | Consentimiento explícito | Hasta retirar consentimiento |
Del Merchant (cliente B2B)
| Dato | Finalidad | Base legal | Retención |
|---|---|---|---|
| Email, password (hasheado) | Acceso a su cuenta | Ejecución del contrato | Mientras la cuenta esté activa |
| Datos de la tienda | Operación del SaaS | Ejecución del contrato | Idem |
| Datos de facturación | Cobro de plan | Obligación legal | 10 años |
Cómo usamos tus datos
- Para que puedas usar la plataforma (login, pedidos, etc.)
- Para protegerte de fraude y abuso (rate limiting, lockout, 2FA)
- Para enviarte notificaciones sobre tus pedidos
- Para enviarte newsletter solo si nos diste consentimiento explícito
- Para cumplir obligaciones legales (contabilidad, atención a autoridades)
Con quién compartimos
Trabajamos con sub-processors técnicos que procesan datos por nuestra cuenta. Cada uno tiene firmado un Data Processing Agreement (DPA):
- Railway — hosting backend + PostgreSQL + Redis
- Vercel — hosting frontend
- Resend — envío de emails transaccionales
- Cloudflare — WAF + CDN + DDoS protection
Nunca vendemos datos a terceros. Solo cumplimos órdenes judiciales válidas.
Tus derechos (GDPR / LGPD)
Podés ejercer cualquiera de estos derechos escribiendo a privacy@shopsuite.com — te respondemos dentro de 30 días:
- Acceso — pedirnos qué datos tenemos tuyos
- Rectificación — corregir datos incorrectos
- Borrado — eliminar tu cuenta (también disponible en tu panel de cuenta)
- Portabilidad — descargar todos tus datos en JSON (también disponible en tu panel)
- Limitación — pausar el procesamiento de tus datos
- Oposición — desuscribirte de marketing (también vía link de cada email)
Cookies
Usamos 4 categorías de cookies, todas opt-in salvo las esenciales:
- Esenciales (sesión, CSRF) — no se pueden desactivar
- Funcionales (preferencias UI, idioma) — opt-in
- Analíticas (cómo usás el sitio) — opt-in
- Marketing (publicidad relevante) — opt-in
Podés cambiar tus preferencias en cualquier momento desde el botón "Cookie Preferences" en el footer.
Retención de datos
Cada tipo de dato tiene una retención específica (ver tablas arriba). Cuando ejercés el derecho de borrado, tus datos personales se anonimizan a los 30 días(Art. 17 GDPR "right to be forgotten") — el período de gracia te permite reactivar la cuenta si te arrepentís. Los pedidos históricos se conservan anonimizados por obligación contable (7 años).
Notificación de brechas
Si detectamos una brecha que afecte tus datos, te notificamos por email dentro de 72 horas de la detección (Art. 33 GDPR). Junto con la notificación incluimos: qué pasó, qué datos se afectaron, y qué acciones recomendamos.
Contacto
- Privacidad: privacy@shopsuite.com
- Seguridad: security@shopsuite.com
- Reportes de vulnerabilidades: /.well-known/security.txt
Cambios a esta política
Si modificamos esta política, te notificamos con 30 días de anticipación por email. La fecha de "Última actualización" al principio de este documento siempre refleja la versión vigente.