Política de Privacidad

Cómo tratamos tus datos personales cuando navegás o comprás en marvic.com.uy.

Última actualización: 23 de mayo de 2026 · Versión 1.0

2.1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es Marcelo Vilmar Martínez Piña (empresa unipersonal que opera bajo el nombre comercial Marvic Boutique de Muebles), RUT 080244910012, con domicilio constituido en Rivera 641, Las Piedras, Canelones, CP 90200. Contacto para temas de privacidad: [email protected].

Esta política se rige por la Ley 18.331 (Protección de Datos Personales y Acción de Habeas Data), su Decreto reglamentario 414/009, las modificaciones introducidas por los arts. 37 a 40 de la Ley 19.670 y el Decreto 64/020, así como las resoluciones de la Unidad Reguladora y de Control de Datos Personales (URCDP).

2.2. Qué datos recolectamos

Cuando comprás o nos contactás, tratamos:

  • Datos de identificación y contacto: nombre, apellido, correo electrónico, teléfono.
  • Datos de entrega: dirección postal, ciudad, departamento, código postal, agencia o terminal, notas para el repartidor.
  • Datos de compra: ítems, variantes elegidas, total, forma de envío, fecha y estado del pedido.
  • Datos de pago: identificador de la operación de Mercado Pago, estado de la transacción y correo electrónico declarado al pagador. No recibimos ni almacenamos el número de tarjeta (PAN) ni el código de seguridad (CVV). Eso queda íntegramente en Mercado Pago.
  • Datos de facturación: si comprás como empresa, el RUT que nos pasás por WhatsApp para emitir e-Factura. No te pedimos la Cédula de Identidad en el checkout.
  • Datos de newsletter: correo electrónico y registro del opt-in si te suscribís a la lista.
  • Datos técnicos: dirección IP, identificador de sesión, tipo de navegador y dispositivo, contador agregado de vistas. No usamos Google Analytics, Google Tag Manager ni píxeles de redes publicitarias.

2.3. Para qué tratamos cada dato y con qué fundamento legal

La regla general en Uruguay es que el tratamiento de datos requiere consentimiento previo, libre, expreso e informado del titular (art. 9 Ley 18.331). La misma norma establece excepciones tasadas. Marvic se ampara en las siguientes:

FinalidadDatos involucradosFundamento (Ley 18.331)
Procesar tu pedido, fabricar, facturar y entregarIdentificación, contacto, entrega, compra, pago, facturaciónExcepción del art. 9 lit. D: datos que "deriven de una relación contractual […] del titular de los datos, y sean necesarios para su desarrollo o cumplimiento"
Atender consultas y reclamos por correo o WhatsAppIdentificación, contacto, compraExcepción del art. 9 lit. D: relación contractual o pre-contractual
Cumplir obligaciones tributarias (CFE, libros contables)Compra, pago, facturaciónExcepción del art. 9 lit. B: datos recabados "en virtud de una obligación legal" (normativa DGI)
Enviar newsletter con novedades y promocionesCorreo electrónicoConsentimiento previo, libre, expreso e informado (art. 9, regla general), con doble opt-in
Seguridad del sitio (prevención de fraude, mitigación de ataques)IP, user-agent, datos técnicosExcepción del art. 9 lit. D: necesarios para el cumplimiento de la relación contractual de servicio

Para todo lo que no sea estrictamente necesario para ejecutar el contrato, te pedimos consentimiento separado (newsletter, cookies de terceros).

2.4. Cuánto tiempo conservamos tus datos

Conservamos tus datos sólo el tiempo necesario para la finalidad y, en su caso, para cumplir obligaciones legales (principio de finalidad, art. 8 Ley 18.331: "Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados").

  • Datos de pedidos, pagos y facturación: 10 años desde el cierre del ejercicio económico en que se realizó la operación. La razón: el art. 38 del Código Tributario fija la prescripción del derecho al cobro de tributos en 5 años, ampliable a 10 años en supuestos como falta de inscripción o falta de denuncia del hecho generador. Conservar la documentación por 10 años nos permite responder a una eventual fiscalización de DGI.
  • Datos de contacto y consultas sin compra: hasta 12 meses desde el último contacto.
  • Datos del newsletter: hasta que te desuscribas o solicites el retiro. La baja es inmediata y se procesa con el link de cada envío.
  • Logs técnicos y de seguridad: hasta 12 meses, después se anonimizan o se eliminan.

2.5. Encargados del tratamiento

Para operar el sitio nos apoyamos en proveedores que tratan datos por nuestra cuenta (encargados del tratamiento). Cada uno tiene un rol acotado:

ProveedorRolPaís¿País adecuado según URCDP?
MercadoPago Uruguay S.R.L. (RUT 218878260019, domicilio Dr. Luis Bonavita 1266 piso 39, Montevideo)Procesamiento del pago, cobro, antifraude y obligaciones regulatorias BCU/UIAF. Para el flujo de cobro Marvic utiliza Checkout Pro vía API, lo que activa adicionalmente los Términos y Condiciones para Desarrolladores de Mercado Pago, donde figura como contraparte Deremate.com de Uruguay S.R.L. (RUT 214111700011). Ambos contratos aplican simultáneamenteUruguaySí, tratamiento local bajo Ley 18.331; jurisdicción exclusiva Tribunales Ordinarios de Montevideo
Resend (Plus Five Five, Inc.)Envío de correos transaccionales (confirmaciones, soporte) desde el subdominio send.marvic.com.uy. Utiliza Amazon Web Services, Inc. como sub-procesador para la infraestructura de envío subyacente; la recepción técnica de notificaciones de bounce/complaint se procesa en regiones de AWS que incluyen sa-east-1 São PauloEstados UnidosSí, en virtud de la adhesión de Plus Five Five, Inc. al Marco de Privacidad de Datos UE-EEUU desde marzo de 2025, reconocido como nivel adecuado por Res. URCDP 63/023. La transferencia indirecta a AWS queda contractualmente amparada por la cláusula 7 del DPA de Resend
MailerLite, Inc.Envío de newsletter desde el subdominio news.marvic.com.uy. Para clientes con dirección de facturación o cuenta gratuita fuera de UE/UK/Suiza, los Términos de Uso de MailerLite atribuyen el servicio a la entidad estadounidense MailerLite, Inc. (548 Market St, PMB 98174, San Francisco, CA 94104-5401), no a MailerLite Limited (Irlanda). Sub-procesador declarado: Google Ireland Limited, con data centers en Alemania y Países BajosEstados UnidosSí, en virtud de la adhesión de MailerLite, Inc. al Marco de Privacidad de Datos UE-EEUU desde el 5 de octubre de 2024 (próxima recertificación 14 de abril de 2027), reconocido como nivel adecuado por Res. URCDP 63/023
Cloudflare, Inc.Infraestructura de borde sobre marvic.com.uy: DNS authoritative, reverse proxy/CDN sobre los hostnames principales (marvic.com.uy, www, api, app, cdn), WAF Managed Ruleset y reglas custom basadas en geolocalización inferida (UY/AR/BR), mitigación de HTTP DDoS, terminación SSL/TLS Full Strict con Universal Certificates, Email Routing entrante para marvic.com.uy con tres rutas custom activas, ejecución del Worker marvic-cdn-sandbox sobre cdn.marvic.com.uy/*, y Web Analytics edge-side. Block AI Bots activoEstados Unidos (con red global de PoPs incluyendo PoPs en UE)Sí, en virtud de la adhesión de Cloudflare, Inc. al Marco de Privacidad de Datos UE-EEUU desde julio de 2023, reconocido como nivel adecuado por Res. URCDP 63/023. El DPA de Cloudflare v6.4 (efectivo 3 de abril de 2026) además incorpora Cláusulas Contractuales Tipo como respaldo
Google Cloud Platform (Google LLC / Google Cloud LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043)Hosting integral del ecommerce de Marvic. Inventario: Compute Engine (VM productiva marvic-muebles-new en us-central1-a tipo e2-small, que aloja la aplicación de marvic.com.uy y la base de datos del ecommerce como motor autoadministrado dentro de la propia VM, no como Cloud SQL gestionado); Cloud Storage (tres buckets en us-central1 / multi-región US: marvic-production, marvic-sandbox y marvic-sandbox-public, con encriptación administrada por Google); Cloud Logging activo conservando registros que pueden incluir IPs de visitantes, user-agents y endpoints solicitados; Cloud Monitoring con Ops Agent en la VM productiva; Places API con tráfico real para autocompletado de direcciones en el flujo de checkout; Secret Manager API; y Gemini for Google Cloud API. El proyecto Marvic (ID modern-vortex-407314) está aislado sin estructura organizacional. El contrato aplicable es el Cloud Data Processing Addendum (CDPA)Estados Unidos (región us-central1, Council Bluffs, Iowa)Sí, en virtud de la adhesión de Google LLC al Marco de Privacidad de Datos UE-EEUU desde julio de 2023, reconocido como nivel adecuado por Res. URCDP 63/023, con respaldo subsidiario en las Cláusulas Contractuales Tipo incorporadas al CDPA. Requiere declaración expresa ante URCDP conforme Res. URCDP 70/023

Con cada encargado tenemos firmado un acuerdo que limita el uso de tus datos a la prestación del servicio.

2.6. Transferencias internacionales

Algunos encargados están ubicados fuera de Uruguay. El art. 23 de la Ley 18.331 prohíbe transferir datos a países que no proporcionen niveles de protección adecuados, salvo las excepciones que la misma norma establece (entre otras: consentimiento inequívoco del interesado y necesidad para la ejecución de un contrato).

La Resolución URCDP 23/021 del 8 de junio de 2021, complementada por las Resoluciones 63/023 del 21 de noviembre de 2023 y 70/023, reconoce como países y organizaciones con nivel adecuado de protección a los miembros de la Unión Europea y del Espacio Económico Europeo, Andorra, Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Israel, Japón, Jersey, Nueva Zelanda, Reino Unido, Suiza, Corea del Sur, y a las organizaciones incluidas en el "Listado del Marco de Privacidad de Datos UE-EEUU" publicado por el Departamento de Comercio de los Estados Unidos.

Mercado Pago realiza el tratamiento principal en Uruguay (entidad MercadoPago Uruguay S.R.L., fondos custodiados en bancos del sistema financiero uruguayo), por lo que no constituye transferencia internacional. Las eventuales transferencias secundarias del grupo Mercado Libre hacia su matriz argentina, en el marco de actividades de antifraude o análisis agregado, quedan amparadas en la adecuación de Argentina reconocida por la Res. URCDP 23/021. Las transferencias a Estados Unidos (Google Cloud Platform, Resend, MailerLite, Cloudflare) se realizan, según corresponda en cada caso: (i) en virtud de la adhesión del importador al Marco de Privacidad de Datos UE-EEUU; (ii) sobre la base de tu consentimiento expreso al aceptar esta política; (iii) con cláusulas contractuales conforme a la Resolución URCDP 41/2021. En particular, la transferencia a Google Cloud Platform abarca el conjunto íntegro de los datos del ecommerce (hosting de aplicación y base de datos en región us-central1), y se ampara en la adhesión de Google LLC al Marco UE-EEUU con respaldo subsidiario en las Cláusulas Contractuales Tipo incorporadas al Cloud Data Processing Addendum. La transferencia técnica indirecta a Amazon Web Services, Inc. (sub-procesador de Resend) queda amparada por la cláusula 7 del DPA suscripto con Resend. Si no consentís estas transferencias, no podemos prestar el servicio.

2.7. Tus derechos

Como titular tenés los siguientes derechos, reconocidos en la Ley 18.331:

  • Acceso (art. 14): saber qué datos tuyos tratamos. Tenés derecho a esta información en forma gratuita a intervalos de seis meses, salvo que se hubiera suscitado un nuevo interés legítimo. La información debe ser proporcionada dentro de los 5 días hábiles de haber sido solicitada.
  • Rectificación, actualización, inclusión o supresión (art. 15): corregir datos inexactos, desactualizados o incompletos, o suprimirlos cuando corresponda. El plazo de respuesta es de 5 días hábiles.
  • Impugnación de valoraciones automatizadas (art. 16): oponerte a decisiones basadas exclusivamente en tratamiento automatizado de tus datos.
  • Retiro o bloqueo de datos en bases publicitarias (art. 21): podés solicitar en cualquier momento el retiro o bloqueo de tus datos respecto a bases destinadas a fines promocionales, comerciales o publicitarios.

Para ejercer cualquier derecho escribinos a [email protected] identificándote con tu nombre completo y el correo asociado a tu compra o newsletter. El ejercicio es gratuito.

Si entendés que no respondimos correctamente, podés reclamar ante la Unidad Reguladora y de Control de Datos Personales (URCDP): https://www.gub.uy/unidad-reguladora-control-datos-personales. Liniers 1324 Piso 4 - Torre Ejecutiva Sur, Montevideo. Mail de consultas: [email protected]. Horario: lunes a viernes de 9:30 a 17:30 hs.

2.8. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos, conforme al principio de seguridad del art. 10 Ley 18.331, al principio de responsabilidad del art. 12 Ley 18.331 (en la redacción dada por el art. 39 Ley 19.670) y a las medidas de responsabilidad proactiva del art. 5 del Decreto 64/020. Entre otras: conexión cifrada TLS con HSTS en producción, headers de seguridad (CSP con whitelist de Mercado Pago y Maps, X-Content-Type-Options nosniff, X-Frame-Options SAMEORIGIN, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy con geolocation/camera/mic/usb desactivados), control de acceso al backoffice con autenticación de dos factores, copias de seguridad.

Si detectamos una vulneración de seguridad que afecte tus datos personales, actuamos así:

  • Dentro de las primeras 24 horas de constatado el incidente, iniciamos las acciones para minimizar el impacto (art. 3 Decreto 64/020).
  • Dentro de un plazo máximo de 72 horas de conocida la vulneración, la comunicamos a la URCDP (art. 4 Decreto 64/020).
  • Cuando la vulneración afecte significativamente tus derechos, te la comunicamos a vos de manera inmediata y pormenorizada (art. 38 Ley 19.670).

2.9. Menores

El sitio está dirigido a mayores de 18 años. No recolectamos datos de menores de manera consciente. Si sos menor de 18, la cuenta debe ser creada y operada por un adulto que te represente conforme al régimen general de capacidad civil. Si detectamos datos de un menor sin representación válida, los eliminamos.

2.10. Videovigilancia en el showroom

Si visitás nuestro showroom de Rivera 2166 esq. Requena, Montevideo, podés ser captado por cámaras de seguridad operadas por la empresa de seguridad contratada por Marvic con la única finalidad de proteger la seguridad de personas y bienes presentes en el local. Para más información sobre este régimen (finalidad, plazo de conservación, destinatarios y forma de ejercer tus derechos), consultá la cartelería visible al ingreso del local. Este tratamiento no afecta a quienes compran exclusivamente a través de marvic.com.uy sin visitar el showroom.

2.11. Cookies

El uso de cookies y de tecnologías similares (LocalStorage, sessionStorage) se rige por la Política de Cookies, que forma parte integrante de esta política.

2.12. Cambios en esta política

Podemos actualizar esta política. La versión vigente es siempre la publicada en marvic.com.uy con su fecha. Cuando los cambios sean sustanciales (nuevos encargados, nuevas finalidades), te avisamos por correo si tenemos uno tuyo en nuestros registros.