Vino Portugues MX
es en

Privacy policy

Política de Privacidad

Ultima actualización: 20 de mayo de 2026

VinoPortuguesMx ("nosotros", "nos", "nuestro") opera una tienda de vinos en línea exclusiva. Esta Política de Privacidad explica qué datos personales recopilamos, por qué los recopilamos, cómo los usamos, con quién los compartimos y qué derechos tienes sobre tu información. Aplica a todos los que visitan nuestro sitio, solicitan una invitación, tienen una cuenta o realizan un pedido con nosotros.

Al usar VinoPortuguesMx confirmas que has leído y comprendido esta política. Si no estás de acuerdo con ella, por favor no uses el sitio.

1. Quién es responsable de tus datos

El responsable del tratamiento de datos es la entidad legal que opera VinoPortuguesMx. Para preguntas de privacidad, solicitudes de acceso a datos o para ejercer cualquiera de los derechos descritos a continuación, contáctanos en la dirección de correo electrónico publicada en el pie de página del sitio. (info@vinoportuguesmx.com)

2. Qué información recopilamos

Solo recopilamos los datos que realmente necesitamos para operar la tienda. Concretamente:

2.1 Información de la cuenta

Cuando aceptas una invitación / creas una cuenta, almacenamos:

  • Dirección de correo electrónico (usada como tu identificador de inicio de sesión)
  • La fecha y hora de tu último inicio de sesión
  • (opcional) Un registro de quién te invitó (otro cliente o un administrador)

2.2 Información del pedido

Cuando realizas un pedido (incluso si el pedido falla) almacenamos:

  • Nombre completo
  • Número de teléfono (usado para la coordinación de la entrega)
  • (opcional) Dirección de facturación: nombre completo, calle, ciudad, estado, código postal, país y RFC si solicitas una factura
  • (Dirección de envío): nombre completo, calle, colonia, ciudad, estado, código postal, país y un teléfono de contacto
  • (Recogida): nombre completo y un teléfono de contacto

2.4 Solicitudes de invitación

Si solicitas una invitación a través del formulario público, almacenamos:

  • Tu dirección de correo electrónico y nombre completo
  • El mensaje que nos escribiste
  • La dirección IP y el agente de usuario del navegador del dispositivo que envió la solicitud
  • El estado de la solicitud (pendiente, aprobada, rechazada) y la marca de tiempo de moderación

Recopilamos la dirección IP y el agente de usuario únicamente para prevenir el abuso del formulario de solicitud (spam, envíos automatizados, solicitudes repetidas de mala fe).

2.4 Carritos y pedidos

  • Los carritos están vinculados ya sea a tu cuenta (si has iniciado sesión) o a un token de navegador anónimo almacenado en tu sesión. Los contenidos del carrito no son datos personales por sí mismos, pero se vinculan a tu identidad al momento del pago.
  • Los pedidos preservan una instantánea de los detalles de facturación y envío que usaste en el momento de la compra, los artículos, los totales, la moneda, cualquier nota de entrega que agregaste, la fecha de entrega deseada y las marcas de tiempo del ciclo de vida (pagado, en preparación, listo para recoger, enviado, entregado, cancelado, reembolsado).
  • El uso de cupones se registra en tu cuenta cuando aplica.

2.5 Información de pago

Los pagos son procesados por Stripe. Nunca vemos, almacenamos ni transmitimos tu número de tarjeta completo, CVC ni credenciales bancarias. De Stripe recibimos y almacenamos únicamente:

  • Un ID de Sesión de Checkout de Stripe
  • Un ID de Intento de Pago de Stripe
  • El estado del pago y los eventos del ciclo de vida entregados a través de los webhooks firmados de Stripe

Stripe actúa como un responsable independiente del tratamiento de datos para los datos de tarjeta que ingresas en su checkout alojado. Su tratamiento se rige por la propia política de privacidad de Stripe.

2.6 Datos de envío

Cuando un pedido es enviado, compartimos el nombre del destinatario, dirección, código postal y número de teléfono con Skydropx, el agregador de transportistas que usamos para obtener tarifas y reservar el mensajero. Skydropx a su vez pasa la información al transportista que realmente entrega tu pedido (por ejemplo, DHL, Estafeta, FedEx). También almacenamos el número de rastreo, URL de rastreo, fecha estimada de entrega y las respuestas de tarifa cruda del lado del transportista para nuestros registros.

2.7 Analíticas (Ahoy)

Usamos una biblioteca de analíticas autoalojada (Ahoy) que almacena visitas y eventos en nuestra propia base de datos. No enviamos estos datos a un servicio de analíticas de terceros y no habilitamos la geocodificación basada en IP. Por visita podemos almacenar:

  • Un token de visita y visitante generado aleatoriamente
  • La dirección IP de la solicitud
  • Navegador, sistema operativo, tipo de dispositivo, plataforma
  • La página de aterrizaje, la URL de referencia y el dominio
  • Parámetros de campaña UTM presentes en la URL (fuente, medio, campaña, contenido, término)

Por evento almacenamos su nombre, una carga útil JSON opcional (por ejemplo, qué página de producto fue vista), la visita a la que pertenece y — si habías iniciado sesión — tu ID de usuario. Usamos estos datos solo para comprender el uso del sitio en agregado, depurar problemas y mejorar la tienda. No los vendemos, ni los combinamos con perfiles publicitarios de terceros.

2.8 Registros operativos

Mantenemos registros técnicos (service_logs) de trabajos en segundo plano como procesamiento de pagos, búsquedas de tarifas de envío y entregas de webhooks. Estos registros pueden contener referencias de pedidos, respuestas de transportistas y mensajes de error. Se usan para diagnosticar fallas y no se comparten externamente.

2.9 Correo electrónico

Los correos electrónicos relacionados con la cuenta, invitación y pedidos se envían a través de nuestro proveedor de correo electrónico transaccional. El proveedor procesa tu dirección de correo electrónico y el cuerpo del mensaje en nuestro nombre.

2.10 Qué no recopilamos

  • No ejecutamos publicidad de terceros ni rastreadores de marketing.
  • No realizamos geocodificación de IPs de visitantes (los campos de analíticas para país, ciudad, región, latitud y longitud se dejan intencionalmente vacíos en nuestra configuración).
  • No recopilamos datos de menores. La tienda vende alcohol y está restringida a adultos de edad legal para beber.

3. Cookies y tecnologías similares

Usamos solo las cookies y tokens estrictamente necesarios para operar el sitio:

  • Una cookie de sesión que te mantiene conectado y preserva tu carrito.
  • Un token anti-CSRF usado por Rails para proteger los envíos de formularios.
  • Los tokens de visita y visitante de Ahoy, usados para agrupar vistas de página de la misma sesión de navegador para las analíticas descritas arriba.

No usamos cookies de publicidad, redes sociales o rastreo entre sitios.

4. Por qué procesamos tus datos (bases legales)

Propósito Datos usados Base legal Crear y mantener tu cuenta Información de cuenta Ejecución de un contrato Procesar pedidos, pagos y envíos Pedido, facturación, envío, IDs de pago Ejecución de un contrato Emitir facturas fiscales cuando se solicita RFC y detalles de facturación Obligación legal Enviar correos electrónicos transaccionales (actualizaciones de pedido, invitaciones) Correo electrónico, nombre, datos de pedido Ejecución de un contrato Prevenir fraude y abuso Dirección IP, agente de usuario, estado de pago Interés legítimo Mejorar el sitio (analíticas autoalojadas) Datos de visita/evento Interés legítimo Cumplir con leyes de contabilidad, impuestos y protección al consumidor Pedidos y facturas Obligación legal

Donde la ley local (incluyendo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México) requiere consentimiento, nos basamos en el consentimiento que das al aceptar esta política cuando creas una cuenta o solicitas una invitación.

5. Con quién compartimos datos

Compartimos datos personales solo con los proveedores y partes necesarias para cumplir tu pedido o operar el sitio, y solo con el alcance mínimo requerido:

  • Stripe — procesamiento de pagos.
  • Skydropx y el transportista subyacente (DHL, Estafeta, FedEx, etc.) — etiqueta de envío y entrega.
  • Nuestros proveedores de alojamiento y correo electrónico — procesan datos en nuestro nombre bajo acuerdos de tratamiento de datos.
  • Autoridades fiscales y gubernamentales — cuando lo requiere la ley (por ejemplo, facturación).

No vendemos, alquilamos ni comercializamos tus datos personales.

6. Transferencias internacionales

Algunos de nuestros proveedores (notablemente Stripe y nuestro proveedor de correo electrónico) operan servidores fuera de México. Cuando los datos se transfieren internacionalmente, nos basamos en las salvaguardas proporcionadas por esos proveedores (cláusulas contractuales estándar, decisiones de adecuación o equivalentes).

7. Cuánto tiempo conservamos tus datos

  • Datos de cuenta: se conservan mientras tu cuenta esté activa. Si nos pides que eliminemos tu cuenta, la removemos dentro de 30 días, excepto donde se nos requiera conservar registros (ver abajo).
  • Pedidos, facturas y referencias de pago: se conservan por el período requerido por la ley fiscal y comercial mexicana (actualmente hasta 5 años a partir de la fecha de la transacción).
  • Solicitudes de invitación: se conservan hasta por 12 meses después de la decisión, para prevenir reenvíos y abuso.
  • Analíticas (Ahoy): se conservan hasta por 24 meses y luego se eliminan o anonimizan.
  • Registros operativos: se conservan hasta por 12 meses.

Cuando un período de retención termina, eliminamos los datos o los anonimizamos para que ya no puedan vincularse contigo.

8. Tus derechos (ARCO y equivalentes)

Bajo la ley mexicana de protección de datos tienes los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) sobre tus datos personales, más el derecho a revocar cualquier consentimiento que hayas dado. Donde aplica el GDPR, adicionalmente tienes los derechos de acceso, rectificación, borrado, restricción, portabilidad, oposición y a presentar una queja ante una autoridad de supervisión.

En la práctica esto significa que puedes pedirnos que:

  • Te enviemos una copia de los datos personales que tenemos sobre ti.
  • Corrijamos cualquier cosa que esté mal o desactualizada.
  • Eliminemos tu cuenta y los datos asociados (sujeto a las excepciones de retención arriba).
  • Dejemos de procesar tus datos para analíticas o cualquier otro propósito no esencial.
  • Exportemos tus datos de cuenta, dirección y pedidos en un formato portable.

Para ejercer cualquiera de estos derechos, envíanos un correo electrónico desde la dirección registrada en tu cuenta. Respondemos dentro de 20 días hábiles según lo requiere la ley mexicana (y antes donde otra ley lo exija). Podemos pedirte que confirmes tu identidad antes de actuar sobre la solicitud.

9. Cómo protegemos tus datos

  • Todo el tráfico hacia y desde el sitio se sirve sobre HTTPS.
  • El acceso administrativo requiere una contraseña y se registra.
  • Los datos de tarjeta nunca llegan a nuestros servidores — van directamente a Stripe a través de su checkout alojado.
  • Los webhooks de Stripe se verifican por firma antes de ser confiados.
  • El acceso a la base de datos está restringido al personal de operaciones con base en la necesidad de saber.

Ningún sistema es perfectamente seguro. Si una violación de datos personales te afecta, te notificaremos y al regulador apropiado según lo requiera la ley.

10. Restricción de edad

VinoPortuguesMx vende bebidas alcohólicas. Solo puedes crear una cuenta, solicitar una invitación o realizar un pedido si eres de la edad legal para beber en tu país de residencia. Podemos verificar la edad al momento de la entrega y negarnos a entregar el pedido si no puede confirmarse.

11. Cambios a esta política

Podemos actualizar esta política de vez en cuando — por ejemplo, cuando agregamos un nuevo proveedor o cambiamos un período de retención. La fecha de "Última actualización" en la parte superior del documento siempre refleja la última revisión. Los cambios materiales se destacarán en el sitio y, donde sea apropiado, se comunicarán por correo electrónico.

12. Contacto

Para cualquier pregunta de privacidad, solicitud ARCO o queja, contacta el correo publicado en el pie de página de VinoPortuguesMx. Por favor incluye suficiente información para permitirnos identificar tu cuenta o solicitud de invitación para que podamos responder con precisión.

Privacy Policy

Last updated: 2026-05-20

VinoPortuguesMx ("we", "us", "our") operates an online wine shop. This Privacy Policy explains what personal data we collect, why we collect it, how we use it, who we share it with, and the rights you have over your information. It applies to everyone who visits our site, requests an invitation, holds an account, or places an order with us.

By using VinoPortuguesMx you confirm you have read and understood this policy. If you do not agree with it, please do not use the site.

1. Who is responsible for your data

The data controller is the legal entity operating VinoPortuguesMx. For privacy questions, data-access requests, or to exercise any of the rights described below, contact us at the email address published in the site footer. (info@vinoportuguesmx.com)

2. What information we collect

We only collect data we actually need to run the shop. Concretely:

2.1 Account information

When you accept an invitation / create an account, we store:

  • Email address (used as your login identifier)
  • The date and time of your last sign-in
  • (optional) A record of who invited you (another customer or an administrator)

2.2 Order information

When you place an order (even if the order fails) we store:

  • Full name
  • Phone number (used for delivery coordination)
  • (optional) Billing address: full name, street, city, state, postal code, country, and tax ID (RFC) if you request an invoice
  • (Shipping address): full name, street, neighborhood, city, state, postal code, country, and a contact phone
  • (Pickup): full name and a contact phone

2.4 Invitation requests

If you ask for an invitation through the public form, we store:

  • Your email address and full name
  • The message you wrote to us
  • The IP address and browser user-agent of the device that submitted the request
  • The status of the request (pending, approved, rejected) and the moderation timestamp

We collect the IP address and user-agent solely to prevent abuse of the request form (spam, automated submissions, repeated bad-faith requests).

2.4 Carts and orders

  • Carts are tied either to your account (if you are signed in) or to an anonymous browser token stored in your session. Cart contents are not personal data on their own, but become linked to your identity at checkout.
  • Orders preserve a snapshot of the billing and shipping details you used at the moment of purchase, the items, the totals, the currency, any delivery notes you added, the desired delivery date, and the lifecycle timestamps (paid, preparing, ready for pickup, shipped, delivered, cancelled, refunded).
  • Coupon usage is recorded against your account when applicable.

2.5 Payment information

Payments are processed by Stripe. We never see, store, or transmit your full card number, CVC, or banking credentials. From Stripe we receive and store only:

  • A Stripe Checkout Session ID
  • A Stripe Payment Intent ID
  • The payment status and lifecycle events delivered through Stripe's signed webhooks

Stripe acts as an independent data controller for the card data you enter on their hosted checkout. Their processing is governed by Stripe's own privacy policy.

2.6 Shipping data

When an order is shipped, we share the recipient's name, address, postal code, and phone number with Skydropx, the carrier aggregator we use to obtain rates and book the courier. Skydropx in turn passes the information to the carrier that actually delivers your order (e.g. DHL, Estafeta, FedEx). We also store the tracking number, tracking URL, estimated delivery date, and carrier-side raw rate responses for our records.

2.7 Analytics (Ahoy)

We use a self-hosted analytics library (Ahoy) that stores visits and events in our own database. We do not send this data to a third-party analytics service and we do not enable IP-based geocoding. Per visit we may store:

  • A randomly generated visit and visitor token
  • The IP address of the request
  • Browser, operating system, device type, platform
  • The landing page, the referring URL and domain
  • UTM campaign parameters present in the URL (source, medium, campaign, content, term)

Per event we store its name, an optional JSON payload (e.g. which product page was viewed), the visit it belongs to, and — if you were signed in — your user ID. We use this data only to understand site usage in aggregate, debug problems, and improve the shop. We do not sell it, and we do not combine it with third-party advertising profiles.

2.8 Operational logs

We keep technical logs (service_logs) of background jobs such as payment processing, shipment rate searches, and webhook deliveries. These logs may contain order references, carrier responses, and error messages. They are used to diagnose failures and are not shared externally.

2.9 Email

Account, invitation, and order-related emails are sent through our transactional email provider. The provider processes your email address and the message body on our behalf.

2.10 What we do not collect

  • We do not run third-party advertising or marketing trackers.
  • We do not perform geocoding of visitor IPs (the analytics fields for country, city, region, latitude, and longitude are intentionally left empty in our configuration).
  • We do not collect data from children. The shop sells alcohol and is restricted to adults of legal drinking age.

3. Cookies and similar technologies

We use only the cookies and tokens strictly necessary to run the site:

  • A session cookie that keeps you signed in and preserves your cart.
  • An anti-CSRF token used by Rails to protect form submissions.
  • Ahoy's visit and visitor tokens, used to group page views from the same browser session for the analytics described above.

We do not use advertising, social-media, or cross-site tracking cookies.

4. Why we process your data (legal bases)

Purpose Data used Legal basis Create and maintain your account Account info Performance of a contract Process orders, payments, and shipments Order, billing, shipping, payment IDs Performance of a contract Issue tax invoices when requested Tax ID and billing details Legal obligation Send transactional emails (order updates, invitations) Email, name, order data Performance of a contract Prevent fraud and abuse IP address, user-agent, payment status Legitimate interest Improve the site (self-hosted analytics) Visit/event data Legitimate interest Comply with accounting, tax, and consumer-protection laws Orders and invoices Legal obligation

Where local law (including the Mexican Ley Federal de Protección de Datos Personales en Posesión de los Particulares) requires consent, we rely on the consent you give by accepting this policy when you create an account or request an invitation.

5. Who we share data with

We share personal data only with the providers and parties needed to fulfil your order or run the site, and only with the minimum scope required:

  • Stripe — payment processing.
  • Skydropx and the underlying carrier (DHL, Estafeta, FedEx, etc.) — shipping label and delivery.
  • Our hosting and email providers — they process data on our behalf under data-processing agreements.
  • Tax and government authorities — when required by law (e.g. invoicing).

We do not sell, rent, or trade your personal data.

6. International transfers

Some of our providers (notably Stripe and our email provider) operate servers outside Mexico. When data is transferred internationally we rely on the safeguards provided by those vendors (standard contractual clauses, adequacy decisions, or equivalent).

7. How long we keep your data

  • Account data: kept while your account is active. If you ask us to delete your account, we remove it within 30 days, except where we are required to keep records (see below).
  • Orders, invoices, and payment references: kept for the period required by Mexican tax and commercial law (currently up to 5 years from the date of the transaction).
  • Invitation requests: kept for up to 12 months after the decision, to prevent re-submission and abuse.
  • Analytics (Ahoy): kept for up to 24 months and then deleted or anonymised.
  • Operational logs: kept for up to 12 months.

When a retention period ends we delete the data or anonymise it so it can no longer be linked back to you.

8. Your rights (ARCO and equivalents)

Under Mexican data protection law you have the rights of Acceso, Rectificación, Cancelación, and Oposición (ARCO) over your personal data, plus the right to revoke any consent you have given. Where the GDPR applies, you additionally have the rights of access, rectification, erasure, restriction, portability, objection, and to lodge a complaint with a supervisory authority.

In practice this means you can ask us to:

  • Send you a copy of the personal data we hold about you.
  • Correct anything that is wrong or out of date.
  • Delete your account and the associated data (subject to the retention exceptions above).
  • Stop processing your data for analytics or any other non-essential purpose.
  • Export your account, address, and order data in a portable format.

To exercise any of these rights, email us from the address registered on your account. We respond within 20 business days as required by Mexican law (and sooner where another law demands it). We may ask you to confirm your identity before acting on the request.

9. How we protect your data

  • All traffic to and from the site is served over HTTPS.
  • Administrative access requires a password and is logged.
  • Card data never reaches our servers — it goes directly to Stripe over their hosted checkout.
  • Stripe webhooks are verified by signature before being trusted.
  • Database access is restricted to operations staff on a need-to-know basis.

No system is perfectly secure. If a personal data breach affects you, we will notify you and the appropriate regulator as required by law.

10. Age restriction

VinoPortuguesMx sells alcoholic beverages. You may only create an account, request an invitation, or place an order if you are of legal drinking age in your country of residence. We may verify age at delivery and refuse to hand over the order if it cannot be confirmed.

11. Changes to this policy

We may update this policy from time to time — for example, when we add a new provider or change a retention period. The "Last updated" date at the top of the document always reflects the latest revision. Material changes will be highlighted on the site and, where appropriate, communicated by email.

12. Contact

For any privacy question, ARCO request, or complaint, contact the email published in the VinoPortuguesMx footer. Please include enough information to let us identify your account or invitation request so we can respond accurately.