top of page

Aviso de Privacidad

Fecha de última actualización: 17 de junio de 2026.

Responsable del tratamiento de datos personales: GAMBRETTA, S.A. de C.V.

Nombre comercial: GAMBRETTA

Domicilio: Calle Benito Juárez, Número 117, Colonia San Jerónimo Lídice, Código Postal 10200, Alcaldía La Magdalena Contreras, en la Ciudad de México.

Correo electrónico: gambretta3@gmail.com

Sitio Web: www.gambretta.com

 

En cumplimiento con lo dispuesto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante, la "Ley"), su Reglamento, y los Lineamientos del Aviso de Privacidad emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), se pone a disposición del Usuario el presente Aviso de Privacidad.

 

1. IDENTIDAD Y DOMICILIO DEL RESPONSABLE

 

GAMBRETTA (en adelante, el "Responsable"), con domicilio en Calle Benito Juárez, Número 117, Colonia San Jerónimo Lídice, Código Postal 10200, Alcaldía La Magdalena Contreras, en la Ciudad de México, es el responsable del tratamiento de los datos personales que se recaben a través del sitio web www.gambretta.com (en adelante, el "Sitio"), incluyendo los datos proporcionados con motivo del uso de sus servicios de comercio electrónico.

 

2. DATOS PERSONALES QUE SE RECABAN

 

2.1 Datos de identificación y contacto

 

• Nombre completo

• Correo electrónico

• Número(s) telefónico(s)

• Empresa u organización (en su caso)

 

2.2 Datos para la ejecución de compras y envíos

 

• Domicilio de entrega (calle, número, colonia, municipio/alcaldía, estado, código postal)

• Referencias de entrega

• Instrucciones especiales para la recepción del pedido

 

2.3 Datos fiscales y de facturación

 

• Registro Federal de Contribuyentes (RFC)

• Razón social o nombre completo para efectos de facturación

• Domicilio fiscal

• Régimen fiscal y uso del CFDI

 

2.4 Datos financieros y de pago

 

Los datos de tarjeta de crédito o débito, cuentas bancarias o billeteras digitales utilizados para procesar pagos son recabados y procesados directamente por las plataformas de pago certificadas PCI DSS que el Responsable utiliza como encargadas del tratamiento (véase sección 4.2). El Responsable no almacena datos completos de tarjetas de pago en sus propios servidores. La CLABE interbancaria podrá ser recabada exclusivamente para la gestión de reembolsos, cuando así lo solicite el Usuario.

 

2.5 Datos derivados del uso del Sitio

 

• Dirección IP y tipo de dispositivo

• Navegador y sistema operativo

• Páginas visitadas, tiempo de sesión y comportamiento de navegación

• Historial de compras, búsquedas y productos consultados

• Preferencias y listas de deseos

 

El Responsable no recaba datos personales sensibles en los términos del artículo 3, fracción VI de la Ley, tales como origen racial o étnico, estado de salud, información genética, creencias religiosas, filosóficas o morales, afiliación sindical, opiniones políticas o preferencia sexual. En caso de que en el futuro se requiriera recabar alguna categoría de dato sensible, el Responsable lo hará del conocimiento del titular de forma previa y expresa, solicitando su consentimiento explícito conforme al artículo 9 de la Ley.

 

2.6 Menores de edad

 

El Sitio no está dirigido a personas menores de 18 (dieciocho) años. El Responsable no recabará de forma intencional datos personales de menores. Si el Responsable tiene conocimiento de que se han recabado datos de un menor sin la debida autorización del titular de la patria potestad o tutela, procederá a eliminarlos de forma inmediata y a cancelar cualquier operación relacionada.

 

3. FINALIDADES DEL TRATAMIENTO

 

3.1 Finalidades primarias (necesarias para la relación jurídica)

 

Los datos personales serán utilizados para las siguientes finalidades que dan origen y son necesarias para la relación entre el Responsable y el titular:

 

• Crear, gestionar y administrar la cuenta del Usuario en el Sitio.

• Procesar, confirmar y gestionar los pedidos realizados en el Sitio.

• Coordinar el envío, entrega y seguimiento de los productos adquiridos.

• Emitir los Comprobantes Fiscales Digitales por Internet (CFDI) que correspondan a cada transacción, conforme a los artículos 29 y 29-A del Código Fiscal de la Federación.

• Procesar pagos y gestionar reembolsos, devoluciones y cancelaciones.

• Atender solicitudes de garantía y reclamaciones postventa.

• Verificar la identidad del Usuario y prevenir el fraude, el lavado de dinero y el financiamiento al terrorismo, en cumplimiento de la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI).

• Cumplir con las obligaciones legales, fiscales y contables a cargo del Responsable.

• Atender solicitudes de contacto, aclaraciones y quejas del Usuario.

• Notificar al Usuario sobre el estado de su pedido, envío o incidencia.

 

3.2 Finalidades secundarias (no necesarias pero sujetas a consentimiento)

 

Adicionalmente, con el consentimiento del Usuario, los datos podrán ser utilizados para:

 

• Enviar comunicaciones comerciales, boletines informativos, promociones, descuentos y ofertas sobre los productos y servicios del Responsable.

• Realizar campañas de remarketing y publicidad personalizada a través de plataformas digitales.

• Administrar programas de lealtad, puntos o fidelización.

• Realizar encuestas de satisfacción y estudios de mercado.

• Elaborar perfiles de comportamiento de compra para mejorar la experiencia del Usuario y las recomendaciones de productos.

 

El Usuario podrá manifestar su negativa para el tratamiento de sus datos con fines secundarios en cualquier momento, mediante escrito al correo electrónico gambretta3@gmail.com sin que dicha negativa afecte la relación contractual de compraventa ni el procesamiento de sus pedidos.

 

4. TRANSFERENCIAS DE DATOS Y ENCARGADOS DEL TRATAMIENTO

 

4.1 Política general de transferencias

 

El Responsable no realizará transferencias de datos personales a terceros que requieran el consentimiento del titular, salvo en los supuestos previstos en el artículo 37 de la Ley, que incluyen:

I. Cuando la transferencia esté prevista en una Ley o Tratado del que México sea parte.

II. Cuando sea necesaria para la prevención o diagnóstico médico, o la gestión de servicios sanitarios.

III. Cuando se efectúe a sociedades controladoras, subsidiarias o afiliadas bajo control común del Responsable.

IV. Cuando sea necesaria en virtud de un contrato celebrado o por celebrar en interés del titular.

V. Cuando sea necesaria o legalmente exigida para la salvaguarda de un interés público o la procuración de justicia.

VI. Cuando sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

VII. Cuando sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el Responsable y el titular.

 

4.2 Encargados del tratamiento

 

Para la operación del comercio electrónico, el Responsable puede compartir datos personales con terceros que actúan como encargados del tratamiento —personas físicas o morales que tratan datos por cuenta e instrucción del Responsable—, sin que ello constituya una transferencia en términos de la Ley. Dichos encargados incluyen, de manera enunciativa mas no limitativa:

 

a) Pasarelas y plataformas de pago:

 

• Procesadoras de tarjetas bancarias (Stripe, PayPal, Mercado Pago, OpenPay, u otras indicadas en el Sitio), bajo estándares PCI DSS, que reciben datos de pago directamente del Usuario para procesar transacciones.

 

b) Empresas de mensajería y paquetería:

 

• Empresas de logística y entrega (FedEx, DHL, Estafeta, Paquetexpress, Correos de México, u otras) que reciben nombre, domicilio de entrega y teléfono del Usuario para coordinar la entrega de pedidos.

 

c) Proveedores Autorizados de Certificación (PAC):

 

• Proveedores autorizados por el SAT para la generación y timbrado de CFDI, quienes reciben los datos fiscales del Usuario para la emisión del comprobante correspondiente.

 

d) Servicios de prevención de fraude y verificación de identidad:

 

• Herramientas de análisis antifraude que procesan datos de la transacción para detectar conductas sospechosas, en cumplimiento de la LFPIORPI.

 

e) Plataformas tecnológicas y de nube:

 

• Servicios de alojamiento web, cómputo en la nube, correo electrónico y productividad (Google Workspace, Microsoft 365, AWS, u otros) utilizados para la operación del Sitio y gestión de comunicaciones.

 

f) Plataformas de análisis y marketing digital:

 

• Herramientas de análisis de tráfico web (Google Analytics, Meta Pixel, u otras), utilizadas para medir el comportamiento de navegación y, con el consentimiento del Usuario, para campañas de remarketing.

 

g) Sistemas de gestión comercial (CRM/ERP):

 

• Plataformas utilizadas para la administración de clientes, pedidos, inventario y atención postventa.

 

En todos los casos, el Responsable celebrará con dichos encargados los convenios o cláusulas contractuales necesarias para garantizar que el tratamiento se realice exclusivamente para las finalidades encomendadas y conforme a la Ley.

 

4.3 Transferencias internacionales

 

Algunos encargados referidos en el numeral 4.2 pueden almacenar o procesar datos en servidores ubicados fuera del territorio nacional. El Responsable adoptará las medidas contractuales necesarias para garantizar un nivel de protección adecuado, conforme al artículo 36 de la Ley.

 

5. BASE LEGAL DEL TRATAMIENTO

 

El tratamiento de datos personales se sustenta en las siguientes bases legales, según la finalidad de que se trate:

 

• Consentimiento del titular (art. 8 de la Ley): para finalidades secundarias de marketing, publicidad y remarketing. El titular puede revocar su consentimiento en cualquier momento.

• Necesidad contractual (art. 37, fracc. VII de la Ley): para el procesamiento de compras, envíos, reembolsos, garantías y facturación, que son indispensables para la ejecución del contrato de compraventa celebrado entre el Responsable y el titular.

• Obligación legal (art. 37, fracc. I de la Ley): para el cumplimiento de obligaciones fiscales (CFF, LIVA), contables, de prevención de lavado de dinero (LFPIORPI) y demás disposiciones legales aplicables.

• Interés legítimo: para la prevención del fraude, la seguridad de las transacciones y la protección de los derechos del propio Responsable.

 

6. DERECHOS ARCO, PORTABILIDAD Y MECANISMOS PARA SU EJERCICIO

 

El titular de los datos personales podrá ejercer en cualquier momento sus derechos de Acceso, Rectificación, Cancelación u Oposición (Derechos ARCO), así como el derecho de Portabilidad y el de revocar su consentimiento, mediante solicitud dirigida al correo electrónico: gambretta3@gmail.com

 

6.1 Requisitos de la solicitud

 

• Nombre completo del titular.

• Medio para comunicar la respuesta (correo electrónico o domicilio).

• Descripción clara y precisa de los datos y del derecho que se desea ejercer.

• Copia de identificación oficial vigente del titular o de su representante legal, con el instrumento que acredite la representación.

• En su caso, documentación que sustente la solicitud (p. ej., constancia de error en datos de facturación).

 

6.2 Plazos de atención

 

El Responsable comunicará al titular, en un plazo máximo de 20 días hábiles a partir de la recepción de la solicitud, la determinación adoptada; y, de resultar procedente, la hará efectiva en los 15 días hábiles siguientes. Ambos plazos podrán ser ampliados por una sola vez por un periodo igual, cuando las circunstancias del caso así lo justifiquen, conforme al artículo 32 de la Ley.

 

6.3 Solicitudes incompletas

 

Si la solicitud no reúne los requisitos señalados, el Responsable requerirá al titular que la subsane dentro de los 5 días hábiles siguientes. El plazo de 20 días hábiles comenzará a correr a partir de que la solicitud se encuentre debidamente integrada.

 

6.4 Revocación del consentimiento

 

El titular podrá revocar en cualquier momento el consentimiento otorgado para el tratamiento de sus datos con fines secundarios, siguiendo el mismo procedimiento descrito en el presente apartado. La revocación no tendrá efectos retroactivos y no procederá cuando el tratamiento sea necesario para el cumplimiento de una obligación legal o la ejecución del contrato de compraventa.

 

6.5 Derecho de portabilidad

 

El titular podrá solicitar la entrega de sus datos personales en un formato estructurado, de uso común y lectura mecánica, con el fin de transmitirlos a otro responsable, en los supuestos previstos en el artículo 28 bis del Reglamento de la Ley y demás disposiciones aplicables.

 

6.6 Limitaciones al ejercicio de derechos

 

El ejercicio de los derechos ARCO podrá ser limitado cuando el tratamiento de los datos sea estrictamente necesario para: (i) el cumplimiento de obligaciones fiscales y contables con plazos de conservación legalmente establecidos; (ii) la defensa de los derechos del Responsable en un proceso judicial o administrativo; o (iii) el cumplimiento de requerimientos de autoridades competentes.

 

7. PLAZO DE CONSERVACIÓN DE DATOS

 

Los plazos de conservación de los datos personales serán los siguientes, según la categoría y finalidad del tratamiento:

 

• Datos de cuenta de usuario: durante la vigencia de la cuenta y hasta 2 (dos) años posteriores a su cancelación o cierre, salvo que el titular solicite su eliminación anticipada.

• Datos de transacciones y pedidos: hasta 10 (diez) años, conforme al artículo 30 del Código Fiscal de la Federación (CFF), para efectos de cumplimiento de obligaciones fiscales y contables.

• CFDI y documentos fiscales: hasta 10 (diez) años, conforme al artículo 30 del CFF y las Reglas Misceláneas Fiscales vigentes.

• Datos para prevención de fraude (LFPIORPI): hasta 5 (cinco) años a partir de la fecha de la operación, conforme a las disposiciones aplicables en materia de prevención de lavado de dinero.

• Datos de contacto y marketing (con consentimiento): hasta que el titular revoque su consentimiento o solicite la cancelación.

• Datos de navegación y cookies: conforme a los plazos indicados en la configuración de cookies del Sitio, que variarán según el tipo de cookie (sesión o persistente).

 

Transcurridos los plazos aplicables y sin que exista obligación legal que justifique su conservación, el Responsable procederá al bloqueo y posterior supresión de los datos, conforme a los artículos 34 y 35 de la Ley.

 

8. MEDIDAS DE SEGURIDAD

 

El Responsable ha implementado medidas de seguridad administrativas, técnicas y físicas para proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, conforme al artículo 19 de la Ley y los Lineamientos del Reglamento.

 

Medidas administrativas: políticas internas de privacidad y seguridad de la información; capacitación periódica al personal con acceso a datos personales; suscripción de acuerdos de confidencialidad con empleados, colaboradores y encargados.

 

Medidas técnicas: protocolo de comunicación cifrada HTTPS/TLS en todo el Sitio; cifrado SSL de 256 bits en el proceso de pago; control de acceso por roles a los sistemas que almacenan datos; procesamiento de pagos bajo estándar PCI DSS a través de encargados certificados; contraseñas con complejidad mínima y renovación periódica; copias de seguridad periódicas.

 

Medidas físicas: restricción de acceso físico a los equipos y servidores donde se almacenan los datos; inventario y control de activos de información.

 

En caso de que ocurra una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, el Responsable lo notificará a la brevedad posible, conforme al artículo 20 de la Ley, a fin de que el titular pueda tomar las medidas necesarias para la defensa de sus intereses.

 

9. USO DE COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

 

El Sitio utiliza cookies, balizas web (web beacons), píxeles de seguimiento y tecnologías similares con las siguientes finalidades:

 

• Cookies técnicas o estrictamente necesarias: permiten el funcionamiento básico del Sitio, incluyendo la gestión del carrito de compras, la sesión del Usuario y la seguridad de las transacciones. No requieren consentimiento del Usuario.

• Cookies analíticas: recopilan información estadística sobre el uso del Sitio (páginas visitadas, tiempo de sesión, dispositivos) para mejorar su funcionamiento y contenido (p. ej., Google Analytics).

• Cookies de preferencias: permiten recordar las elecciones del Usuario (idioma, moneda, dirección de entrega guardada).

• Cookies de marketing y remarketing: utilizadas para mostrar publicidad personalizada y medir la efectividad de campañas (p. ej., Meta Pixel, Google Ads). Requieren el consentimiento expreso del Usuario.

 

El Usuario puede gestionar el uso de cookies a través del panel de preferencias de cookies disponible en el Sitio o mediante la configuración de su navegador. El rechazo de cookies técnicas puede afectar el correcto funcionamiento del carrito de compras y otras funcionalidades esenciales de la tienda en línea.

 

10. NOTIFICACIÓN DE VULNERACIONES DE SEGURIDAD

 

En caso de que ocurra una vulneración de seguridad en cualquier fase del tratamiento de datos personales —incluyendo las bases de datos de clientes, registros de transacciones o datos de cuenta— el Responsable lo notificará al titular afectado de forma inmediata, y en todo caso dentro de las 72 (setenta y dos) horas siguientes a tener conocimiento de la vulneración, informando:

 

• La naturaleza de la vulneración ocurrida.

• Los datos personales que pudieran haberse visto comprometidos.

• Las medidas correctivas adoptadas por el Responsable.

• Las recomendaciones al titular para proteger sus intereses.

 

Lo anterior, sin perjuicio de las notificaciones que deban realizarse al INAI conforme a las disposiciones aplicables.

 

11. MODIFICACIONES AL AVISO DE PRIVACIDAD

 

El Responsable se reserva el derecho de modificar o actualizar el presente Aviso de Privacidad en cualquier momento. Las modificaciones serán publicadas en www.gambretta.com/aviso-de-privacidad y, cuando la modificación afecte finalidades primarias o implique nuevas transferencias que requieran consentimiento, el Responsable notificará al titular por correo electrónico con al menos 5 (cinco) días hábiles de anticipación a su entrada en vigor. El uso continuado del Sitio implicará la aceptación de las modificaciones.

 

12. AUTORIDAD DE PROTECCIÓN DE DATOS

 

Si el titular considera que su derecho a la protección de datos personales ha sido lesionado por alguna conducta del Responsable, o si desea obtener más información sobre sus derechos, podrá acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI):

 

• Sitio web: www.inai.org.mx

• Teléfono: 800-835-4324 (INAI)

• Módulos de atención presencial: consultar directorio en www.inai.org.mx

 

El presente Aviso de Privacidad fue elaborado conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y los Lineamientos del Aviso de Privacidad emitidos por el INAI.

bottom of page