E
EstudioOSVolver al inicio

Política de Privacidad de ESTUDIOOS

Última actualización: 11 de junio de 2026

Marco normativo: Ley N.º 18.331 de Protección de Datos Personales y Acción de Habeas Data; Decreto reglamentario N.º 414/009; resoluciones y dictámenes de la Unidad Reguladora y de Control de Datos Personales (URCDP).

1. Quiénes somos y a qué se aplica esta Política

1.1. Responsable. ESTUDIOOS es un servicio de software de gestión para estudios notariales, cuyo titular y responsable es el Escribano Público Enrique Zerbino(en adelante, “ESTUDIOOS”, “el Titular” o “nosotros”), con contacto en enrique@zerbino.uy.

1.2. Alcance. Esta Política describe cómo tratamos los datos personales en relación con el uso de la plataforma disponible en https://www.estudioos.uy. Forma parte integrante de los Términos y Condiciones.

1.3. Definiciones clave (art. 4 de la Ley 18.331).

  • Dato personal: información de cualquier tipo referida a personas físicas determinadas o determinables.
  • Dato sensible: datos que revelan origen racial/étnico, preferencias políticas, convicciones religiosas, salud o vida sexual.
  • Responsable de la base de datos / del tratamiento: quien decide sobre la finalidad, contenido y uso del tratamiento.
  • Encargado del tratamiento: quien trata datos personales por cuenta del responsable.
  • Titular del dato: la persona física a quien se refieren los datos.

2. El doble plano de datos: el punto central de esta Política

ESTUDIOOS trata datos personales en dos planos diferenciados, con roles legales distintos. Entenderlo es clave:

Plano A — Datos de nuestros Usuarios (escribanos y su personal)

Respecto de los datos de las personas que crean cuentas y usan la plataforma (los integrantes de los estudios), ESTUDIOOS actúa como RESPONSABLE del tratamiento. Decidimos las finalidades y medios para prestar y administrar el servicio.

Plano B — Datos de TERCEROS (clientes y contrapartes de los estudios)

La mayor parte de la información cargada en ESTUDIOOS son datos personales de terceros: los clientes, contrapartes y personas vinculadas a las operaciones de cada estudio (compradores, vendedores, socios, beneficiarios finales, etc.). Estas personas no tienen relación directa con ESTUDIOOS.

Respecto de estos datos:

  • El estudio notarial Usuario es el RESPONSABLE del tratamiento (es quien decide cargarlos, con qué finalidad y bajo qué base de licitud).
  • ESTUDIOOS actúa como ENCARGADO del tratamiento (art. 4 lit. F de la Ley 18.331 y art. 14 del Decreto 414/009): tratamos esos datos únicamente por cuenta y según las instrucciones del estudio, con el solo fin de prestar el servicio, sin usarlos para finalidades propias.
Importante para los titulares de datos (clientes de los estudios): si usted es cliente de un estudio notarial y desea ejercer sus derechos sobre sus datos, su interlocutor principal es el estudio notarial que lo atiende (el responsable). ESTUDIOOS, como encargado, colaborará con ese estudio para atender su solicitud. Ver sección 9.

3. Qué datos tratamos

3.1. Datos de los Usuarios (Plano A)

  • Identificación y contacto: nombre completo, correo electrónico, rol (escribano/pasante), teléfono y dirección del estudio.
  • Credenciales: la contraseña se almacena cifrada (hash), nunca en texto legible.
  • Foto de perfil (opcional).
  • Datos del estudio: nombre, identificador (slug), datos de contacto, listado de profesionales (nombre, correo, color identificatorio).
  • Datos de uso: registros técnicos de actividad, consumo de IA (contadores numéricos, sin contenido), notificaciones, límites de frecuencia (rate limiting).

3.2. Datos de terceros cargados por los estudios (Plano B)

Según las funcionalidades que el estudio utilice, pueden incluir:

  • Datos de casos notariales: nombre del cliente, tipo y estado del negocio, padrón del inmueble, departamento, partes del negocio, precio, notas.
  • Datos extraídos de Solicitudes de Información Registral: nombres y apellidos, cédula de identidad (con/sin dígito verificador), DNI extranjero, nacionalidad, estado civil, cónyuge, rol en el negocio; de personas jurídicas: razón social, RUT, tipo societario, país; de inmuebles: padrón, unidad, localidad, departamento.
  • Datos de debida diligencia (Ley 19.574): identificación completa, documento, estado civil, cónyuge, domicilio, contacto, actividad laboral, volumen de ingresos, condición de PEP, origen de los fondos, beneficiario final, entre otros (ver sección 4.3 sobre su tratamiento particular).
  • Datos de registros/protocolo, agenda, pendientes, facturación interna y trámites DGR: cliente, honorarios, montepío, escribano actuante, PIN de trámite, fechas, etc.
  • Conversaciones con la IA: el contenido de las consultas al asistente (que habitualmente incluye datos de clientes) y sus respuestas quedan guardados, asociados al estudio.
  • Adjuntos: archivos que el Usuario sube al asistente de IA, almacenados en un repositorio privado segmentado por estudio.

3.3. Sobre datos sensibles

ESTUDIOOS no está diseñado para recolectar datos sensibles (art. 18 de la Ley 18.331). El Usuario se obliga a no cargar datos sensibles salvo que resulte estrictamente necesario y cuente con base de licitud (p. ej., el consentimiento expreso y escrito del titular, art. 18). La condición de PEP y el origen de fondos del módulo de Debida Diligencia se tratan por obligación legal del escribano como sujeto obligado (Ley 19.574), no como dato sensible voluntario.

4. Finalidades y bases de licitud del tratamiento

4.1. Finalidades. Tratamos los datos para: (a) prestar y operar las funcionalidades del servicio; (b) administrar cuentas, accesos y seguridad; (c) medir el consumo de IA y gestionar la facturación; (d) brindar soporte; (e) cumplir obligaciones legales del Titular; (f) prevenir abusos y fraudes.

4.2. Bases de licitud (art. 9 de la Ley 18.331).

  • Plano A (datos de Usuarios): ejecución del contrato de servicio y consentimiento prestado al aceptar estos documentos; interés legítimo en la seguridad y mejora operativa; cumplimiento de obligaciones legales.
  • Plano B (datos de terceros): la base de licitud la aporta y garantiza el estudio responsable, que declara contar con consentimiento del titular, ejecución de un contrato, obligación legal (p. ej. debida diligencia AML) o interés legítimo, según el caso (cláusula 6.2 de los Términos). ESTUDIOOS, como encargado, no determina esta base: la trata según las instrucciones del estudio.

4.3. Tratamiento particular del módulo de Debida Diligencia. Los formularios de debida diligencia (persona física y jurídica) no se almacenan en los servidores de ESTUDIOOS: se completan en el navegador del Usuario y, al finalizar, se genera un documento Word que se descarga en su dispositivo. La imagen de la cédula o pasaporte que el Usuario sube para acelerar la carga se procesa de forma transitoria, se envía al proveedor de IA para la extracción de datos y se descarta — no se conserva ninguna copia de la imagen en ESTUDIOOS. La guarda del legajo AML por los plazos legales es responsabilidad del escribano.

5. Dónde se alojan los datos y transferencias internacionales

5.1. Advertencia esencial. Para prestar el servicio, ESTUDIOOS aloja y procesa los datos fuera del territorio uruguayo. Esto constituye una transferencia internacional de datos regulada por el art. 23 de la Ley 18.331 y el art. 35 y ss. del Decreto 414/009. Algunos países de destino (Estados Unidos) no cuentan con declaración de nivel adecuado de protección por parte de la URCDP, por lo que estas transferencias se amparan en las excepciones y garantías previstas en la ley (consentimiento informado del interesado y/o cláusulas contractuales que aseguren niveles de protección adecuados — art. 23 lit. y garantías contractuales).

5.2. Proveedores (encargados y subencargados) y destinos.

ProveedorFunciónUbicaciónDatos involucrados
Supabase(sobre infraestructura de Amazon Web Services) Base de datos, autenticación y almacenamiento de archivos. Único repositorio persistente de datos del servicio.São Paulo, Brasil (región AWS sa-east-1)Todos los datos del servicio (Usuarios y terceros).
AnthropicProveedor de los modelos de inteligencia artificial (“Claude”) que procesan las consultas y extracciones.Estados UnidosContenido enviado a la IA: consultas del asistente (con datos de clientes), precedentes de casos cerrados, adjuntos, imagen de documento de identidad (Debida Diligencia), texto de Solicitudes de Información Registral. Procesa por solicitud; ver 5.4.
VercelAlojamiento y ejecución de la aplicación. Los datos transitan por su infraestructura en cada uso.Empresa de Estados Unidos (región de ejecución por defecto EE.UU. — en verificación).Tráfico de la aplicación en tránsito (no almacena la base de datos).
SentryMonitoreo de errores técnicos.Empresa de Estados Unidos (región de alojamiento de eventos en verificación).Trazas técnicas de errores. Configurado para enmascarar texto y bloquear imágenes; el código evita volcar datos personales. No puede garantizarse al 100 % que un mensaje de error nunca contenga un dato incidental.
Supabase Auth (envío de correos)Correos de confirmación de cuenta e invitación.Servicio de correo de Supabase (configuración en verificación).Correo del Usuario y enlace de activación.
Resend(eventual) Canal de correo para alertas de consumo.Estados UnidosNo configurado a la fecha — no se le envían datos. De activarse: correo del destinatario y texto de la alerta (solo cifras de consumo).
GitHubRepositorio privado del código fuente.Estados UnidosSolo código fuente; sin datos de Usuarios ni de clientes.

5.3. Garantías de las transferencias. El Titular se compromete a contar con los instrumentos contractuales correspondientes con sus proveedores (Acuerdos de Tratamiento de Datos / Data Processing Agreements y cláusulas contractuales tipo), de modo que la cadena de encargados ofrezca garantías de protección adecuadas conforme al art. 23 de la Ley 18.331.

5.4. Tratamiento por el proveedor de IA. El contenido enviado al proveedor de IA se procesa para generar la respuesta de cada solicitud. Las condiciones de retención y de no utilización de esos datos para entrenar modelos surgen de los términos comerciales y del acuerdo de tratamiento de datos del proveedor, que el Titular se compromete a contratar bajo modalidad comercial/empresarial.

5.5. Consentimiento informado del Usuario. Al aceptar esta Política, el Usuario presta su consentimiento informado para las transferencias internacionales descritas, en cuanto a sus propios datos (Plano A). Respecto de los datos de terceros (Plano B), es el estudio responsable quien debe asegurar, frente a sus clientes, la base que habilite estas transferencias (consentimiento informado u otra causal del art. 23), informándoles que su gestión notarial se apoya en una herramienta con alojamiento y procesamiento en el exterior.

6. Copias de seguridad (backups)

  • La base de datos cuenta con copias de seguridad automáticas diarias, con una retención de 7 días. Como consecuencia, un dato eliminado puede persistir en backups hasta 7 días adicionales antes de su eliminación definitiva en el ciclo de rotación.
  • A la fecha, los archivos almacenados (adjuntos del asistente y fotos de perfil) no cuentan con copia de seguridad en el plan actual. Es una limitación técnica conocida; se recomienda al Usuario conservar copias propias de los archivos críticos.

7. Conservación de los datos

  • Mientras la cuenta esté activa, los datos se conservan para prestar el servicio.
  • Tras la baja, los datos se conservan por un plazo de hasta 30 días para permitir su recuperación o entrega a solicitud, transcurrido el cual se eliminan (con la persistencia residual en backups de hasta 7 días indicada en la sección 6).
  • Ciertos datos podrán conservarse por plazos mayores si una obligación legal del Titular lo exige (p. ej., respaldo de facturación). Las obligaciones de conservación documental propias del escribano (protocolo, legajos AML) no se satisfacen mediante la permanencia en ESTUDIOOS y son responsabilidad del estudio.

8. Seguridad de los datos (art. 10 de la Ley 18.331)

El Titular aplica medidas técnicas y organizativas para proteger los datos, entre ellas:

  • Aislamiento de datos entre estudios a nivel de base de datos (Row Level Security): la base rechaza toda consulta que cruce datos entre estudios. Re-verificado en auditorías de seguridad (abril y junio de 2026).
  • Control de roles y permisos verificado del lado del servidor.
  • Cifrado en tránsito (HTTPS/TLS) y en reposo (almacenamiento cifrado a nivel de infraestructura).
  • Contraseñas almacenadas con hash y protección contra contraseñas filtradas conocidas.
  • Archivos en repositorios privados, accesibles solo mediante enlaces temporales firmados, segmentados por estudio.
  • Límites de frecuencia (rate limiting) y secretos fuera del código fuente.
  • Sanitización de errores para evitar volcado de datos personales en registros técnicos.
  • Tokens de acceso del módulo DGR almacenados con hash y revocables.

Ninguna medida de seguridad es absoluta; el Titular no puede garantizar seguridad total frente a accesos no autorizados, pero se compromete a aplicar diligencia razonable y a notificar incidentes conforme a la sección 11.

Acceso administrativo. Como operador de la infraestructura, el Titular tiene, por necesidad técnica, acceso potencial a la base de datos (como cualquier proveedor de SaaS respecto de su propia base). El Titular se obliga a acceder a los datos del Usuario únicamente cuando sea necesario para soporte, mantenimiento, seguridad o cumplimiento legal, bajo deber de confidencialidad, y a no divulgarlos ni usarlos para finalidades ajenas a la prestación del servicio.

9. Derechos de los titulares de los datos (derechos ARCO)

La Ley 18.331 reconoce a todo titular de datos los derechos de Acceso (art. 14), Rectificación, Actualización, Inclusión o Supresión (art. 15), así como el derecho a oponerse y, en su caso, a la portabilidad de la información, y la acción de habeas data (arts. 37 y ss.) ante la justicia.

9.1. Usuarios (Plano A). Los Usuarios pueden ejercer sus derechos directamente ante ESTUDIOOS escribiendo a enrique@zerbino.uy, acreditando su identidad. Responderemos en los plazos legales (la Ley 18.331 prevé 5 días hábiles para el acceso y 5 días hábiles para rectificación/supresión desde la solicitud, art. 14 y 15).

9.2. Terceros / clientes de los estudios (Plano B). Si usted es cliente de un estudio notarial y desea ejercer sus derechos sobre datos que el estudio cargó en ESTUDIOOS, debe dirigirse al estudio notarial (responsable del tratamiento). ESTUDIOOS, como encargado, colaborará con el estudio para atender la solicitud (acceso, rectificación o supresión), pero no resolverá por sí solo sobre datos cuya finalidad y licitud decide el estudio. Si una persona contacta directamente a ESTUDIOOS, la derivaremos al estudio responsable y/o le brindaremos la asistencia que corresponda como encargado.

9.3. Reclamo ante la autoridad de control. Todo titular de datos puede presentar reclamos ante la Unidad Reguladora y de Control de Datos Personales (URCDP), órgano de control en Uruguay (www.gub.uy/unidad-reguladora-control-datos-personales).

10. Registro de bases de datos ante la URCDP

El art. 29 de la Ley 18.331 prevé el deber de inscribir las bases de datos ante el Registro de la URCDP. El Titular evaluará y, en su caso, realizará la inscripción de la(s) base(s) de datos de ESTUDIOOS que corresponda.

11. Incidentes de seguridad (vulneraciones de datos)

En caso de un incidente de seguridad que afecte datos personales y que, conforme a la normativa de la URCDP, deba comunicarse, el Titular notificará el incidente a la URCDP y a los Usuarios afectados (y, cuando ESTUDIOOS actúe como encargado, informará sin demora al estudio responsable para que éste cumpla sus deberes de notificación frente a la URCDP y a los titulares), conforme a los plazos y modalidades exigidos por la normativa vigente (Ley 18.331 y normas de la URCDP en materia de comunicación de vulneraciones de seguridad).

12. Menores de edad

ESTUDIOOS es un servicio profesional dirigido a escribanos y su personal. No está destinado a menores de edad como Usuarios. Los datos de terceros que un estudio cargue pueden incluir, eventualmente, datos de menores (p. ej., en una sucesión); en tal caso, el tratamiento de esos datos es responsabilidad del estudio, que debe contar con la base de licitud y los recaudos especiales que la ley exige.

13. Cambios a esta Política

El Titular podrá actualizar esta Política para reflejar cambios en el servicio o en la normativa. Las modificaciones sustanciales se comunicarán conforme al mecanismo de la cláusula 1.5 de los Términos. La versión vigente estará siempre disponible en el sitio.

14. Contacto

Para cualquier consulta sobre privacidad o para ejercer sus derechos: enrique@zerbino.uy.