Política de Privacidad
Versión: 2.0 Estado documental: OFICIAL INTERNO - pendiente de parametrización y publicación Última actualización: [[FECHA DE PUBLICACIÓN]]
Esta Política informa cómo `[[RAZÓN SOCIAL]]`, CUIT `[[CUIT]]`, con domicilio en `[[DOMICILIO LEGAL]]`, República Argentina (el Prestador), trata datos personales en relación con la plataforma CRM Omnicanal / Growth OS (el Servicio).
Contacto de privacidad: `[[EMAIL PRIVACIDAD]]`.
1. Alcance y roles
El Prestador actúa como responsable de una base de datos respecto de los datos necesarios para registrar cuentas, autenticar usuarios, administrar el Servicio, brindar soporte, preservar su seguridad y, cuando corresponda, facturar.
Respecto de contactos, conversaciones, oportunidades, notas y demás información que una organización cliente (el Cliente) incorpore o genere mediante el Servicio (Datos del Cliente), el Cliente determina las finalidades y medios esenciales del tratamiento y actúa como responsable. El Prestador trata esos datos por cuenta del Cliente, como encargado, conforme al Acuerdo de Tratamiento de Datos (DPA).
Cuando una persona interactúe con un Cliente a través del CRM, deberá consultar también la política de privacidad de ese Cliente. El Prestador colaborará con el Cliente para atender solicitudes relativas a Datos del Cliente, pero no sustituye sus obligaciones como responsable.
2. Datos tratados
Podemos tratar las siguientes categorías:
- Cuenta y organización: nombre, apellido, correo electrónico, teléfono, organización, cargo, rol, estado de cuenta y preferencias.
- Autenticación y seguridad: credenciales protegidas mediante mecanismos criptográficos, factores de autenticación, sesiones, direcciones IP, eventos de acceso y auditoría.
- Soporte y administración: consultas, incidencias, comunicaciones con soporte y decisiones de configuración.
- Facturación y contratación: plan, estado de suscripción, datos fiscales y constancias de pago. Los datos completos de medios de pago serán tratados por `[[PROVEEDOR DE PAGOS / NO APLICA EN BETA]]` según sus propios términos.
- Datos del Cliente: identificación y contacto de terceros, conversaciones omnicanal, archivos, notas, historial comercial, oportunidades y metadatos que el Cliente decida tratar.
- Datos técnicos: dispositivo, navegador, sistema operativo, identificadores de sesión, registros de funcionamiento, telemetría y errores.
No solicitamos datos sensibles en los términos del artículo 2 de la Ley 25.326. El Cliente no deberá incorporarlos salvo que resulte estrictamente necesario, cuente con habilitación legal suficiente y haya acordado previamente con el Prestador las salvaguardas correspondientes.
3. Fuentes
Los datos pueden provenir directamente del usuario; del Cliente que crea o administra su cuenta; del uso del Servicio; de integraciones que el Cliente habilite; o de proveedores tecnológicos que intervengan en autenticación, seguridad, mensajería, soporte o facturación.
El Cliente declara frente al Prestador que obtiene y utiliza los Datos del Cliente de manera lícita, informa a sus titulares y dispone de la base jurídica necesaria para cada finalidad.
El Prestador no controla la veracidad, origen, pertinencia ni decisiones comerciales del Cliente. Podrá rechazar, bloquear o limitar tratamientos cuando existan indicios razonables de ilicitud, riesgo para titulares o incumplimiento contractual, sin que ello lo convierta en responsable de las finalidades del Cliente.
4. Finalidades y fundamento
Tratamos datos propios del Prestador para:
1. crear y administrar cuentas, autenticar usuarios y prestar el Servicio solicitado; 2. ejecutar la relación contractual y gestionar soporte, facturación y comunicaciones operativas; 3. proteger cuentas, prevenir abusos, investigar incidentes y mantener registros de seguridad; 4. cumplir obligaciones legales y responder requerimientos válidos de autoridad competente; 5. mejorar estabilidad y funcionamiento mediante métricas técnicas proporcionadas y limitadas a lo necesario; 6. enviar comunicaciones comerciales propias cuando exista consentimiento o habilitación legal, siempre con un mecanismo sencillo de baja. 7. producir estadísticas agregadas o información irreversiblemente disociada para seguridad, capacidad y mejora del Servicio, sin reidentificar personas ni Clientes.
El tratamiento se sustenta, según el caso, en el consentimiento libre, expreso e informado; en la ejecución de la relación contractual solicitada; o en las demás excepciones legalmente aplicables previstas por la Ley 25.326. Al solicitar datos, informaremos su finalidad, destinatarios, carácter obligatorio o facultativo y consecuencias de proporcionarlos o negarse, conforme a los artículos 5 y 6 de esa ley.
Los Datos del Cliente se tratan únicamente para prestar, asegurar y mantener el Servicio conforme a las instrucciones documentadas del Cliente y al DPA.
5. Inteligencia artificial
Las funciones de inteligencia artificial están deshabilitadas durante la beta. El Prestador no utiliza datos personales ni Datos del Cliente para entrenar modelos propios o de terceros. Una habilitación futura requerirá información previa, definición de roles, proveedores, finalidades, bases jurídicas, retenciones y transferencias, además de las modificaciones contractuales que correspondan.
6. Destinatarios y proveedores
El acceso queda limitado al personal y proveedores que lo necesiten para cumplir sus funciones y estén sujetos a deberes de confidencialidad. El Servicio puede utilizar:
| Proveedor | Función | Estado |
|---|---|---|
| Supabase | Base de datos, autenticación y almacenamiento | Activo, sujeto a verificación contractual y regional |
| Vercel | Alojamiento y entrega de la aplicación | Activo, sujeto a verificación contractual y regional |
| Sentry | Monitoreo técnico y errores | `[[ACTIVO / NO ACTIVO EN PRODUCCIÓN]]` |
| Meta / WhatsApp Business | Mensajería habilitada por el Cliente | Condicionado a la habilitación del canal |
| `[[PROVEEDOR DE PAGOS]]` | Pagos y facturación | `[[APLICA / NO APLICA EN BETA]]` |
La lista operativa se mantiene en el inventario de tratamientos. No comercializamos Datos del Cliente ni los cedemos para publicidad propia de terceros.
Podremos comunicar datos cuando exista obligación legal o requerimiento válido de autoridad competente, dentro de sus facultades y con el alcance exigible.
También podremos preservar y comunicar la información estrictamente necesaria para ejercer o defender derechos, investigar fraude o incidentes, hacer cumplir el contrato o proteger a usuarios y terceros, siempre que exista fundamento legal y se respeten finalidad, proporcionalidad y confidencialidad.
7. Transferencias internacionales
Algunos proveedores pueden tratar datos fuera de la República Argentina. Antes de habilitar datos personales reales, el Prestador documentará país o región efectiva, destinatario, categorías y finalidad, y aplicará el mecanismo exigido por el artículo 12 de la Ley 25.326 y su reglamentación.
Cuando el país receptor no cuente con reconocimiento oficial vigente de protección adecuada, la transferencia deberá instrumentarse mediante las cláusulas contractuales modelo aprobadas por la Disposición DNPDP 60-E/2016 o la Resolución AAIP 198/2023, otro instrumento autorizado por la autoridad competente, consentimiento expreso e informado cuando sea jurídicamente idóneo, o una excepción legal aplicable. La adecuación del destino se verificará contra la lista oficial vigente, modificada por la Resolución AAIP 34/2019 y las normas posteriores que correspondan. El mecanismo aplicable será: `[[MECANISMO DOCUMENTADO POR PROVEEDOR Y PAÍS]]`.
8. Conservación y supresión
Conservamos los datos durante el tiempo necesario para las finalidades informadas y conforme a los siguientes criterios:
| Categoría | Plazo o criterio |
|---|---|
| Cuenta y organización | Vigencia de la cuenta más `[[PLAZO]]`, salvo obligación legal distinta |
| Facturación y contratación | `[[PLAZO DEFINIDO SEGÚN OBLIGACIONES FISCALES Y CONTRACTUALES]]` |
| Soporte | `[[PLAZO]]` desde el cierre del caso |
| Logs de seguridad y auditoría | `[[PLAZO]]`, sujeto a minimización y necesidad de seguridad |
| Datos del Cliente | Vigencia del Servicio y período de exportación de `[[PLAZO]]`; luego, supresión conforme al DPA |
| Copias de respaldo | Ciclo técnico máximo de `[[PLAZO]]`, con acceso ordinario bloqueado luego de la baja |
Los datos se eliminarán, anonimizarán o bloquearán cuando dejen de ser necesarios, salvo conservación exigida por ley, necesaria para acreditar obligaciones o autorizada en los términos del Decreto 1558/2001.
9. Derechos de los titulares
El titular puede solicitar acceso a sus datos en forma gratuita a intervalos no inferiores a seis meses, salvo que acredite un interés legítimo, y puede pedir su rectificación, actualización o supresión cuando corresponda. Las solicitudes de acceso se responderán dentro de los diez (10) días corridos; las de rectificación, actualización o supresión, dentro de los cinco (5) días hábiles, conforme a los artículos 14 y 16 de la Ley 25.326.
La solicitud deberá enviarse a `[[EMAIL PRIVACIDAD]]`, indicando nombre, medio de contacto, derecho ejercido y datos suficientes para verificar identidad y localizar la información. Solo se solicitará documentación estrictamente necesaria para evitar accesos o modificaciones no autorizados.
Si la solicitud se refiere a Datos del Cliente, será remitida al Cliente responsable o se indicará cómo contactarlo, sin perjuicio de la asistencia que el Prestador deba brindarle. El ejercicio de derechos no habilita a acceder a datos de terceros, secretos comerciales, información protegida ni evidencia cuya comunicación esté legalmente restringida. Toda denegación o limitación deberá estar fundada en la ley.
> LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, en su carácter de Órgano de Control de la Ley N° 25.326, tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos por incumplimiento de las normas vigentes en materia de protección de datos personales.
10. Comunicaciones comerciales
Las comunicaciones promocionales propias identificarán al remitente y ofrecerán un medio claro y gratuito para solicitar su cese. El Prestador y cada Cliente, según quién determine la campaña, deberán respetar la Ley 25.326, la Ley 26.951, su Decreto Reglamentario 2501/2014 y el Registro Nacional No Llame cuando resulten aplicables, además de las reglas del canal utilizado. Los sujetos obligados deberán consultar las inscripciones y bajas del Registro con la periodicidad legal de treinta (30) días corridos y respetar el bloqueo individual, salvo excepción aplicable debidamente documentada. Las comunicaciones indispensables para seguridad, cuenta, soporte o ejecución contractual no son promocionales.
11. Seguridad y confidencialidad
El Prestador adopta medidas técnicas y organizativas razonables y proporcionales a la naturaleza de los datos y riesgos, conforme a los artículos 9 y 10 de la Ley 25.326. Según la evidencia técnica vigente, el Servicio contempla cifrado en tránsito, controles de acceso por rol, aislamiento por organización, registros de seguridad y gestión de secretos. El detalle verificable figura en el DPA y su anexo de seguridad. Los registros podrán preservarse durante el plazo definido para investigar incidentes, acreditar operaciones y defender derechos.
Ningún sistema es infalible y esta Política no constituye una garantía de invulnerabilidad. Ante un incidente, se aplicará el procedimiento interno y se informará a Clientes, titulares o autoridades cuando resulte legal o contractualmente exigible. La existencia de un incidente no implica por sí sola incumplimiento ni atribución de responsabilidad, que dependerá de los hechos, causalidad y normativa aplicable.
12. Personas menores de edad
El Servicio está destinado a organizaciones y usuarios adultos autorizados. No se dirige a menores de edad. El Cliente no deberá utilizarlo para tratar deliberadamente datos de menores sin una finalidad lícita, información adecuada y las autorizaciones exigibles.
13. Cambios y contacto
Las modificaciones materiales serán informadas por correo electrónico, dentro del Servicio o por otro medio verificable con `[[PLAZO DE PREAVISO]]`, salvo que una exigencia legal o de seguridad requiera aplicación inmediata. La versión vigente estará disponible en `[[URL DE LA POLÍTICA]]`.
Consultas y ejercicio de derechos: `[[EMAIL PRIVACIDAD]]`. Notificaciones legales: `[[EMAIL LEGAL]]`.