Política de Privacidad
Fecha de entrada en vigor: 25 de mayo de 2025
Última revisión: 15 de diciembre de 2025
Este documento establece nuestras prácticas de privacidad y protección de datos personales, aplicable a todos los productos, servicios y sitios web de DenDev. Se alinea con la Ley 25.326 (Argentina), GDPR (Unión Europea), CCPA/CPRA (California) y principios globales de privacidad.
1. Quiénes Somos y Responsable de Privacidad
DenDev – Nombre de fantasía de Denis Iván Cornejo (CUIT 20-37035481-3), con domicilio en San Salvador del Carril 7, Villa Carlos Paz, Córdoba, Argentina.
Contacto de Privacidad: privacidad@dendev.com.ar
Representante en la Unión Europea (Art. 27 GDPR): CMC (datos disponibles bajo solicitud en privacidad@dendev.com.ar)
2. Alcance y Aplicación
Esta política se aplica a:
| Entorno | Ámbito | Usuarios Previstos |
|---|---|---|
| FileMaker Server on-premise | Gestión interna de datos y documentos | Personal autorizado de DenDev |
| Infraestructura en n8n, Supabase, AWS (EMEA/USA), Google Cloud | Automatización, IA y backups | Personal autorizado y clientes |
| Sitios web públicos de DenDev | Información corporativa, formularios de contacto | Prospectos y clientes |
Restricción de Edad: Nuestros servicios no están dirigidos a menores de 18 años. Bloqueamos intencionalmente el registro de menores.
3. Datos Personales que Recopilamos
| Categoría | Ejemplos | Fuente | Uso Principal |
|---|---|---|---|
| Identificación Básica | Nombre, apellido, email, teléfono, cargo | Formularios web, WhatsApp, Telegram | Gestión comercial y soporte |
| Contenido de Mensajes | Texto, imágenes, adjuntos | Bots, correo, carga de usuario | Procesamiento interno y trazabilidad |
| Documentos Legales | Escrituras, firmas digitales, PDFs | Carga manual en FileMaker | Gestión notarial y archivo |
| Métricas de Uso | Logs, analytics con IP anonimizada | Google Analytics 4 | Mejora de experiencia y seguridad |
Exclusión Explícita de Datos Sensibles: DenDev deliberadamente NO recopila ni procesa categorías especiales de datos personales (datos sensibles) conforme al Artículo 9 del GDPR y Artículo 2 de la Ley 25.326. Esto incluye:
- Datos de salud o información médica
- Orientación sexual o vida sexual
- Datos biométricos (huellas dactilares, iris, ADN)
- Origen racial o étnico
- Convicciones políticas o religiosas
- Afiliación sindical
Si proporcionas involuntariamente datos sensibles, te pedimos nos lo notifiques inmediatamente en privacidad@dendev.com.ar para suprimirlos conforme a nuestras obligaciones legales.
4. Finalidades del Tratamiento de Datos
- Prestación del servicio y operación de las plataformas internas
- Automatización de respuestas mediante IA (OpenAI, Gemini) sin re-entrenamiento posterior con datos del cliente
- Control de calidad mediante revisión humana (principio "four-eyes")
- Cumplimiento legal y defensa ante acciones judiciales
- Comunicaciones comerciales (futuras con consentimiento previo y opción de opt-out)
- Análisis agregado y anonimizado para mejora interna de servicios
5. Bases Legales del Tratamiento
| Jurisdicción | Fundamentos Legales |
|---|---|
| Argentina | Art. 5 Ley 25.326 — Consentimiento, obligación contractual |
| Unión Europea / EEE | Art. 6 GDPR: (a) Consentimiento, (b) Ejecución de contrato, (f) Interés legítimo |
| California (USA) | CCPA/CPRA — Notice at collection, derecho a opt-out |
6. Retención y Eliminación de Datos
| Tipo de Dato | Plazo de Retención | Disposición Final |
|---|---|---|
| Datos operativos y de contacto | 12 meses tras última interacción | Eliminación automática mediante script |
| Documentos legales y archivos históricos | 12 meses (revisión manual) | Archivado seguro o destrucción certificada |
| Backups automáticos | Copias diarias (rotación 30 días) | Sobre-escritura automática |
| Logs de acceso y auditoría | 90 días | Eliminación automática para seguridad |
Las solicitudes de supresión se atienden en un plazo máximo de 30 días hábiles.
7. Derechos de los Interesados
Tanto la legislación argentina como la europea otorgan a los interesados derechos sobre sus datos personales. Los derechos, unificados para máxima protección, son:
- Derecho de Acceso: Obtener confirmación de si tus datos se están tratando y acceder a los mismos junto con información detallada sobre el tratamiento.
- Derecho de Rectificación: Solicitar la corrección de datos inexactos o la completitud de datos incompletos.
- Derecho de Supresión ("Derecho al Olvido"): Solicitar la eliminación de tus datos cuando ya no sean necesarios para los fines recogidos.
- Derecho a la Limitación del Tratamiento: Solicitar que se suspenda el tratamiento en determinadas circunstancias (ej. mientras se verifica exactitud).
- Derecho a la Portabilidad de Datos: Recibir tus datos en formato estructurado (JSON/CSV) y transmitirlos a otro responsable del tratamiento.
- Derecho de Oposición: Oponerte en cualquier momento al tratamiento basado en interés legítimo. DenDev dejará de tratar los datos, salvo motivos legítimos imperiosos.
- Derecho a no ser Objeto de Decisiones Individuales Automatizadas (Art. 22 GDPR): Tienes derecho a no estar sujeto a una decisión basada únicamente en tratamiento automatizado, incluyendo elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente. Puedes solicitar revisión humana de cualquier decisión automatizada.
Cómo Ejercer Tus Derechos
Para ejercer estos derechos, envía una solicitud escrita a privacidad@dendev.com.ar, acreditando tu identidad. Responderemos en el plazo máximo de 30 días hábiles (según GDPR). El ejercicio de estos derechos es gratuito.
Autoridades de Control de Privacidad
Si consideras que DenDev no ha cumplido adecuadamente con tus derechos, puedes presentar una reclamación ante la autoridad de protección de datos competente:
- Argentina: Agencia de Acceso a la Información Pública (AAISP)
- Unión Europea: Autoridad de tu país miembro (ver listado EDPB)
- California (USA): Attorney General of California
8. Transferencias Internacionales de Datos
Ubicación Principal de Servidores
DenDev implementa una arquitectura de infraestructura distribuida que prioriza la residencia de datos dentro del Espacio Económico Europeo (EEE) para clientes sujetos al GDPR. La mayoría de nuestros sistemas se ejecutan en servidores ubicados en Frankfurt, Alemania o Dublín, Irlanda (Amazon Web Services - Regiones EMEA).
Transferencias a Estados Unidos
Para ciertos sub-procesadores especializados ubicados en Estados Unidos (OpenAI, Supabase), DenDev formaliza transferencias mediante Cláusulas Contractuales Tipo (Standard Contractual Clauses - SCC) aprobadas por la Comisión Europea, que imponen al importador de datos obligaciones de protección equivalentes al GDPR.
Decisión de Adecuación Argentina
Para transferencias desde la UE a Argentina, la Comisión Europea ha emitido una decisión de adecuación (Art. 45 GDPR), reconociendo que Argentina garantiza un nivel de protección de datos sustancialmente equivalente al RGPD.
9. Seguridad de la Información
| Capa de Seguridad | Medidas Implementadas |
|---|---|
| Transporte | TLS 1.3 con HSTS; mTLS opcional entre microservicios |
| Reposo | AES-256 en FileMaker / Supabase; claves gestionadas en AWS KMS |
| Acceso | RBAC granular, 2FA obligatorio, políticas de contraseña fuerte |
| Monitoreo | Logs centralizados (Graylog); alertas SIEM en tiempo real |
| Auditoría | Controles mensuales internos + revisión externa anual |
Nuestros sub-procesadores poseen certificaciones de seguridad de industria: Supabase cuenta con SOC 2 Type II, y AWS implementa el AWS Nitro System que impide acceso a datos de clientes por parte del personal de AWS.
10. Inteligencia Artificial y Automatización
Procesamiento por OpenAI y Gemini
OpenAI API y Gemini API procesan tus prompts en tiempo real. Por defecto:
- OpenAI retiene datos durante 30 días para monitoreo de abuso
- NO los utiliza para entrenar modelos públicos
- Las salidas se almacenan solo en nuestra base de datos para cumplir la finalidad solicitada
Zero Data Retention (ZDR) - Para Datos Altamente Sensibles
Para solicitudes con datos altamente sensibles, DenDev puede activar Zero Data Retention (ZDR) en OpenAI, donde los datos se descartan inmediatamente tras procesamiento sin retención incluso para monitoreo. ZDR requiere:
- Aprobación previa de OpenAI
- Solicitud explícita al momento de contratar
- Puede aplicarse a endpoints elegibles únicamente
Contacta a privacidad@dendev.com.ar para solicitar ZDR en tu solución.
Control de Calidad y Mejora Interna
La revisión humana se limita a control de calidad y mejora de flujos, realizada bajo acuerdos de confidencialidad. DenDev podrá analizar datos agregados y anonimizados para auditoría técnica, estadísticas de rendimiento y mejora de modelos internos, sin utilizar dichos datos para entrenar modelos públicos de terceros.
11. Cookies y Analítica Web
Tipos de Cookies Utilizadas
Cookies Esenciales (Técnicas - No requieren consentimiento):
- Sesión y balanceo de carga (Nginx Proxy Manager)
- Autenticación en Supabase
Cookies de Terceros (Analíticas - Requieren consentimiento):
- Google Analytics 4 (_ga, _ga_<container-id>) con IP anonimizada
- Retención de eventos: 14 meses
| Nombre Cookie | Proveedor | Finalidad | Duración | Tipo |
|---|---|---|---|---|
| sb-*-auth-token | Supabase | Mantiene sesión de autenticación | Varía (sesión) | Técnica |
| _ga | Google Analytics | Distingue usuarios únicos | 2 años | Analítica |
| _ga_<container-id> | Google Analytics | Persiste estado de sesión | 2 años | Analítica |
| cookie_consent_status | DenDev | Almacena estado de consentimiento | 1 año | Técnica |
Gestión del Consentimiento
Antes de instalar cualquier cookie no esencial, solicitaremos tu consentimiento explícito a través de un banner. Podrás aceptar todas, rechazarlas todas, o configurar preferencias por categoría. Este consentimiento es libre, informado e inequívoco, conforme al GDPR y LSSI-CE.
12. Comunicaciones Comerciales
Las comunicaciones comerciales directas se encuentran actualmente restringidas a uso interno. Para futuras campañas de email o WhatsApp:
- Enviaremos solo a contactos que hayan otorgado consentimiento previo explícito (opt-in)
- Cada mensaje incluirá un link de baja inmediata
- Respetaremos solicitudes de baja en menos de 10 días hábiles
13. Encargados y Sub-Encargados del Tratamiento
Estos son los proveedores de servicios tecnológicos que procesan datos por cuenta de DenDev:
| Proveedor | Servicio | Ubicación | Mecanismo de Transferencia |
|---|---|---|---|
| AWS (EMEA) | Infraestructura, BD, almacenamiento | Frankfurt/Irlanda (🇪🇺) | N/A (EEE) |
| AWS (Legacy) | Infraestructura Lightsail | Virginia (🇺🇸) | SCC |
| Google Cloud | IA Gemini, backups | USA/UE | SCC |
| OpenAI | API LLM (GPT) | USA (🇺🇸) | DPA + SCC |
| Supabase | PostgreSQL, autenticación, APIs | USA (🇺🇸) | SCC |
| Evolution API | Gateway WhatsApp Business | Auto-hospedado (🇦🇷) | N/A |
| n8n (self-hosted) | Orquestador de flujos | Infraestructura DenDev (🇦🇷) | N/A |
Nota: Esta lista es dinámica y se actualiza conforme se incorporen nuevos proveedores. Notificaremos cambios relevantes con antelación razonable.
14. Cambios en la Política
Publicaremos la fecha de última revisión en esta página. Para modificaciones sustanciales, notificaremos a usuarios internos mediante email corporativo con al menos 15 días de antelación. El uso continuado implica aceptación de cambios.
15. Contacto - Responsable de Privacidad
Denis Cornejo
San Salvador del Carril 7, Villa Carlos Paz (CP 5152), Córdoba, Argentina
Las solicitudes de privacidad, derechos de interesados, y consultas sobre protección de datos deben dirigirse a este email.