Politica de Privacidad — Argentina
Ultima actualizacion: 20 de mayo de 2026
1. Responsable del Tratamiento
cepaos LLC, sociedad de responsabilidad limitada constituida en el Estado de Wyoming, Estados Unidos, es responsable del tratamiento de los datos personales recopilados a traves de la plataforma cepaos ("la Plataforma").
- Correo de contacto: privacidad@cepaos.com
- Delegado de proteccion de datos: dpo@cepaos.com
Representante en la UE (Art. 27 RGPD): La designacion de un representante en la Union Europea conforme al articulo 27 del Reglamento General de Proteccion de Datos esta en proceso de formalizacion. Los datos de contacto definitivos se publicaran en un plazo maximo de 14 dias. Mientras tanto, las consultas sobre proteccion de datos de residentes de la UE pueden dirigirse a privacy@cepaos.com.
2. Datos Personales que Recopilamos
2.1 Datos Proporcionados por el Usuario
- Nombre completo y cargo
- Direccion de correo electronico
- Numero de telefono (opcional)
- Nombre de la organizacion, identificacion fiscal y domicilio
- Informacion de facturacion y metodos de pago (procesados por dLocalGo o Stripe segun mercado)
- Datos de perfil y preferencias de la cuenta
2.2 Datos Recopilados Automaticamente
- Direccion IP y datos de geolocalizacion aproximada
- Tipo de navegador y sistema operativo
- Paginas visitadas, tiempo de permanencia y flujos de navegacion
- Identificadores de dispositivo y cookies (ver Politica de Cookies)
- Registros de acceso y logs de seguridad
2.3 Datos de la Organizacion
El Usuario puede ingresar datos operativos de su organizacion (inventarios, lotes, procesos productivos, datos comerciales). Estos datos se tratan conforme a los Terminos y Condiciones y al Acuerdo Marco de Servicios aplicable. cepaos trata dichos datos como informacion confidencial del Cliente.
3. Bases Legales del Tratamiento
Tratamos datos personales sobre las siguientes bases legales:
- Ejecucion contractual: para prestar el servicio contratado y gestionar la cuenta del Usuario.
- Consentimiento: para comunicaciones de marketing, analitica no esencial y cookies opcionales. El consentimiento puede retirarse en cualquier momento.
- Interes legitimo: para mejorar la seguridad de la plataforma, prevenir fraudes y generar analitica agregada.
- Obligacion legal: para cumplir con obligaciones fiscales, registros contables y requerimientos de autoridades competentes.
4. Finalidades del Tratamiento
- Prestar y mantener el servicio de la Plataforma
- Gestionar la cuenta, autenticacion y control de accesos
- Procesar pagos y facturacion
- Enviar notificaciones operativas y de seguridad
- Proporcionar soporte tecnico al Usuario
- Mejorar la Plataforma mediante analitica agregada y anonimizada
- Cumplir con obligaciones legales y regulatorias
- Prevenir fraudes y garantizar la seguridad de la Plataforma
- Enviar comunicaciones de marketing (solo con consentimiento)
5. Comparticion de Datos
cepaos no vende datos personales. Compartimos datos unicamente con:
5.1 Subprocesadores
Los siguientes proveedores procesan datos personales por cuenta de cepaos bajo contratos de tratamiento (DPA) y, cuando aplica, con las Clausulas Contractuales Tipo (SCC) de la Comision Europea o adhesion al EU-U.S. Data Privacy Framework como mecanismo de transferencia internacional. Para mayor detalle veanse las Secciones 6 y 10.
| Proveedor | Funcion | Ubicacion | Base / mecanismo legal |
|---|---|---|---|
| Stripe Inc. | Procesador de pagos (non-LATAM) | Estados Unidos | EU-U.S. DPF + SCC + Stripe DPA |
| dLocal Pty Ltd | Procesador de pagos (LATAM) | Uruguay | Equivalencia GDPR (Decision UE 2012) + DPA |
| Supabase Inc. | Base de datos y autenticacion | EE.UU. / UE | SCC + Supabase DPA |
| Railway Corp. | Hosting de aplicacion | Estados Unidos | SCC + Railway DPA |
| Cloudflare Inc. | CDN y proteccion DDoS | Estados Unidos (red global) | EU-U.S. DPF + SCC + Cloudflare DPA |
| Upstash Inc. | Cache y rate limiting (Redis) | Estados Unidos | SCC + Upstash DPA |
| Resend Inc. | Correo transaccional | Estados Unidos | SCC + Resend DPA |
| Sentry / Functional Software | Monitoreo de errores | Estados Unidos | SCC + Sentry DPA |
| PostHog Inc. | Analitica de producto (con consentimiento) | Estados Unidos / UE | SCC + PostHog DPA |
Datos compartidos con Stripe (Usuarios non-LATAM): correo electronico del administrador, nombre de la organizacion, identificador Stripe Customer ID y Stripe PaymentMethod ID (tokenizado). cepaos no recibe ni almacena el numero de tarjeta.
Datos compartidos con dLocal Go (Usuarios LATAM): correo electronico del administrador, identificador de cliente y token de tarjeta. cepaos no recibe ni almacena el numero de tarjeta.
5.2 Autoridades
Podemos divulgar datos personales cuando lo requiera una orden judicial, requerimiento de autoridad competente o cuando sea necesario para proteger derechos, propiedad o seguridad de cepaos, nuestros usuarios o el publico.
6. Transferencias Internacionales
Los datos personales pueden transferirse a paises fuera de la jurisdiccion del Usuario, incluyendo Estados Unidos. Aplicamos las siguientes salvaguardas:
- Clausulas contractuales tipo (SCC) aprobadas por la Comision Europea
- Evaluaciones de impacto de transferencia cuando corresponde
- Acuerdos de procesamiento de datos (DPA) con todos los subprocesadores
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
7. Retencion de Datos
- Datos de cuenta: durante la vigencia de la suscripcion mas 30 dias tras la cancelacion.
- Registros de facturacion: 10 anos (obligacion legal fiscal).
- Logs de seguridad: 12 meses.
- Datos de analitica: 24 meses en formato agregado y anonimizado.
- Copias de seguridad: eliminadas dentro de los 90 dias posteriores a la eliminacion de los datos originales.
8. Seguridad
Implementamos medidas tecnicas y organizativas para proteger los datos personales, incluyendo:
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
- Aislamiento multi-tenant con Row Level Security (RLS) en PostgreSQL
- Autenticacion con tokens seguros via Supabase Auth
- Rate limiting y proteccion contra ataques de fuerza bruta
- Monitoreo continuo de seguridad y alertas automatizadas
- Acceso restringido basado en roles (RBAC)
- Auditorias periodicas de seguridad
9. Derechos del Titular de los Datos
Segun la legislacion aplicable, el Usuario tiene los siguientes derechos:
- Acceso: solicitar una copia de los datos personales que conservamos.
- Rectificacion: corregir datos inexactos o incompletos.
- Supresion: solicitar la eliminacion de datos personales.
- Portabilidad: recibir datos en formato estructurado y legible por maquina (CSV, JSON).
- Oposicion: oponerse al tratamiento basado en interes legitimo.
- Limitacion: restringir temporalmente el tratamiento en ciertos casos.
- Retiro del consentimiento: retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.
Para ejercer estos derechos, contacte a privacidad@cepaos.com. Responderemos dentro de los plazos previstos por la ley aplicable a su jurisdiccion (ver Seccion 10).
10. Cumplimiento — Argentina (Ley 25.326)
Ley 25.326 Proteccion de Datos Personales
cepaos cumple con la Ley 25.326 de Proteccion de Datos Personales y su Decreto Reglamentario 1558/2001. El titular de los datos puede ejercer:
- Derecho de acceso (art. 14): obtener informacion sobre los datos almacenados, su origen y finalidad. Plazo de respuesta: 10 dias corridos.
- Derecho de rectificacion, actualizacion o supresion (art. 16): corregir datos inexactos o pedir su eliminacion. Plazo de respuesta: 5 dias habiles.
- Accion de habeas data (art. 33): via judicial ante incumplimiento.
Autoridad de Control — AAIP
La Agencia de Acceso a la Informacion Publica (AAIP) es el organo de control. El titular puede presentar reclamos en https://www.argentina.gob.ar/aaip/datospersonales.
Registro Nacional de Bases de Datos (RNBD)
cepaos ha iniciado el tramite de inscripcion en el RNBD ante la AAIP (Expediente N° 291 del 29/03/2026). Inscripcion AAIP RNBD en tramite — numero oficial pendiente. El registro se realiza conforme al art. 21 de la Ley 25.326 y la Disposicion 7/2010 AAIP. El numero RNBD definitivo sera publicado en esta politica una vez emitido por la autoridad.
Transferencia Internacional
La transferencia de datos personales a paises sin nivel adecuado de proteccion se realiza conforme al art. 12 de la Ley 25.326, mediante consentimiento del titular o clausulas contractuales que garanticen proteccion equivalente. Estados Unidos no es considerado pais con nivel adecuado por la AAIP — aplicamos clausulas modelo.
Defensa del Consumidor (Ley 24.240)
La Plataforma esta dirigida exclusivamente a operaciones comerciales (B2B). El Usuario contrata en caracter de empresa, por lo que la Ley 24.240 de Defensa del Consumidor no resulta aplicable a la presente relacion contractual.
11. Menores de Edad
La Plataforma esta dirigida exclusivamente a operaciones comerciales (B2B) y no recopila intencionalmente datos de menores de 18 anos. Si tomamos conocimiento de que hemos recopilado datos de un menor, procederemos a eliminarlos de inmediato.
12. Modificaciones a esta Politica
cepaos puede actualizar esta Politica de Privacidad periodicamente. Las modificaciones se notificaran con al menos 30 dias de anticipacion por correo electronico y/o aviso en la Plataforma. La fecha de la ultima actualizacion se indica al inicio de este documento.
13. Contacto
Para consultas sobre privacidad y proteccion de datos:
- Privacidad: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Estos términos pueden ser actualizados periódicamente. La versión vigente es la publicada en cepaos.com. Para consultas legales, escribí a legal@cepaos.com.