Política de Privacidad.
Este documento establece nuestras prácticas de privacidad y protección de datos personales, aplicable a todos los productos, servicios y sitios web de DenDev. Se alinea con la Ley 25.326 (Argentina), GDPR (Unión Europea), CCPA/CPRA (California) y principios globales.
01 Quiénes somos
DenDev — Nombre de fantasía de Denis Iván Cornejo (CUIT 20-37035481-3), con domicilio en San Salvador del Carril 7, Villa Carlos Paz, Córdoba, Argentina.
Contacto de privacidad: privacidad@dendev.com.ar
Representante UE (Art. 27 GDPR): CMC (datos disponibles bajo solicitud).
02 Alcance y aplicación
Esta política se aplica a:
| Entorno | Ámbito | Usuarios previstos |
|---|---|---|
| FileMaker Server on-premise | Gestión interna de datos | Personal autorizado de DenDev |
| Cloud (Cloudflare, Supabase, AWS EMEA, Google) | Automatización, IA, backups | Personal autorizado y clientes |
| Sitios web públicos | Información corporativa, formularios | Prospectos y clientes |
Restricción de edad: Nuestros servicios no están dirigidos a menores de 18 años. Bloqueamos intencionalmente el registro de menores.
03 Datos personales que recopilamos
| Categoría | Ejemplos | Fuente | Uso principal |
|---|---|---|---|
| Identificación básica | Nombre, email, teléfono, cargo | Formularios, WhatsApp | Gestión comercial y soporte |
| Contenido de mensajes | Texto, imágenes, adjuntos | Bots, correo, carga de usuario | Procesamiento y trazabilidad |
| Documentos legales | Escrituras, firmas, PDFs | Carga manual | Gestión y archivo |
| Métricas de uso | Logs, analytics con IP anonimizada | Google Analytics 4 | Mejora UX y seguridad |
Exclusión explícita de datos sensibles: DenDev deliberadamente NO recopila ni procesa categorías especiales de datos (Art. 9 GDPR / Art. 2 Ley 25.326): salud, orientación sexual, biométricos, origen racial, convicciones políticas/religiosas, afiliación sindical.
04 Finalidades del tratamiento
- Prestación del servicio y operación de las plataformas internas.
- Automatización mediante IA (Claude, GPT, Gemini) sin re-entrenamiento con datos del cliente.
- Control de calidad mediante revisión humana (principio “four-eyes”).
- Cumplimiento legal y defensa ante acciones judiciales.
- Comunicaciones comerciales con consentimiento previo y opt-out.
- Análisis agregado y anonimizado para mejora interna.
05 Bases legales del tratamiento
| Jurisdicción | Fundamentos legales |
|---|---|
| Argentina | Art. 5 Ley 25.326 — consentimiento, obligación contractual |
| Unión Europea / EEE | Art. 6 GDPR: (a) consentimiento, (b) ejecución de contrato, (f) interés legítimo |
| California (USA) | CCPA/CPRA — notice at collection, derecho a opt-out |
06 Retención y eliminación
| Tipo de dato | Retención | Disposición final |
|---|---|---|
| Datos operativos y contacto | 12 meses tras última interacción | Eliminación automática |
| Documentos legales | 12 meses (revisión manual) | Archivado seguro o destrucción |
| Backups automáticos | Diarios (rotación 30 días) | Sobre-escritura automática |
| Logs de acceso | 90 días | Eliminación automática |
Solicitudes de supresión: 30 días hábiles máximo.
07 Derechos de los interesados
- Acceso: obtener confirmación del tratamiento y acceso a tus datos.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión (“derecho al olvido”): eliminar datos cuando ya no sean necesarios.
- Limitación: suspender el tratamiento en circunstancias específicas.
- Portabilidad: recibir tus datos en formato estructurado (JSON/CSV).
- Oposición: oponerte al tratamiento basado en interés legítimo.
- No ser objeto de decisiones automatizadas (Art. 22 GDPR): derecho a revisión humana.
Cómo ejercer tus derechos
Envía solicitud escrita a privacidad@dendev.com.ar acreditando tu identidad. Respondemos en 30 días hábiles, gratuito.
Autoridades de control
- Argentina: Agencia de Acceso a la Información Pública (AAIP)
- Unión Europea: Autoridad de tu país miembro (EDPB)
- California (USA): Attorney General of California
08 Transferencias internacionales
Arquitectura distribuida que prioriza la residencia de datos en EEE para clientes GDPR. Mayoría de sistemas en Frankfurt o Dublín (AWS EMEA).
Para sub-procesadores en USA (OpenAI, Supabase, Cloudflare): Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea. La Comisión emitió decisión de adecuación para Argentina (Art. 45 GDPR).
09 Seguridad de la información
| Capa | Medidas |
|---|---|
| Transporte | TLS 1.3 con HSTS; mTLS opcional entre microservicios |
| Reposo | AES-256 en FileMaker / Supabase; KMS para claves |
| Acceso | RBAC granular, 2FA obligatorio, contraseñas fuertes |
| Monitoreo | Logs centralizados; alertas SIEM en tiempo real |
| Auditoría | Controles mensuales internos + revisión externa anual |
Sub-procesadores con certificaciones: Supabase (SOC 2 Type II), AWS Nitro System (sin acceso de personal AWS a datos cifrados de cliente).
10 Inteligencia artificial
Procesamiento por LLMs
OpenAI, Anthropic y Gemini procesan prompts en tiempo real. Por defecto:
- Retención de 30 días (monitoreo de abuso).
- NO se utilizan para entrenar modelos públicos.
- Las salidas se almacenan solo en nuestra base para cumplir la finalidad.
Zero Data Retention (ZDR)
Para datos altamente sensibles, podemos activar ZDR: los datos se descartan inmediatamente, sin retención. Requiere aprobación previa del proveedor + solicitud explícita al contratar.
11 Cookies y analítica
Esenciales (sin consentimiento): sesión Cloudflare, autenticación Supabase, balanceo de carga.
Terceros — analíticas (con consentimiento): Google Analytics 4 con IP anonimizada (retención 14 meses).
| Cookie | Proveedor | Finalidad | Duración | Tipo |
|---|---|---|---|---|
| sb-*-auth-token | Supabase | Sesión de autenticación | Sesión | Técnica |
| _ga | Google Analytics | Distingue usuarios únicos | 2 años | Analítica |
| _ga_<id> | Google Analytics | Persiste estado de sesión | 2 años | Analítica |
| cookie_consent_status | DenDev | Estado de consentimiento | 1 año | Técnica |
Antes de instalar cookies no esenciales solicitamos consentimiento explícito vía banner. Podés aceptar todas, rechazarlas o configurar preferencias por categoría.
12 Comunicaciones comerciales
- Solo a contactos con consentimiento previo explícito (opt-in).
- Cada mensaje incluye link de baja inmediata.
- Solicitudes de baja: en menos de 10 días hábiles.
13 Encargados y sub-encargados
| Proveedor | Servicio | Ubicación | Mecanismo |
|---|---|---|---|
| Cloudflare | Edge, DNS, Pages, Bot Mgmt | Global | SCC + DPA |
| AWS (EMEA) | Infraestructura, BD, storage | Frankfurt/Dublín 🇪🇺 | N/A (EEE) |
| Google Cloud | IA Gemini, backups | USA/UE | SCC |
| OpenAI | API LLM (GPT) | USA 🇺🇸 | DPA + SCC |
| Anthropic | API Claude | USA 🇺🇸 | DPA + SCC |
| Supabase | PostgreSQL, auth, APIs | USA 🇺🇸 | SCC |
| n8n (self-hosted) | Orquestador de flujos | Infra DenDev 🇦🇷 | N/A |
Lista dinámica — actualizamos al incorporar nuevos proveedores. Notificamos cambios relevantes con antelación razonable.
14 Cambios en la política
Publicamos la fecha de última revisión en esta página. Para modificaciones sustanciales, notificamos por email corporativo con al menos 15 días de antelación.
15 Contacto
Denis Cornejo — Responsable de privacidad
San Salvador del Carril 7, Villa Carlos Paz (CP 5152), Córdoba, Argentina