POLÍTICA DE PRIVACIDAD

Dashboard Estándar – Sudata

1. Introducción

La presente Política de Privacidad establece los términos y condiciones bajo los cuales Sudata (en adelante, “la Empresa”, “nosotros”) realiza el tratamiento de datos personales y datos empresariales proporcionados u obtenidos mediante el uso del servicio Dashboard Estándar (en adelante, “el Servicio”).

La Empresa actúa como responsable del tratamiento conforme a la Ley Argentina Nº 25.326, el Reglamento General de Protección de Datos de la Unión Europea (GDPR), la Ley General de Protección de Datos de Brasil (LGPD) y demás normativa aplicable.

El uso del Servicio implica la aceptación expresa de esta Política de Privacidad.

2. Datos recolectados

2.1. Datos personales

La Empresa recolecta y trata los siguientes datos personales del usuario administrador o representante del cliente:

  • Nombre y apellido.
  • Dirección de correo electrónico.
  • Número de teléfono.
  • Datos de facturación (CUIT, Razón Social, domicilio).
  • Registros y logs de actividad asociados al uso del Servicio.

No se solicitan ni almacenan datos personales sensibles, conforme al artículo 2 de la Ley 25.326 y al artículo 9 del GDPR.

2.2. Datos empresariales del cliente

Mediante las credenciales API, tokens o llaves de acceso provistas por el cliente, el Servicio procesa información proveniente de sistemas ERP o POS, incluyendo:

  • Datos de ventas.
  • Datos de gastos.
  • Datos operativos y financieros necesarios para el cálculo del resultado económico.

Queda expresamente excluido el tratamiento de los siguientes datos, que no son recolectados ni almacenados:

  • DNI o números identificatorios de clientes finales.
  • Domicilios particulares.
  • Correos electrónicos o teléfonos personales de clientes finales.
  • Datos de tarjetas de crédito o información financiera sensible.

3. Finalidad del tratamiento

Los datos personales y empresariales recolectados serán utilizados exclusivamente para:

  • a. Proveer, operar y mantener el Servicio.
  • b. Realizar transformaciones, cálculos y análisis necesarios para la generación de reportes.
  • c. Gestionar la cuenta del cliente y brindar soporte técnico.
  • d. Mejorar el rendimiento, seguridad y funcionalidad del Servicio.
  • e. Ejecutar procesos internos de auditoría, control y monitoreo.
  • f. Elaborar estadísticas, estudios y modelos con información agregada, anónima e irreversible.

La Empresa no comercializa, vende ni cede a terceros información que permita identificar a personas o empresas.

4. Base legal del tratamiento

El tratamiento se realiza conforme a las siguientes bases legales:

  • El consentimiento otorgado por el usuario.
  • La ejecución de un contrato de prestación de servicios.
  • El interés legítimo de la Empresa en garantizar la seguridad, operación, control y mejora continua del Servicio.
  • El cumplimiento de obligaciones legales aplicables.

5. Almacenamiento y proveedores

Los datos son almacenados en infraestructura cloud provista por:

  • Microsoft Azure / Microsoft Fabric.
  • Servicios de bases de datos PostgreSQL en Donweb, Google Cloud Platform o Azure, según corresponda.

Todos los proveedores utilizados cumplen estándares internacionales de seguridad y protección de datos.

Las medidas de seguridad aplicadas incluyen:

  • Cifrado de datos en tránsito mediante TLS 1.2 o superior.
  • Cifrado de datos en reposo mediante AES-256.
  • Controles de acceso con políticas de privilegios mínimos.
  • Auditorías y monitoreo permanente.
  • Implementación del enfoque Zero Trust.

6. Uso de APIs de terceros e Inteligencia Artificial

El Servicio puede utilizar APIs de terceros, incluyendo OpenAI, para funcionalidades de análisis o generación de contenido.

Los datos tratados mediante dichos servicios cumplen las siguientes condiciones:

  • Solo se procesan los datos estrictamente necesarios para la función solicitada.
  • No se permite el uso de los datos para entrenamiento de modelos públicos.
  • Se aplican procesos de minimización y anonimización cuando corresponda.
  • Las transferencias cumplen las exigencias del GDPR y la LGPD.

7. Acceso y confidencialidad

El acceso a los datos queda estrictamente limitado al personal autorizado de la Empresa, exclusivamente para tareas de soporte, diagnóstico, mantenimiento y procesamiento del Servicio.

Todo el personal se encuentra sujeto a acuerdos de confidencialidad y los accesos quedan registrados mediante sistemas de auditoría.

8. Integración con ERP y POS

El cliente declara y garantiza que posee derecho y autorización para otorgar credenciales API, tokens o llaves de acceso a los sistemas ERP o POS utilizados.

La Empresa no modifica ni altera información contenida en los sistemas de origen. El cliente puede revocar en cualquier momento los accesos otorgados.

9. Datos agregados y anonimización

La Empresa podrá utilizar datos estadísticos completamente anonimizados —de forma irreversible e imposibilitando la identificación del cliente— para:

  • Mejora del Servicio.
  • Construcción de benchmarks sectoriales.
  • Desarrollo de nuevas funcionalidades.

En ningún caso se divulgará información que permita identificar a una empresa o persona.

10. Transferencias internacionales

Los datos podrán ser almacenados o tratados en centros de datos ubicados fuera del país del usuario. En todos los casos, la Empresa garantiza:

  • Un nivel adecuado de protección conforme a los artículos 44 a 49 del GDPR.
  • Contratos de encargo de tratamiento con proveedores.
  • Cifrado y medidas técnicas apropiadas.

11. Derechos del titular de los datos

El titular de los datos personales podrá solicitar:

  • Acceso a sus datos.
  • Rectificación o actualización.
  • Supresión (“derecho al olvido”).
  • Portabilidad.
  • Limitación u oposición al tratamiento.
  • Revocación del consentimiento.

Toda solicitud podrá gestionarse a través del correo electrónico: [email protected]

La Empresa responderá dentro de un plazo máximo de quince (15) días hábiles.

12. Conservación y eliminación de datos

Los datos se conservarán mientras:

  • a. Exista una cuenta activa del cliente, y
  • b. Exista obligación legal o contractual de conservación.

Una vez finalizada la relación contractual, los datos serán eliminados de forma segura dentro de un plazo de noventa (90) días, salvo obligación legal en contrario.

Los backups automáticos se ejecutan diariamente y serán destruidos conforme al mismo plazo y políticas de ciclo de vida.

13. Seguridad

La Empresa aplica medidas técnicas y organizativas adecuadas, incluyendo:

  • Autenticación mediante claves API, tokens o secrets provistos por el cliente.
  • Cifrado integral.
  • Monitoreo continuo.
  • Controles de acceso basados en roles.

Para el personal autorizado de la Empresa se exige:

  • Mínimo 12 caracteres.
  • Uso de números, letras y símbolos.
  • Renovación al menos cada 180 días.
  • Autenticación multifactor.

14. Modificaciones a la Política

La Empresa podrá modificar esta Política de Privacidad en cualquier momento. Los cambios serán notificados al usuario con una antelación mínima de siete (7) días antes de su entrada en vigencia.

15. Contacto del responsable de privacidad

Para ejercer derechos o realizar consultas relacionadas con privacidad y protección de datos, el interesado podrá comunicarse con:

Responsable de Privacidad (DPO)
Correo electrónico: [email protected]