Política de Privacidad

1. Quién es el responsable del tratamiento

El responsable del tratamiento de datos personales es Convenio Abierto, con domicilio en la República Argentina. Para consultas relacionadas con tu privacidad, podés contactarnos en legales@convenioabierto.com.ar.

2. Qué datos recopilamos

2.1 Operadores (profesionales del derecho)

• Datos de registro: nombre completo, dirección de email, matrícula profesional
• Datos de perfil: foto de perfil (opcional), logo del estudio (opcional), CBU/alias bancario (opcional)
• Datos de pago: historial de suscripciones procesado por MercadoPago (no almacenamos datos de tarjeta)
• Credenciales de MercadoPago: token de acceso OAuth, almacenado encriptado con AES-256-GCM
• Datos de uso: cantidad de convenios creados, fechas de acceso

2.2 Deudores (clientes de los operadores)

• Datos personales: nombre completo, DNI, dirección de email, teléfono (opcional), ciudad (opcional)
• Datos del convenio: monto de la deuda, plan de cuotas, estado de pagos
• Credenciales de acceso: contraseña hasheada con PBKDF2 (100.000 iteraciones), asociada al DNI
• Comprobantes de pago: archivos de imagen o PDF subidos por el deudor

2.3 Datos técnicos

• Cookies de sesión (HttpOnly, firmadas con HMAC-SHA256)
• Registros de actividad (logs de errores vía Sentry)
• Dirección IP para control de rate limiting (en memoria, no persistida)

3. Para qué usamos tus datos

• Proveer y mantener el servicio de gestión de convenios
• Autenticar y autorizar el acceso a la plataforma
• Enviar notificaciones sobre convenios, cuotas y pagos
• Procesar pagos de suscripción y pagos de cuotas online
• Generar documentos PDF con los datos del convenio
• Prevenir fraudes y garantizar la seguridad del servicio
• Cumplir con obligaciones legales

No vendemos, alquilamos ni compartimos datos personales con terceros con fines comerciales.

4. Con quién compartimos los datos

Para operar el servicio, utilizamos los siguientes proveedores de confianza:

• Supabase (base de datos y almacenamiento) — almacenamiento seguro en servidores con cifrado en reposo
• Vercel (infraestructura) — hosting de la aplicación
• Resend (email transaccional) — envío de notificaciones
• MercadoPago (pagos) — procesamiento de cobros online
• Sentry (monitoreo de errores) — detección de fallos técnicos

Todos estos proveedores están sujetos a políticas de privacidad propias y acuerdos de procesamiento de datos.

5. Seguridad de los datos

Implementamos múltiples capas de seguridad para proteger tu información:

• Contraseñas hasheadas con PBKDF2-SHA256 (100.000 iteraciones) — nunca almacenamos contraseñas en texto plano
• Tokens de MercadoPago encriptados con AES-256-GCM
• Sesiones firmadas con HMAC-SHA256
• Comunicaciones cifradas mediante HTTPS/TLS en toda la plataforma
• Control de acceso basado en roles (RLS) a nivel de base de datos
• Rate limiting en acciones críticas para prevenir ataques de fuerza bruta
• Validación de archivos (magic bytes) para prevenir subida de archivos maliciosos

6. Retención de datos

Los datos se conservan durante el tiempo que la cuenta esté activa y por un período adicional necesario para cumplir con obligaciones legales o resolver disputas. Al solicitar la eliminación de la cuenta, los datos personales serán eliminados o anonimizados en un plazo máximo de 30 días, salvo obligación legal de conservación.

7. Tus derechos (Ley 25.326)

De acuerdo con la Ley N° 25.326 de Protección de Datos Personales de la República Argentina, tenés derecho a:

• Acceso: conocer qué datos tuyos tenemos almacenados
• Rectificación: corregir datos inexactos o desactualizados
• Supresión: solicitar la eliminación de tus datos ("derecho al olvido")
• Confidencialidad: garantía de tratamiento confidencial

Para ejercer estos derechos, escribinos a legales@convenioabierto.com.ar. La Dirección Nacional de Protección de Datos Personales es el organismo de control encargado de atender denuncias y consultas.

8. Cookies

Utilizamos exclusivamente cookies técnicas necesarias para el funcionamiento de la plataforma (cookies de sesión y autenticación). No utilizamos cookies de seguimiento, publicidad ni analytics de terceros.

9. Menores de edad

La Plataforma no está destinada a menores de 18 años. No recopilamos deliberadamente datos de menores. Si tenemos conocimiento de que hemos recopilado datos de un menor, los eliminaremos de inmediato.

10. Cambios en esta política

Podemos actualizar esta Política de Privacidad periódicamente. Los cambios significativos serán notificados por email a los operadores registrados. La fecha de última actualización siempre estará visible en la parte superior de esta página.