Legal

Acuerdo de Tratamiento de Datos

Versión 2026-06-23.1 · Última actualización: 23 de junio de 2026.

Anexo al contrato SaaS adaptado a la Ley 25.326 y al Decreto 1558/2001. No sustituye la política que cada establecimiento debe brindar a sus huéspedes.

1. Partes y terminología

Este Acuerdo se celebra entre el Cliente identificado en el alta o propuesta, como responsable de la base de datos de huéspedes, y el siguiente prestador de servicios informatizados por cuenta de terceros:

Proveedor
Franco Maiorano
CUIT
20-46347069-4
Domicilio legal
Combate de Juncal 958, Adrogue, Buenos Aires, Argentina
Contacto
contacto@artechia.com

Se usa “responsable” para quien determina finalidades y medios esenciales y “prestador” o “encargado” para quien trata datos siguiendo instrucciones. La expresión extranjera “data processor” no modifica las figuras ni responsabilidades de la Ley 25.326.

2. Objeto, duración y orden de prelación

El Prestador tratará datos personales para alojar, organizar y operar el PMS, motor de reservas, comunicaciones, pagos e integraciones contratadas por el Cliente. Este Acuerdo rige mientras el Prestador trate datos por cuenta del Cliente y prevalece sobre condiciones generales incompatibles en materia de protección de datos. La propuesta comercial prevalece solo si ofrece mayor protección o identifica instrucciones específicas lícitas.

3. Naturaleza y finalidades

El tratamiento puede incluir recolección, registro, organización, consulta, modificación, comunicación técnica, exportación, bloqueo, anonimización y eliminación para:

  • gestionar reservas, disponibilidad, huéspedes, estadías, tarifas, extras y comunicaciones;
  • operar el motor de reservas y el acceso del huésped;
  • sincronizar canales, feeds iCal, pagos y cerraduras que el Cliente active;
  • generar reportes y exportaciones solicitadas;
  • mantener seguridad, continuidad, soporte y trazabilidad del servicio.

El Prestador no usará datos de huéspedes para publicidad propia, venta, scoring, elaboración de perfiles ni decisiones automatizadas.

4. Datos y titulares

Los titulares son huéspedes, acompañantes, menores cuando sus datos sean necesarios, contactos, personal del establecimiento y otras personas incluidas legítimamente en una reserva. Las categorías comprenden identidad, documento, contacto, domicilio, país, reserva, estadía, habitación, importes, pagos, comunicaciones, solicitudes, notas, reseñas, datos técnicos y referencias de canales.

Los datos sensibles no forman parte necesaria del servicio. El Cliente no debe ingresarlos en campos libres salvo habilitación legal, necesidad documentada y medidas adicionales acordadas.

5. Instrucciones del Cliente

Son instrucciones documentadas estos Términos, la configuración realizada por usuarios autorizados, solicitudes autenticadas, la API utilizada conforme a documentación y órdenes escritas aceptadas. El Prestador tratará los datos solo conforme a ellas y advertirá si una instrucción parece contraria a la Ley 25.326, suspendiéndola cuando sea necesario para evitar un tratamiento ilícito.

El Cliente garantiza que sus instrucciones tienen finalidad lícita, son proporcionales y se encuentran dentro de sus facultades. El Prestador no decide por el Cliente qué datos turísticos debe conservar ni qué marketing puede enviar.

6. Obligaciones del Prestador

  • no aplicar los datos a una finalidad distinta ni cederlos, ni siquiera para conservación, fuera de este Acuerdo;
  • mantener confidencialidad y limitar acceso al personal y proveedores que necesiten intervenir;
  • aplicar controles técnicos y organizativos apropiados a los riesgos comprobados;
  • asistir razonablemente en derechos de titulares, incidentes y requerimientos de autoridad;
  • mantener información actualizada sobre subencargados y transferencias;
  • devolver, exportar, anonimizar o eliminar datos según instrucciones lícitas al finalizar.

7. Personal autorizado y confidencialidad

El acceso se limita por rol y necesidad. Quienes intervengan quedan sujetos a deber de reserva durante y después de su relación. El Prestador mantendrá procedimientos de alta, cambio y revocación de accesos; el Cliente hará lo mismo con sus Usuarios Autorizados.

8. Medidas de seguridad

Las medidas implementadas comprenden autenticación y sesiones gestionadas por Supabase Auth, autorización por roles, RLS por organización, HTTPS y cabeceras de seguridad, validación y firma de webhooks, rate limiting, auditoría de acciones relevantes y cifrado AES-256-GCM a nivel de aplicación para secretos de integraciones. Los detalles que facilitarían ataques no se publican.

No se incorpora por referencia una certificación, SLA, backup, región o cifrado general que no esté confirmado. Las medidas se revisarán frente a cambios de riesgo y a las recomendaciones de la Resolución AAIP 47/2018.

9. Subcontratación

El Cliente autoriza como subencargados únicamente a los proveedores identificados con ese rol en la Lista de Proveedores y Subencargados. El Prestador exigirá obligaciones de confidencialidad, seguridad, limitación de finalidad, asistencia y eliminación compatibles con este Acuerdo, sin liberar su responsabilidad contractual.

La cuenta de Mercado Pago, el SMTP propio y otros servicios contratados directamente por el Cliente no se convierten por esa sola conexión en subencargados de Artechia. Las integraciones opcionales operan sólo cuando el Cliente las activa; su rol dependerá del contrato, de las instrucciones y de las finalidades propias del tercero.

Un cambio material se notificará antes de incorporarlo cuando sea razonablemente posible. El Cliente podrá objetar por motivos fundados de protección de datos; las partes buscarán una alternativa y, si no existe, podrán terminar el módulo afectado o el Servicio según corresponda.

10. Transferencias internacionales

La lista identifica países conocidos. Para destinos sin nivel adecuado reconocido por Argentina, el Prestador deberá verificar y documentar cláusulas contractuales modelo de la Disposición 60/2016 o Resolución AAIP 198/2023, u otra excepción válida del artículo 12 de la Ley 25.326. Un DPA basado solo en cláusulas europeas no se presenta como cumplimiento automático argentino.

La infraestructura de producción se aloja en Brasil: la base de datos en Supabase opera en la región sa-east-1 (São Paulo) y las funciones de Vercel se ejecutan en São Paulo; el middleware y la CDN tienen alcance global. Brasil no integra el listado de países con nivel de protección adecuado reconocido por Argentina; la transferencia hacia ese destino se ampara en los acuerdos de tratamiento de datos suscriptos con cada proveedor. Los destinos secundarios y el DPA de cada cuenta se detallan en la lista de proveedores.

11. Solicitudes de titulares

Si el Prestador recibe una solicitud relativa a datos del Cliente, verificará de manera razonable al solicitante, la remitirá sin demora indebida y no responderá de fondo salvo instrucción o deber legal. Proveerá búsquedas, exportación, corrección, bloqueo, anonimización o supresión técnicamente disponibles para que el Cliente cumpla diez días corridos para acceso y cinco días hábiles para rectificación, actualización o supresión.

12. Incidentes

Ante acceso, pérdida, alteración o divulgación no autorizada confirmada, el Prestador investigará, contendrá, documentará y notificará al Cliente tan pronto como sea razonablemente posible. La comunicación incluirá naturaleza, categorías afectadas, consecuencias conocidas, medidas tomadas y contacto disponible, y se actualizará a medida que avance la investigación. No se fija un plazo que la operación no pueda sostener.

13. Autoridades y cooperación

El Prestador informará al Cliente sobre requerimientos de autoridad que involucren sus datos, salvo prohibición legal, y limitará la entrega a lo exigido. Cooperará razonablemente con evaluaciones, reclamos y medidas correctivas de la AAIP. Cada parte mantiene sus deberes directos frente a la autoridad.

14. Conservación, devolución y eliminación

Durante la vigencia, el Cliente decide la conservación operativa dentro de las funciones disponibles, sujeto a minimización y obligaciones de registros de huéspedes. Al finalizar podrá exportar reservas, huéspedes y el backup JSON disponible antes del cierre. El backup no incluye todos los módulos.

Cumplida la prestación, se devolverán, anonimizarán o eliminarán los datos según la instrucción documentada y la capacidad técnica verificada. Se distinguen: conservación exigida por ley; conservación necesaria para defensa de derechos, con acceso bloqueado para usos incompatibles; datos anonimizados que ya no permitan identificar; y autorización expresa para encargos posteriores, cuyo supuesto reglamentario no puede exceder dos años. No se aplican automáticamente diez años a todos los datos.

Las copias de respaldo pueden conservar datos hasta completar su rotación; el ciclo real, regiones y borrado selectivo siguen pendientes de verificación. La eliminación de sistemas activos no se presenta como borrado inmediato de todas las copias.

15. Auditorías razonables

Una vez por año, y adicionalmente ante incidente fundado, el Cliente podrá solicitar información razonable para verificar cumplimiento. Se priorizarán documentos, configuraciones y reportes remotos. Una inspección no deberá comprometer secretos, datos de otros clientes, seguridad ni continuidad, y será coordinada con alcance y confidencialidad. Los costos extraordinarios serán acordados previamente.

16. Responsabilidad

Cada parte responde por sus decisiones, instrucciones e incumplimientos. Los límites de los Términos se aplican salvo dolo, culpa grave, violación imputable de confidencialidad o datos, daños a la persona u otra responsabilidad inderogable. Este Acuerdo no desplaza derechos de los titulares ni facultades de la AAIP.

17. Aceptación y contacto

La versión se acepta expresamente junto con los Términos y, para el Cliente, se registra nuevamente al crear su organización. La navegación no implica aceptación. Consultas e instrucciones formales: contacto@artechia.com.