Acuerdo de Tratamiento de Datos (DPA)
Versión v2.2 · Última actualización: 27 de mayo de 2026
Este documento es el modelo estándar de Acuerdo de Tratamiento de Datos (Data Processing Agreement, DPA) que Datalogía ofrece a los Clientes que necesitan formalizar el tratamiento de datos personales realizado por el Servicio en cumplimiento de la Ley 25.326 de Protección de Datos Personales (Argentina) y normas complementarias.
Para suscribir el DPA, contactanos a [email protected]con asunto "DPA" indicando los datos de tu empresa o actividad.
1. Roles y responsabilidades
Para los efectos del tratamiento de datos personales en el marco del Servicio:
- El Cliente actúa como responsable del tratamiento respecto de los datos personales que carga en el Servicio (datos de sus choferes, clientes, proveedores, miembros del equipo, etc.).
- Datalogía (servicio operado por Tomás Di Loreto) actúa como encargado del tratamiento de esos datos, únicamente para los fines de prestar el Servicio contratado.
2. Objeto y duración del tratamiento
El tratamiento de datos por parte de Datalogía tiene como único objeto la prestación del Servicio según los Términos y Condiciones, y dura mientras esté vigente la suscripción del Cliente más el período de retención post-cancelación especificado en la Política de Privacidad.
3. Naturaleza y finalidad del tratamiento
El tratamiento incluye, sin limitarse a:
- Almacenamiento, organización, estructuración y modificación de los datos.
- Consulta, uso, difusión interna en el Servicio y limitación.
- Eliminación o destrucción al fin del período de retención.
- Procesamiento por sub-encargados (ver sección 7).
4. Tipos de datos personales tratados
- Datos identificativos: nombre, apellido, DNI, CUIT/CUIL, fecha de nacimiento.
- Datos de contacto: email, teléfono, dirección.
- Datos laborales: cargo, sueldo, conceptos remunerativos, fecha de ingreso, liquidaciones.
- Documentación habilitante: licencias de conducir, LINTI, VTV, seguros (cargadas como archivos).
- Datos sensibles (salud): libreta sanitaria / psicofísica del chofer, cuando el Cliente la cargue. Su tratamiento requiere el consentimiento expreso y por escrito del titular (art. 7 Ley 25.326), responsabilidad del Cliente.
- Datos operativos: viajes, vehículos asignados, ubicaciones de origen/destino (sin GPS en tiempo real).
5. Categorías de titulares de datos
- Choferes (empleados o subcontratistas del Cliente).
- Clientes y proveedores del Cliente.
- Miembros del equipo del Cliente (usuarios de la app).
6. Obligaciones del Encargado (Datalogía)
Datalogía se obliga a:
- Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Cliente (los Términos y esta DPA constituyen tales instrucciones).
- Garantizar que las personas autorizadas a tratar los datos se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
- Adoptar las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad apropiado al riesgo (ver sección 8).
- No subcontratar el tratamiento a terceros sin previa autorización del Cliente, salvo los sub-encargados ya identificados en sección 7.
- Asistir al Cliente en el cumplimiento de las solicitudes de ejercicio de derechos por parte de los titulares.
- Asistir al Cliente en el cumplimiento de obligaciones de notificación de violaciones de seguridad.
- Devolver o eliminar los datos personales al fin del Servicio según el Cliente elija (default: eliminación a los 60 días post-cancelación).
- Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de las obligaciones aquí establecidas.
7. Sub-encargados autorizados
El Cliente autoriza expresamente a Datalogía a usar los siguientes sub-encargados para la prestación del Servicio:
| Sub-encargado | Servicio | Ubicación |
|---|---|---|
| Supabase Inc. | Base de datos + storage de archivos | USA (regional) |
| Vercel Inc. | Hosting de la aplicación + serverless functions | USA (regional) |
| Resend Inc. | Envío de emails transaccionales | USA |
| Mercado Pago S.R.L. | Procesamiento de pagos | Argentina |
| Google LLC (Gemini / Vertex AI) | Modelo LLM del asistente Dato | USA |
| Functional Software Inc. (Sentry) | Monitoreo de errores y performance | USA |
| Plausible Analytics | Analítica web privacy-friendly (sin cookies/PII) | UE (Alemania) |
| Cloudflare Inc. | Anti-bot Turnstile en signup + CDN | USA |
| Upstash Inc. | Rate limiting (Redis) en endpoints públicos | USA |
Datalogía notificará al Cliente con anticipación razonable cualquier cambio o adición a esta lista. Si el Cliente se opone razonablemente al cambio, podrá cancelar el Servicio sin penalidad.
7.bis Transferencias internacionales de datos
Varios sub-encargados procesan datos en jurisdicciones distintas de Argentina, principalmente Estados Unidos y la Unión Europea. La AAIP no reconoce a EE.UU. como país con nivel adecuado de protección bajo la Disp. 60-E/2016 (sí reconoce a la UE).
Para legitimar las transferencias a sub-encargados en EE.UU., Datalogía:
- Suscribe cláusulas contractuales tipo (Standard Contractual Clauses) adaptadas al esquema argentino con cada proveedor que las ofrece (Supabase, Vercel, Resend, Sentry, Cloudflare, Upstash).
- En el caso de Google (LLMs), aplica los términos de procesamiento de datos publicados en Google Cloud DPA.
- Mercado Pago opera en Argentina — no implica transferencia internacional.
- Plausible Analytics opera en UE (Alemania), país con nivel adecuado reconocido por la AAIP.
Copia de las cláusulas contractuales tipo puede solicitarse a [email protected] para compliance interno.
8. Medidas de seguridad
Datalogía implementa las siguientes medidas técnicas y organizativas:
8.1 Técnicas
- Cifrado en tránsito (HTTPS/TLS) en toda la app.
- Cifrado en reposo (Supabase storage encryption).
- Aislamiento por empresa en la base de datos vía Row Level Security (RLS).
- Buckets de storage privados con URLs firmadas de acceso (signed URLs).
- Validación HMAC SHA-256 de webhooks de Mercado Pago para evitar spoofing.
- Backups automáticos diarios (Supabase Pro PITR).
- Hardening DDL: REVOKE explícito de funciones internas, search_path explícito, validators de FKs entre empresas.
- Audit log de operaciones críticas (cambios de rol, eliminaciones, cambios de plan).
- Rate limiting en endpoints sensibles (uploads, chatbot).
8.2 Organizativas
- Acceso a datos de Clientes restringido al personal autorizado bajo deber de confidencialidad.
- Política de gestión de incidentes (notificación al Cliente dentro de las 72hs en caso de violación de seguridad confirmada).
- Revisión periódica de logs de acceso y advisors de seguridad (Supabase Security Advisor).
- Los cambios de código pasan por verificación automatizada (CI) antes de publicarse.
9. Notificación de violaciones
En caso de violación de la seguridad de los datos personales confirmada, Datalogía notificará al Cliente sin dilación indebida y a más tardar dentro de las 72 horas posteriores a la confirmación de la violación, proporcionando:
- Naturaleza de la violación.
- Categorías y número aproximado de titulares afectados.
- Categorías y número aproximado de registros afectados.
- Consecuencias probables.
- Medidas tomadas o propuestas para mitigar la violación.
- Punto de contacto para más información.
10. Asistencia al Cliente
Datalogía asistirá al Cliente, en la medida razonable, en:
- Atender solicitudes de ejercicio de derechos de los titulares (acceso, rectificación, supresión, oposición, portabilidad).
- Realizar evaluaciones de impacto sobre la protección de datos (DPIA) cuando sean requeridas.
- Consultas previas con la AAIP cuando sean requeridas.
11. Auditoría
El Cliente puede solicitar, con aviso previo razonable de al menos 30 días, información sobre las medidas técnicas y organizativas implementadas por Datalogía. Las auditorías directas son posibles pero quedan sujetas a costo del Cliente y coordinación con Datalogía para no afectar la operación normal del Servicio.
12. Eliminación o devolución de datos
Al fin del Servicio (cancelación por cualquier causa), el Cliente puede:
- Exportar todos sus datos en formato CSV/XLSX desde la app.
- Solicitar la eliminación inmediata de todos sus datos escribiendo a [email protected] (default: 60 días post-cancelación).
13. Ley aplicable
Este DPA se rige por la Ley 25.326 de Protección de Datos Personales de la República Argentina y normas complementarias (especialmente las Disposiciones de la AAIP).
14. Disposiciones finales
Este DPA es un anexo y forma parte integral de los Términos y Condiciones de Uso del Servicio. En caso de conflicto entre ambos, prevalecerá lo establecido en este DPA respecto del tratamiento de datos personales.