Política de Privacidad

1.Responsable del Tratamiento

El responsable del tratamiento de tus datos es Tomás Pessagno (titular a nombre individual mientras se constituye la sociedad), con domicilio en Ciudad Autónoma de Buenos Aires, Argentina, operando bajo la marca "Tarasca". Para cualquier consulta sobre esta política o el ejercicio de tus derechos (acceso, rectificación, cancelación u oposición), podés escribirnos a privacidad@tarasca.app.

Estado de constitución societaria: Tarasca está en proceso de constitución como persona jurídica. Una vez finalizado el trámite, esta sección se actualizará con razón social, CUIT y domicilio fiscal definitivos, y se notificará el cambio mediante banner en la app y email a usuarios registrados con al menos 30 días de anticipación.

Tarasca registrará su base de datos personales ante la Agencia de Acceso a la Información Pública (AAIP) conforme exige la Ley Nº 25.326 y la Disposición DNPDP Nº 7/2010 una vez completada la constitución societaria. Mientras tanto, las obligaciones de la Ley 25.326 se cumplen igual a título individual del responsable.

2.Datos que Recopilamos

Recopilamos los siguientes datos, según el tipo de uso del Servicio:

2.1 · Datos de cuenta

• Dirección de email y contraseña cifrada (hash) almacenadas vía Supabase Auth.
• Tokens de sesión y, cuando corresponda, registros de inicio de sesión por magic link.

2.2 · Datos del negocio

• Nombre comercial, CUIT, industria y otros datos identificatorios cargados en el alta.
• Ciudad, dirección y, opcionalmente, coordenadas geográficas (latitud/longitud) cuando habilitás funcionalidades climáticas o de promociones contextuales.

2.3 · Datos transaccionales y operativos

• Ingresos, egresos, transacciones, movimientos de caja, productos, niveles de stock, precios, márgenes, gastos fijos, suscripciones y cuentas a cobrar/pagar.
• Contactos comerciales (clientes y proveedores): nombre, email, teléfono, dirección, CUIT y notas asociadas que vos cargues.
• Información sincronizada desde integraciones autorizadas por vos (por ejemplo, MercadoPago: pagos, devoluciones, identificadores de operación, fechas, montos, descripciones).
• Comprobantes y archivos que cargues para procesamiento por OCR (ver §3.2). Los archivos no se almacenan en nuestra infraestructura: se transmiten al motor de OCR seleccionado y se descartan una vez procesados; conservamos solo los datos estructurados extraídos (proveedor, ítems, totales, IVA, etc.).
• Archivos Excel o CSV que importes en el onboarding o desde la pestaña correspondiente. Se procesan en memoria; conservamos las filas resultantes como transacciones, no el archivo original.

2.4 · Datos de uso, técnicos y de auditoría

• Dirección IP, user agent, identificadores de dispositivo y logs de errores.
• Registro de acciones sensibles (alta y baja de miembros del equipo, edición de caja, cancelación de suscripción, eliminación de cuenta, conexiones OAuth, etc.) con fines de seguridad, auditoría y prevención de fraude.
• Estado de tareas asíncronas (jobs de OCR, categorización, análisis, importación) con sus resultados resumidos y, si aplica, mensajes de error.

2.5 · Datos derivados

• Métricas y patrones generados por el Servicio: cálculos derivados, alertas operativas, registros de sugerencias y recomendaciones, categorizaciones automáticas, proyecciones y otros resultados del procesamiento.

Los datos sensibles en términos de la Ley 25.326 (datos médicos, religiosos, afiliación sindical, ideología, vida sexual, etc.) no son recopilados por Tarasca, salvo que vos los cargues voluntariamente en campos de texto libre, en cuyo caso se almacenarán como datos transaccionales bajo las mismas medidas de seguridad que el resto.

Tarasca no recibe ni almacena datos completos de tarjetas de crédito, débito ni de cuentas bancarias. Los pagos se procesan exclusivamente en plataformas autorizadas (MercadoPago), bajo sus propios estándares de seguridad PCI-DSS.

3.Finalidad del Tratamiento

3.1 · Operación del Servicio

Tus datos se utilizan para:

• Autenticarte y mantener sesiones seguras.
• Mostrarte dashboards, reportes y análisis sobre tu propio negocio.
• Sincronizar información desde plataformas de pago autorizadas por vos.
• Permitir la colaboración con miembros de tu equipo bajo permisos granulares.
• Cumplir con obligaciones legales y prevenir usos indebidos del Servicio.

3.2 · Inteligencia artificial

Tarasca incorpora funcionalidades basadas en modelos de inteligencia artificial (IA) provistos por terceros. Para que estas funcionalidades operen, enviamos a los proveedores de IA los datos estrictamente necesarios. Concretamente:

• OCR de comprobantes: al subir un PDF o imagen de factura, su contenido se envía a Anthropic, PBC (Claude) y/o Google LLC (Document AI / Gemini) para extraer datos estructurados (proveedor, CUIT, ítems, totales, IVA). El archivo no se persiste.
• Categorización automática de transacciones: enviamos descripción, monto, fecha y categoría sugerida en lotes para que el modelo asigne una categoría.
• Funcionalidades de análisis e inteligencia comercial: para producir insights, recomendaciones, sugerencias y otros resultados derivados, enviamos a los proveedores de IA un subconjunto resumido de la información cargada por el Usuario al Servicio (transacciones, productos, datos de empresa y similares).
• Funcionalidades conversacionales basadas en IA: el historial del intercambio y un contexto resumido de la cuenta del Usuario se envían al proveedor de IA en cada consulta para generar la respuesta correspondiente.

Los proveedores de IA tienen prohibido contractualmente usar tus datos para entrenar sus modelos generales. Habilitamos las opciones de retención cero y opt-out de entrenamiento ofrecidas por cada proveedor. Aun así, los datos enviados pueden ser temporalmente cacheados por el proveedor con fines de seguridad y abuso conforme sus propias políticas. Si querés desactivar las funciones de IA en tu cuenta, escribinos a privacidad@tarasca.app.

3.3 · Datos disociados y agregados

Conforme al artículo 28 de la Ley Nº 25.326 y a la Disposición AAIP 60/2016, los datos disociados —es decir, aquellos que no permiten identificar al titular mediante técnicas razonables— quedan fuera del régimen de protección aplicable a los datos personales y pueden ser tratados por Tarasca sin necesidad de consentimiento adicional.

A los efectos de la operación, mejora, evaluación, análisis estadístico y desarrollo del Servicio (incluyendo el desarrollo de nuevas funcionalidades, informes internos, documentación técnica y otros usos legítimos del responsable del tratamiento), Tarasca podrá generar, almacenar, procesar y utilizar de manera indefinida datos agregados, estadísticos, anonimizados o disociados derivados de la información que el Usuario carga al Servicio, así como de los metadatos de uso. Estos datos no permitirán identificar individualmente al Usuario ni a su empresa.

Cuando se construyan agregados estadísticos a partir de información de múltiples Usuarios, aplicaremos por diseño técnicas de protección estadística (entre otras, umbrales mínimos de cohorte) que impiden la re-identificación. Tarasca no expone, cede ni transfiere a terceros información individual identificable de un Usuario a otro Usuario.

Si el Usuario desea que la información asociada a su cuenta no sea utilizada para la generación de los agregados descriptos en este apartado, puede solicitarlo escribiendo a privacidad@tarasca.app.

3.4 · Comunicaciones

Te enviamos avisos operativos (verificación de email, alertas de seguridad, recordatorios de pago, notificaciones de webhooks de MercadoPago) y, eventualmente, novedades del producto. Podés darte de baja de comunicaciones no esenciales en cualquier momento.

Comunicaciones automatizadas: ciertas funcionalidades del Servicio pueden generar y enviar al Usuario, en forma periódica o bajo demanda, comunicaciones automatizadas con información derivada de su propia cuenta. Estas comunicaciones se procesan conforme a §3.2. El Usuario puede desactivar las comunicaciones no esenciales desde la Configuración del Servicio o escribiéndonos a privacidad@tarasca.app.

No vendemos, alquilamos ni cedemos tus datos a terceros con fines publicitarios o de marketing externo.

4.Encargados del Tratamiento (Subprocesadores)

Para prestar el Servicio utilizamos los siguientes proveedores tecnológicos, que actúan como encargados del tratamiento bajo acuerdos contractuales de confidencialidad y seguridad. La lista se mantiene actualizada y los cambios significativos se notifican con anticipación razonable.

• Supabase, Inc. (Estados Unidos / UE) — base de datos PostgreSQL, autenticación y almacenamiento de archivos.
• Vercel, Inc. (Estados Unidos) — alojamiento, CDN, ejecución de funciones serverless y crons del backend.
• Anthropic, PBC (Estados Unidos) — modelos de inteligencia artificial (familia Claude) para procesamiento de documentos, categorización, generación de recomendaciones y análisis automatizado.
• Google LLC (Estados Unidos / UE) — servicios de procesamiento de documentos (Google Document AI) y modelos generativos (Google Generative AI / Gemini) para funcionalidades automatizadas y conversacionales del Servicio.
• Mercado Libre S.R.L. / MercadoPago (Argentina) — integración de cobros (suscripciones y pagos puntuales) y sincronización de movimientos. Se conecta únicamente si vos autorizás el OAuth.
• OpenWeather Ltd. (Reino Unido) — datos meteorológicos para sugerencias contextuales y widget del clima.
• Resend, Inc. (Estados Unidos) — envío de emails transaccionales (alta de cuenta, recuperación de contraseña, invitaciones de equipo, alertas operativas).
• Mixpanel, Inc. (Estados Unidos) — analítica de uso del producto y grabación de sesiones del cliente para mejorar el Servicio. Inputs sensibles (contraseñas, datos de pago, CUIT) están enmascarados por diseño y no se envían a Mixpanel. Detalle en §10.

Algunos de estos proveedores procesan datos fuera de Argentina (principalmente Estados Unidos y Unión Europea). Las transferencias internacionales se efectúan bajo el siguiente marco legal del art. 12 de la Ley Nº 25.326 y la Disposición DNPDP Nº 60/2016:

• Para Unión Europea: país considerado con nivel adecuado de protección conforme la Disposición DNPDP Nº 60/2016 anexo II.
• Para Estados Unidos y Reino Unido: transferencias amparadas en cláusulas contractuales modelo (Modelo Contrato Tipo Anexo II Disp. 60/2016) firmadas con cada subprocesador, complementadas con compromisos de confidencialidad y medidas técnicas de seguridad equivalentes.
• Tu consentimiento expreso al aceptar estos Términos y esta Política habilita la transferencia para la prestación del Servicio (art. 12 inc. 2.e Ley 25.326).

Si querés acceder a las cláusulas modelo o solicitar más detalles del marco de transferencia de un proveedor en particular, escribinos a privacidad@tarasca.app.

5.Integración con MercadoPago

Si conectás tu cuenta de MercadoPago (paso opcional), Tarasca recibe y almacena tokens de acceso (OAuth) cifrados con AES-256-GCM. El alcance habilitado por el OAuth incluye acceso de lectura a tus pagos, devoluciones y suscripciones, y la posibilidad de iniciar cobros que vos autorices expresamente.

Validamos la firma HMAC-SHA256 de cada notificación recibida para evitar suplantación. Podés desconectar la integración en cualquier momento desde Configuración → Integraciones; al hacerlo se invalidan los tokens almacenados y se detiene la sincronización.

6.Conservación de los Datos

Conservamos tus datos mientras tu cuenta esté activa y mientras sean necesarios para las finalidades descritas. Aplicamos los siguientes plazos de referencia:

• Datos de empresa, transacciones, productos, contactos: mientras la cuenta esté activa. Si solicitás la baja, se conservan hasta treinta (30) días para permitir recuperación, y luego se eliminan en forma definitiva.
• Logs técnicos y de auditoría: hasta doce (12) meses con fines de seguridad, debugging y prevención de fraude.
• Resultados de jobs de IA (OCR, categorización, análisis): hasta noventa (90) días; se eliminan automáticamente por una tarea programada.
• Webhooks recibidos de MercadoPago: hasta noventa (90) días con fines de conciliación.
• Tokens de OAuth y suscripciones: mientras la integración esté activa o hasta su revocación; se eliminan al desconectar la integración.

Podemos conservar ciertos datos por períodos mayores cuando exista una obligación legal (por ejemplo, registros contables o requerimientos judiciales) o sea necesario para la defensa de derechos en sede administrativa o judicial.

7.Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:

• Cifrado TLS en tránsito y AES-256 en reposo.
• Aislamiento por Row Level Security (RLS) a nivel de base de datos: cada empresa solo accede a sus propios datos.
• Tokens de OAuth (MercadoPago) cifrados con AES-256-GCM antes de almacenarse.
• Validación de firma HMAC en webhooks de pagos.
• Logs auditables de acciones sensibles.
• Rate limiting, headers de seguridad, monitoreo de anomalías y rotación de secretos.
• Acceso interno restringido al personal estrictamente necesario y bajo principio de mínimo privilegio.

Ningún sistema es completamente invulnerable. Ante un incidente de seguridad que comprometa datos personales, notificaremos a los usuarios afectados y a la AAIP en un plazo razonable y dentro de los plazos exigidos por la normativa aplicable.

8.Equipos de Trabajo y Multi-tenencia

El Servicio permite que un administrador invite a empleados o colaboradores a su empresa, asignándoles permisos granulares (lectura/escritura sobre transacciones, productos, clientes, caja, etc.). El administrador es el único responsable de la gestión de invitaciones, permisos y bajas.

Los empleados solo acceden a los datos de la empresa a la que fueron invitados, y únicamente a los módulos cuyo permiso fue habilitado. Los miembros del equipo pueden ser eliminados en cualquier momento desde Configuración → Equipo; al hacerlo se revoca su acceso de manera inmediata.

8.1 · Registro de auditoría (acciones de empleados)

Cuando un miembro del equipo realiza una acción sensible (alta o baja de empleados, modificación de permisos, conexión/desconexión de MercadoPago, eliminación de cuenta, accesos denegados, entre otros), Tarasca registra esa acción en un log de auditoría junto con el email del usuario, la fecha/hora, la dirección IP de la solicitud y el user-agent. Estos registros sólo son accesibles para el administrador de la empresa y para el equipo de soporte de Tarasca cuando exista una investigación legítima. Los empleados, al aceptar la invitación, prestan conformidad expresa con el registro de su actividad.

8.2 · Datos de tus clientes (rol del Usuario como responsable)

El Servicio te permite cargar y administrar datos de tus propios clientes y proveedores (nombre, CUIT, email, teléfono, dirección, notas, transacciones asociadas). Respecto de esos datos:

• Vos sos el responsable del tratamiento frente a esas personas (titulares); Tarasca actúa como encargado en los términos del art. 25 de la Ley 25.326.
• Te comprometés a recolectar esos datos cumpliendo tus propias obligaciones legales (consentimiento del titular cuando corresponda, principio de finalidad, calidad y confidencialidad), y a tener informados a tus clientes sobre el uso del Servicio para gestionar sus datos.
• Tarasca procesa esos datos exclusivamente para prestarte el Servicio según tus instrucciones, no los utiliza para otra finalidad ni los comparte con terceros que no sean los subprocesadores indicados en §4.
• Cuando un titular ejerza derechos ARCO frente a vos respecto de datos cargados en Tarasca, podés gestionarlos directamente desde la app (rectificación, supresión, exportación). Tarasca colaborará razonablemente ante requerimientos formales.

9.Tus Derechos (ARCO)

Conforme a la Ley 25.326, podés ejercer en cualquier momento los derechos de:

• Acceso a tus datos personales y a una copia exportable.
• Rectificación de datos inexactos o incompletos.
• Supresión de tus datos (eliminación de cuenta).
• Oposición al tratamiento para finalidades específicas (entre otras, procesamiento por IA o generación de agregados estadísticos descripta en §3.3).

La mayor parte de estos derechos se pueden ejercer directamente desde Configuración → Mi cuenta, incluyendo la exportación y eliminación total de la cuenta. También podés escribir a privacidad@tarasca.app y responderemos dentro de un plazo no mayor a diez (10) días hábiles.

Asimismo, tenés derecho a presentar reclamos ante la Agencia de Acceso a la Información Pública (AAIP), organismo de control en materia de protección de datos personales en la República Argentina.

10.Cookies, Analíticas y Tecnologías Similares

Utilizamos cookies estrictamente necesarias para el funcionamiento del Servicio (sesión, preferencias de UI, anti-CSRF). No utilizamos cookies publicitarias de terceros ni rastreadores cross-site.

Analítica de uso del producto. Para entender cómo se usa Tarasca y mejorar el Servicio utilizamos Mixpanel (Mixpanel, Inc., Estados Unidos), que registra eventos de interacción anónimos o asociados al ID interno del Usuario (clicks, navegación, tiempo en pantalla) y, opcionalmente, una grabación de la sesiónque reproduce visualmente la interacción del Usuario con el dashboard. Estos datos se utilizan exclusivamente para análisis interno (detectar errores, medir uso de funcionalidades, mejorar UX) y no se ceden con fines publicitarios.

Por diseño, las grabaciones de sesión enmascaran inputs sensibles (campos de contraseña, tarjetas, CUIT) que nunca se envían a Mixpanel ni quedan visibles en la reproducción. La transferencia internacional a Estados Unidos se realiza bajo el marco descripto en §4 (subprocesadores).

Si querés desactivar la analítica para tu cuenta, escribinos a privacidad@tarasca.app.

11.Menores de Edad

El Servicio está dirigido exclusivamente a personas mayores de 18 años. No recopilamos a sabiendas datos de menores. Si tomás conocimiento de que un menor nos proporcionó datos, contactanos para eliminarlos de inmediato.

11.bis.Versionado del Consentimiento

Cuando aceptás estos Términos al crear tu cuenta, registramos la fecha y hora exactas y la versión del documento que aceptaste. Estos datos se guardan en tu propio user metadata (Supabase Auth) y son auditables.

Podés solicitar una copia de tu registro de consentimiento escribiendo a privacidad@tarasca.app. Cuando publiquemos una nueva versión de estos Términos o de la Política de Privacidad que afecte materialmente al Usuario, lo notificaremos por email con anticipación mínima de treinta (30) días (ver §12 de los Términos) y requerirá nueva aceptación expresa antes de continuar usando el Servicio.

12.Modificaciones de esta Política

Esta política puede actualizarse para reflejar cambios en el Servicio, su stack tecnológico o la normativa aplicable. Los cambios significativos se comunicarán por email y/o mediante un aviso visible en el Servicio antes de su entrada en vigencia.

13.Contacto

Para consultas o ejercicio de derechos: privacidad@tarasca.app. Para soporte general: hola@tarasca.app.