Politica de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recopilados a traves de VAgro es Rodrigo Piston SAS, sociedad por acciones simplificada constituida en la Republica Oriental del Uruguay, con domicilio en Montevideo, Uruguay.

Para cualquier consulta relacionada con la proteccion de sus datos personales, puede contactarnos en contacto@valtiant.com.

2. Datos que recopilamos

Datos personales

Al registrarse y utilizar VAgro, recopilamos los siguientes datos personales:

• Nombre completo y correo electronico.
• Nombre de la empresa u organizacion, pais y cargo.
• Numero de telefono (opcional).
• Imagen de perfil (proporcionada directamente o a traves de proveedores de autenticacion externos como Google).
• Informacion de facturacion (procesada por proveedores de pago externos; ver seccion 6).

Datos de autenticacion

Segun el metodo de inicio de sesion que el usuario elija, recopilamos:

• Credenciales directas: Email y contrasena (almacenada en forma cifrada mediante bcrypt; nunca se almacena en texto plano).
• Google OAuth: Email, nombre y foto de perfil proporcionados por Google. No almacenamos la contrasena de Google ni accedemos a otros datos de la cuenta Google del usuario.

Datos de uso

Recopilamos automaticamente informacion sobre el uso de la plataforma:

• Direccion IP y tipo de navegador.
• Paginas visitadas y funcionalidades utilizadas.
• Fecha, hora y duracion de las sesiones.
• Tipo de dispositivo y sistema operativo.

Datos de organizacion

VAgro opera con un modelo multi-organizacion. Al crear o unirse a una organizacion, recopilamos:

• Nombre de la organizacion, pais y moneda predeterminada.
• Relacion del usuario con la organizacion (rol, permisos, fecha de ingreso).
• Invitaciones enviadas y recibidas (email del destinatario, rol asignado, estado).

Cookies

Utilizamos cookies esenciales para el funcionamiento del servicio y cookies analiticas sujetas a su consentimiento. Para mas informacion, consulte nuestra Politica de Cookies.

3. Base legal del tratamiento

El tratamiento de datos personales se realiza conforme a las siguientes normativas:

• Uruguay: Ley N.o 18.331 de Proteccion de Datos Personales y Accion de Habeas Data, Decreto reglamentario 414/009, Ley 19.670 (modernizacion), Decreto 64/020 (responsabilidad proactiva) y Ley 20.075 (ampliacion de obligaciones informativas). La Unidad Reguladora y de Control de Datos Personales (URCDP) es el organo de control competente.
• Argentina: Ley N.o 25.326 de Proteccion de Datos Personales, Decreto reglamentario 1558/2001 y disposiciones de la Agencia de Acceso a la Informacion Publica (AAIP).

Las bases legales especificas para cada tipo de tratamiento son:

4. Uso de los datos

Los datos recopilados se utilizan para:

• Proveer, mantener y mejorar el servicio de VAgro.
• Gestionar cuentas de usuario, organizaciones y autenticacion (incluyendo inicio de sesion con Google).
• Gestionar invitaciones a organizaciones y el onboarding de nuevos usuarios.
• Procesar pagos y facturacion a traves de proveedores externos.
• Enviar notificaciones operativas relacionadas con el servicio.
• Proporcionar soporte tecnico al usuario.
• Generar estadisticas de uso agregadas y anonimizadas para mejorar la plataforma (sujeto a consentimiento para cookies analiticas).
• Cumplir con obligaciones legales y regulatorias.
• Proteger la seguridad de la plataforma y prevenir actividades fraudulentas.

5. Autenticacion y proveedores externos

VAgro ofrece multiples metodos de autenticacion:

• Email y contrasena: Credenciales almacenadas de forma segura con cifrado bcrypt.
• Google OAuth: Autenticacion delegada a Google. VAgro recibe unicamente el nombre, email y foto de perfil del usuario.

Cuando un usuario inicia sesion con Google utilizando un email que ya tiene una cuenta existente en VAgro, las cuentas se vinculan automaticamente. Esto permite al usuario acceder con cualquiera de los dos metodos (contrasena o Google) a la misma cuenta y datos.

No almacenamos tokens de acceso de Google mas alla de la sesion de autenticacion. No accedemos a contactos, calendario, archivos u otros datos de la cuenta Google del usuario.

6. Sub-procesadores y proveedores terceros

Para la prestacion del servicio, compartimos datos con los siguientes proveedores terceros:

MercadoPago actua como controlador independiente para los datos de pago. Los datos de tarjeta de credito o debito son procesados directamente por MercadoPago y nunca pasan por los servidores de VAgro.

Para una lista detallada y actualizada de nuestros sub-procesadores, visite nuestra pagina de Sub-procesadores. Puede suscribirse para recibir notificaciones cuando se agreguen o modifiquen sub-procesadores.

7. Transferencia internacional de datos

Los datos personales pueden ser transferidos y procesados en paises fuera de Uruguay y Argentina. Las transferencias se realizan con las siguientes garantias:

• Brasil (Supabase/AWS): Transferencia amparada por clausulas contractuales tipo aprobadas por la URCDP (Resolucion 41/021, modelo RIPD) y la AAIP (Resolucion 198/2023).
• Estados Unidos (Google, Resend): Para Uruguay, transferencia amparada por la certificacion de los proveedores bajo el EU-US Data Privacy Framework, conforme a la Resolucion URCDP 70/023. Para Argentina, transferencia amparada por clausulas contractuales tipo.

En todos los casos, nos aseguramos de que los proveedores ofrezcan niveles adecuados de proteccion de datos y que existan garantias contractuales apropiadas conforme a la legislacion aplicable.

8. Almacenamiento y retencion

Los datos se almacenan en servidores seguros ubicados en la region de Sudamerica (sa-east-1) proporcionados por Amazon Web Services a traves de Supabase.

Los periodos de retencion varian segun el tipo de dato:

• Datos de cuenta: Mientras la cuenta este activa y durante 30 dias adicionales tras la cancelacion.
• Datos de facturacion y registros contables: 5 anos desde la fecha de la transaccion, conforme a la legislacion fiscal aplicable.
• Registros de acceso y seguridad: 12 meses.
• Datos de analitica: 26 meses (configuracion predeterminada de Google Analytics 4).
• Copias de seguridad: 90 dias.
• Datos post-cancelacion para exportacion: 30 dias, durante los cuales el usuario puede solicitar una exportacion.

Tras los periodos indicados, los datos son eliminados de forma segura salvo que exista una obligacion legal de conservarlos por un periodo mayor.

9. Cookies

VAgro utiliza cookies esenciales para el funcionamiento del servicio y cookies analiticas sujetas a su consentimiento. Las cookies analiticas solo se activan si usted las acepta expresamente a traves de nuestro banner de cookies.

Para informacion completa sobre las cookies que utilizamos, sus propositos, duracion y como gestionarlas, consulte nuestra Politica de Cookies.

10. Derechos de los titulares (ARCO)

De acuerdo con la legislacion vigente, los usuarios tienen los siguientes derechos sobre sus datos personales:

• Acceso: Solicitar informacion sobre los datos personales que poseemos.
• Rectificacion: Corregir datos inexactos o incompletos.
• Cancelacion/Supresion: Solicitar la eliminacion de datos personales cuando ya no sean necesarios para la finalidad para la que fueron recopilados.
• Oposicion: Oponerse al tratamiento de datos para fines especificos.
• Portabilidad: Solicitar la exportacion de sus datos en un formato estandar (CSV o JSON).

Para ejercer estos derechos, contacte a contacto@valtiant.com.

Plazos de respuesta: En Uruguay, responderemos dentro de los 5 dias habiles siguientes a la recepcion de la solicitud (Arts. 14-15, Ley 18.331). En Argentina, responderemos dentro de los 10 dias habiles (Art. 14, Ley 25.326). Si no recibe respuesta dentro de estos plazos, tiene derecho a interponer una accion de habeas data ante los tribunales competentes.

11. Rol como procesador de datos

VAgro opera con un rol dual respecto a los datos personales:

• Responsable (controlador): Rodrigo Piston SAS es responsable del tratamiento de los datos de los usuarios de la plataforma (datos de registro, autenticacion, uso y facturacion).
• Encargado (procesador): Cuando los usuarios ingresan datos de sus propios clientes (productores, distribuidores, contactos), Rodrigo Piston SAS actua como encargado del tratamiento y el usuario como responsable.

En su rol de encargado, Rodrigo Piston SAS:

• Solo procesa los datos conforme a las instrucciones del usuario y para la prestacion del servicio.
• No utiliza los datos de clientes del usuario para fines propios ni los comparte con terceros.
• Implementa medidas tecnicas y organizativas para proteger dichos datos.
• Notifica al usuario sin demora injustificada en caso de incidentes de seguridad que afecten sus datos.
• Mantiene los datos aislados por organizacion — los datos de una organizacion no son visibles ni accesibles por otra.
• Elimina o devuelve los datos al finalizar la relacion contractual, segun la preferencia del usuario.

El usuario es responsable de obtener los consentimientos necesarios de sus propios clientes para el tratamiento de sus datos a traves de la plataforma. Para clientes de planes Professional y Enterprise, ofrecemos un Acuerdo de Procesamiento de Datos (DPA) dedicado.

12. Seguridad

Implementamos medidas de seguridad tecnicas y organizativas para proteger los datos personales, incluyendo:

• Cifrado de datos en transito (TLS/HTTPS) y en reposo (AES-256).
• Autenticacion basada en tokens JWT con expiracion configurable.
• Autenticacion con Google OAuth como opcion adicional segura.
• Sistema de roles y permisos granulares por organizacion con Row Level Security (RLS).
• Indicador de fortaleza de contrasena y requisitos minimos de complejidad (8 caracteres, una mayuscula, un numero).
• Limitacion de tasa (rate limiting) en endpoints de la API y verificacion de disponibilidad de email.
• Validacion y sanitizacion de todas las entradas del usuario.
• Auditorias periodicas de seguridad.

Para mas informacion sobre nuestras practicas de seguridad, visite nuestra pagina de seguridad.

13. Notificacion de incidentes de seguridad

En caso de un incidente de seguridad que afecte datos personales, nos comprometemos a:

• Notificar a la URCDP dentro de las 72 horas siguientes al conocimiento del incidente, conforme al Decreto 64/020.
• Notificar a los titulares afectados sin demora injustificada cuando el incidente pueda afectar significativamente sus derechos.
• En el caso de datos de organizaciones clientes (rol de encargado), notificar al usuario responsable de forma inmediata.

La notificacion incluira: la naturaleza del incidente, los datos potencialmente afectados, las medidas adoptadas para mitigar el impacto y un punto de contacto para obtener mas informacion.

14. Decisiones automatizadas y perfilado

Actualmente, VAgro no utiliza sistemas de toma de decisiones automatizadas ni realiza perfilado que produzca efectos juridicos o que afecte significativamente a los usuarios. Si en el futuro se implementaran funcionalidades de este tipo, se informara a los usuarios y se obtendra el consentimiento correspondiente cuando sea legalmente requerido.

15. Menores de edad

VAgro es una plataforma dirigida exclusivamente a empresas y profesionales. No esta destinada a menores de 18 anos y no recopilamos intencionalmente datos personales de menores. Si tomamos conocimiento de que hemos recopilado datos de un menor de 18 anos, procederemos a eliminarlos de forma inmediata. Si usted es padre, madre o tutor y cree que su hijo nos ha proporcionado datos personales, contactenos a contacto@valtiant.com.

16. Cambios a esta politica

Rodrigo Piston SAS se reserva el derecho de actualizar esta politica de privacidad. Los cambios sustanciales seran notificados a los usuarios a traves de la plataforma o por correo electronico con al menos 15 dias de anticipacion. La fecha de ultima actualizacion se indica al inicio de este documento. Le recomendamos revisar esta politica periodicamente.