Saltar al contenido
incluki
Legal

Política de privacidad

Versión 2.0 · Última actualización: 26 de abril de 2026

1. Quién es el responsable

El responsable del tratamiento de los datos personales recolectados a través de https://incluki.com y la aplicación incluki es Adrián Darío García Georgel, titular de la marca incluki (monotributista, CUIT 20-36591502-5), con domicilio en Mendoza, Argentina. Para consultas sobre esta política podés escribir a hola@incluki.com.

2. Qué datos recolectamos

Recolectamos solo los datos necesarios para prestar el servicio:

  • Datos de cuenta: nombre completo, email, contraseña (hasheada con bcrypt), rol (familia / docente / coordinadora / obra social / transportista / admin).
  • Perfil profesional (docentes y coordinadoras): matrícula, título, especialidades, CUIT, obras sociales aceptadas, foto de perfil.
  • Datos del alumno (cargados por la familia): nombre, fecha de nacimiento, diagnóstico, número de CUD, obra social. Estos datos son sensibles en los términos del art. 2 de la Ley 25.326 y se guardan cifrados.
  • Ubicación: dirección y/o coordenadas GPS aproximadas para mostrar resultados por zona. Las familias nunca exponen su dirección exacta a terceros: mostramos una aproximación de ±500 metros.
  • Contenido generado: mensajes de chat, notas de sesión, reviews, solicitudes de reserva, documentación subida.
  • Datos técnicos: dirección IP, tipo de navegador, páginas visitadas, timestamps. Los usamos para seguridad (detección de fraude, rate limiting, monitoreo de errores con Sentry) y analítica agregada.
  • Datos de pago: solo de suscripciones (no de prestaciones entre familias y profesionales). La tarjeta nunca llega a nuestros servidores; la procesa Dodo Payments, que actúa como Merchant of Record (MoR) con sede en los Estados Unidos. Dodo emite el comprobante de la operación, retiene los impuestos correspondientes y nos liquida periódicamente. Nosotros guardamos únicamente el identificador de suscripción de Dodo, el plan contratado y los últimos 4 dígitos para mostrar en el detalle de tu cuenta.
  • Aceptación de políticas legales: al ingresar a la app guardamos tu aceptación de Términos, Privacidad y mayoría de edad con fecha, hora, IP y user-agent como evidencia legal (Ley 25.326 art. 5).

3. Para qué usamos tus datos

  • Operar la plataforma: autenticación, perfiles, búsqueda, chat, reservas.
  • Verificar profesionales: cruzamos matrícula con los registros públicos oficiales correspondientes antes de otorgar el sello "Verificada".
  • Facturación de suscripciones: emisión del comprobante por parte de Dodo Payments y control de pagos. Para docentes que emitan facturas a obras sociales o a incluki, también AFIP cuando corresponda.
  • Comunicaciones transaccionales: notificaciones de reserva, chat, alertas de sesión próxima, recibos, alertas de documentos por vencer. Estas no son opt-out: son necesarias para que el servicio funcione.
  • Comunicaciones comerciales (newsletter, novedades): solo si te suscribiste explícitamente. Podés darte de baja en cualquier email con un clic.
  • Mejora del producto: analítica agregada y anónima, monitoreo de errores con Sentry. No usamos datos individuales para entrenar modelos de IA propios o de terceros.

4. Con quién compartimos tus datos

Compartimos datos con terceros (encargados del tratamiento, art. 25 Ley 25.326) únicamente en la medida necesaria para prestar el servicio:

  • Railway (hosting del backend FastAPI y de la base de datos PostgreSQL, servidores en Estados Unidos / Unión Europea).
  • Supabase Storage (almacenamiento cifrado de archivos: fotos de perfil, firmas digitales, documentos, comprobantes de transferencia, exportaciones; servidores en Estados Unidos / Unión Europea).
  • Dodo Payments (procesamiento de suscripciones internacionales, Merchant of Record con sede en Estados Unidos).
  • Resend (envío de emails transaccionales y newsletter, servidores en Estados Unidos).
  • Sentry (monitoreo de errores y rendimiento, servidores en Estados Unidos / Unión Europea; los datos personales se filtran del payload).
  • AFIP (facturación electrónica, solo datos fiscales del docente que emite la factura a obra social o a incluki).
  • Autoridades públicas: únicamente cuando exista requerimiento legal fundado (orden judicial o administrativa con base legal explícita).

No vendemos tus datos a nadie. No los cedemos a anunciantes. No entrenamos modelos de terceros con ellos.

5. Dónde se guardan

La base de datos principal y los archivos almacenados se alojan en infraestructura de Railway y Supabase, con servidores que pueden estar localizados en Estados Unidos o en la Unión Europea. Los proveedores cuentan con cifrado en reposo y en tránsito, controles de acceso y backups diarios.

Estamos evaluando migrar a infraestructura argentina cuando los volúmenes lo justifiquen. Cualquier cambio relevante en la localización de tus datos se anuncia con al menos 30 días de anticipación.

6. Transferencias internacionales

Para prestarte el servicio necesitamos transferir parte de tus datos personales a países que la Agencia de Acceso a la Información Pública (AAIP) no ha declarado con nivel de protección adecuado. Esta transferencia se ampara en la Resolución 60-E/2016 AAIP, que admite la transferencia internacional cuando:

  • existe consentimiento informado del titular (vos, al aceptar esta política), o
  • la transferencia es necesaria para la ejecución del contrato de servicio entre vos y incluki, o
  • existen cláusulas contractuales modelo (CCM) entre incluki y el destinatario.

Detalle de transferencias actuales:

  • Dodo Payments (Estados Unidos) — datos de pago de suscripciones. Base legal: ejecución del contrato + consentimiento informado.
  • Supabase (Estados Unidos / Unión Europea) — archivos subidos por el usuario. Base legal: ejecución del contrato + cláusulas contractuales del proveedor.
  • Railway (Estados Unidos / Unión Europea) — datos de la base principal. Base legal: ejecución del contrato + cláusulas contractuales del proveedor.
  • Resend (Estados Unidos) — emails transaccionales y newsletter. Base legal: ejecución del contrato.
  • Sentry (Estados Unidos / Unión Europea) — telemetría de errores despersonalizada. Base legal: interés legítimo del responsable (seguridad y estabilidad).

En todos los casos, los proveedores se comprometen contractualmente a aplicar medidas de seguridad técnicas y organizativas equivalentes a las exigidas por la Ley 25.326. Si en algún momento querés oponerte a alguna de estas transferencias podés escribirnos a hola@incluki.com; tené presente que retirar el consentimiento puede impedir que sigas usando ciertas funciones (por ejemplo, los pagos de suscripción dependen de Dodo).

7. Cuánto tiempo los conservamos

  • Cuenta activa: mientras uses el servicio. Si pedís la baja desde /cuenta/datos-y-privacidad, anonimizamos tus datos personales en forma inmediata y borramos definitivamente lo que queda dentro de los 90 días, salvo lo que debamos conservar por obligación legal (facturación AFIP: 10 años; registros contables: 5 años).
  • Datos de navegación (logs técnicos): 180 días.
  • Historial educativo del alumno: se conserva mientras la familia tenga cuenta activa. Podés exportarlo en cualquier momento desde el panel de privacidad de la app antes de la baja definitiva.
  • Evidencia de aceptación de consentimientos legales: se conserva mientras exista la cuenta + 5 años, como prueba ante una eventual fiscalización (Ley 25.326 art. 5).

8. Cómo los protegemos

  • Cifrado TLS 1.3 en todas las comunicaciones.
  • Contraseñas hasheadas con bcrypt (nunca en texto plano).
  • JWT con firma y expiración corta (24 h). Tokens invalidados al cambiar contraseña.
  • Rate limiting en endpoints sensibles (login, registro, chat, uploads) para prevenir brute force.
  • Headers de seguridad (CSP, HSTS, X-Frame-Options, etc.).
  • Auditorías periódicas: OWASP Top 10, red team propio, análisis de dependencias con CVEs conocidos.
  • Copias de seguridad diarias y cifradas. Retención 30 días.
  • Monitoreo de errores y latencia 24/7 con Sentry; los reportes filtran datos personales del payload.

9. Tus derechos (ARCO)

Conforme a la Ley 25.326 tenés derecho a:

  • Acceso: pedir una copia de todos los datos que tenemos sobre vos. Podés descargar el ZIP completo de tus datos directamente desde /cuenta/datos-y-privacidad sin escribirnos.
  • Rectificación: corregir datos erróneos o incompletos desde el editor de tu perfil o por email.
  • Cancelación (supresión): pedir que borremos tus datos. Podés iniciar la baja vos mismo desde /cuenta/datos-y-privacidad: anonimizamos al instante y borramos en 90 días. Algunos datos quedan archivados por obligación legal (ej. facturación).
  • Oposición: negarte a determinados usos (por ejemplo, dejar de recibir comunicaciones comerciales).
  • Portabilidad: recibir tus datos en formato estructurado (JSON + archivos) para llevártelos a otra plataforma. Disponible en el mismo panel.

Si preferís hacerlo por email o tu caso requiere intervención manual, escribinos a hola@incluki.com. Tenemos 10 días hábiles para responder. Si considerás que no hemos cumplido, podés denunciar ante la Agencia de Acceso a la Información Pública (www.argentina.gob.ar/aaip), autoridad de aplicación de la Ley 25.326.

10. Cookies y almacenamiento del navegador

Usamos cookies y almacenamiento local del navegador para tres categorías:

  • Esenciales: mantenerte logueado (token JWT en localStorage), recordar el rol activo. No requieren consentimiento por ser necesarias para que el servicio funcione.
  • Preferencias: tu aceptación de cookies (clave ec_cookie_consent en localStorage). El banner discreto que ves la primera vez que entrás te permite aceptar o leer más. Mientras no aceptes el banner se vuelve a mostrar; una vez aceptado lo guardamos hasta que limpies el almacenamiento del navegador.
  • Analítica: Plausible Analytics (sin cookies de tracking individual, totalmente anónimo y agregado). Evaluamos integrar Umami autoalojado para reducir aún más dependencias externas.

No usamos Google Analytics ni píxeles de Facebook/Meta. Si querés retirar tu consentimiento al banner de cookies, borrá la clave ec_cookie_consent de localStorage desde la consola de tu navegador o usá la opción "borrar datos del sitio" del navegador; en la próxima visita el banner volverá a aparecer.

11. Niñas, niños y adolescentes (Resolución 47/2018 AAIP)

incluki es una plataforma para adultos. Las cuentas las crea y administra una persona mayor de 18 años (familia, profesional, coordinadora, transportista, obra social). Aplicamos la Resolución 47/2018 AAIP, que regula el tratamiento de datos personales de niñas, niños y adolescentes (NNyA), bajo los siguientes principios:

  • Interés superior del niño (art. 3 Ley 26.061): prima sobre cualquier otra consideración. Si una operación de tratamiento de datos puede afectar negativamente al menor, no la realizamos aunque exista consentimiento del adulto.
  • Datos del menor cargados por el adulto responsable: el adulto declara tener la autoridad parental, tutoría o representación legal correspondiente. Los datos de NNyA (nombre, fecha de nacimiento, diagnóstico, CUD, obra social, sesiones, notas) se tratan con cifrado en reposo, acceso restringido y registro de auditoría.
  • Menores de 13 años: no crean cuenta propia ni tienen credenciales en esta fase. La interacción con la plataforma es mediada en su totalidad por el adulto responsable.
  • Adolescentes de 13 a 18 años: tampoco crean cuenta propia en esta fase. Si en una versión futura habilitamos una "app del alumno" con acceso del propio adolescente, se aplicará el régimen del art. 26 del Código Civil y Comercial (madurez suficiente) y se requerirá doble consentimiento: el del adolescente y el del adulto responsable, ambos informados y verificables.
  • Lenguaje accesible: cualquier comunicación dirigida a un NNyA se redacta en lenguaje sencillo y claro, conforme a su capacidad de comprensión.
  • Imágenes y datos sensibles del menor: no se publican en perfiles públicos ni se usan en marketing. Las fotos que la familia sube son privadas y visibles únicamente para los profesionales asignados.
  • Derecho de oposición y supresión reforzados: el adulto responsable puede pedir la supresión total de los datos del menor en cualquier momento desde /cuenta/datos-y-privacidad o por email; en estos casos no invocamos retención por obligación legal salvo que exista una orden judicial.

Si detectás que se cargaron datos de un NNyA sin consentimiento del adulto responsable o en contra de su interés superior, escribinos a hola@incluki.com. Bloqueamos el acceso al contenido en menos de 24 horas mientras investigamos.

12. Cambios en esta política

Si hacemos cambios importantes avisamos con al menos 30 días de anticipación por email y con un banner en la plataforma. Cuando publicamos una versión nueva, la próxima vez que entrés te pedimos volver a aceptar las políticas con un modal bloqueante (componente ConsentGate); guardamos la nueva aceptación con fecha, hora, IP y user-agent.

13. Jurisdicción

Esta política se rige por las leyes de la República Argentina. Cualquier controversia será sometida a los tribunales ordinarios de la Provincia de Mendoza.

Historial de versiones

  • v2.0 — 26 de abril de 2026: reemplazo de Stripe/MercadoPago por Dodo Payments (Merchant of Record en EE.UU.); sección nueva de transferencias internacionales (Resolución 60-E/2016 AAIP); reescritura completa de la sección de niñas, niños y adolescentes con la Resolución 47/2018 AAIP; incorporación del panel ARCO self-service en /cuenta/datos-y-privacidad; documentación del CookieBanner y de la evidencia de aceptación de consentimientos.
  • v1.0 — 22 de abril de 2026: versión inicial publicada como borrador de beta.

Versión: 2.0 · Última actualización: 26 de abril de 2026.