Volver al inicio

Documentos Legales

Política de Privacidad
Última actualización: 7 de mayo de 2026

Política de Privacidad

Última actualización: 13 de Noviembre, 2025

1. Introducción

En Rayuela ("nosotros", "nuestro", o "la Plataforma"), respetamos su privacidad y nos comprometemos a proteger sus datos personales. Esta Política de Privacidad describe cómo recopilamos, usamos y compartimos su información cuando utiliza nuestros servicios de sistemas de recomendación mediante API.

Esta política se aplica a todos los usuarios de nuestros servicios, incluyendo clientes empresariales y sus usuarios finales. Al utilizar nuestros servicios, usted acepta las prácticas descritas en esta política.

2. Definiciones y Roles Legales

Para entender mejor cómo procesamos los datos, es importante distinguir entre los diferentes roles y tipos de datos:

  • Rayuela: Somos un proveedor de servicios de recomendación mediante API (Application Programming Interface) que actúa como Encargado del Tratamiento para los datos de usuarios finales.

  • Cliente: Empresas o desarrolladores que contratan nuestros servicios y actúan como Responsables del Tratamiento de los datos de sus usuarios finales.

  • Usuario Final: Personas que interactúan con los productos y servicios de nuestros Clientes y cuyos datos son procesados a través de nuestra plataforma.

  • Responsable del Tratamiento (Controlador): En relación con los datos de los Usuarios Finales, nuestros Clientes actúan como Responsables del Tratamiento, determinando los fines y medios del procesamiento.

  • Encargado del Tratamiento (Procesador): Rayuela actúa como Encargado del Tratamiento respecto a los datos de Usuarios Finales, procesando estos datos según las instrucciones del Cliente.

  • Sub-encargado: Proveedores de servicios que utilizamos para procesar datos (como proveedores de infraestructura cloud o procesadores de pago).

3. Información que Recopilamos

Recopilamos diferentes categorías de datos según el contexto de uso:

3.1 Datos de Cuenta y Plataforma (Clientes Directos)

Estos son datos de nuestros Clientes directos y sus administradores/usuarios autorizados:

  • Información de registro: Nombre de la empresa, nombre del contacto principal, dirección de correo electrónico, contraseña (hasheada), país y región.

  • Información de contacto: Dirección postal, número de teléfono, información de contacto de facturación y técnica.

  • Información de uso de plataforma: Datos sobre cómo nuestros Clientes utilizan el dashboard, la gestión de API Keys, configuraciones, patrones de uso administrativo, logs de acceso y actividad.

  • Información de facturación: Detalles de pago, historial de transacciones, información fiscal (CUIT/CUIL en Argentina, Tax ID para clientes internacionales), y otra información necesaria para procesar pagos a través de Mercado Pago u otros procesadores.

  • Información técnica: Dirección IP, tipo de navegador, dispositivo, sistema operativo, referrer, y otros datos técnicos relacionados con el acceso a nuestra plataforma.

  • Comunicaciones: Correspondencia por email, tickets de soporte, feedback y otras comunicaciones con nuestro equipo.

3.2 Datos Procesados por Cuenta del Cliente

Estos son datos que recibimos de nuestros Clientes sobre sus productos y sus propios Usuarios Finales. Importante: Rayuela actúa exclusivamente como Encargado del Tratamiento para estos datos.

  • Datos de productos: Identificadores únicos de productos, nombres, descripciones, atributos (color, talla, marca), categorías, precios, disponibilidad, imágenes (URLs), metadatos y cualquier información adicional del catálogo.

  • Datos de usuarios finales: Identificadores únicos (generalmente pseudonimizados), preferencias declaradas o inferidas, segmentación demográfica (si es proporcionada), historial de comportamiento y patrones de interacción.

  • Datos de interacciones: Registros de vistas de productos, compras, adiciones al carrito, búsquedas, ratings, reviews, tiempo de permanencia, clics, y otras interacciones realizadas por los Usuarios Finales en las plataformas de nuestros Clientes.

  • Datos contextuales: Timestamps, información de sesión, datos de geolocalización (si es proporcionada), información del dispositivo y contexto de la interacción.

⚠️ ADVERTENCIA IMPORTANTE: Datos Personales Sensibles y Campos Flexibles (JSONB)

Rayuela utiliza campos flexibles (JSONB) para almacenar datos de usuarios finales como demographic_info y onboarding_preferences. Los Clientes NO DEBEN enviar Datos Personales Sensibles en estos campos, incluyendo:

  • Origen racial o étnico, opiniones políticas o religiosas
  • Datos de salud, datos biométricos, orientación sexual
  • Números de documento de identidad (DNI, pasaporte, SSN)
  • Información financiera detallada (números de tarjeta, cuentas bancarias)

Los Clientes deben pseudonimizar todos los identificadores de usuario y usar solo datos no identificables directamente o agregados. Consulte nuestra Guía de Ingesta de Datos para mejores prácticas de pseudonimización.

Nota importante: Respecto a estos datos de Usuarios Finales, Rayuela actúa exclusivamente como Encargado del Tratamiento. Es responsabilidad de nuestros Clientes (como Responsables del Tratamiento) asegurar que tienen la base legal adecuada para recopilar y proporcionarnos estos datos, incluyendo obtener los consentimientos necesarios de los titulares de los datos.

4. Cómo Utilizamos su Información

4.1 Datos de Cuenta y Plataforma

Utilizamos los datos de nuestros clientes directos para:

  • Proporcionar, mantener, operar y mejorar nuestra plataforma y servicios
  • Procesar transacciones, generar facturas y enviar notificaciones relacionadas con pagos
  • Autenticar usuarios y gestionar el acceso a la plataforma
  • Proporcionar soporte técnico y responder a consultas, preguntas y comentarios
  • Monitorear y analizar tendencias, uso y actividades para mejorar nuestros servicios
  • Detectar, prevenir y abordar problemas técnicos, de seguridad y fraude
  • Cumplir con obligaciones legales y regulatorias aplicables
  • Enviar comunicaciones relacionadas con el servicio, actualizaciones importantes y notificaciones de seguridad
  • Realizar investigación y desarrollo para mejorar nuestros algoritmos y servicios

4.2 Datos Procesados por Cuenta del Cliente

Utilizamos los datos de usuarios finales exclusivamente para los siguientes propósitos, según las instrucciones de nuestros Clientes:

  • Entrenar, optimizar y mantener modelos de recomendación específicos para cada Cliente
  • Generar y entregar recomendaciones de productos personalizadas a través de nuestra API
  • Calcular métricas, estadísticas e informes sobre el rendimiento de las recomendaciones
  • Proporcionar análisis de comportamiento y tendencias (en forma agregada y anonimizada)
  • Proporcionar asistencia técnica relacionada con la implementación y optimización del servicio
  • Detectar y prevenir uso fraudulento o abusivo de la API

Limitación de Uso: Solo utilizamos estos datos para los fines específicos para los que fueron proporcionados, siguiendo estrictamente las instrucciones de nuestros Clientes y de acuerdo con los límites establecidos en nuestros Términos y Condiciones. No utilizamos estos datos para nuestros propios fines comerciales, excepto en forma agregada y anonimizada según se describe en la sección 4.3.

4.3 Uso de Datos Agregados y Anonimizados

Podemos utilizar datos agregados y anonimizados (que no pueden razonablemente identificar a individuos o empresas específicas) para:

  • Mejorar nuestros algoritmos y modelos de machine learning generales
  • Desarrollar nuevas funcionalidades y servicios
  • Realizar investigación en el campo de sistemas de recomendación
  • Generar insights de mercado y tendencias de la industria
  • Crear benchmarks y métricas de rendimiento generales

Los clientes pueden optar por excluirse de este uso contactando a nuestro equipo de soporte.

5. Base Legal para el Procesamiento

Procesamos los datos personales bajo las siguientes bases legales, según corresponda:

5.1 Para Datos de Clientes Directos

  • Ejecución de un contrato: El procesamiento es necesario para cumplir con nuestros Términos y Condiciones y proporcionar los servicios contratados.

  • Consentimiento: Cuando usted ha dado su consentimiento explícito para el procesamiento con fines específicos (ej. marketing directo).

  • Interés legítimo: Para mejorar nuestros servicios, detectar fraude, proporcionar soporte técnico y mantener la seguridad de nuestros sistemas.

  • Obligación legal: Para cumplir con obligaciones fiscales, contables y otras obligaciones legales aplicables.

5.2 Para Datos de Usuarios Finales

Para los datos procesados como Encargado del Tratamiento (datos de Usuarios Finales), la base legal es determinada por nuestros Clientes como Responsables del Tratamiento. Nuestros Clientes deben asegurar que tienen una base legal válida bajo las leyes aplicables (GDPR, CCPA, Ley 25.326, etc.) antes de proporcionarnos estos datos.

6. Compartición de Información

Podemos compartir su información en las siguientes circunstancias:

6.1 Proveedores de Servicios (Sub-encargados)

Compartimos información con terceros que nos ayudan a proporcionar nuestros servicios:

  • Proveedores de infraestructura cloud: Google Cloud Platform para alojamiento, almacenamiento y procesamiento de datos

  • Procesadores de pago: Mercado Pago (Argentina) y otros procesadores para gestionar transacciones y facturación

  • Servicios de analítica y monitoreo: Para supervisar el rendimiento y detectar problemas técnicos

  • Proveedores de servicios de comunicación: Para envío de emails transaccionales y notificaciones

  • Servicios de soporte: Plataformas de tickets y comunicación con clientes

Solo compartimos la información mínima necesaria para que estos proveedores puedan prestar sus servicios. Todos nuestros sub-encargados están contractualmente obligados a mantener la confidencialidad y seguridad de los datos, y solo pueden usar los datos para los fines específicos para los que fueron contratados.

6.2 Cumplimiento Legal y Protección

Podemos divulgar información cuando sea necesario para:

  • Cumplir con la ley, regulaciones, procesos legales o solicitudes gubernamentales aplicables
  • Hacer cumplir nuestros términos y condiciones
  • Proteger los derechos, la privacidad, la seguridad o la propiedad de Rayuela, nuestros usuarios o el público
  • Detectar, prevenir o abordar fraude, problemas de seguridad o cuestiones técnicas
  • Proteger contra responsabilidad legal

6.3 Transacciones Comerciales

En relación con cualquier fusión, venta de activos, financiamiento o adquisición de todo o parte de nuestro negocio, podemos transferir información a la entidad adquirente, sujeto a las mismas protecciones de privacidad descritas en esta política.

Nota sobre datos de Usuarios Finales: Los datos que procesamos por cuenta de nuestros Clientes solo se utilizan para proporcionar el servicio contratado y no se comparten con terceros excepto según sea necesario para prestar el servicio, cuando sea requerido por ley, o con el consentimiento explícito del Cliente.

7. Transferencias Internacionales de Datos

Rayuela opera principalmente desde Argentina, pero nuestros servidores y algunos de nuestros proveedores de servicios pueden estar ubicados en otros países, incluyendo Estados Unidos y otros países donde Google Cloud Platform opera sus centros de datos. Esto significa que los datos que procesamos pueden ser transferidos, almacenados o procesados en jurisdicciones fuera de Argentina.

7.1 Medidas de Protección

Cuando realizamos transferencias internacionales de datos, implementamos medidas de seguridad apropiadas para garantizar que sus datos están protegidos de acuerdo con esta Política de Privacidad y las leyes aplicables:

  • Utilizar Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea para transferencias a países fuera del EEE
  • Transferir datos a entidades en jurisdicciones que proporcionan un nivel adecuado de protección según las autoridades reguladoras
  • Obtener su consentimiento para la transferencia internacional cuando sea requerido por ley
  • Asegurar que los proveedores de servicios fuera de Argentina cumplan con estándares de protección de datos equivalentes
  • Implementar medidas técnicas y organizativas adicionales cuando sea necesario

7.2 Información Específica sobre Proveedores

Google Cloud Platform: Utilizamos GCP para infraestructura cloud, que puede procesar datos en múltiples regiones. Google Cloud cumple con múltiples certificaciones de seguridad y privacidad, incluyendo ISO 27001, SOC 2, y tiene Cláusulas Contractuales Estándar para transferencias internacionales.

Si desea obtener más información sobre las garantías que hemos implementado para proteger los datos en transferencias internacionales, por favor contáctenos a través de privacy@rayuela.ai.

8. Procesamiento de Pagos

Utilizamos procesadores de pago externos para manejar transacciones financieras de manera segura:

8.1 Mercado Pago (Argentina)

Para clientes en Argentina, utilizamos Mercado Pago como nuestro procesador de pagos principal. Cuando realiza un pago, su información de pago es procesada directamente por Mercado Pago según sus propias políticas de privacidad y seguridad. No almacenamos información completa de tarjetas de crédito en nuestros servidores.

8.2 Otros Procesadores

Para clientes internacionales, podemos utilizar otros procesadores de pago certificados que cumplan con estándares PCI DSS y otras regulaciones aplicables.

Los procesadores de pago pueden recopilar información adicional para procesar los pagos y prevenir fraudes. Le recomendamos revisar las políticas de privacidad de estos procesadores para comprender cómo gestionan su información. Rayuela recibe únicamente confirmación de las transacciones y datos limitados necesarios para asignar pagos a las cuentas correspondientes y generar facturas.

9. Seguridad de Datos

Implementamos medidas de seguridad técnicas y organizativas robustas para proteger sus datos personales contra acceso no autorizado, alteración, divulgación o destrucción:

9.1 Medidas Técnicas

  • Cifrado en tránsito: Utilizamos TLS 1.3 para todas las comunicaciones entre clientes y nuestros servidores

  • Cifrado en reposo: Todos los datos almacenados están cifrados utilizando algoritmos de cifrado estándar de la industria (AES-256)

  • Multi-tenancy con RLS (Row-Level Security): Implementamos aislamiento de datos a nivel de filas en PostgreSQL para garantizar que los datos de cada cliente estén completamente separados y protegidos

  • Gestión segura de API Keys: Las API Keys se almacenan utilizando técnicas de hashing seguras (bcrypt) con salt único, y solo se muestran en texto plano una vez al momento de la creación

  • Autenticación multi-factor: Disponible para cuentas administrativas y requerida para operaciones sensibles

  • Firewalls y segmentación de red: Configuración de red segura con acceso restringido a sistemas críticos

9.2 Medidas Organizativas

  • Control de acceso basado en roles: Implementamos controles de acceso estrictos basados en el principio de menor privilegio

  • Monitoreo y auditoría: Registramos y monitoreamos todas las actividades para detectar accesos no autorizados o comportamientos sospechosos

  • Capacitación del personal: Todo el personal recibe capacitación regular sobre seguridad de datos y privacidad

  • Revisiones de seguridad: Realizamos evaluaciones de seguridad regulares y pruebas de penetración para identificar y remediar posibles vulnerabilidades

  • Gestión de incidentes: Tenemos procedimientos establecidos para responder rápidamente a incidentes de seguridad

  • Backup y recuperación: Realizamos copias de seguridad regulares y tenemos planes de recuperación ante desastres

9.3 Limitaciones de Seguridad

Sin embargo, ningún método de transmisión por Internet o almacenamiento electrónico es 100% seguro, por lo que no podemos garantizar su seguridad absoluta. En caso de una brecha de seguridad que pueda afectar sus datos personales, le notificaremos de acuerdo con los requisitos legales aplicables dentro de las 72 horas de tomar conocimiento del incidente.

10. Sus Derechos

Dependiendo de su ubicación y la ley aplicable, puede tener ciertos derechos con respecto a sus datos personales:

10.1 Derechos bajo la Ley 25.326 (Argentina)

Si usted es residente de Argentina, tiene los siguientes derechos bajo la Ley de Protección de Datos Personales:

  • Derecho de acceso: Conocer qué datos personales tenemos sobre usted
  • Derecho de rectificación: Corregir datos inexactos o incompletos
  • Derecho de supresión: Solicitar la eliminación de sus datos personales
  • Derecho de oposición: Oponerse al procesamiento de sus datos en ciertas circunstancias
  • Derecho a retirar consentimiento: Retirar su consentimiento en cualquier momento cuando el procesamiento se base en consentimiento

10.2 Derechos Adicionales (GDPR - Unión Europea)

Si usted es residente de la Unión Europea, tiene derechos adicionales bajo el GDPR:

  • Derecho a la portabilidad de los datos: Recibir sus datos en un formato estructurado y legible por máquina
  • Derecho a la limitación del tratamiento: Restringir el procesamiento en ciertas circunstancias
  • Derecho a no ser objeto de decisiones automatizadas: No ser sujeto a decisiones basadas únicamente en procesamiento automatizado
  • Derecho a presentar una reclamación: Presentar una queja ante una autoridad de protección de datos

10.3 Derechos bajo CCPA (California)

Si usted es residente de California, tiene derechos bajo la Ley de Privacidad del Consumidor de California:

  • Derecho a saber: Qué información personal recopilamos y cómo la usamos
  • Derecho a eliminar: Solicitar la eliminación de información personal
  • Derecho a optar por no vender: Optar por no vender información personal (nota: no vendemos datos personales)
  • Derecho a no discriminación: No ser discriminado por ejercer sus derechos de privacidad

10.4 Ejercicio de Derechos

Para Clientes Directos de Rayuela: Para ejercer sus derechos como Cliente directo de Rayuela, contáctenos a través de privacy@rayuela.ai. Responderemos a su solicitud dentro del plazo establecido por la ley aplicable (generalmente 30 días).

Para Usuarios Finales: Si usted es un Usuario Final de uno de nuestros Clientes y desea ejercer sus derechos con respecto a sus datos personales, debe contactar directamente al Cliente (el Responsable del Tratamiento). Como Encargados del Tratamiento, cooperaremos con nuestros Clientes para facilitar las solicitudes de derechos de los titulares cuando sea técnicamente posible.

10.5 Verificación de Identidad

Para proteger su privacidad y seguridad, podemos solicitar información para verificar su identidad antes de procesar solicitudes relacionadas con sus datos personales.

11. Retención de Datos

Conservamos sus datos personales durante el tiempo necesario para cumplir con los fines descritos en esta Política de Privacidad, a menos que se requiera o permita un período de retención más largo por ley:

11.1 Criterios de Retención

Los criterios utilizados para determinar nuestros períodos de retención incluyen:

  • La duración de nuestra relación comercial con usted
  • La necesidad de retener datos para proporcionar nuestros servicios
  • Obligaciones legales que requieren la retención de datos por períodos específicos
  • Recomendaciones de autoridades de protección de datos
  • Necesidades de defensa legal y resolución de disputas
  • Intereses legítimos de negocio

11.2 Períodos Específicos

  • Datos de cuenta activa: Durante la vigencia de la relación comercial
  • Datos de facturación: 10 años (requisito legal en Argentina)
  • Logs de acceso y seguridad: 12 meses
  • Datos de soporte: 3 años después de la resolución del caso
  • Datos de marketing: Hasta que retire su consentimiento

11.3 Datos Procesados por Cuenta del Cliente

Para los datos procesados por cuenta de nuestros Clientes, seguimos sus instrucciones respecto a la retención de datos y los eliminamos o devolvemos según lo acordado en nuestros Términos y Condiciones o según se solicite. Tras la terminación del servicio:

  • Los datos permanecen disponibles para exportación durante 30 días
  • Después de 30 días, los datos se eliminan de sistemas activos
  • Los datos pueden permanecer en backups por hasta 90 días adicionales antes de la eliminación completa

12. Registro de Bases de Datos

De acuerdo con la legislación argentina (Ley 25.326), Rayuela registra sus bases de datos que contienen datos personales ante la Agencia de Acceso a la Información Pública (AAIP) cuando es requerido.

Información de Registro:

  • Responsable: Rayuela
  • Finalidad: Prestación de servicios de sistemas de recomendación
  • Tipo de datos: Datos de clientes y datos procesados por cuenta de clientes
  • Destinatarios: Sub-encargados autorizados

Para los datos de Usuarios Finales procesados por cuenta de nuestros Clientes, la responsabilidad principal de registro corresponde a dichos Clientes como Responsables del Tratamiento. Proporcionamos asistencia a nuestros Clientes para facilitar el cumplimiento de esta obligación cuando sea necesario.

13. Cookies y Tecnologías Similares

Utilizamos cookies y tecnologías similares para mejorar su experiencia en nuestra plataforma:

13.1 Tipos de Cookies

  • Cookies esenciales: Necesarias para el funcionamiento básico de la plataforma
  • Cookies de rendimiento: Para analizar el uso y mejorar el rendimiento
  • Cookies de funcionalidad: Para recordar sus preferencias y configuraciones
  • Cookies de seguridad: Para detectar actividad fraudulenta y proteger su cuenta

13.2 Control de Cookies

Puede controlar y gestionar las cookies a través de la configuración de su navegador. Sin embargo, tenga en cuenta que deshabilitar ciertas cookies puede afectar la funcionalidad de nuestra plataforma.

Para más información sobre cómo utilizamos estas tecnologías y cómo puede controlarlas, consulte nuestra Política de Cookies completa.

14. Enlaces a Sitios de Terceros

Nuestra plataforma puede contener enlaces a sitios web, productos o servicios de terceros. Esta Política de Privacidad no se aplica a dichos sitios de terceros, que tienen sus propias políticas de privacidad y términos de uso.

Le recomendamos leer las políticas de privacidad de cualquier sitio o servicio de terceros que visite o utilice. No somos responsables de las prácticas de privacidad de estos terceros.

15. Menores de Edad

Nuestros servicios no están dirigidos a personas menores de 18 años. No recopilamos conscientemente información personal de menores de edad. Si es padre, madre o tutor legal y cree que su hijo nos ha proporcionado información personal, por favor contáctenos inmediatamente en privacy@rayuela.ai y tomaremos medidas para eliminar dicha información.

Si tenemos conocimiento de que hemos recopilado datos personales de un menor de edad sin el consentimiento parental apropiado, tomaremos medidas para eliminar esa información lo antes posible.

16. Cambios a esta Política

Podemos actualizar esta Política de Privacidad de vez en cuando para reflejar cambios en nuestras prácticas, servicios, o requisitos legales. Le notificaremos sobre cambios significativos de las siguientes maneras:

  • Publicando la nueva Política en nuestra plataforma con una fecha de actualización
  • Enviándole un correo electrónico a la dirección asociada con su cuenta
  • Mediante una notificación prominente en su panel de control
  • Para cambios materiales, con al menos 30 días de anticipación

La fecha en la parte superior de esta Política indica cuándo fue actualizada por última vez. Le recomendamos revisar esta Política periódicamente para estar informado sobre cómo protegemos su información.

Su uso continuado de nuestros servicios después de la publicación de cambios constituye su aceptación de la Política actualizada.

17. Acuerdo de Procesamiento de Datos (DPA)

Para clientes empresariales que requieren garantías adicionales sobre el procesamiento de datos personales, ofrecemos un Acuerdo de Procesamiento de Datos (DPA) separado que complementa esta Política de Privacidad y nuestros Términos y Condiciones.

El DPA incluye:

  • Definiciones específicas de roles y responsabilidades como Encargado del Tratamiento
  • Instrucciones detalladas para el procesamiento de datos
  • Medidas de seguridad técnicas y organizativas específicas
  • Procedimientos para transferencias internacionales de datos
  • Gestión de sub-encargados y proveedores
  • Procedimientos para responder a solicitudes de derechos de los titulares
  • Notificación y gestión de incidentes de seguridad
  • Auditorías y certificaciones de cumplimiento

Para solicitar la firma de un DPA, contáctenos en legal@rayuela.ai con el asunto "Solicitud DPA".

18. Contacto

Si tiene alguna pregunta sobre esta Política de Privacidad, nuestras prácticas de privacidad, o desea ejercer sus derechos, por favor contáctenos:

18.1 Información de Contacto

Email de Privacidad: privacy@rayuela.ai
Email Legal: legal@rayuela.ai
Soporte General: support@rayuela.ai
Dirección Postal: Av. Corrientes 1234, Piso 5, C1043AAZ, Ciudad Autónoma de Buenos Aires, Argentina
Teléfono: +54 11 4000-0000
CUIT: 30-12345678-9

18.2 Delegado de Protección de Datos

Para consultas específicas sobre protección de datos, puede contactar a nuestro Delegado de Protección de Datos en: dpo@rayuela.ai

18.3 Autoridades de Control

Si no está satisfecho con nuestra respuesta a sus consultas de privacidad, también tiene derecho a presentar una reclamación ante las autoridades de protección de datos correspondientes:

  • Argentina: Agencia de Acceso a la Información Pública (AAIP)
  • Unión Europea: Su autoridad de protección de datos local
  • California: Procurador General de California

Esta Política de Privacidad es efectiva a partir de la fecha de última actualización indicada arriba.