Acuerdo de Tratamiento de Datos (DPA)
Llenalo (Encargado) ↔ Cliente (Responsable). Última actualización: 2026-05-22.1
1. Partes
Encargado del Tratamiento: Llenalo, nombre comercial del titular Diego Ignacio Severini (persona humana — Monotributista categoría A), CUIT 24-31538839-9, con domicilio constituido para notificaciones en 11 de Septiembre 2854 5°A, Mar del Plata, Provincia de Buenos Aires, Argentina (el "Prestador" o "Encargado").
Responsable del Tratamiento:el Cliente del Servicio Llenalo, identificado por su cuenta y datos de facturación en la plataforma (el "Cliente" o "Responsable").
2. Objeto
Este Acuerdo regula el tratamiento de Datos Personales que el Prestador realiza por cuenta y orden del Cliente al proveer el Servicio Llenalo, conforme art. 25 Ley 25.326 y normativa concordante. Forma parte integrante de los Términos y Condiciones aceptados por el Cliente.
3. Marco normativo
- Ley 25.326 de Protección de Datos Personales.
- Decreto Reglamentario 1.558/01.
- Disposición 60/2016 AAIP — Cláusulas Contractuales Modelo.
- Resolución 198/2023 AAIP — Cláusulas Contractuales Modelo de la Red Iberoamericana de Protección de Datos (RIPD).
- Disposiciones y resoluciones complementarias de la AAIP.
4. Roles y responsabilidades
- El Cliente es Responsable del Tratamiento de los Datos Personales que carga o genera en Llenalo (datos de los Clientes Finales del negocio, Operadores adicionales, contenido subido).
- El Prestador actúa como Encargado del Tratamiento conforme art. 25 Ley 25.326.
- El Cliente determina los fines y medios principales del tratamiento. El Prestador determina aspectos técnicos en línea con las instrucciones documentadas del Cliente y con la naturaleza del Servicio.
5. Descripción del tratamiento
5.1 Finalidades
Gestión de reservas, comunicaciones operativas, cobros vía Mercado Pago, soporte, seguridad y mejora del producto sobre datos agregados.
5.2 Titulares afectados
Clientes Finales del negocio del Cliente, Operadores adicionales invitados por el Cliente, y el propio Cliente.
5.3 Categorías de datos
- Contacto: nombre, teléfono E.164, email.
- Reserva: fecha, hora, recurso, monto, método y estado de pago.
- Datos opcionales: documento, fecha de nacimiento, dirección, notas internas (cargados por el negocio).
- Identificadores técnicos: BSUID de Meta, IDs internos, dirección IP.
5.4 Duración
Mientras dure la relación entre Cliente y Prestador, más los plazos detallados en la cláusula 11.
6. Obligaciones del Encargado
- Tratar los Datos Personales únicamente conforme a las instrucciones documentadas del Cliente y al objeto del Servicio.
- No utilizar los Datos para fines propios, publicidad o cesión a terceros distintos de los subprocesadores autorizados.
- Garantizar la confidencialidad de las personas autorizadas a tratar los Datos.
- Aplicar las medidas de seguridad detalladas en el Anexo A.
- Asistir al Cliente en la respuesta a derechos ARCO de los Clientes Finales, en la realización de evaluaciones de impacto y ante requerimientos de la AAIP.
- Notificar al Cliente cualquier incidente de seguridad que comprometa sus Datos en un plazo máximo de 24 horas desde tomar conocimiento.
- Devolver o eliminar los Datos a la terminación del contrato conforme cláusula 11.
7. Obligaciones del Responsable
- Asegurar tener bases legales válidas para tratar los Datos que carga (consentimiento del titular, contrato u otra base del art. 5 Ley 25.326).
- Mantener actualizadas las finalidades y bases legales del tratamiento.
- Responder primariamente ante el ejercicio de derechos ARCO por parte de sus Clientes Finales.
- Inscribir su propia base de datos en el RNBD si fuera procedente.
8. Subprocesadores
El Cliente autoriza al Prestador a utilizar los siguientes subprocesadores. Cualquier nuevo subprocesador será notificado con preaviso mínimo de 30 días corridos, durante el cual el Cliente podrá oponerse fundadamente.
| Subprocesador | Servicio | Residencia |
|---|---|---|
| Supabase | Base de datos PostgreSQL y autenticación | EE.UU. |
| Vercel | Hosting, CDN y funciones serverless | EE.UU. / global |
| Mercado Pago | Procesamiento de pagos y suscripciones | Argentina |
| Meta — WhatsApp Cloud API | Mensajería transaccional y BSUID | EE.UU. |
| Resend | Email transaccional (magic link y formularios) | EE.UU. |
9. Transferencia internacional de datos
Por la utilización de subprocesadores ubicados fuera de Argentina, el Prestador celebrará Cláusulas Contractuales Modelo aprobadas por la AAIP (Disposición 60/2016 y/o Resolución 198/2023 — CCM RIPD) con cada subprocesador. Las pruebas de su celebración estarán disponibles a requerimiento del Cliente.
10. Medidas de seguridad (Anexo A)
- TLS 1.3 para transferencia.
- AES-256 para credenciales de integración almacenadas.
- Row-Level Security (RLS) por business_id en la base de datos.
- Hash irreversible de contraseñas (Supabase Auth).
- Backups automáticos diarios y planes de recuperación documentados.
- Monitoreo continuo, alertas y rotación periódica de claves.
- Plan de respuesta a incidentes operativo (ver Protocolo Interno).
- Acceso a credenciales productivas restringido a personal autorizado y bajo principio de mínimo privilegio.
11. Devolución y eliminación de datos
A la terminación del contrato, el Prestador permitirá al Cliente exportar sus Datos en formato estructurado durante 90 días. Vencido ese plazo, procederá a su eliminación o anonimización dentro de los 30 días corridos, salvo obligaciones legales de conservación (10 años para registros fiscales y de facturación).
12. Auditorías y demostración de cumplimiento
El Cliente podrá auditar el cumplimiento del Prestador con preaviso razonable (mínimo 15 días), en horario laboral y respetando la confidencialidad de información de terceros. Como alternativa proporcional al tamaño del Prestador, se aceptan informes de seguridad estandarizados (por ej. SOC 2 Type II o equivalente) cuando estén disponibles.
13. Gestión de incidentes
Plazo de notificación del Encargado al Responsable: 24 horas desde tomar conocimiento. Contenido mínimo: naturaleza del incidente, categorías y volumen aproximado de titulares afectados, medidas adoptadas y plan de remediación. El Responsable es quien decide notificar a los titulares finales conforme a su política.
14. Responsabilidad
Cada Parte responde por las violaciones a este Acuerdo imputables a su parte. La responsabilidad del Prestador frente al Cliente queda sujeta a los límites previstos en los Términos y Condiciones.
15. Vigencia y terminación
Este Acuerdo entra en vigencia con la aceptación de los Términos y dura mientras el Cliente utilice el Servicio. Las obligaciones de confidencialidad, devolución y conservación legal subsisten más allá de la terminación.
16. Ley aplicable y jurisdicción
Las controversias se rigen por el derecho argentino y se someten a los Tribunales Ordinarios del Departamento Judicial de Mar del Plata, salvo cláusula concurrente de consumo.
17. Puntos de contacto
- Encargado — Responsable de Protección de Datos: privacidad@llenalo.ar
- Encargado — Seguridad: security@llenalo.ar
- Responsable: contacto registrado en la cuenta del Cliente.