Saltar al contenido

Documento legal

Política de Privacidad

Última actualización: 22 de abril de 2026

Esta política describe cómo Nexa Labs S.R.L. (Uruguay), operadora de IATrain, trata los datos personales. Aplica a visitantes, estudios contratantes ("Tenants") y clientes finales de los estudios.

1. Responsable y encargado

Responsable de tratamiento: Nexa Labs S.R.L., Uruguay. Contacto: [email protected].

Encargado (processor): Cuando un estudio (Tenant) usa IATrain para gestionar datos de sus propios clientes, IATrain actúa como encargado del tratamiento. El estudio es el responsable. En ese caso, las consultas de los clientes finales deben dirigirse directamente al estudio.

2. Datos que tratamos

  • Cuenta: nombre, email, rol (admin / coach), hash de contraseña, historial de login.
  • Clientes del estudio: nombre, email, teléfono, historial de reservas, pagos, planes, notas del coach.
  • Pagos: identificadores de transacción de Stripe / MercadoPago, montos, moneda. Nunca almacenamos datos de tarjeta — eso lo hace el procesador.
  • Comunicaciones: mensajes de WhatsApp / Instagram iniciados por el cliente final hacia el bot del estudio.
  • Técnicos: IP, user-agent, cookies de sesión (httpOnly), eventos de error enviados a Sentry con redacción de campos sensibles.

3. Finalidades

  • Prestar el servicio contratado al estudio.
  • Procesar cobros (Stripe / MercadoPago — sus políticas aplican adicionalmente).
  • Enviar avisos operativos por email (recordatorios de cobro, reset de contraseña, notificaciones de seguridad).
  • Monitoreo de errores y seguridad vía Sentry.
  • Cumplimiento legal: conservación de comprobantes de pago cuando corresponda.

4. Bases legales (GDPR art. 6)

Contrato (art. 6.1.b) para la prestación del servicio al estudio; interés legítimo (art. 6.1.f) para monitoreo de errores y seguridad; consentimiento (art. 6.1.a) para comunicaciones opcionales; y obligación legal (art. 6.1.c) para conservación contable.

5. Sub-encargados

Trabajamos con los siguientes proveedores de infraestructura, todos con DPA firmados o equivalente:

  • Digital Ocean (hosting, EE.UU.)
  • Cloudflare (CDN, WAF)
  • Stripe + MercadoPago (procesadores de pago)
  • Resend (email transaccional)
  • Sentry (monitoreo de errores)
  • Backblaze B2 (backups cifrados)
  • Anthropic (asistente IA, cuando aplique)

6. Transferencias internacionales

Algunos de los proveedores anteriores procesan datos fuera de Uruguay / UE. En todos los casos existen cláusulas contractuales tipo (SCCs) o el país cuenta con decisión de adecuación equivalente.

7. Retención

  • Datos de cuenta activa: mientras la cuenta exista + 30 días después del cierre.
  • Registros contables y comprobantes de pago: conforme normativa fiscal (hasta 10 años en Uruguay).
  • Logs de error y seguridad: 90 días.
  • Backups cifrados: 90 días (política del bucket de B2 con ciclo de vida automático).

8. Tus derechos

Toda persona tiene derecho a acceder, rectificar, oponerse al tratamiento, portar sus datos y, cuando proceda, obtener supresión ("derecho al olvido"). Para ejercerlos, escribinos a [email protected]. Respondemos dentro de 30 días.

Autoridad de control en Uruguay: URCDP — Unidad Reguladora y de Control de Datos Personales. En la UE podés reclamar ante la autoridad de tu país de residencia.

9. Cookies

Usamos una cookie de sesión estrictamente necesaria (token JWT en localStorage + cookie tenant_slug). No usamos cookies de publicidad ni tracking de terceros.

10. Menores

La plataforma no está dirigida a menores de 14 años. Si un estudio administra datos de menores, es su responsabilidad obtener el consentimiento del tutor legal.

11. Cambios

Cualquier cambio material se notificará por email con 30 días de antelación.

Ver también: Términos de Servicio.