POLÍTICA DE PRIVACIDAD DE ITARNA TECH LLC

Última actualización: 03/04/2025
Titular / Responsable del tratamiento: ITARNA TECH LLC
Domicilio: 8325 NE 2ND AVE, SUITE 349, Miami, Florida, US 33138
Email de contacto (asuntos legales / privacidad): [email protected]

1. ALCANCE Y PRINCIPIOS APLICABLES

Esta Política regula el tratamiento de los Datos Personales de Usuarios, Clientes, Proveedores, Miembros (empleados, contratistas, freelancers) y otros terceros relativos a las actividades desarrolladas por ITARNA TECH LLC a través de su sitio web, plataformas, canales de atención, sistemas de IT y por cualquier medio electrónico o físico.

Los principios aplicables son: licitud, finalidad, proporcionalidad, minimización, exactitud, transparencia, conservación limitada, integridad y confidencialidad. ITARNA aplicará dichos principios conforme a la normativa aplicable en las jurisdicciones relevantes donde opere (entre ellas: Argentina, Ley 25.326, y Estados Unidos, y a sus buenas prácticas internacionales). En caso de conflicto normativo, se aplicarán las disposiciones imperativas de la normativa aplicable al tratamiento.

2. DEFINICIONES

Se aplican y reproducen las definiciones empleadas en el documento de Términos y Condiciones y la Política de Uso de Sistemas Informáticos: “Datos Personales”, “Datos Personales Sensibles”, “Tratamiento”, “Miembros”, “Afiliadas”, “Sistemas de IT”, “Terceros”, etc. (estas definiciones forman parte integral y se toman como referencia).

3. TIPOS DE DATOS QUE RECOPILAMOS 

A. Datos de identificación y contacto 

  • Nombre y apellido, documento/ID (DNI, pasaporte), domicilio, email, teléfono. Al contratar servicios o solicitar presupuesto en la web.

B. Datos laborales/profesionales

  • Empresa, cargo, CV, experiencia, competencias. Si un profesional se postula para trabajar con ITARNA o es contratado como proveedor.

C. Datos financieros y contractuales

  • Datos bancarios, facturación, historial contractual, comprobantes. Para facturación, pagos y cumplimiento de obligaciones contractuales.

D. Datos técnicos y metadata

  • IP, registros de acceso (logs), identificadores del dispositivo, sistema operativo, parámetros de uso. Registros automáticos de servidor y seguridad para detectar incidentes.

E. Datos de uso y analítica

  • Cookies, métricas de navegación, páginas visitadas, formularios completados.
  • CV, datos de nómina, dictámenes, antecedentes, datos de seguridad social y sucesos relacionados al rendimiento.

4. FINALIDADES Y BASES LEGALES 

4.1. Prestación de servicios y ejecución contractual

Finalidad: Gestionar y ejecutar contratos, prestar servicios solicitados, coordinar proyectos, facturación.
Base legal: Ejecución de contrato y medidas precontractuales; interés legítimo cuando proceda.
Ejemplo: Uso de datos de contacto para coordinar entregables o emitir facturas.

4.2. Gestión de relación comercial y comunicación

Finalidad: Comunicaciones comerciales (newsletters), avisos operativos, soporte.
Base legal: Consentimiento para marketing; interés legítimo para comunicaciones transaccionales.
Mecanismo: Botón de consentimiento explícito en formularios para newsletters / comunicaciones promocionales.

4.3. Cumplimiento de obligaciones legales y regulatorias

Finalidad: Cumplimiento fiscal, laboral, judicial, prevención de fraude y cooperación con autoridades.
Base legal: Cumplimiento de obligaciones legales.
Ejemplo: Conservación de comprobantes por obligaciones tributarias.

4.4. Seguridad de la información y prevención de incidentes

Finalidad: Detección de intrusiones, respuesta ante incidentes, pruebas de integridad, continuidad del negocio.
Base legal: Interés legítimo y cumplimiento de medidas de seguridad exigidas por la normativa aplicable.
Nota operacional: Logs de acceso se conservan por 6 meses salvo exigencia judicial.

4.5. Gestión de Recursos Humanos y administración de Miembros

Finalidad: Administración de nómina, selección, capacitación, cumplimiento laboral.
Base legal: Ejecución de contrato laboral y obligaciones legales.
Medidas especiales: Minimización y acceso restringido.

4.6. Investigaciones internas y prevención de riesgos

Finalidad: Investigación de incidentes internos, auditorías de cumplimiento.
Base legal: Interés legítimo; en algunos casos consentimiento o obligación legal.

4.7. Transferencia y prestación a terceros proveedores

Finalidad: Permitir la prestación por terceros (cloud, hosting, contabilidad).
Base legal: Ejecución contractual y garantías contractuales con terceros.

5. CÓMO RECABAMOS LOS DATOS

  • Mediante formularios web (cotizaciones, contacto, empleo).
  • Por correo electrónico (correos a [email protected] o a los contactos comerciales).
  • Durante la prestación de servicios (intercambio documental).
  • Telefónicamente (cuando se solicita o autoriza el registro de llamada para calidad).
  • Automáticamente (logs del servidor, cookies y herramientas de analítica).
  • De terceros (referencias, plataformas profesionales, proveedores de verificación). En estos casos, ITARNA verifica la legitimidad de la transferencia y notifica al titular según corresponda.

6. TRATAMIENTO DE DATOS SENSIBLES, LABORALES Y MENORES

6.1. Datos sensibles

  • El tratamiento de datos sensibles se limita estrictamente a casos necesarios, con consentimiento explícito o base legal clara. Se implementan controles de acceso reforzados, encriptación y registro de accesos.

6.2. Datos laborales (Miembros)

  • Procesos de selección: retención limitada.
  • Expediente laboral: acceso restringido (RRHH y dirección).
  • Conservación: conforme normativa laboral y por un máximo de 5 años post-terminación (tal como figura en tu documento).

6.3. Menores

  • No dirigimos servicios a menores de 18 años. Si se detecta que datos provienen de un menor, se bloqueará/eliminará y se solicitará verificación parental cuando sea necesario.

7. DESTINATARIOS Y TERCEROS: CRITERIOS Y CONTROLES

ITARNA comparte datos con:

  • Afiliadas por razones operativas.
  • Proveedores de servicios: hosting, cloud, contabilidad, servicios de email, herramientas CRM, soporte técnico.
  • Autoridades cuando la ley lo exige.
  • Terceros contratados para tareas puntuales (contratos de prestación de servicios).

Controles contractuales con terceros:

  • Cláusula de confidencialidad y seguridad.
  • Obligación de aplicar medidas técnicas y organizativas equivalentes.
  • Prohibición de subcontratar sin autorización.
  • Derecho a auditoría o certificación.

8. TRANSFERENCIAS INTERNACIONALES 

Dado que ITARNA es una entidad con domicilio en EE.UU. y opera en Argentina, y otras posibles jurisdicciones, existen transferencias internacionales de datos. Principios operativos:

  1. Evaluación previa: Antes de transferir, se realiza una evaluación de riesgo y se documenta (Registro de transferencias).
  2. Garantías: Contratos con cláusulas de protección; acuerdos de confidencialidad; cláusulas contractuales estándar internas; exigencia de medidas de seguridad a proveedores (MFA, cifrado, acceso restringido).
  3. Bases legales: Consentimiento o necesidad contractual; cumplimiento legal o interés legítimo razonable.
  4. Transparencia: Los titulares serán informados cuando la transferencia implique un riesgo material o cuando la ley local lo exija.

9. PLAZO DE CONSERVACIÓN 

Principio: Conservación por el período necesario para la finalidad + requisitos legales. Si existe conflicto legal, se preservan por la obligación normativa.

  • Datos de clientes y contratos: 5 años desde la finalización (o el plazo exigido por normativa fiscal aplicable en cada jurisdicción).
  • Registros contables y facturas: 10 años (por obligaciones tributarias internacionales; adaptar según jurisdicción).
  • Logs de seguridad / acceso: 6–12 meses (salvo incidentes que requieran conservación mayor).
  • Candidatos y procesos de selección: 6–12 meses post cierre (salvo consentimiento para mantener CV más tiempo).
  • Datos de Miembros (empleo): durante la relación laboral y 5 años posteriores (tal como figura en el documento).
  • Cookies de sesión: hasta cierre de sesión. Cookies analíticas: hasta 2 años, con control por el usuario.
  • Datos sensibles: se conservan el mínimo indispensable, por el periodo necesario y regulado.

10. SEGURIDAD DE LA INFORMACIÓN: MEDIDAS TÉCNICAS Y ORGANIZATIVAS 

ITARNA aplica medidas según la política ya incluida, y las detallo operativamente:

10.1. Medidas técnicas

  • Cifrado en tránsito (TLS 1.2/1.3) y cifrado at-rest para bases de datos sensibles.
  • Backups periódicos con pruebas de recuperación (restore) trimestrales.
  • MFA obligatorio para accesos administrativos y de personal crítico.
  • Control y separación de entornos (producción, homologación, desarrollo).
  • Antivirus / anti-malware y EDR en endpoints.
  • Gestión de parches automatizada con inventario y calendarización.
  • SIEM y registro centralizado de eventos con ventana mínima de 6 meses.
  • Política de contraseñas: longitud mínima y complejidad (8–16 caracteres + 3 tipos). Renovación cada 90 días.
  • Segmentación de red y firewall por zonas.

10.2. Medidas organizativas

  • Política de control de accesos (principio de menor privilegio).
  • Acuerdos de confidencialidad para todo el personal y terceros.
  • Formación semestral en ciberseguridad y privacidad (registros de participación).
  • Registro de accesos y revocación automatizada al terminar relación laboral.
  • Política de dispositivos personales (BYOD) con controles mínimos de seguridad.
  • Evaluaciones periódicas de vulnerabilidad (anuales y ante cambios significativos).
  • Plan de continuidad y DRP (disaster recovery plan) con RTO/RPO definidos por servicio.

11. GESTIÓN DE INCIDENTES Y BRECHAS 

Objetivo: reducir impacto, recuperar servicios y notificar conforme a la normativa.

11.1. Notificación interna inmediata (0–24 horas)

  • Cualquier empleado informa al Encargado de Ciberseguridad (o al correo [email protected] en su defecto) dentro de las 24 horas.
  • Se activa el comité de respuesta a incidentes (Encargado de Ciberseguridad, Legal, CEO, RRHH, proveedor de seguridad).

11.2. Contención y evaluación (24–72 horas)

  • Identificación de sistemas afectados.
  • Contención temporal (aislar sistemas).
  • Análisis forense inicial (proveedor interno/externo).

11.3. Informe preliminar (dentro de 5 días hábiles)

  • ITARNA emite un informe al comité con: alcance, datos afectados (tipo), medidas de contención y plan de mitigación.

11.4. Notificación a titulares y autoridades (según riesgo / legislación)

  • Si la brecha implica riesgo significativo para derechos y libertades, se notificará a los titulares y a la autoridad de control correspondiente en los plazos que exija la ley aplicable (cuando la ley lo requiera). En Argentina, la Autoridad de Control relevante será la que corresponda; en EE.UU. se informará según las normas estatales aplicables (por ejemplo, notificación a autoridades de Florida si aplica).
  • El contenido de la notificación incluirá: descripción del incidente, datos comprometidos, medidas adoptadas, recomendaciones para los afectados y datos de contacto.

11.5. Lecciones aprendidas y remediación 

  • Revisión del incidente y actualización de controles.
  • Informe final y plan de mejora con plazos.

12. DERECHOS DE LOS TITULARES Y PROCEDIMIENTO PARA EJERCERLOS 

ITARNA garantiza el ejercicio de derechos de forma sencilla y efectiva.

12.1. Derechos reconocidos

  • Acceso, rectificación, actualización, supresión (derecho al olvido), oposición, limitación del tratamiento, portabilidad (cuando proceda), revocación del consentimiento.

12.2. Procedimiento para presentar una solicitud

  1. Enviar solicitud al correo: [email protected] o por carta a la dirección indicada.
  2. Identificación: adjuntar copia de documento que acredite identidad (DNI, pasaporte). Para representantes, poder o carta poder.
  3. Contenido mínimo: indicar derecho que se invoca, descripción de los datos y la solicitud concreta (ej.: “Solicito copia de los datos personales que ITARNA posee sobre mí” o “Solicito la supresión de X dato”).
  4. Plazo de respuesta: ITARNA acusará recibo en 5 días hábiles y resolverá en los plazos legales aplicables (generalmente 15–30 días según jurisdicción). Si no es posible por complejidad, se informará el plazo máximo y razones
  5. Recurso: Si la respuesta no satisface, el titular puede presentar reclamo ante la autoridad de control correspondiente (por ejemplo, en Argentina ante la autoridad de protección de datos; en EE.UU., ante las agencias competentes o tribunales si corresponde).

13. REGISTRO DE ACTIVIDADES (ROPA) Y EVALUACIONES DE IMPACTO (DPIA)

ITARNA mantiene un Registro de Actividades de Tratamiento (ROPA) que incluye: finalidades, categorías de titulares, categorías de datos, destinatarios, transferencias internacionales, plazos de conservación y medidas de seguridad.

Para tratamientos de alto riesgo (p. ej. datos sensibles o perfiles automatizados que afecten derechos), ITARNA realiza Evaluaciones de Impacto sobre la Protección de Datos (DPIA) y documenta medidas de mitigación. Dichas evaluaciones se revisan ante cambios relevantes (nuevos servicios, nueva tecnología, ampliación de tratamiento).

14. COOKIES Y TECNOLOGÍAS DE RASTREO 

Tipos que usamos:

  • Esenciales: imprescindibles para la navegación y el uso de funciones (no requieren consentimiento).
  • Analíticas: para medir tráfico y uso (requieren consentimiento).
  • Funcionales: para recordar preferencias (consentimiento).
  • Publicidad / remarketing: solo con consentimiento expreso.

Control por el usuario: Banner inicial con opciones de consentimiento; panel para gestionar preferencias; instrucciones para deshabilitar cookies desde el navegador (link a instrucciones). Registro de consentimientos en base de datos (timestamp, IP y versión de la Política).

15. MENORES DE EDAD

El servicio no está dirigido a menores de 18 años. Si detectamos datos de menores sin el consentimiento parental requerido, procederemos a eliminar o bloquear la información y a notificar a quien corresponda.

16. RELACIÓN CON LA POLÍTICA DE USO DE SISTEMAS INFORMÁTICOS

La Política de Privacidad actúa en complemento y es coherente con la Política de Uso de Sistemas informáticos incluida en tus Términos. Entre los puntos de convergencia:

  • El carácter confidencial de la Información.
  • Obligaciones de los Miembros (no difundir, no guardar en dispositivos externos).
  • Registro, auditoría y facultades de supervisión de ITARNA.
  • Plazo de retención de 5 años post-terminación para información de Miembros.

17. AUDITORÍAS, CONTROL INTERNO Y FORMACIÓN

  • Auditorías internas: anuales para verificar cumplimiento (informe y plan de acción).
  • Auditorías externas: cada 2 años o cuando se contrate a terceros.
  • Formación: semestral obligatoria (registro obligatorio).
  • KPIs de privacidad: número de incidencias, tiempo de resolución, % de personal formado.

18. RESPONSABILIDADES Y SANCCIONES INTERNAS

Incumplimientos de la Política se sancionarán conforme a la normativa laboral y a la política interna (desde apercibimientos hasta terminación de relación). ITARNA podrá ejercer acciones civiles contra terceros que incumplan las obligaciones contractuales de protección de datos.

19. CAMBIOS EN LA POLÍTICA

Cualquier modificación será publicada en www.itarna.com con fecha de actualización. Cuando los cambios sean sustanciales y afecten derechos, se informará por email a los titulares con un resumen de las principales novedades y su fecha de entrada en vigor.

20. CONTACTO, RECLAMOS Y AUTORIDAD DE CONTROL

Contacto para privacidad: [email protected]
Dirección: 8325 NE 2ND AVE, SUITE 349, Miami, Florida, US 33138

Si el titular considera que el tratamiento no se ajusta a la normativa aplicable, puede presentar una reclamación interna a [email protected]. Asimismo, podrá acudir a la autoridad de protección de datos de su jurisdicción (por ejemplo, en Argentina la autoridad competente; en EE.UU., los mecanismos administrativos o judiciales aplicables).