Legal

Política de Privacidad

Versión 2026-06-23.1 · Última actualización: 23 de junio de 2026.

Esta política diferencia los datos que el proveedor de Artechia trata para sus propios fines de los datos de huéspedes que procesa por cuenta del establecimiento. El hotel no es dueño de los datos personales: cada titular conserva sus derechos.

1. Responsable e identidad

Respecto de cuentas, relación comercial, facturación, soporte, seguridad y sitio institucional, el responsable de la base es el proveedor contractual de Artechia:

Proveedor
Franco Maiorano
CUIT
20-46347069-4
Domicilio legal
Combate de Juncal 958, Adrogue, Buenos Aires, Argentina
Contacto
contacto@artechia.com

“Artechia” es una denominación comercial y no debe interpretarse por sí sola como una persona jurídica.

2. Alcance y roles

Esta política se aplica al sitio institucional, al panel SaaS, a sus APIs y al motor de reservas. Para los datos de huéspedes, acompañantes y reservas, el establecimiento determina fines y medios esenciales y actúa como responsable. Artechia presta servicios informatizados de tratamiento por cuenta de ese establecimiento, bajo sus instrucciones, conforme al artículo 25 de la Ley 25.326 y al artículo 25 del Decreto 1558/2001.

Cuando Artechia usa ciertos datos para seguridad propia, cumplimiento legal, facturación del SaaS o defensa de derechos, actúa como responsable limitado a esas finalidades. La relación se desarrolla en el Acuerdo de Tratamiento de Datos.

3. Datos tratados como responsable

  • Cuenta y usuarios: nombre, apellido, email, teléfono opcional, identificador de autenticación, rol, organización, sesiones e invitaciones.
  • Cliente y facturación: nombre legal, CUIT, domicilio, email de facturación, plan, precio en ARS, período, estado e identificadores de pagos del SaaS cuando existan.
  • Contacto y soporte: consultas, mensajes, destinatarios y contenido remitido voluntariamente. No existe una plataforma separada de tickets o adjuntos en el código auditado.
  • Seguridad y auditoría: usuario, organización, evento, fecha, IP en determinados controles de acceso, rate limit, exportaciones y reportes de error; los esquemas admiten agente de usuario aunque no todos los flujos lo registran.
  • Analítica opcional: ruta, referencia, parámetros, país o región aproximada, navegador, sistema, dispositivo y métricas de rendimiento, solo tras la elección implementada en el sitio.
  • Comunicaciones propias: emails operativos y, si se implementa una lista propia de marketing, dirección y evidencia de baja. El repositorio no muestra hoy un formulario de newsletter institucional.

Las contraseñas son gestionadas por Supabase Auth. Artechia no recibe ni almacena una copia legible y no describe ese dato como “contraseña encriptada”.

4. Datos tratados por cuenta del establecimiento

  • Huéspedes: nombre, apellido, email, teléfono, tipo y número de documento, país, ciudad y domicilio.
  • Reservas y estadías: establecimiento, fechas, cantidad de adultos y niños, habitaciones, tarifa, extras, importes, moneda, origen, estado, código, cancelación, check-in y check-out.
  • Información adicional: solicitudes especiales, campos personalizados, notas internas, lista de bloqueo y motivo, consumos, reseñas y comunicaciones.
  • Canales: identificadores y payloads recibidos de Despegar; eventos, resúmenes y URLs iCal; referencias de otros canales declaradas por el Cliente.
  • Pagos de huéspedes: identificador, estado, importe, moneda, modalidad, comisiones y respuesta necesaria de Mercado Pago. Los pagos nuevos se minimizan antes de guardarse; los payloads históricos no se consideran saneados y deben revisarse.
  • Cerraduras opcionales: configuración del dispositivo, tokens y códigos temporales cuando el Cliente activa TTLock o Nuki.

El modelo no mantiene una tabla separada de acompañantes ni nombres de menores, pero el Cliente podría ingresarlos en campos libres. No debe cargar diagnósticos médicos, información de salud, religión u otros datos sensibles en notas o solicitudes, salvo necesidad estricta, base legal y medidas adecuadas definidas por el establecimiento.

5. Fuentes, finalidades y fundamento

Los datos provienen del titular, del Cliente y sus usuarios, del motor de reservas, de integraciones activadas y de la operación técnica. Se tratan para:

  • crear cuentas, autenticar, autorizar roles y prestar el PMS;
  • gestionar la relación contractual B2B, planes, comprobantes y cobros acordados;
  • crear y administrar reservas, comunicaciones y pagos por instrucción del establecimiento;
  • mantener seguridad, prevenir abuso, diagnosticar errores y dejar trazabilidad;
  • cumplir obligaciones legales y responder requerimientos válidos;
  • defender derechos y resolver controversias;
  • medir uso y rendimiento únicamente si se habilita la analítica opcional.

Bajo la Ley 25.326, el tratamiento se apoya en consentimiento informado cuando es exigible; en datos necesarios para desarrollar o cumplir una relación contractual; en obligaciones legales; o en otros supuestos expresamente exceptuados por el artículo 5. La existencia de un contrato no habilita datos excesivos ni finalidades incompatibles. El Cliente no debe exigir consentimiento cuando otra base legal resulte aplicable, pero siempre debe brindar la información del artículo 6.

6. Datos obligatorios y facultativos

Email, nombre y credenciales son necesarios para una cuenta. Para una reserva pública son obligatorios los datos marcados por el formulario, incluidos identidad, contacto y documento cuando la configuración vigente lo requiere. Sin ellos no puede crearse la cuenta, prevenirse una reserva duplicada o confirmarse la estadía. Teléfono, solicitudes especiales y campos adicionales son facultativos salvo que el establecimiento los configure justificadamente como obligatorios.

7. Motor de reservas y aviso al huésped

En el checkout se identifica al establecimiento por su nombre y dirección como responsable de los datos de la reserva. Sus condiciones, finalidades adicionales, marketing y conservación son responsabilidad de ese establecimiento. Artechia no fija políticas de cancelación ni usa esos datos para marketing propio.

El huésped debe dirigir primero su solicitud al establecimiento. Artechia la remitirá y colaborará según instrucciones, salvo que la solicitud trate datos respecto de los cuales Artechia sea responsable o exista un deber legal de responder directamente.

8. Pagos

El código auditado permite que cada establecimiento conecte su propia cuenta de Mercado Pago y use Checkout Pro. Mercado Pago recibe los datos de pago y aplica su política. Artechia envía importe, moneda, reserva, nombre y email cuando están disponibles, y recibe estado e identificadores para conciliación. No recibe número completo de tarjeta ni código de seguridad. Los fondos se procesan en la cuenta del establecimiento, no en custodia de Artechia.

El SaaS no implementa actualmente Mercado Pago Suscripciones ni un checkout automático para su propia facturación, aunque existen tablas internas preparadas para planes y pagos.

9. Emails, marketing y tracking

Los correos se envían mediante Brevo o un servidor SMTP configurado por el Cliente. Se guardan destinatario, tipo, fecha, identificador e intentos necesarios para entrega y diagnóstico. Si el webhook y el tracking de Brevo están habilitados, pueden registrarse entrega, rebote, queja, apertura y clic, incluida la URL clickeada. Esta función existe principalmente para campañas del establecimiento y debe ser informada y legitimada por éste.

Todo email de marketing debe incluir una baja operativa. Las comunicaciones estrictamente transaccionales sobre una reserva o seguridad no se consideran marketing. La baja de marketing no impide mensajes necesarios para ejecutar la reserva.

10. Cookies y tecnologías equivalentes

Se usan cookies de sesión de Supabase, preferencia de tema y un token temporal de acceso a la reserva. Session storage conserva temporalmente el estado del checkout y avisos de interfaz; local storage conserva novedades vistas y la preferencia de analítica. Vercel Analytics y Speed Insights se bloquean hasta que el visitante los habilita, aun cuando Vercel declara que sus métricas son agregadas y sin cookies de terceros. Detalles y retiro de elección en la Política de Cookies.

11. Proveedores, cesiones y transferencias

No se venden ni alquilan datos. Se comunican a subencargados necesarios, proveedores contratados por el hotel, integraciones activadas, responsables independientes, asesores sujetos a confidencialidad y autoridades competentes según corresponda. El inventario de roles, funciones, categorías, países confirmados y datos pendientes se publica en Proveedores y Subencargados.

La infraestructura de producción se aloja en Brasil: la base de datos opera en Supabase, región sa-east-1 (São Paulo) sobre AWS, y las funciones de Vercel se ejecutan en São Paulo (gru1); el middleware y la CDN tienen alcance global. Brevo (Francia/EEE) y las integraciones que active el establecimiento pueden procesar datos en otras regiones. Brasil y Estados Unidos no integran el listado de países con nivel de protección adecuado reconocido por la AAIP; un DPA general o cláusulas europeas no reemplazan automáticamente una excepción del artículo 12 ni las garantías contractuales argentinas aplicables. La transferencia hacia esos destinos se ampara en los acuerdos de tratamiento de datos suscriptos con cada proveedor. Francia y los Estados de la Unión Europea figuran como destinos adecuados, sin perjuicio de verificar subproveedores.

12. Seguridad

Las medidas comprobadas por código incluyen:

  • autenticación externa, sesiones firmadas, roles y controles de autorización;
  • Row Level Security y políticas por organización en tablas multitenant;
  • HTTPS exigido por integraciones y cabeceras HSTS, CSP, anti-frame y no-sniff;
  • cifrado AES-256-GCM a nivel de aplicación para credenciales de SMTP, Mercado Pago, Despegar y cerraduras; no se afirma que todos los datos usen ese mecanismo;
  • separación de claves por propósito, secretos fuera del código actual, rate limiting, validación de webhooks y logs de auditoría;
  • exportaciones restringidas por rol y anonimización manual de huéspedes.

Ningún sistema es infalible. No se publica una promesa de cifrado en reposo, certificación, ciclo de backup o tiempo de restauración que no haya sido comprobada para la cuenta de producción.

13. Incidentes

Artechia investigará eventos confirmados, contendrá el riesgo, preservará evidencia y comunicará al Cliente afectado tan pronto como sea razonablemente posible, con la información disponible y actualizaciones pertinentes. No se promete un plazo fijo que la operación actual no haya aprobado. El Cliente decidirá las comunicaciones a huéspedes y autoridades cuando actúe como responsable, con cooperación de Artechia y sin perjuicio de deberes directos que imponga la ley.

14. Conservación y eliminación

La tabla documenta el estado, no afirma una purga integral. “Pendiente” significa que el plazo, responsable o mecanismo todavía requiere aprobación, verificación del proveedor o desarrollo.

CategoríaRegla o aprobaciónMecanismo y estado
Cuenta y usuariosVigencia y plazo posterior pendientes de aprobación.Sin purga general; cierre asistido pendiente.
Huéspedes, reservas y estadíasInstrucción del hotel y obligaciones locales; sin plazo nacional único.Anonimización individual/manual; sin cron general.
DocumentosSólo finalidad y obligación turística aplicable; pendiente por jurisdicción.Anonimización individual; sin purga general.
PagosConciliación y defensa; plazo pendiente, separado de comprobantes.Payloads nuevos minimizados; históricos pendientes.
Payload crudo de Despegar90 días desde procesamiento, sujeto a revisión jurídica.Purga automática implementada y purga al anonimizar; prueba DB pendiente.
Email, marketing, soporte, logs y auditoríaPlazos diferenciados pendientes de aprobación.Sin purga general implementada.
Tokens de checkout y locksToken: 30 minutos; locks: vigencia técnica; cookie de reserva: 30 días.Expiración/depuración implementada; prueba DB pendiente para cron.
Cuenta canceladaNo se borra por mora a 30/90 días; exportación y retenciones justificadas.RPC de servicio disponible; workflow y prueba de cierre pendientes.
Backups de infraestructuraPlazo, región y rotación pendientes de proveedor.No se promete borrado inmediato ni eliminación selectiva.

La supresión no procede cuando perjudique derechos legítimos de terceros o exista obligación legal; en ese caso se limitará el uso. El archivo de una temporada oculta reservas pero no las elimina.

15. Derechos de los titulares

Previa acreditación de identidad, el titular puede solicitar información, acceso, rectificación, actualización, supresión o confidencialidad. El acceso debe responderse dentro de diez días corridos. La rectificación, actualización o supresión debe realizarse dentro de cinco días hábiles, salvo excepción legal. El acceso es gratuito con intervalos no inferiores a seis meses, salvo interés legítimo.

Las solicitudes sobre huéspedes deben dirigirse al establecimiento identificado en la reserva; también pueden enviarse a contacto@artechia.com, indicando establecimiento, reserva, derecho solicitado y medio para verificar identidad. Artechia remitirá y asistirá sin revelar datos a una persona no autorizada.

“LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, en su carácter de Órgano de Control de la Ley N° 25.326, tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos por incumplimiento de las normas vigentes en materia de protección de datos personales”.

16. Menores y datos sensibles

El PMS registra cantidad de niños en una reserva, pero no necesita por defecto crear perfiles identificados de menores. El establecimiento debe recabar solo lo exigido para alojamiento y representación, brindar información a quien ejerza responsabilidad parental y considerar edad y madurez. Nadie puede ser obligado a proporcionar datos sensibles salvo habilitación legal.

17. Ausencia de IA y decisiones automatizadas

Artechia no utiliza actualmente inteligencia artificial para tratar datos personales, tomar decisiones automatizadas, elaborar perfiles o entrenar modelos. Si esto cambiara, esta política deberá actualizarse antes de implementar el nuevo tratamiento.

18. Cambios y contacto

Los cambios materiales se informarán con resumen, versión y fecha de vigencia. Una política nueva no legitima retroactivamente finalidades incompatibles. Cuando sea necesario se solicitará una nueva manifestación expresa. Para privacidad o reclamos usá el canal corporativo activo contacto@artechia.com. La identidad y el domicilio aplicables son los informados en la sección 1; la publicación se bloquea si esa identificación está incompleta. La operatividad de este correo está confirmada.