Política de privacidad y seguridad de la información

1. Información que recopilamos

Contractum recopila datos básicos de registro (nombre, correo electrónico, teléfono, idioma, país y datos de facturación cuando corresponda) y la información necesaria para operar la plataforma. Además, se almacenan los contratos generados, las respuestas a formularios, documentos subidos y ciertos metadatos técnicos (fechas de creación, última modificación, usuario que realizó cambios y logs mínimos de actividad) con el único fin de brindar el servicio, mantener trazabilidad y mejorar la experiencia de uso.

Adicionalmente, Contractum trata los siguientes datos relacionados con funcionalidades específicas:
• Historial de versiones: snapshots del contenido de cada contrato en cada etapa de generación, mejora o edición manual, asociados al usuario y al origen del cambio.
• Organizaciones: nombre de la organización, membresías (usuario, rol, fecha de incorporación) e invitaciones pendientes (email del invitado).
• Co-gestores de firma: email e identidad de los colaboradores designados para gestionar circuitos de firma, e invitaciones pendientes.
• Notificaciones: tipo de evento, mensaje, estado de lectura y enlace asociado, vinculados a la cuenta del usuario.
• Uso de tokens y facturación: historial de consumo por categoría (generación, revisión, mejoras, importación, firma) y registros de pagos.
Contractum podrá registrar eventos de auditoría relacionados con el uso de la plataforma con fines de seguridad, trazabilidad y cumplimiento.

2. Finalidades y uso de la información

La información se utiliza para generar contratos, registrar modificaciones, gestionar cuentas de usuario, administrar el sistema de tokens, brindar soporte, mejorar la plataforma y cumplir obligaciones legales o regulatorias aplicables. Contractum no vende ni alquila la información de los usuarios. Solo podrá compartir datos cuando exista obligación legal, requerimiento de autoridad competente o sea estrictamente necesario para operar el servicio a través de proveedores que actúan como encargados de tratamiento bajo compromisos de confidencialidad y seguridad. Contractum podrá utilizar información agregada, anonimizada o estadística para mejorar sus servicios, sin que ello permita identificar a usuarios o a las partes involucradas en los contratos.

3. Acceso a los contratos, organizaciones y control interno

El creador de un contrato tiene acceso completo a él. Si pertenece a una organización, todos los miembros de esa organización pueden ver y descargar los contratos asociados según el rol asignado. Solo el creador puede editar, revisar o aplicar mejoras. El administrador de la organización es responsable de gestionar quién forma parte de ella y qué roles tienen sus miembros.

Solo las personas autorizadas dentro de cada cuenta pueden ver o editar los contratos asociados. Cada acción relevante (creación, modificación, descarga, envío a firma) puede quedar registrada para mantener trazabilidad y seguridad interna. El personal de Contractum no accede al contenido de los contratos salvo que sea estrictamente necesario para brindar soporte, atender incidentes de seguridad, cumplir una obligación legal o implementar mejoras técnicas que requieran análisis acotado y controlado. Contractum implementa controles internos para restringir accesos indebidos, incluyendo registros de auditoría, trazabilidad de acciones y limitación de accesos por rol. Estos registros pueden incluir información sobre accesos, modificaciones, descargas, envíos a firma y otras acciones relevantes dentro de la plataforma, con fines de seguridad, cumplimiento normativo, resolución de incidentes y mejora del servicio.

4. Seguridad, cifrado y medidas técnicas

Contractum almacena los datos en entornos seguros y aplica medidas técnicas y organizativas razonables para proteger la información, incluyendo prácticas como el cifrado de datos en tránsito mediante protocolos seguros, el uso de proveedores de infraestructura reconocidos, controles de acceso basados en roles y políticas internas de seguridad. Contractum revisa periódicamente sus prácticas de seguridad para adaptarlas a estándares razonables de la industria. No obstante, ningún sistema puede garantizar seguridad absoluta; por ello, recomendamos que los usuarios mantengan políticas propias de copias de seguridad y resguarden los documentos finales según las necesidades de su organización.

5. Minimización de datos y seudonimización automática

Para proteger la privacidad de las partes, Contractum aplica automáticamente técnicas de seudonimización sobre los datos sensibles (por ejemplo, nombres, documentos de identidad y domicilios) antes de procesarlos con sistemas de inteligencia artificial. Esto reduce la exposición de información personal durante el procesamiento automatizado. Como medida adicional, recomendamos minimizar los datos personales innecesarios en la fase de generación asistida y completar la información definitiva en la etapa de edición final del contrato, ya sea dentro de Contractum o desde cualquier editor de texto externo. La decisión final sobre qué datos incluir en cada etapa corresponde al usuario, quien debe respetar las normas de protección de datos y las políticas internas de su organización.

6. Funcionalidades asistidas por inteligencia artificial

Algunas funcionalidades de Contractum pueden utilizar modelos automatizados (por ejemplo, para sugerir redacciones, detectar inconsistencias o proponer ajustes de texto). Estos modelos se utilizan bajo un enfoque de minimización de datos y, cuando es posible, mediante procesos de seudonimización o anonimización que evitan el envío de datos que permitan identificar directamente a las partes involucradas en los contratos. Contractum procura que la información procesada por sistemas de inteligencia artificial no incluya datos personales identificables, utilizando fragmentos de texto desprovistos de identificadores directos o reemplazados por referencias genéricas. El usuario es responsable de verificar que la información que decide enviar a dichas funcionalidades no incluya datos personales o secretos sensibles innecesarios, y de revisar siempre las sugerencias antes de incorporarlas al contrato definitivo. La inteligencia artificial funciona como una herramienta de apoyo y no reemplaza el análisis jurídico humano.

7. Almacenamiento, ubicación y retención de datos

Los contratos y documentos permanecen disponibles mientras la cuenta del usuario esté activa. Con carácter orientativo, Contractum aplica los siguientes plazos mínimos de retención: contratos y documentos generados: 10 años desde la última modificación; evidencias de firma electrónica: 10 años; registros de facturación: 10 años (conforme a requisitos impositivos); logs de auditoría y actividad: 2 años. Tras el cierre de cuenta, los datos personales del usuario serán eliminados o anonimizados dentro de los 12 meses siguientes, salvo que una obligación legal o contractual exija su conservación por un plazo mayor. Contractum puede almacenar datos en centros de datos de terceros ubicados en distintas jurisdicciones, bajo contratos que establecen medidas de seguridad y confidencialidad equivalentes. Contractum podrá aplicar técnicas de anonimización irreversible sobre datos históricos con fines de mejora del servicio.

8. Evidencias de firma electrónica y finalidad específica

Cuando se utiliza el circuito de firma electrónica, Contractum puede tratar evidencias vinculadas a identidad y trazabilidad (por ejemplo: DNI frente/dorso, selfie, challenge de vivacidad, metadatos técnicos de sesión, eventos de OTP, hash del documento y hash de evidencia). También puede registrar el intento de geolocalización al momento de firmar y su resultado (capturada, denegada o no disponible). Todo ello se utiliza con la finalidad exclusiva de verificar identidad, reforzar integridad documental, prevenir fraude y sustentar prueba técnica del acto de firma. En casos de riesgo, la plataforma puede requerir revisión explícita por parte del usuario dueño de la solicitud antes de habilitar la firma definitiva.

La validación se ejecuta de forma automática como primera instancia. Si el proceso automático falla o queda inconcluso, puede intervenir un miembro neutral del staff de Contractum para una revisión manual excepcional. Esa revisión se limita únicamente a contrastar que el DNI coincida con los datos del contrato y con la prueba de vida presentada. Contractum no certifica por este medio la identidad civil de la persona en términos absolutos, sino la coherencia entre la información y evidencias provistas durante el flujo de firma.

Cuando exista un error en el proceso automático, la revisión manual puede demorar hasta 24 horas. Ante dudas o urgencia, se recomienda descargar el contrato y optar por firma hológrafa.

9. Sellado de tiempo y refuerzo probatorio

Contractum puede aplicar sellado de tiempo RFC 3161 sobre hashes de documentos finales y evidencia de firma a través de proveedores técnicos especializados (por ejemplo, FreeTSA), con el objetivo de reforzar la trazabilidad temporal e integridad de los registros.

10. Cookies, registros técnicos y analítica limitada

Contractum utiliza cookies y tecnologías similares esenciales para mantener tu sesión activa, recordar ciertas preferencias y garantizar el funcionamiento básico de la plataforma. También puede generar registros técnicos mínimos para fines de seguridad, diagnóstico y mejora del servicio (por ejemplo, detección de errores o tiempos de respuesta). No se utilizan cookies con fines publicitarios ni perfiles de seguimiento externo. El usuario puede gestionar ciertas preferencias desde su navegador, entendiendo que deshabilitar cookies esenciales puede afectar el funcionamiento del servicio.

11. Derechos de acceso, corrección y eliminación de datos

El usuario puede solicitar la actualización, corrección o eliminación de su información personal de registro, de acuerdo con la Ley 25.326 de Protección de Datos Personales y demás normativa aplicable en materia de protección de datos. Para ello, podrá utilizar las opciones disponibles en su perfil o contactarse con Contractum a través de los canales indicados. En ciertos casos, por motivos legales o de seguridad, puede ser necesario conservar algunos datos por un período adicional, lo que será informado al usuario cuando corresponda.

12. Ejercicio de derechos y gestión de solicitudes

El titular puede ejercer solicitudes de acceso, rectificación, supresión, oposición y portabilidad mediante los canales disponibles en la plataforma (incluyendo el perfil de usuario) o escribiendo a contacto@contractum.net. Contractum registra y gestiona estas solicitudes con trazabilidad interna para asegurar su seguimiento y resolución en los plazos previstos por la Ley 25.326.

13. Proveedores, subencargados y terceros

Para brindar el servicio, Contractum puede apoyarse en proveedores externos de infraestructura, almacenamiento, servicios de correo, firma electrónica, servicios de inteligencia artificial u otras herramientas técnicas. Estos terceros actúan como encargados de tratamiento y solo pueden procesar datos siguiendo instrucciones de Contractum y bajo compromisos de confidencialidad y seguridad adecuados. Contractum procura seleccionar proveedores que cumplan estándares razonables de seguridad de la información y protección de datos.

14. Incidentes de seguridad y notificaciones

En caso de detectar un incidente de seguridad que pueda afectar la confidencialidad, integridad o disponibilidad de los datos de los usuarios, Contractum analizará el alcance del incidente, adoptará las medidas de contención y mitigación razonables y, cuando la normativa lo exija o resulte apropiado, informará a los usuarios afectados y/o a las autoridades correspondientes, en la medida requerida por la normativa aplicable. El usuario se compromete a notificar a Contractum de inmediato cualquier uso indebido de credenciales, sospecha de acceso no autorizado o vulnerabilidad que detecte en la plataforma.

15. Cambios en esta política

Contractum puede actualizar esta política para reflejar mejoras del servicio, cambios tecnológicos, nuevos requisitos regulatorios o ajustes operativos. Cuando haya modificaciones relevantes, se procurará informar a los usuarios a través de los canales habituales (por ejemplo, avisos dentro de la plataforma o comunicaciones por correo electrónico). El uso continuado de la plataforma después de la publicación de la nueva versión implicará la aceptación de los cambios. En caso de no estar de acuerdo, el usuario deberá cesar el uso de la plataforma.

16. Transferencias internacionales de datos

Contractum puede transferir y almacenar datos en servidores ubicados fuera de la República Argentina, incluyendo jurisdicciones que pueden no contar con un nivel de protección de datos equivalente al previsto por la Ley 25.326. En tales casos, Contractum adopta medidas contractuales y técnicas para proteger los datos, incluyendo cláusulas de confidencialidad y seguridad con sus proveedores. Las transferencias a países sin nivel de protección adecuado se realizan bajo las excepciones contempladas en el art. 12 de la Ley 25.326 (por ejemplo, cuando el titular prestó consentimiento expreso, o cuando la transferencia resulta necesaria para la ejecución del servicio contratado), o bajo autorización de la AAIP cuando así corresponda.