Política de Privacidad de Frambuesa

1. Responsable del tratamiento y datos de contacto

El responsable del tratamiento de los datos personales recolectados a través de la plataforma es la entidad titular de la marca y el servicio Frambuesa (en adelante, "Frambuesa", "nosotros" o "la plataforma"). Frambuesa presta un servicio SaaS de POS y facturación electrónica con domicilio operativo y jurisdicción en la República Argentina.

Para cualquier consulta, reclamo o ejercicio de derechos vinculados al tratamiento de tus datos personales, podés contactarnos por correo electrónico a hola@frambuesa.app. Este es el canal oficial y prioritario para todo lo relacionado con privacidad y protección de datos. Procuramos responder todas las solicitudes en los plazos que establece la legislación vigente.

Es importante aclarar un punto sobre los distintos roles que coexisten en la plataforma. Respecto de los datos de los propietarios y empleados de los comercios que contratan Frambuesa, así como de los datos técnicos de uso de la plataforma y de la lista de espera, Frambuesa actúa como responsable del tratamiento. En cambio, respecto de los datos de los clientes finales de cada comercio (por ejemplo, los datos de un comensal o de quien recibe un pedido de delivery), el comercio que utiliza Frambuesa es quien decide la finalidad y los medios del tratamiento; en esos casos Frambuesa actúa fundamentalmente como encargado del tratamiento, procesando esos datos por cuenta y orden del comercio para poder prestarle el servicio. Si sos cliente final de un comercio y querés ejercer derechos sobre tus datos, podés dirigirte directamente a ese comercio o escribirnos a hola@frambuesa.app y te orientaremos.

2. Qué datos personales recolectamos

Recolectamos distintas categorías de datos según el rol de cada persona y según las funciones de la plataforma que se utilicen. A continuación detallamos qué datos tratamos en cada caso, de forma específica y ajustada al funcionamiento real de Frambuesa.

Datos de propietarios y titulares de cuenta. Cuando un dueño se registra, recolectamos su dirección de correo electrónico (que funciona como identificador de la cuenta), su contraseña (que se almacena de forma cifrada mediante el sistema de autenticación de Supabase y nunca en texto plano), y su nombre y apellido. Para la autenticación podemos enviar códigos de un solo uso (OTP) por correo electrónico.

Datos de empleados y personal autorizado. Para cada empleado que el comercio da de alta, podemos tratar su nombre y apellido, un PIN de acceso (que se almacena de forma cifrada con bcrypt, nunca en texto plano) y, opcionalmente, una foto del empleado, que se aloja en el almacenamiento de archivos de la plataforma para identificarlo dentro del sistema.

Datos de la empresa y la sucursal. Tratamos el CUIT y la razón social del comercio, su dirección, ciudad y provincia, sus teléfonos, y las direcciones de correo electrónico de contacto que el comercio configura para recibir reportes y comunicaciones contables. También guardamos configuraciones operativas de cada sucursal, como el QR del menú, las impresoras vinculadas, las formas de impresión, el alias de cobro y la contraseña del servidor de correo (SMTP) que el comercio configura para enviar sus propios reportes, la cual se almacena cifrada.

Datos de clientes finales del comercio. Por cuenta de cada comercio, podemos tratar el nombre, el tipo y número de documento, el CUIT, el correo electrónico, el teléfono y la dirección de los clientes; su condición frente al IVA y su responsabilidad ante AFIP; y su historial de fidelización, incluyendo puntos acumulados, nivel y transacciones de fidelización. En pedidos de delivery podemos tratar el nombre y el teléfono de quien recibe el pedido junto con el monto y el método de pago.

Datos de ventas, comprobantes y caja. Registramos las ventas completas, incluyendo número de mesa, nombre del mozo, cliente, ítems, montos, métodos de pago, propina y marca temporal. Tratamos los comprobantes fiscales emitidos, con su CAE, punto de venta, número de comprobante, IVA discriminado y fecha, así como las notas de crédito y sus referencias al comprobante original. También procesamos los datos de caja y arqueos: movimientos por método y turno, conteo físico, diferencias e historial.

Configuración fiscal y certificados AFIP/ARCA. Para poder emitir comprobantes electrónicos en nombre del comercio, tratamos su configuración fiscal por sucursal, que incluye el certificado digital y la clave privada de AFIP, el CUIT y el ambiente (homologación o producción). Estos datos altamente sensibles se utilizan exclusivamente para autorizar comprobantes ante el organismo fiscal a través de nuestro servicio de facturación.

Datos técnicos y de seguridad. Para operar, proteger y mejorar la plataforma, registramos direcciones IP y agente de usuario (User-Agent) en eventos de inicio de sesión y auditoría, eventos de sesión y sincronización, telemetría de uso, y los tokens de verificación anti-bot. También podemos tratar datos de migración de sistemas previos del comercio con fines de reconciliación y sincronización.

3. Finalidades del tratamiento y base de licitud

Tratamos tus datos personales únicamente para finalidades determinadas, explícitas y legítimas, y no los utilizamos de manera incompatible con esas finalidades. Las principales finalidades son: prestar el servicio de POS y facturación electrónica; autenticar y administrar las cuentas y los permisos de propietarios y empleados; registrar ventas y administrar la caja; emitir comprobantes fiscales electrónicos ante AFIP/ARCA; gestionar programas de fidelización por cuenta del comercio; procesar los cobros de la suscripción; enviar comunicaciones transaccionales y reportes; prevenir fraude y abuso; y cumplir obligaciones legales, fiscales y contables.

La base de licitud del tratamiento varía según el caso. El tratamiento de los datos de propietarios y empleados se basa principalmente en la ejecución del contrato de prestación del servicio y en el consentimiento que se otorga al registrarse y aceptar esta política, conforme al artículo 5 de la Ley 25.326. La emisión de comprobantes fiscales y la conservación de la documentación respaldatoria responden al cumplimiento de obligaciones legales y de la normativa de AFIP/ARCA. El tratamiento con fines de seguridad, prevención de fraude y mejora del servicio se apoya en el interés legítimo de Frambuesa y de los comercios, siempre en equilibrio con tus derechos.

Respecto de los datos de clientes finales que cada comercio carga en la plataforma, Frambuesa los trata por cuenta y orden del comercio, que es quien debe contar con la base de licitud correspondiente (consentimiento del cliente, ejecución de una operación de venta, o cumplimiento de obligaciones fiscales). Frambuesa pone a disposición de los comercios las herramientas para tratar esos datos de forma responsable, pero la legitimidad de la recolección frente al cliente final corresponde al comercio.

4. Encargados y terceros que reciben datos

Para prestar el servicio nos apoyamos en proveedores tecnológicos de confianza que actúan como encargados del tratamiento o como prestadores de servicios. Compartimos con ellos únicamente los datos necesarios para la función específica que cumplen y exigimos niveles adecuados de seguridad y confidencialidad. A continuación detallamos cada proveedor y para qué recibe datos.

Supabase. Es el proveedor de nuestra base de datos relacional (PostgreSQL), del sistema de autenticación (incluyendo el envío de códigos OTP por correo) y del almacenamiento de archivos (imágenes de productos, fotos de personal y documentos). Sobre Supabase reside la totalidad de los datos operativos de la plataforma, con aislamiento por comercio mediante políticas de seguridad a nivel de fila (RLS).

Vercel. Aloja la aplicación web (Next.js) bajo el dominio frambuesa.app y ejecuta las tareas programadas, como el cierre diario y las rutinas de retención. A través de Vercel transitan las solicitudes y respuestas de la aplicación, además de los registros de compilación y despliegue.

Rebill. Procesa los cobros recurrentes de la suscripción mensual o anual por sucursal. Para gestionar el pago recibe el monto, el identificador del plan, el correo y el nombre del titular (pre-cargados en el enlace de pago) y metadatos de identificación del comercio y la sucursal para la reconciliación de los cobros.

AFIP / ARCA. La Administración Federal de Ingresos Públicos (hoy ARCA) recibe los datos necesarios para autorizar los comprobantes electrónicos, esto es, los datos fiscales de la operación (CUIT y nombre del cliente, montos, IVA e ítems) firmados con el certificado del comercio. Esta comunicación es obligatoria para la emisión de facturas y notas de crédito conforme a la normativa fiscal.

Plausible Analytics. Mide de forma respetuosa de la privacidad las visitas a nuestro sitio público y landing, sin cookies de terceros y sin construir perfiles individuales. Recibe datos agregados y anonimizados, como las URL visitadas, el país, el dispositivo y el navegador, y eventos puntuales como el alta a la lista de espera.

Resend. Envía correos transaccionales con la identidad de Frambuesa, como la confirmación de la lista de espera y las invitaciones. Recibe el correo del destinatario, el asunto y el contenido del mensaje.

Upstash Redis. Brinda el control de frecuencia (rate-limiting) de los endpoints públicos, como el registro, el login y la lista de espera. Recibe la dirección IP del cliente, el endpoint solicitado y un contador de intentos, sin datos personales adicionales.

Otros prestadores. Utilizamos Cloudflare Turnstile como protección anti-bot en el registro y el login, que verifica un token del navegador junto con la IP y el User-Agent involucrados en el desafío. Asimismo, contamos con un servicio fiscal que prepara y firma las emisiones ante AFIP/ARCA con el certificado y la clave del comercio, y con un agente local de impresión ESC/POS que opera en el equipo del comercio. Cuando un comercio configura su propio servidor SMTP, los reportes se envían por esa vía bajo su control. No mantenemos integraciones activas de marketplaces de delivery (como PedidosYa o Rappi) en producción; cualquier referencia a esas integraciones permanece inactiva y sin credenciales en uso.

5. Transferencias internacionales de datos

Algunos de los proveedores que utilizamos prestan sus servicios desde infraestructura ubicada fuera de la República Argentina, lo que puede implicar la transferencia internacional de datos personales. Procuramos que el procesamiento de los datos se realice en regiones cercanas a la Argentina por razones de rendimiento y latencia, y trabajamos con proveedores que ofrecen garantías de seguridad y confidencialidad adecuadas.

Cuando una transferencia internacional sea necesaria para la prestación del servicio, la realizamos de conformidad con la Ley 25.326 y las disposiciones de la Agencia de Acceso a la Información Pública en materia de transferencia internacional de datos, adoptando los resguardos contractuales y técnicos correspondientes para que tus datos mantengan un nivel de protección equivalente al exigido por la normativa argentina.

En todos los casos, las transferencias se limitan a lo estrictamente necesario para cumplir con las finalidades descriptas en esta política y se efectúan únicamente con los encargados y prestadores indicados en la sección anterior.

6. Conservación y plazos

Conservamos tus datos personales solo durante el tiempo necesario para cumplir con las finalidades para las que fueron recolectados y con las obligaciones legales aplicables. Mientras tu cuenta o la del comercio se encuentre activa, mantenemos los datos necesarios para prestar el servicio. Cuando la relación finaliza, procedemos a su supresión o anonimización dentro de plazos razonables, salvo que exista una obligación legal de conservarlos por más tiempo.

Los comprobantes fiscales y la documentación respaldatoria (incluyendo CAE, números de comprobante, IVA discriminado, notas de crédito y los datos asociados a cada operación) se conservan durante los plazos que exige la normativa fiscal argentina y de AFIP/ARCA. Estos plazos pueden extenderse por varios años (típicamente hasta diez años en materia tributaria y prescripción), independientemente de la baja de la cuenta, porque su conservación constituye una obligación legal del comercio y de la plataforma.

Los datos técnicos y de seguridad, como registros de auditoría, telemetría y eventos de sesión, se conservan por períodos acotados, los necesarios para fines de seguridad, prevención de fraude y diagnóstico, tras lo cual se eliminan o anonimizan. Los datos de la lista de espera se conservan hasta que la persona se incorpore al servicio o solicite su baja.

7. Seguridad de la información

Adoptamos medidas técnicas y organizativas razonables y acordes al estado de la técnica para proteger tus datos personales contra la pérdida, el acceso no autorizado, la alteración, la divulgación o la destrucción, conforme a las exigencias de la Ley 25.326 y a las recomendaciones de la Agencia de Acceso a la Información Pública.

Entre otras medidas, las contraseñas y los PIN de acceso se almacenan siempre cifrados (las contraseñas mediante el sistema de autenticación de la plataforma y los PIN con algoritmos de hash robustos como bcrypt), nunca en texto plano. Las credenciales sensibles, como la contraseña del servidor SMTP de cada comercio, se almacenan cifradas. Las comunicaciones entre tu navegador, la aplicación y los proveedores se realizan a través de canales cifrados.

Implementamos un estricto aislamiento multi-inquilino (multi-tenant): los datos de cada comercio están lógicamente separados mediante políticas de seguridad a nivel de fila (RLS) en la base de datos, de manera que un comercio no pueda acceder a la información de otro. Además, aplicamos un sistema de permisos y roles que limita el acceso de cada empleado a las funciones y datos que le corresponden según su rol, y registramos eventos de auditoría (incluyendo IP y User-Agent) para detectar y responder ante accesos indebidos. También utilizamos control de frecuencia de solicitudes y protección anti-bot para mitigar abusos.

Ningún sistema es completamente infalible. Si llegara a producirse un incidente de seguridad que afecte tus datos personales, actuaremos con diligencia para mitigarlo y, cuando corresponda, te informaremos y notificaremos a la autoridad de control de acuerdo con la normativa aplicable.

8. Derechos del titular de los datos

Como titular de los datos, la Ley 25.326 te reconoce los derechos de acceso, rectificación, actualización, supresión y oposición sobre tus datos personales. El derecho de acceso te permite conocer qué datos tuyos tratamos, con qué finalidad y a quiénes los comunicamos. La rectificación y la actualización te permiten corregir datos inexactos o desactualizados. La supresión te permite solicitar la eliminación de tus datos cuando ya no sean necesarios o cuando hayas revocado tu consentimiento, salvo que exista una obligación legal de conservarlos (por ejemplo, los comprobantes fiscales). La oposición te permite pedir que cesemos un tratamiento determinado por motivos legítimos.

Conforme a la Ley 25.326, el derecho de acceso puede ejercerse de forma gratuita a intervalos no inferiores a seis meses, salvo que acredites un interés legítimo a tal efecto. Una vez recibida tu solicitud de acceso, te brindaremos la información dentro de los diez días corridos; las solicitudes de rectificación, actualización o supresión se resolverán dentro de los cinco días hábiles, conforme a los plazos legales.

Para ejercer cualquiera de estos derechos, escribinos a hola@frambuesa.app indicando tu solicitud y los datos que permitan identificarte de manera fehaciente. Podemos pedirte información adicional para verificar tu identidad antes de dar curso al pedido, a fin de proteger tu privacidad. Si sos cliente final de un comercio que usa Frambuesa, podés ejercer tus derechos ante ese comercio (responsable de esos datos) o escribirnos para que te orientemos y, en nuestro carácter de encargados, demos curso a la solicitud por cuenta del comercio.

9. Datos de menores de edad

Frambuesa es una herramienta profesional destinada a la gestión de comercios gastronómicos y está dirigida exclusivamente a personas mayores de edad: propietarios, responsables y empleados autorizados de los comercios. El servicio no está orientado a menores de edad ni recolectamos intencionalmente datos personales de menores como usuarios de la plataforma.

Si un comercio, en el marco de su operación, cargara datos de clientes finales que pudieran corresponder a menores, dicho tratamiento se realiza bajo la responsabilidad del comercio, que debe contar con el consentimiento de los representantes legales cuando la normativa así lo exija. Si tomamos conocimiento de que hemos tratado datos de un menor sin la base legal adecuada, adoptaremos medidas para suprimirlos.

10. Decisiones automatizadas

Frambuesa no adopta decisiones que produzcan efectos jurídicos sobre vos o te afecten de manera significativa basadas únicamente en un tratamiento automatizado de tus datos personales, ni elabora perfiles con esa finalidad.

Los procesos automatizados que existen en la plataforma tienen carácter operativo y de seguridad, como el control de frecuencia de solicitudes, la verificación anti-bot, el cálculo de puntos de fidelización según las reglas que define cada comercio, o la conciliación automática de cobros y comprobantes. Ninguno de estos procesos sustituye la intervención humana en decisiones relevantes ni se utiliza para evaluar aspectos de tu personalidad o conducta de manera autónoma.

11. Cookies y tecnologías similares

La plataforma utiliza cookies y tecnologías equivalentes que resultan necesarias para su funcionamiento, como las que mantienen tu sesión iniciada y las que garantizan la seguridad del servicio. Para la medición de las visitas a nuestro sitio público utilizamos una herramienta de analítica respetuosa de la privacidad que no emplea cookies de terceros ni construye perfiles individuales.

El detalle completo sobre qué cookies utilizamos, su finalidad, su duración y cómo podés gestionarlas o deshabilitarlas se encuentra en nuestra Política de Cookies, que forma parte integrante de esta Política de Privacidad y a la cual te remitimos.

12. Órgano de control

La Agencia de Acceso a la Información Pública, en su carácter de Autoridad de Aplicación de la Ley 25.326 de Protección de Datos Personales, es el órgano de control encargado de velar por el cumplimiento de la normativa en materia de protección de datos en la República Argentina.

Si considerás que el tratamiento de tus datos personales no se ajusta a la normativa vigente, tenés derecho a presentar un reclamo o denuncia ante la Agencia de Acceso a la Información Pública. De todos modos, te invitamos a contactarnos primero a hola@frambuesa.app para intentar resolver tu inquietud de manera directa y ágil.

13. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad cuando incorporemos nuevas funciones, cambiemos de proveedores o debamos adecuarnos a modificaciones legales o regulatorias. Cuando realicemos cambios, actualizaremos la fecha de última actualización al inicio del documento y, si los cambios son significativos, procuraremos comunicártelos por los medios disponibles, como un aviso dentro de la plataforma o un correo electrónico.

Te recomendamos revisar esta política periódicamente para mantenerte informado sobre cómo protegemos tus datos. El uso continuado del servicio luego de la entrada en vigencia de los cambios implica la aceptación de la versión actualizada. Ante cualquier duda sobre esta política o sobre el tratamiento de tus datos, podés escribirnos en cualquier momento a hola@frambuesa.app.