Acuerdo de Tratamiento de Datos (DPA)

Vigente desde el 11 de julio de 2026

Este Acuerdo regula la relación entre el Estudio (en adelante, el “Responsable”) y GERUX (en adelante, el “Encargado”) respecto del tratamiento de datos personales que el Responsable carga en la Plataforma, en cumplimiento del art. 25 de la Ley 25.326.

1. Roles de las partes

  • El Responsable (Estudio) determina la finalidad y el contenido del tratamiento de los datos personales de sus clientes, contrapartes y terceros cargados en GERUX.
  • El Encargado (GERUX) trata dichos datos por cuenta y según las instrucciones documentadas del Responsable, exclusivamente para prestar el Servicio.

GERUX no utilizará los datos del Responsable para fines propios, ni los cederá a terceros salvo lo previsto en este Acuerdo o por mandato legal.

2. Objeto, naturaleza y duración

  • Objeto: prestación del servicio SaaS de gestión de expedientes jurídicos.
  • Naturaleza de las operaciones: almacenamiento, organización, consulta, sincronización con sistemas judiciales, generación de documentos, análisis con IA y notificaciones.
  • Duración: mientras esté vigente la relación contractual, más el plazo de conservación posterior previsto en la Cláusula 8.

3. Categorías de datos y de titulares

Categoría de titulares Datos tratados (ejemplos)
Clientes del Estudio Nombre, DNI/CUIT, domicilio, contacto, datos del caso
Contrapartes y terceros Identificación y datos vinculados a los expedientes
Usuarios del Estudio Nombre, email, rol, credenciales

El Responsable garantiza contar con base de licitud (consentimiento u otra) para el tratamiento de estos datos y para encomendárselo a GERUX.

4. Obligaciones del Encargado (GERUX)

GERUX se obliga a:

  1. Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable y para prestar el Servicio.
  2. Garantizar la confidencialidad (Cláusula 9), incluso de su personal y subencargados, deber que subsiste tras finalizar el contrato.
  3. Implementar medidas de seguridad técnicas y organizativas adecuadas (art. 9, Ley 25.326): aislamiento de datos por Estudio (base por inquilino), cifrado de credenciales sensibles, control de acceso por roles, registros de auditoría, bloqueo por intentos fallidos, y copias de seguridad diarias cifradas con criptografía asimétrica (el servidor no puede descifrarlas), verificación automática de integridad y copia externa al servidor principal.
  4. Asistir razonablemente al Responsable en la atención de los derechos de los titulares (acceso, rectificación, actualización, supresión).
  5. Notificar al Responsable, sin demora indebida, todo incidente de seguridad que afecte sus datos.
  6. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de este Acuerdo.
  7. Devolver o suprimir los datos al finalizar la relación, según la Cláusula 8.

5. Subencargados autorizados

El Responsable autoriza a GERUX a recurrir a los siguientes subencargados, comprometidos a niveles de protección adecuados:

Subencargado Finalidad Ubicación
Hostinger Alojamiento de la aplicación y bases de datos A confirmar
Backblaze, Inc. (Backblaze B2) Almacenamiento externo de copias de seguridad, siempre cifradas (el proveedor no puede acceder a su contenido) Estados Unidos
MercadoPago Procesamiento de pagos Argentina
Proveedores de IA (actualmente DeepSeek —principal— y OpenAI —secundario—) Generación de resúmenes/análisis DeepSeek: China · OpenAI: Estados Unidos
Meta Platforms, Inc. (WhatsApp) — integración directa, sin proveedor de mensajería intermediario Notificaciones Estados Unidos / Irlanda
Proveedor de correo electrónico (SMTP) Emails transaccionales A confirmar

La relación con cada subencargado se rige por los términos de servicio y el acuerdo de tratamiento de datos (DPA) que cada proveedor publica y que GERUX acepta al contratarlo; no se celebra un contrato bilateral independiente con los proveedores masivos.

GERUX informará con antelación razonable cualquier alta o cambio de subencargado, pudiendo el Responsable objetarlo por motivos fundados.

6. Transferencias internacionales

Algunos subencargados (p. ej., IA, hosting) pueden procesar datos fuera de Argentina. Dichas transferencias se realizan procurando las garantías exigidas por los arts. 11 y 12 de la Ley 25.326 y la normativa de la AAIP sobre transferencia internacional. El Responsable presta su conformidad en la medida necesaria para la prestación del Servicio.

7. Derechos de los titulares

Las solicitudes de ejercicio de derechos que GERUX reciba directamente de un titular serán derivadas al Responsable, salvo que la ley imponga otra conducta. GERUX brindará el soporte técnico razonable para que el Responsable atienda dichas solicitudes desde la Plataforma.

8. Devolución y supresión de datos

Finalizada la relación contractual, y salvo obligación legal de conservación, GERUX:

  1. Mantendrá los datos disponibles para su exportación por el Responsable durante 60 (sesenta) días.
  2. Transcurrido ese plazo, suprimirá o anonimizará los datos de forma segura, salvo aquellos que deba conservar por imperativo legal (p. ej., documentación impositiva).
  3. Los datos suprimidos pueden persistir en copias de seguridad cifradas por un plazo adicional de hasta 60 (sesenta) días, transcurrido el cual se eliminan en forma automática; durante ese período no se utilizan salvo para la recuperación ante incidentes.

9. Confidencialidad

GERUX reconoce que los datos pueden estar alcanzados por el secreto profesional del abogado (conforme la normativa de ejercicio de la abogacía y los códigos de ética profesional aplicables, y el art. 156 del Código Penal) y se obliga a tratarlos como estrictamente confidenciales, accediendo a ellos solo para soporte solicitado, cumplimiento legal o requerimiento de autoridad competente.

10. Responsabilidad

Cada parte responde por el incumplimiento de las obligaciones que este Acuerdo y la Ley 25.326 le imponen según su rol. La responsabilidad de GERUX se rige, además, por la cláusula de limitación de responsabilidad de los Términos y Condiciones.

11. Autoridad de control

El órgano de control de la Ley 25.326 es la Agencia de Acceso a la Información Pública (AAIP), ante quien los titulares pueden presentar denuncias por incumplimiento de la normativa de protección de datos.