InicioPolítica de Privacidad

Política de Privacidad

Última actualización: Abril 2026Versión: 1.1
Índice de contenidos

En Trama Inc. (en adelante, "Trama", "nosotros" o "nuestro") nos tomamos en serio la privacidad y la protección de datos personales. Esta Política de Privacidad explica qué información recopilamos, cómo la utilizamos, con quién la compartimos, cómo la protegemos y qué derechos tenés sobre tus datos.

Esta política aplica a todas las personas que interactúan con nuestros servicios: clientes que contratan Trama para su negocio, usuarios autorizados que acceden a la Plataforma en nombre de un cliente, usuarios finales que interactúan con un agente de IA operado por un cliente de Trama, y visitantes de nuestro sitio web trama.so.

Al utilizar nuestros servicios o visitar nuestro sitio web, aceptás las prácticas descritas en esta política. Te recomendamos leerla junto con nuestros Términos y Condiciones, disponibles en trama.so/tc.

1. Quiénes somos

Trama Inc. es una empresa con sede en Córdoba, Argentina, que desarrolla y provee agentes de inteligencia artificial para empresas de servicios, con foco inicial en la industria del turismo. Nuestros agentes operan en canales de comunicación como WhatsApp, Instagram, email y otros, asistiendo a las empresas en sus procesos comerciales y operativos.

Contacto para temas de privacidad: Email: privacidad@trama.so Email general: hola@trama.so Web: trama.so Ubicación: Córdoba, Argentina

2. Nuestros principios de privacidad

El tratamiento de datos en Trama se rige por los siguientes principios, que aplicamos desde el diseño de nuestros productos y en todas nuestras operaciones:

Privacidad por diseño y por defecto. Incorporamos la protección de datos desde la etapa de diseño de cada funcionalidad y producto. Por defecto, nuestros sistemas recopilan y procesan solo los datos mínimos necesarios para cada fin.

Minimización de datos. Solo recopilamos los datos personales que son estrictamente necesarios para el fin específico del tratamiento. No pedimos más información de la que necesitamos ni la conservamos más tiempo del necesario.

Limitación de finalidad. Utilizamos los datos personales exclusivamente para los fines informados en esta política. No los repurposamos para fines incompatibles sin informarte y, cuando corresponda, sin obtener tu consentimiento.

Exactitud. Hacemos esfuerzos razonables para mantener los datos personales exactos y actualizados. Facilitamos a los titulares la corrección de datos inexactos.

Transparencia. Informamos de manera clara, accesible y en lenguaje comprensible sobre nuestras prácticas de tratamiento de datos.

Seguridad e integridad. Protegemos los datos personales con medidas técnicas y organizativas apropiadas al riesgo del tratamiento.

Responsabilidad demostrable. Documentamos nuestras decisiones y prácticas de protección de datos, y podemos demostrar nuestro cumplimiento ante las autoridades competentes.

3. Roles en el tratamiento de datos

Es importante entender los distintos roles que existen en el tratamiento de datos a través de nuestro servicio:

Trama como responsable del tratamiento. Cuando recopilamos datos directamente de nuestros clientes, visitantes del sitio web y usuarios de la Plataforma (datos de registro, facturación, navegación, cookies, comunicaciones de soporte), Trama actúa como responsable del tratamiento y decide los fines y medios del procesamiento.

Trama como encargado del tratamiento. Cuando procesamos datos de los usuarios finales de nuestros clientes (las personas que escriben al agente de IA por WhatsApp u otros canales), Trama actúa como encargado del tratamiento, procesando esos datos por cuenta y bajo las instrucciones documentadas del cliente. En este caso, el cliente es el responsable del tratamiento y es quien debe contar con la base legal para recopilar y tratar esos datos personales.

El cliente como responsable. Cada cliente que utiliza Trama es responsable de cumplir con la legislación de protección de datos aplicable en su jurisdicción respecto de los datos personales de sus usuarios finales. Esto incluye obtener los consentimientos necesarios, informar a sus usuarios finales sobre el tratamiento de sus datos (incluyendo el uso de inteligencia artificial), garantizar que el uso del agente cumple con las normas aplicables, y atender las solicitudes de ejercicio de derechos de sus usuarios finales.

Acuerdo de procesamiento de datos (DPA). Para clientes que lo requieran (especialmente aquellos sujetos al RGPD, LGPD u otras normativas que exijan un acuerdo formal de procesamiento), Trama ofrece la firma de un Data Processing Agreement (DPA) o Acuerdo de Tratamiento de Datos que formaliza las obligaciones de Trama como encargado del tratamiento, incluyendo: las instrucciones documentadas del cliente, las medidas de seguridad aplicables, las obligaciones respecto de subencargados, la cooperación en el ejercicio de derechos de los titulares, la notificación de brechas de seguridad, y la eliminación o devolución de datos al finalizar la relación. Los clientes pueden solicitar el DPA en privacidad@trama.so.

4. Qué información recopilamos

Recopilamos diferentes tipos de información según cómo interactúes con nuestros servicios:

4.1 Información que nos proporcionás directamente

Datos de registro y cuenta. Cuando un cliente se registra en Trama, recopilamos: nombre completo o razón social, dirección de correo electrónico, número de teléfono, nombre del negocio, dirección comercial, país y jurisdicción, CUIT/CUIL o identificación fiscal equivalente (para facturación), rol dentro de la organización (para el usuario que registra), y cualquier otra información que el cliente proporcione durante el registro o la configuración de su cuenta.

Datos de facturación y pagos. Para procesar pagos recopilamos: información de la forma de pago elegida (tipo de tarjeta, últimos 4 dígitos, fecha de vencimiento), dirección de facturación, datos fiscales y condición frente al IVA, e historial de transacciones y facturas. Los datos completos de tarjeta de crédito o débito son procesados y almacenados directamente por nuestros procesadores de pago (como Stripe o Mercado Pago). Trama no almacena números completos de tarjeta, CVV ni datos equivalentes en sus propios servidores.

Contenido del cliente. Los clientes cargan a la Plataforma información sobre su negocio para configurar y operar el agente: catálogos de productos y servicios, listas de precios y tarifas, políticas comerciales (cancelación, reembolsos, condiciones), información de destinos, itinerarios y paquetes, reglas de negocio y flujos de atención, horarios de operación, datos de contacto del equipo (para derivaciones), material promocional e imágenes, y credenciales de acceso a sistemas externos (cuando aplica a integraciones, almacenadas de forma cifrada).

Comunicaciones directas. Cuando nos contactás por email, soporte, formularios web, chat o cualquier otro medio, recopilamos: el contenido de esas comunicaciones, los datos de contacto asociados, la fecha y hora de la interacción, y cualquier archivo adjunto que compartas.

4.2 Datos de conversación (usuarios finales)

Cuando un usuario final interactúa con el agente de IA de un cliente de Trama, se generan datos de conversación que pueden incluir:

Datos proporcionados por el canal. Nombre de perfil del usuario final (como aparece en WhatsApp u otro canal), número de teléfono o identificador del usuario en el canal, y foto de perfil (si el canal la provee, Trama generalmente no la almacena).

Contenido de la conversación. Mensajes de texto enviados y recibidos, respuestas generadas por el agente de IA, archivos adjuntos compartidos (imágenes, documentos, audios, videos), y stickers, reacciones u otros elementos interactivos.

Información compartida voluntariamente. Los usuarios finales pueden compartir información adicional durante la conversación, como: destinos de viaje, fechas y duración, cantidad de pasajeros y composición del grupo, presupuesto y preferencias, datos de contacto adicionales (email, otro teléfono), documentos de identidad o pasaporte (si los comparten para una reserva), y datos de pago (si los comparten en la conversación; Trama recomienda a sus clientes no recopilar datos de pago por este medio).

Metadatos. Fecha, hora y duración de cada interacción, canal utilizado, estado de la conversación (activa, derivada, cerrada), resultado de la calificación del contacto, e idioma detectado.

Importante: Trama procesa estos datos como encargado del tratamiento, por cuenta del cliente. No utilizamos los datos identificables de usuarios finales de un cliente para beneficio de otros clientes ni para fines propios distintos a la prestación del servicio.

4.3 Datos de uso y navegación

Cuando visitás nuestro sitio web o utilizás la Plataforma, recopilamos automáticamente:

Datos técnicos. Dirección IP (puede anonimizarse según configuración), tipo de navegador y versión, sistema operativo y versión, tipo de dispositivo (desktop, mobile, tablet), resolución de pantalla, y zona horaria y configuración de idioma.

Datos de interacción. Páginas visitadas y orden de navegación, tiempo de permanencia en cada página, elementos con los que interactuás (botones, formularios, links), URL de referencia (desde dónde llegaste), términos de búsqueda que te trajeron al sitio (si están disponibles), y fecha, hora y frecuencia de las visitas.

Identificadores. Identificadores de sesión, cookies (ver sección 13), y tokens de autenticación (para usuarios logueados).

4.4 Datos de integraciones

Cuando un cliente conecta Trama con sistemas externos (GDS como Amadeus, ERPs, CRMs, sistemas de inventario, APIs de mayoristas u otros), Trama puede acceder a datos de esos sistemas exclusivamente en la medida necesaria para la operación del agente, conforme a las instrucciones del cliente y los permisos otorgados. Los datos accedidos dependen de cada integración y son definidos durante la configuración del proyecto. Trama no accede a más datos de los necesarios para la funcionalidad contratada.

5. Cómo utilizamos la información

A continuación detallamos cada finalidad de tratamiento y la base legal que la sustenta:

5.1 Prestación del servicio

Qué hacemos: Operar, mantener y mejorar nuestros agentes de IA y la Plataforma. Esto incluye procesar conversaciones, generar respuestas, calificar contactos, producir cotizaciones, buscar disponibilidad en sistemas integrados y ejecutar las funciones contratadas por el cliente. Base legal: Ejecución del contrato con el cliente. Interés legítimo del cliente (para datos de usuarios finales procesados como encargado).

5.2 Administración de la cuenta

Qué hacemos: Gestionar el registro, la autenticación, la configuración del servicio, la facturación, el cobro, la emisión de comprobantes fiscales, el soporte técnico y las comunicaciones operativas relacionadas con el servicio. Base legal: Ejecución del contrato. Cumplimiento de obligaciones legales (facturación y registros fiscales).

5.3 Mejora del servicio

Qué hacemos: Analizar patrones de uso de la Plataforma, rendimiento de los agentes, tasas de resolución, tiempos de respuesta, métricas de calidad y feedback para mejorar nuestros productos y servicios. Base legal: Interés legítimo de Trama en mejorar sus productos.

5.4 Datos anonimizados para investigación y desarrollo

Qué hacemos: Utilizamos datos que han sido anonimizados de forma irreversible para: entrenar y evaluar modelos de inteligencia artificial propios, generar estadísticas agregadas y benchmarks del sector, desarrollar nuevas funcionalidades y productos, y realizar investigación sobre patrones de interacción comercial en la industria. Base legal: Interés legítimo de Trama. Los datos anonimizados no constituyen datos personales conforme a la legislación aplicable. Proceso de anonimización: Nuestro proceso de anonimización incluye: eliminación de todos los identificadores directos (nombres, teléfonos, emails, documentos de identidad), eliminación o generalización de identificadores indirectos (ubicaciones específicas, fechas exactas, montos exactos), agregación de datos de múltiples conversaciones y clientes, verificación de que los datos resultantes no permiten la reidentificación mediante técnicas razonables, y separación irreversible entre los datos anonimizados y los datos originales. Una vez anonimizados, los datos no pueden vincularse con ninguna persona ni empresa específica, y no se conservan claves de reversión.

5.5 Comunicaciones

Qué hacemos: Enviarte información relevante sobre tu cuenta y el servicio (notificaciones operativas, alertas de seguridad, cambios en el servicio, actualizaciones de políticas). Si lo autorizás, enviarte comunicaciones de marketing, novedades del producto, contenido educativo y ofertas. Base legal: Ejecución del contrato (comunicaciones operativas). Consentimiento (comunicaciones de marketing). Podés optar por no recibir comunicaciones de marketing en cualquier momento haciendo clic en "desuscribirme" en cualquier email, o contactando a hola@trama.so.

5.6 Cumplimiento legal y prevención de fraudes

Qué hacemos: Cumplir con obligaciones legales, fiscales y regulatorias. Responder a requerimientos de autoridades competentes. Proteger nuestros derechos legales. Prevenir, detectar e investigar fraudes, abusos o actividades ilegales. Hacer cumplir nuestros Términos y Condiciones. Base legal: Cumplimiento de obligación legal. Interés legítimo de Trama en proteger sus derechos y prevenir abusos.

5.7 Seguridad

Qué hacemos: Proteger la seguridad e integridad de nuestros sistemas, redes e infraestructura. Detectar y prevenir accesos no autorizados, ataques cibernéticos y actividades maliciosas. Monitorear la disponibilidad y el rendimiento del servicio. Mantener registros de auditoría para trazabilidad. Base legal: Interés legítimo de Trama en la seguridad de sus sistemas y la protección de sus clientes.

6. Inteligencia artificial y procesamiento de datos

Dado que nuestro servicio se basa en inteligencia artificial, es importante que entiendas cómo procesamos los datos en este contexto:

Procesamiento por modelos de IA. Las conversaciones de los usuarios finales con el agente son procesadas por modelos de inteligencia artificial para generar respuestas. Este procesamiento implica que el contenido de los mensajes es enviado a los servidores de los proveedores de modelos de IA que Trama utiliza. Trama selecciona proveedores que ofrecen garantías de seguridad y privacidad, y contrata sus servicios bajo acuerdos que restringen el uso de los datos de nuestros clientes. En particular, los datos de conversación enviados al proveedor de modelos no son utilizados para entrenar o mejorar los modelos generales del proveedor.

No entrenamos modelos generales con tus datos. Trama no utiliza los datos de conversación identificables de un cliente para entrenar modelos de IA de propósito general que se compartan con otros clientes o con terceros. Cuando utilizamos datos para mejora del servicio, estos son previamente anonimizados de forma irreversible conforme al proceso descrito en la sección 5.4.

Memoria conversacional. El agente puede mantener memoria del contexto de una conversación activa y, según la configuración, del historial de interacciones previas con un mismo usuario final, para ofrecer una experiencia coherente y personalizada. Esta memoria es específica de cada cliente y está lógicamente aislada. No se comparte entre clientes. El cliente puede configurar la duración y el alcance de la memoria conversacional.

Decisiones automatizadas y perfilado. El agente puede realizar las siguientes actividades de tratamiento automatizado: calificación de contactos (determinar si un contacto es un lead calificado, una consulta informativa, spam, etc.), asignación de prioridad (determinar la urgencia o el valor potencial de una consulta), generación de cotizaciones (calcular precios y armar presupuestos basados en las reglas del cliente), derivación a humanos (decidir cuándo una conversación requiere intervención humana), y sugerencias de productos o servicios (recomendar opciones basadas en las preferencias expresadas).

Estas decisiones se basan en las reglas de negocio configuradas por el cliente y en el análisis del contexto de la conversación. No producen efectos jurídicos por sí mismas (no celebran contratos, no asumen compromisos vinculantes, no deniegan servicios). El cliente es responsable de supervisar estas decisiones, configurar los umbrales de derivación humana, y verificar que las cotizaciones y recomendaciones generadas sean correctas antes de que se formalice una transacción.

Si sos usuario final y creés que una decisión automatizada te ha afectado negativamente, podés solicitar la revisión humana de esa decisión contactando directamente al negocio con el que interactuaste (el cliente de Trama).

Transparencia sobre el uso de IA. Trama recomienda y facilita que sus clientes informen a sus usuarios finales que están interactuando con un agente de inteligencia artificial. El agente incluye, por defecto, una identificación como asistente de IA en las primeras interacciones, salvo que el cliente configure lo contrario. En jurisdicciones donde la legislación lo exige (como la Unión Europea bajo el EU AI Act, artículo 50), esta divulgación es obligatoria y el cliente es responsable de cumplirla.

7. WhatsApp y Meta

Trama accede a las conversaciones de WhatsApp a través de la WhatsApp Cloud API de Meta Platforms, Inc. Esta sección detalla cómo funciona este acceso:

Acceso vía API oficial. Trama utiliza la API oficial de WhatsApp Business (Cloud API), que es el mecanismo aprobado por Meta para que proveedores tecnológicos procesen mensajes en nombre de empresas. No accedemos a WhatsApp de forma no autorizada ni utilizamos aplicaciones personales o la app WhatsApp Business estándar para el procesamiento de datos.

Datos que recibimos de WhatsApp. A través de la API recibimos: el contenido de los mensajes enviados y recibidos (texto, imágenes, documentos, audios, videos, stickers, ubicaciones compartidas), el nombre de perfil y número de teléfono del usuario final, metadatos del mensaje (timestamp, tipo de mensaje, estado de entrega y lectura), e información del contexto de la conversación (si es una respuesta a un template, un mensaje en un flujo, etc.).

Datos que NO accedemos. Trama no accede a: la lista de contactos del teléfono del cliente ni del usuario final, conversaciones privadas del cliente o del usuario final fuera del canal del agente, datos de ubicación en tiempo real del usuario final (salvo que los comparta explícitamente enviando una ubicación en la conversación), historial de conversaciones de WhatsApp previas a la activación del agente de Trama, estados de WhatsApp (stories) del cliente o del usuario final, información de grupos de WhatsApp que no estén vinculados al agente, ni datos de la cuenta de Meta/Facebook/Instagram del usuario final.

Encriptación. Los mensajes en tránsito entre el usuario final y los servidores de WhatsApp están protegidos por el protocolo de encriptación de WhatsApp. Una vez que el mensaje llega a los servidores de Meta a través de la Cloud API y es reenviado a Trama vía webhook, Trama protege los datos mediante cifrado en tránsito (TLS) y cifrado en reposo en sus propios sistemas.

Políticas de Meta. El uso de la WhatsApp Cloud API está sujeto a las políticas de Meta, incluyendo la Política de Datos de la Plataforma de WhatsApp Business, la Política de Mensajes Empresariales, la Política de Comercio de WhatsApp y los Términos de la Plataforma. Meta puede acceder a ciertos metadatos de las conversaciones conforme a sus propias políticas de privacidad. Trama no tiene control sobre las prácticas de tratamiento de datos de Meta. Recomendamos a los clientes y usuarios finales revisar la política de privacidad de WhatsApp en whatsapp.com/legal/privacy-policy.

Proveedor de servicios de WhatsApp (BSP). Trama puede utilizar un Business Solution Provider (BSP) autorizado por Meta para la gestión de la conexión con la API de WhatsApp. En ese caso, el BSP actúa como subencargado del tratamiento y está sujeto a obligaciones contractuales de confidencialidad y protección de datos equivalentes a las de Trama.

Política de IA de WhatsApp 2026. Trama opera en cumplimiento de la política de Meta vigente respecto del uso de inteligencia artificial en WhatsApp Business. Nuestros agentes están diseñados como herramientas de propósito específico (atención comercial, calificación de contactos, cotizaciones) y no como asistentes conversacionales de propósito general, conforme a los lineamientos de Meta.

8. Datos de los usuarios finales de tu agencia

Si sos cliente de Trama, esta sección explica cómo tratamos los datos de las personas que contactan a tu agente (tus pasajeros, clientes potenciales, proveedores, contactos):

Propiedad. Los datos de tus usuarios finales te pertenecen a vos como cliente. Trama los procesa exclusivamente como encargado del tratamiento, para prestarte el servicio contratado.

Aislamiento. Los datos de tus usuarios finales están lógicamente aislados y segregados de los datos de otros clientes de Trama. Cada cliente opera en su propio espacio de datos (tenant), con controles de acceso dedicados. Ningún otro cliente puede acceder a tus datos, y vos no podés acceder a los datos de otros clientes.

Sin uso para fines propios. Trama no utiliza los datos identificables de tus usuarios finales para: marketing de Trama, contactar directamente a tus usuarios finales en nombre de Trama, vender o compartir con terceros, alimentar los agentes de otros clientes, ni realizar perfilado en beneficio de Trama. La excepción es el uso de datos anonimizados de forma irreversible, conforme al proceso descrito en la sección 5.4.

Sin venta de datos. Trama no vende, alquila, licencia ni comercializa datos personales de ningún tipo, en ninguna circunstancia. Esto aplica a datos de clientes, usuarios finales y visitantes.

Exportación de datos. Podés solicitar la exportación de los datos de tus usuarios finales en cualquier momento durante la vigencia de tu suscripción y durante los 30 días naturales posteriores a la cancelación. Los datos se entregarán en un formato estructurado, de uso común y legible por máquinas (JSON o CSV).

Tu responsabilidad. Como cliente, sos responsable de: informar a tus usuarios finales que pueden estar interactuando con un agente de IA y que sus datos serán procesados conforme a tu propia política de privacidad, contar con la base legal adecuada para recopilar y tratar sus datos personales (consentimiento, relación contractual, interés legítimo u otra base válida en tu jurisdicción), publicar una política de privacidad propia que describa cómo tratás los datos de tus clientes, incluyendo el uso de Trama como encargado del tratamiento, cumplir con la legislación de protección de datos aplicable en tu jurisdicción, atender las solicitudes de ejercicio de derechos que tus usuarios finales te dirijan, y no recopilar datos sensibles o categorías especiales de datos a través del agente salvo que tengas base legal reforzada para hacerlo. Trama te asistirá razonablemente en el cumplimiento de estas obligaciones conforme a los términos del DPA, si fue suscripto.

9. Con quién compartimos información

Trama no vende, alquila ni comercializa datos personales. Compartimos información únicamente en los siguientes casos y con las siguientes categorías de destinatarios:

Proveedores de infraestructura en la nube. Para almacenamiento, procesamiento y hosting de datos. Estos proveedores operan bajo estrictos acuerdos de confidencialidad y protección de datos, y procesan los datos exclusivamente conforme a nuestras instrucciones.

Proveedores de modelos de inteligencia artificial. Para el procesamiento de conversaciones y la generación de respuestas por el agente. Los datos de conversación se envían al proveedor de modelos para su procesamiento en tiempo real. Trama contrata proveedores que no utilizan estos datos para entrenar modelos generales.

Procesadores de pago. Para la gestión de cobros, suscripciones y facturación. Los procesadores de pago reciben los datos estrictamente necesarios para procesar la transacción y están sujetos a normativas de seguridad de la industria de pagos (PCI DSS).

Proveedores de servicios de WhatsApp (BSP). Para la conexión con la API de WhatsApp Business y la gestión de mensajes.

Proveedores de email y comunicaciones. Para el envío de notificaciones operativas, emails transaccionales y, cuando el cliente lo autorice, comunicaciones de marketing.

Proveedores de analítica y monitoreo. Para medir el rendimiento del sitio web, la Plataforma y el servicio, detectar errores y mejorar la experiencia. Los datos enviados a estas herramientas pueden incluir datos de navegación anonimizados o seudonimizados.

Gestión de subencargados. Trama mantiene un registro interno de sus subencargados principales. Los clientes que lo soliciten pueden obtener la lista actualizada de subencargados contactando a privacidad@trama.so. Antes de incorporar un nuevo subencargado que procese datos de clientes, Trama evaluará las garantías de seguridad y privacidad del proveedor. Trama notificará a los clientes que hayan suscripto un DPA sobre cambios significativos en la lista de subencargados, con al menos 15 días de anticipación, otorgando al cliente la posibilidad de oponerse conforme a los términos del DPA.

Requerimientos legales. Podemos divulgar información cuando sea necesario para cumplir con una obligación legal, responder a un requerimiento judicial, citación o requerimiento de autoridad administrativa competente, proteger los derechos, propiedad o seguridad de Trama, nuestros clientes o terceros, o investigar y prevenir fraudes, abusos o actividades ilegales. Cuando sea legalmente posible, notificaremos al cliente antes de divulgar sus datos en respuesta a un requerimiento legal.

Transferencia corporativa. En caso de fusión, adquisición, reorganización societaria, venta de activos, financiación o cambio de control de Trama, los datos personales podrían transferirse como parte de la transacción. En tal caso, el adquirente estará sujeto a las obligaciones de esta política. Notificaremos a los afectados antes de que los datos queden sujetos a una política de privacidad sustancialmente diferente.

Con tu consentimiento. En cualquier otro caso, solo compartiremos tus datos con tu consentimiento previo, específico e informado.

10. Transferencias internacionales de datos

Los datos personales recopilados a través de nuestros servicios pueden ser transferidos y procesados en países distintos al país donde se recopilaron.

Ubicación de procesamiento. Nuestros proveedores de infraestructura y modelos de IA pueden procesar datos en Estados Unidos, Europa, y otras regiones donde mantienen centros de datos. Trama no tiene control directo sobre la ubicación específica de los servidores de sus proveedores, pero selecciona proveedores que ofrecen garantías adecuadas.

Garantías para transferencias. Cuando transferimos datos personales fuera de la jurisdicción del titular, adoptamos una o más de las siguientes garantías: verificación de que el país de destino ofrece un nivel de protección adecuado reconocido por la autoridad competente del país de origen, implementación de cláusulas contractuales estándar aprobadas por autoridades de protección de datos, inclusión de obligaciones contractuales de confidencialidad, seguridad y limitación de uso equivalentes a las de esta política, y aplicación de medidas técnicas complementarias (cifrado, seudonimización, controles de acceso) para reforzar la protección de los datos transferidos.

Para clientes en Argentina. Las transferencias internacionales se realizan conforme a lo dispuesto en los artículos 12 y concordantes de la Ley 25.326 y su Decreto Reglamentario 1558/2001, que permiten la transferencia a países con nivel adecuado de protección o cuando el titular haya prestado su consentimiento, entre otros supuestos.

Para clientes en la Unión Europea / EEE. Las transferencias fuera del EEE se realizan conforme a los mecanismos previstos en el Capítulo V del RGPD (artículos 44 a 49), incluyendo decisiones de adecuación de la Comisión Europea, cláusulas contractuales estándar (SCCs) aprobadas por la Comisión, u otros mecanismos válidos. Cuando se utilicen SCCs, Trama implementa las medidas suplementarias necesarias conforme a las recomendaciones del EDPB.

Para clientes en Brasil. Las transferencias internacionales se realizan conforme a los mecanismos previstos en el artículo 33 de la LGPD, incluyendo países con nivel adecuado de protección, cláusulas contractuales estándar, u otros mecanismos reconocidos por la ANPD.

11. Retención y eliminación de datos

Retenemos los datos personales solo durante el tiempo necesario para cumplir con los fines para los que fueron recopilados. A continuación, los plazos de retención por tipo de dato:

Datos de cuenta y registro. Se conservan mientras la cuenta del cliente esté activa. Tras la cancelación, se conservan durante 30 días naturales para permitir la reactivación o exportación, y luego se eliminan de los sistemas activos. Ciertos datos básicos (nombre, email, historial de facturación) pueden conservarse por plazos legales.

Datos de facturación y fiscales. Se conservan durante el plazo requerido por la legislación fiscal aplicable. En Argentina, la documentación fiscal debe conservarse por 10 años conforme a la Ley 11.683 y normativa de ARCA (ex-AFIP). En otras jurisdicciones, se aplica el plazo legal local.

Datos de conversación (usuarios finales). Se conservan mientras la suscripción del cliente esté activa. Tras la cancelación, se conservan por 30 días naturales para exportación. Luego se eliminan de los sistemas activos. Los datos pueden persistir en copias de seguridad cifradas por un período adicional de hasta 90 días conforme al ciclo de rotación de backups.

Contenido del cliente (catálogos, reglas de negocio). Se conserva mientras la suscripción esté activa y durante los 30 días naturales posteriores a la cancelación.

Datos de navegación y analítica. Se conservan por un período máximo de 26 meses desde la recolección, salvo que se anonimicen antes.

Cookies. Según el tipo: cookies de sesión se eliminan al cerrar el navegador, cookies persistentes se conservan según los plazos indicados en la sección 13.

Datos anonimizados. Se conservan indefinidamente, ya que no constituyen datos personales.

Registros de seguridad y auditoría. Se conservan por un período de 12 meses para fines de seguridad, trazabilidad e investigación de incidentes.

Comunicaciones de soporte. Se conservan por un período de 24 meses desde la última interacción, salvo que formen parte de una disputa activa.

Solicitud de eliminación anticipada. Podés solicitar la eliminación de tus datos personales en cualquier momento contactando a privacidad@trama.so. Atenderemos tu solicitud conforme a la legislación aplicable. Tené en cuenta que ciertos datos pueden requerir conservación por obligaciones legales, y que la eliminación de datos puede implicar la imposibilidad de continuar prestándote el servicio.

12. Seguridad de los datos

Implementamos medidas técnicas y organizativas apropiadas al riesgo del tratamiento para proteger los datos personales:

Medidas técnicas

Cifrado. Datos en tránsito protegidos mediante TLS 1.2 o superior (HTTPS). Datos en reposo cifrados en nuestras bases de datos y sistemas de almacenamiento. Copias de seguridad cifradas.

Control de acceso. Controles de acceso basados en roles (RBAC) con principio de mínimo privilegio. Autenticación segura para acceso a sistemas internos. Revisión periódica de permisos de acceso. Segregación de ambientes (desarrollo, staging, producción).

Aislamiento. Multi-tenancy con aislamiento lógico estricto entre clientes. Cada cliente opera en un espacio de datos segregado. Las consultas y operaciones están limitadas al scope del cliente autenticado.

Monitoreo. Monitoreo continuo de actividad y detección de anomalías. Registros de auditoría (logs) para trazabilidad de accesos y operaciones. Alertas automatizadas ante eventos de seguridad.

Resiliencia. Copias de seguridad regulares con procedimientos documentados de recuperación. Infraestructura distribuida para alta disponibilidad.

Medidas organizativas

Personal. Obligaciones de confidencialidad contractuales para todo el personal con acceso a datos. Acceso a datos de clientes limitado al mínimo personal necesario.

Proveedores. Evaluación de seguridad de proveedores antes de su contratación. Obligaciones contractuales de seguridad y confidencialidad en todos los acuerdos con proveedores.

Procesos. Políticas internas de seguridad de la información documentadas. Procedimientos de respuesta ante incidentes de seguridad. Revisiones periódicas de seguridad.

Notificación de brechas de seguridad

En caso de una brecha de seguridad que afecte datos personales:

Notificación al cliente. Trama notificará a los clientes afectados sin demora indebida y, en cualquier caso, dentro de las 72 horas de haber tomado conocimiento del incidente. La notificación incluirá: descripción de la naturaleza del incidente, categorías y volumen aproximado de datos y titulares afectados, descripción de las consecuencias probables del incidente, medidas adoptadas y previstas para remediar el incidente y mitigar sus efectos, datos de contacto para obtener más información, y recomendaciones para que el cliente proteja a sus usuarios finales.

Notificación a autoridades. Cuando la brecha represente un riesgo para los derechos y libertades de las personas, Trama notificará a la autoridad de protección de datos competente conforme a los plazos y requisitos de la legislación aplicable (72 horas para el RGPD, plazos de la AAIP para Argentina).

Registro de incidentes. Trama mantiene un registro interno de todos los incidentes de seguridad, incluyendo los que no fueron notificados externamente por no alcanzar los umbrales de notificación.

Limitación. A pesar de nuestros esfuerzos, ningún sistema de almacenamiento o transmisión de datos es completamente invulnerable. No podemos garantizar la seguridad absoluta de los datos, pero nos comprometemos a actuar con diligencia, a mejorar continuamente nuestras prácticas de seguridad y a responder de forma transparente y oportuna ante cualquier incidente.

13. Cookies y tecnologías de seguimiento

Nuestro sitio web (trama.so) y la Plataforma utilizan cookies y tecnologías similares (local storage, pixels, beacons).

Cookies estrictamente necesarias. Esenciales para el funcionamiento del sitio web y la Plataforma. Incluyen cookies de sesión, autenticación, seguridad (CSRF) y preferencias críticas. No pueden desactivarse sin afectar la funcionalidad básica. Duración: sesión o hasta 12 meses según la cookie.

Cookies de rendimiento y analítica. Permiten entender cómo los visitantes utilizan nuestro sitio web. Trama utiliza herramientas de analítica (como Posthog u otras) que pueden establecer cookies para recopilar datos de uso de forma agregada o seudonimizada. Duración: hasta 26 meses.

Cookies de funcionalidad. Permiten recordar preferencias de usuario (idioma, zona horaria, configuración de la Plataforma) para ofrecerte una experiencia personalizada. Duración: hasta 12 meses.

Cookies de marketing. Al momento de publicación de esta política, Trama no utiliza cookies de publicidad, remarketing ni seguimiento publicitario de terceros. Si en el futuro implementamos este tipo de cookies, actualizaremos esta política y solicitaremos tu consentimiento previo antes de activarlas, conforme a la legislación aplicable.

Señales Do Not Track (DNT). Actualmente, no existe un estándar uniforme para interpretar las señales "Do Not Track" de los navegadores. Trama no modifica su comportamiento en respuesta a señales DNT. Si en el futuro se establece un estándar, evaluaremos su implementación.

Gestión de cookies. Podés configurar tu navegador para rechazar todas o ciertas cookies, para que te avise antes de aceptarlas, o para eliminar las cookies existentes. Tené en cuenta que desactivar ciertas cookies puede afectar la funcionalidad del sitio web o la Plataforma. La mayoría de los navegadores ofrecen estas opciones en su sección de configuración de privacidad.

14. Derechos de los titulares de datos

Dependiendo de la legislación aplicable en tu jurisdicción, podés tener los siguientes derechos respecto de tus datos personales:

Derecho de acceso. Solicitar información sobre qué datos personales tenemos sobre vos, los fines del tratamiento, las categorías de datos tratados, los destinatarios o categorías de destinatarios, los plazos de conservación, y la fuente de los datos (si no fueron recopilados directamente de vos).

Derecho de rectificación. Solicitar la corrección de datos personales que sean inexactos, incompletos o desactualizados.

Derecho de supresión (eliminación). Solicitar la eliminación de tus datos personales cuando: ya no sean necesarios para los fines para los que fueron recopilados, retires tu consentimiento y no exista otra base legal, te opongas al tratamiento y no prevalezcan motivos legítimos, los datos hayan sido tratados ilícitamente, o la eliminación sea requerida por la legislación aplicable. Este derecho puede estar sujeto a excepciones legítimas: obligaciones legales de conservación, ejercicio o defensa de derechos legales, o fines de archivo en interés público.

Derecho de oposición. Oponerte al tratamiento de tus datos personales cuando: el tratamiento se base en interés legítimo (incluyendo perfilado basado en interés legítimo), los datos se traten con fines de marketing directo, o en cualquier otro supuesto previsto por la legislación aplicable.

Derecho a la limitación del tratamiento. Solicitar que limitemos el tratamiento de tus datos personales mientras: verificamos la exactitud de los datos tras una solicitud de rectificación, evaluamos una solicitud de oposición, el tratamiento sea ilícito pero prefieras la limitación a la supresión, o los datos ya no sean necesarios pero los necesites para el ejercicio de derechos legales.

Derecho a la portabilidad. Solicitar recibir tus datos personales en un formato estructurado, de uso común y legible por máquinas (JSON o CSV), y transmitirlos a otro responsable sin que Trama lo impida. Este derecho aplica a los datos que nos proporcionaste directamente y que se procesaron de forma automatizada con base en el consentimiento o la ejecución de un contrato.

Derecho a no ser objeto de decisiones automatizadas. Solicitar que una decisión que te afecte significativamente no se base únicamente en el tratamiento automatizado, incluyendo la elaboración de perfiles, y obtener intervención humana, expresar tu punto de vista y impugnar la decisión. Si sos usuario final de un agente de Trama, este derecho debe ejercerse ante el cliente que opera el agente, que es el responsable del tratamiento.

Derecho a retirar el consentimiento. Retirar tu consentimiento en cualquier momento, cuando el tratamiento se base en él, sin que esto afecte la licitud del tratamiento previo al retiro.

Cómo ejercer tus derechos

Si sos cliente o usuario de la Plataforma: Contactanos en privacidad@trama.so con el asunto "Ejercicio de derechos", indicando: tu nombre completo, email de la cuenta, el derecho específico que querés ejercer, y una descripción de tu solicitud. Responderemos dentro de los plazos legales aplicables:

  • Argentina (Ley 25.326): 10 días corridos para acceso, 5 días hábiles para rectificación/supresión/oposición.
  • Unión Europea (RGPD): 30 días, prorrogables por 60 días adicionales en casos de complejidad.
  • Brasil (LGPD): 15 días.
  • Otras jurisdicciones: conforme al plazo legal aplicable.

Si sos usuario final de un agente de Trama: Tu relación directa es con el cliente de Trama que opera el agente (la agencia de viajes, el operador turístico u otra empresa). Debés dirigir tu solicitud directamente a esa empresa, que es el responsable del tratamiento de tus datos. Si no obtenés respuesta del responsable dentro de los plazos legales, podés contactarnos en privacidad@trama.so y haremos esfuerzos razonables para facilitar la atención de tu solicitud, informando al cliente y colaborando en la medida que nos corresponda como encargados del tratamiento.

Verificación de identidad. Para proteger tus datos contra accesos no autorizados, podemos pedirte que verifiques tu identidad antes de procesar tu solicitud. Esto puede incluir la confirmación de datos de tu cuenta o la presentación de documentación de identidad.

Sin costo. El ejercicio de estos derechos es gratuito. En caso de solicitudes manifiestamente infundadas o excesivas (por su carácter repetitivo), Trama puede cobrar un cargo administrativo razonable o rechazar la solicitud, informándote los motivos, conforme a la legislación aplicable.

Derecho a reclamar. Si considerás que tus derechos han sido vulnerados, podés presentar un reclamo ante la autoridad de protección de datos competente:

  • Argentina: Agencia de Acceso a la Información Pública (AAIP), www.argentina.gob.ar/aaip.
  • Unión Europea: autoridad de control del Estado miembro de tu residencia habitual, lugar de trabajo o lugar de la presunta infracción.
  • Brasil: Autoridade Nacional de Proteção de Dados (ANPD), www.gov.br/anpd.

15. Derechos de auditoría del cliente

Los clientes que hayan suscripto un DPA con Trama tienen derecho a verificar el cumplimiento de las obligaciones de Trama como encargado del tratamiento, conforme a los términos del DPA.

Modalidad. Las auditorías pueden realizarse mediante: cuestionarios de seguridad y cumplimiento que Trama completará en un plazo razonable, revisión de certificaciones, informes de auditoría de terceros o evaluaciones de seguridad que Trama ponga a disposición, y auditorías presenciales o remotas realizadas por el cliente o un auditor independiente designado por el cliente, previo acuerdo de fecha, alcance y condiciones de confidencialidad.

Frecuencia. Las auditorías presenciales o remotas se limitan a una vez por año, salvo que una brecha de seguridad o un incidente relevante justifiquen una auditoría adicional.

Costos. El cliente asume los costos de la auditoría. Trama colaborará de buena fe y pondrá a disposición la información y el acceso razonablemente necesarios, en la medida en que no comprometa la seguridad de otros clientes ni revele información confidencial de terceros.

16. Disposiciones específicas por jurisdicción

16.1 Argentina (Ley 25.326)

Registro de bases de datos. Trama cumple con las obligaciones de registro ante el Registro Nacional de Bases de Datos de la Agencia de Acceso a la Información Pública (AAIP), conforme a lo establecido en la Ley 25.326, su Decreto Reglamentario 1558/2001 y la Disposición 11/2006, cuando corresponde.

Datos sensibles. Trama no recopila intencionalmente datos sensibles (origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, participación sindical, datos de salud, orientación sexual, antecedentes penales) a través de sus servicios. Si un usuario final comparte espontáneamente información de esta naturaleza en una conversación con el agente, estos datos se tratan con las medidas de seguridad reforzadas que la legislación exige, no se utilizan para fines distintos a la prestación del servicio, y se eliminan cuando ya no son necesarios para ese fin.

Consentimiento. Conforme a la Ley 25.326, el consentimiento del titular debe ser libre, expreso e informado, y debe constar por escrito o por otro medio que permita equiparársele.

Plazos de respuesta. Acceso: 10 días corridos desde la solicitud. Rectificación, supresión u oposición: 5 días hábiles desde la recepción de la solicitud. Si no se satisface la solicitud en estos plazos, el titular puede iniciar la acción de habeas data prevista en el artículo 33 de la Ley 25.326.

Autoridad de control. Agencia de Acceso a la Información Pública (AAIP), www.argentina.gob.ar/aaip.

16.2 Unión Europea y Espacio Económico Europeo (RGPD)

Bases legales del tratamiento. Las bases legales para cada actividad de tratamiento están detalladas en la sección 5 de esta política.

Representante en la UE. Si Trama alcanza los umbrales que requieren la designación de un representante en la UE conforme al artículo 27 del RGPD, publicaremos los datos de contacto del representante en esta política. Al momento de esta publicación, Trama no opera a escala que requiera dicha designación.

Delegado de protección de datos (DPO). Al momento de esta publicación, Trama no ha designado un DPO formal conforme al artículo 37 del RGPD. Las consultas sobre protección de datos pueden dirigirse a privacidad@trama.so. Si en el futuro se designa un DPO, se publicarán sus datos en esta política.

Evaluación de impacto. Trama realiza evaluaciones de impacto en la protección de datos (DPIA) cuando el tratamiento puede implicar un alto riesgo para los derechos y libertades de las personas, conforme al artículo 35 del RGPD.

Registro de actividades de tratamiento. Trama mantiene un registro de actividades de tratamiento conforme al artículo 30 del RGPD, disponible para la autoridad de control a solicitud.

16.3 Brasil (LGPD)

Para clientes o usuarios finales en Brasil, el tratamiento de datos personales se realiza conforme a la Lei Geral de Proteção de Dados (LGPD, Ley 13.709/2018). Las bases legales aplicables incluyen: ejecución de contrato, consentimiento, interés legítimo, y cumplimiento de obligación legal. Los titulares en Brasil tienen derecho a solicitar la confirmación de la existencia de tratamiento, el acceso a los datos, la corrección, la anonimización, bloqueo o eliminación de datos innecesarios o excesivos, la portabilidad, la eliminación de datos tratados con consentimiento, información sobre entidades con las que se compartieron datos, e información sobre la posibilidad de no prestar consentimiento y las consecuencias. Autoridad de control: Autoridade Nacional de Proteção de Dados (ANPD), www.gov.br/anpd.

16.4 Otras jurisdicciones

Si te encontrás en una jurisdicción no cubierta específicamente en esta sección (como Estados Unidos bajo CCPA/CPRA, Canadá bajo PIPEDA, o cualquier otra), Trama se compromete a tratar tus datos personales con los estándares de protección descritos en esta política, que están alineados con las mejores prácticas internacionales. Si la legislación de tu jurisdicción otorga derechos adicionales a los descritos aquí, esos derechos también te corresponden, y podés ejercerlos contactando a privacidad@trama.so.

Para clientes en California (EE.UU.), Trama aclara que: no vende información personal de los consumidores conforme a la definición de "venta" de la CCPA/CPRA, no comparte información personal para publicidad basada en comportamiento entre contextos (cross-context behavioral advertising), y los consumidores californianos tienen derecho a conocer, eliminar y optar por no participar en la venta de su información personal.

17. Privacidad de menores

Nuestros servicios no están dirigidos a menores de 18 años (o la edad de mayoría en la jurisdicción aplicable). Trama no recopila intencionalmente datos personales de menores.

Si un usuario final menor de edad interactúa con un agente de Trama, la responsabilidad de verificar la edad, implementar controles de acceso y obtener el consentimiento parental o del tutor, cuando corresponda conforme a la legislación aplicable, recae en el cliente que opera el agente.

Si tomamos conocimiento de que hemos recopilado datos personales de un menor sin el consentimiento adecuado, tomaremos medidas razonables para eliminar esa información de nuestros sistemas de manera oportuna. Si creés que un menor ha proporcionado datos personales a través de nuestro servicio, contactanos en privacidad@trama.so.

18. Enlaces a sitios y servicios de terceros

Nuestro sitio web, la Plataforma o el agente de IA pueden contener enlaces a sitios web, servicios, aplicaciones o plataformas de terceros. Esta Política de Privacidad se aplica exclusivamente a los servicios de Trama y no se extiende a los sitios o servicios de terceros.

Te recomendamos revisar las políticas de privacidad de cada sitio o servicio de terceros que utilices o visites. Trama no es responsable de las prácticas de privacidad, el contenido ni la seguridad de sitios o servicios de terceros, incluyendo los de Meta/WhatsApp, proveedores de modelos de IA, procesadores de pago y cualquier otro tercero mencionado en esta política.

19. Cambios a esta política

Trama puede actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas de tratamiento de datos, en la legislación aplicable, en nuestros servicios o en nuestra estructura corporativa.

Cambios sustanciales. Los cambios sustanciales serán notificados con al menos 30 días naturales de anticipación a través de: email a la dirección registrada en la cuenta del cliente, publicación destacada en nuestro sitio web (banner o notificación visible), y notificación dentro de la Plataforma. Se consideran cambios sustanciales aquellos que: modifiquen los fines del tratamiento, amplíen las categorías de datos recopilados, incorporen nuevas categorías de destinatarios, modifiquen los derechos de los titulares, o alteren sustancialmente las medidas de seguridad.

Cambios menores. Los cambios menores (correcciones de formato, actualizaciones de datos de contacto, aclaraciones que no modifican el sentido) pueden realizarse sin notificación previa y se reflejarán en la fecha de "Última actualización".

Fecha de actualización. La fecha de "Última actualización" al inicio de esta política indica cuándo se realizó la revisión más reciente.

Aceptación. El uso continuado de nuestros servicios después de la entrada en vigencia de los cambios constituye aceptación de la política actualizada. Si no estás de acuerdo con los cambios sustanciales, podés cancelar tu cuenta antes de que entren en vigencia, sin penalidad, conforme a los Términos y Condiciones.

Versiones anteriores. Mantendremos un archivo de las versiones anteriores de esta política. Podés solicitar acceso a versiones previas contactando a privacidad@trama.so.

20. Contacto

Si tenés preguntas, comentarios o solicitudes relacionadas con esta Política de Privacidad o con el tratamiento de tus datos personales:

Para consultas de privacidad y ejercicio de derechos: Email: privacidad@trama.so

Para consultas generales: Email: hola@trama.so

Para reportar incidentes de seguridad: Email: seguridad@trama.so

Dirección: Córdoba, Argentina

Sitio web: trama.so

Nos comprometemos a responder a toda consulta dentro de los plazos legales aplicables y, en cualquier caso, en un plazo no mayor a 30 días naturales desde la recepción.

Trama Inc. se compromete a proteger tu privacidad y a tratar tus datos personales con responsabilidad, transparencia y respeto por tus derechos.

¿Tenés dudas sobre tu privacidad? Escribinos a privacidad@trama.so.