Política de Privacidad
Última actualización: 26 de abril de 2026
1. Identidad y Datos del Responsable del Tratamiento
En cumplimiento del artículo 17 de la Ley 25.326 y del artículo 13 del GDPR, se informa:
| Denominación | EkamDasha (marca registrada) |
| Titular | Diego Sergio Mozzi |
| CUIT | 20-32309122-7 |
| Domicilio | Río Colorado, Provincia de Río Negro, República Argentina |
| Correo electrónico | legal@ekamdasha.com |
| Teléfono | +54 9 11 7631 5651 |
| DPO / Responsable de Privacidad | En trámite de designación — contacto: legal@ekamdasha.com |
| Registro AAIP | En trámite de inscripción (véase Sección 12) |
2. Ámbito de Aplicación y Servicios Cubiertos
Esta Política cubre el tratamiento de datos personales realizados en el contexto de los siguientes servicios de EkamDasha:
- EkamDasha Shield: API de análisis de contenido anti-spam e integración con servicios de reputación de URLs.
- EkamDasha Pass: Gestor de contraseñas de conocimiento cero con extensión Chrome.
- Agente Conversacional EK: Asistente powered by Anthropic (Claude).
- Shield Público: Endpoint de análisis accesible sin registro por usuarios anónimos.
- Sitio web: ekamdasha.com y subdominios asociados.
Esta Política aplica tanto a usuarios registrados como a usuarios anónimos que utilicen el endpoint público o accedan al sitio web. No aplica al tratamiento de datos que los clientes de EkamDasha (quienes integran Shield en sus propias plataformas) realicen sobre sus propios usuarios finales; en ese caso, dichos clientes actúan como responsables del tratamiento y deben establecer sus propias políticas de privacidad.
3. Categorías de Datos Tratados, Finalidades y Bases Jurídicas
3.1 Datos tratados por Shield (usuarios registrados del servicio)
| Categoría de dato | Finalidad | Base legal GDPR | Base legal Ley 25.326 |
|---|---|---|---|
| Contenido del envío (texto, nombres, datos de formularios) | Análisis de spam y contenido malicioso | Art. 6.1.b — Contrato | Art. 5 — Relación contractual |
| IP de origen, user-agent, referente, timestamp | Análisis de riesgo, prevención de abuso, auditoría de seguridad | Art. 6.1.f — Interés legítimo | Art. 5 — Interés legítimo |
| URLs incluidas en el contenido | Verificación de reputación contra Safe Browsing / VirusTotal | Art. 6.1.f — Interés legítimo | Art. 5 — Interés legítimo |
| Datos anonimizados y agregados | Mejora de algoritmos de detección | No aplica (datos anónimos) | No aplica (datos estadísticos) |
3.2 Shield Público — Usuarios anónimos
El endpoint público (/api/Shield/v1/public/analyze) procesa datos de usuarios que no se han registrado. Al utilizar este endpoint, el usuario presta conformidad tácita con el tratamiento de los siguientes datos:
| Categoría de dato | Finalidad | Base legal |
|---|---|---|
| Contenido del envío | Análisis de spam | Art. 6.1.f GDPR — Interés legítimo / Ley 25.326 Art. 5 |
| IP de origen, user-agent, timestamp | Prevención de abuso del servicio y auditoría | Art. 6.1.f GDPR — Interés legítimo / Ley 25.326 Art. 5 |
| URLs incluidas | Verificación de reputación | Art. 6.1.f GDPR — Interés legítimo / Ley 25.326 Art. 5 |
EkamDasha aplica el principio de minimización de datos: no recopila datos identificatorios adicionales de usuarios anónimos más allá de los metadatos técnicos necesarios para la prestación del servicio.
3.3 EkamDasha Pass
| Categoría de dato | Finalidad | Base legal |
|---|---|---|
| Dirección de correo electrónico | Identificación de cuenta, notificaciones, recuperación de cuenta | Art. 6.1.b GDPR / Ley 25.326 Art. 5 |
| Fecha de creación, estado de suscripción | Gestión de acceso y facturación | Art. 6.1.b GDPR / Ley 25.326 Art. 5 |
| Metadatos de dispositivo y timestamps de sesión | Seguridad de la cuenta, detección de accesos no autorizados | Art. 6.1.f GDPR / Ley 25.326 Art. 5 |
| Datos de bóveda cifrados (AES-256-GCM) | Almacenamiento seguro de credenciales del usuario | Art. 6.1.b GDPR / Ley 25.326 Art. 5 |
| Registros de seguridad (intentos fallidos, alertas) | Prevención de fraude, protección de la cuenta | Art. 6.1.f GDPR / Ley 25.326 Art. 5 |
ARQUITECTURA DE CONOCIMIENTO CERO — PASS
EkamDasha nunca tiene acceso a la contraseña maestra del usuario ni al contenido descifrado de la bóveda. Los datos de bóveda almacenados en servidores de EkamDasha son criptográficamente ilegibles para EkamDasha, incluso ante requerimiento judicial o administrativo. EkamDasha no puede colaborar en la recuperación de datos de bóvedas cuya contraseña maestra se haya perdido.
3.4 Agente Conversacional EK
EK es powered by Anthropic (Claude API). Los datos tratados varían según la modalidad de sesión:
| Dato | Sesión anónima | Sesión autenticada |
|---|---|---|
| IP de origen | Sí — registrada temporalmente | Sí — registrada de forma persistente |
| Identificación de usuario | No | Sí |
| Idioma detectado | Sí | Sí |
| Texto analizado | Sí | Sí |
| Mensajes de la conversación | Sí — solo durante la sesión activa | Sí — historial persistente |
| Historial recuperable entre sesiones | No (se elimina al cerrar/actualizar) | Sí (hasta baja de cuenta) |
Base legal (sesión anónima): Art. 6.1.f GDPR / Art. 5 Ley 25.326. Base legal (sesión autenticada): Art. 6.1.b GDPR / Art. 5 Ley 25.326. Transferencia a Anthropic: los mensajes se transmiten a la API de Anthropic sin datos identificatorios adicionales del usuario. Anthropic actúa como encargado del tratamiento conforme a su Política de Privacidad y al Data Processing Agreement (DPA).
3.5 Datos de navegación — Sitio web
EkamDasha puede recopilar datos técnicos de navegación (IP, tipo de navegador, páginas visitadas, timestamps) a través de herramientas de analítica web con la finalidad de mantener y mejorar el sitio. Estos datos se tratan de forma anonimizada en la medida de lo posible. El sitio puede utilizar cookies esenciales para autenticación y gestión de sesiones; no se usan cookies de seguimiento ni publicidad.
4. Principios del Tratamiento de Datos
EkamDasha aplica los siguientes principios conforme al artículo 4 de la Ley 25.326 y al artículo 5 del GDPR:
| Principio | Aplicación concreta en EkamDasha |
|---|---|
| Licitud, lealtad y transparencia | Toda recopilación de datos cuenta con base jurídica válida y el usuario es informado mediante esta Política. |
| Limitación de finalidad | Los datos se recopilan para fines determinados, explícitos y legítimos; no se usan para finalidades incompatibles. |
| Minimización de datos | Solo se recopilan los datos estrictamente necesarios para cada servicio. Pass cifra los datos antes de almacenarlos; Safe Browsing/VirusTotal solo reciben las URLs, sin datos de usuario. |
| Exactitud | El usuario puede corregir sus datos en cualquier momento desde su panel de cuenta. |
| Limitación del plazo de conservación | Los datos se conservan el tiempo mínimo necesario conforme a los plazos definidos en la Sección 5. |
| Integridad y confidencialidad | Se implementan medidas técnicas y organizativas adecuadas al riesgo (cifrado, controles de acceso, auditorías). |
| Responsabilidad proactiva (accountability) | EkamDasha documenta sus actividades de tratamiento y designará un DPO cuando corresponda. |
5. Plazos de Conservación de los Datos
5.1 Shield
| Tipo de dato | Plazo de retención | Justificación |
|---|---|---|
| Contenido de envíos legítimos | Eliminación inmediata tras análisis | No necesarios una vez confirmada la legitimidad. |
| Contenido marcado como spam | Hasta 6 meses | Entrenamiento y mejora de algoritmos. Transcurrido el plazo, se anonimiza o elimina. |
| URLs verificadas (Safe Browsing/VirusTotal) | No se retienen en EkamDasha | Las URLs se transmiten para verificación en tiempo real y no se almacenan en los sistemas de EkamDasha. |
| IP, user-agent, timestamp (registros de conexión) | Hasta 12 meses | Prevención de abuso, auditorías de seguridad, cumplimiento legal. |
| Datos anonimizados y agregados | Indefinidamente | Al no contener identificadores personales, no están sujetos a plazo bajo GDPR ni Ley 25.326. |
5.2 Pass
| Tipo de dato | Plazo de retención | Justificación |
|---|---|---|
| Datos de la bóveda cifrados | Hasta baja de cuenta + 30 días | 30 días adicionales para permitir recuperación por error antes de eliminación permanente. |
| Correo electrónico y datos de cuenta | Hasta baja de cuenta + 90 días | Gestión de facturación y cumplimiento de obligaciones legales. |
| Registros de seguridad (intentos de login, alertas) | Hasta 12 meses | Auditorías de seguridad, prevención de fraudes y cumplimiento normativo. |
| Estadísticas de uso anonimizadas | Indefinidamente | Datos no identificables; no sujetos a plazo de retención obligatorio. |
5.3 Agente EK
| Tipo de dato | Plazo de retención | Justificación |
|---|---|---|
| Conversaciones anónimas (mensajes, IP, idioma) | Duración de la sesión activa | Eliminación automática al expirar la sesión o al actualizar/cerrar la página. |
| Conversaciones autenticadas (mensajes, IP, identificación de usuario) | Hasta baja de cuenta | Conservadas para permitir el historial de conversaciones al usuario. Se eliminan con la cuenta. |
| Metadatos de conexión de EK (IP, timestamps) | Hasta 12 meses | Prevención de abuso del servicio y auditoría de seguridad. |
Transcurridos los plazos indicados, EkamDasha procederá a la eliminación segura o anonimización de los datos, salvo que exista una obligación legal de conservación vigente. En ese caso, EkamDasha conservará únicamente los datos estrictamente necesarios para cumplir dicha obligación, de forma restringida y separada del tratamiento ordinario.
6. Transferencias Internacionales de Datos
En la prestación de sus Servicios, EkamDasha puede transferir datos personales a países u organizaciones internacionales. A continuación se detallan las transferencias realizadas y las garantías aplicables:
| Destinatario | País | Datos transferidos | Garantía GDPR | Garantía Ley 25.326 |
|---|---|---|---|---|
| Anthropic PBC | EE.UU. | Mensajes de EK (sin identificación de usuario) | Art. 46 — DPA / SCCs | Garantías adecuadas |
| Google LLC (Safe Browsing) | EE.UU. | URLs del contenido analizado | Art. 46 — SCCs / Marco UE-EE.UU. | Garantías adecuadas |
| VirusTotal (Alphabet/Google) | EE.UU. | URLs del contenido analizado | Art. 46 — SCCs / Marco UE-EE.UU. | Garantías adecuadas |
| MercadoPago S.R.L. | Argentina | Datos de pago del usuario | N/A (país adecuado) | N/A (operador local) |
Las Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea (Decisión 2021/914) se incorporan por referencia a los contratos con los proveedores de servicios en Estados Unidos. Para consultar el texto de dichas cláusulas o solicitar copia de los instrumentos de garantía, el usuario puede dirigirse a legal@ekamdasha.com.
7. Encargados del Tratamiento (Subprocesadores)
EkamDasha emplea los siguientes encargados del tratamiento en la prestación de sus Servicios, sujetos a obligaciones contractuales de confidencialidad y seguridad:
| Subprocesador | Función | Datos accedidos | País | Certificación / Garantía |
|---|---|---|---|---|
| Anthropic PBC | Procesamiento de IA para el Agente EK | Mensajes de conversación | EE.UU. | DPA empresarial / SCCs |
| Google LLC — Safe Browsing | Verificación de URLs maliciosas | URLs del contenido analizado | EE.UU. | Google Cloud DPA / SCCs |
| VirusTotal (Google/Alphabet) | Verificación multi-motor de URLs | URLs del contenido analizado | EE.UU. | VirusTotal ToS / SCCs |
| Proveedor de infraestructura (Alemania) | Infraestructura de servidores y bases de datos | Todos los datos en reposo | Alemania (UE) | ISO/IEC 27001:2022, BSI C5 Tipo 2, PCI DSS 4.0 |
| MercadoPago S.R.L. | Procesamiento de pagos | Datos de pago del usuario | Argentina | PCI-DSS |
EkamDasha mantiene un registro actualizado de sus subprocesadores. Ante cambios materiales en la lista, EkamDasha notificará con al menos 30 días de antelación, otorgando al usuario la posibilidad de objetar dicho cambio.
8. Medidas de Seguridad Técnicas y Organizativas
8.1 Medidas técnicas
- Cifrado en tránsito: TLS 1.2 o superior en todas las comunicaciones.
- Cifrado en reposo: los datos de bóveda de Pass se almacenan cifrados con AES-256-GCM; las claves de cifrado nunca residen en EkamDasha.
- Derivación de clave: PBKDF2 con SHA-256 y más de 600.000 iteraciones para la contraseña maestra de Pass.
- Autenticación de API: claves API con rotación periódica y control de acceso.
- Autenticación de dos factores (2FA): disponible y recomendado para todos los usuarios registrados.
- Control de acceso: principio de mínimo privilegio en bases de datos y sistemas de producción.
- Registros de auditoría: logging de accesos, modificaciones y eventos de seguridad con retención de 12 meses.
- Infraestructura certificada: servidores alojados en centros de datos certificados ISO/IEC 27001:2022, BSI C5 Tipo 2 y PCI DSS 4.0, ubicados en Alemania.
8.2 Medidas organizativas
- Acuerdos de confidencialidad (NDA) con todos los colaboradores y subcontratistas que acceden a datos personales.
- Procedimiento documentado de gestión de brechas de seguridad, incluyendo plazos de notificación.
- Revisiones periódicas de seguridad y pruebas de penetración.
- Política de gestión de parches y actualizaciones de seguridad.
- Formación periódica en protección de datos para el personal de EkamDasha.
8.3 Protocolo de notificación de brechas
- Detección y evaluación (0-24 h): Identificación del alcance, categorías de datos afectados y número estimado de titulares afectados.
- Notificación a la autoridad de control (máx. 72 h desde detección): EkamDasha notificará a la AAIP (y, si corresponde, a la autoridad supervisora del EEE) conforme al artículo 43bis de la Ley 25.326 y al artículo 33 del GDPR.
- Notificación a los afectados: Cuando la brecha pueda entrañar un alto riesgo, EkamDasha notificará directamente a los titulares con lenguaje claro (GDPR Art. 34).
- Particularidad de Pass: Dada la arquitectura de conocimiento cero, una eventual brecha en los servidores de EkamDasha únicamente expone datos cifrados ilegibles. Sin perjuicio de ello, EkamDasha notificará conforme al procedimiento anterior.
9. Derechos de los Titulares de Datos
| Derecho | Artículos aplicables | Descripción | Limitaciones y excepciones |
|---|---|---|---|
| Información / Acceso | Art. 14 Ley 25.326 / Art. 15 GDPR | Obtener confirmación del tratamiento y copia de los datos. | Puede limitarse cuando vulnere derechos de terceros o la seguridad de los sistemas. |
| Rectificación | Art. 16 Ley 25.326 / Art. 16 GDPR | Corregir datos inexactos o completar datos incompletos. | No aplica a datos de bóveda de Pass (EkamDasha no puede acceder a ellos). |
| Supresión / Derecho al olvido | Art. 16 Ley 25.326 / Art. 17 GDPR | Eliminar datos cuando no sean necesarios o se retire el consentimiento. | Puede limitarse por obligaciones legales de conservación o defensa de reclamaciones. |
| Portabilidad | Art. 20 GDPR (usuarios EEE) | Recibir datos en formato estructurado y legible por máquina. | Pass ofrece exportación de bóveda cifrada. |
| Oposición | Art. 27 Ley 25.326 / Art. 21 GDPR | Oponerse al tratamiento basado en interés legítimo o para marketing directo. | EkamDasha debe acreditar motivos legítimos imperiosos que prevalezcan. |
| Limitación del tratamiento | Art. 18 GDPR (usuarios EEE) | Suspender el tratamiento mientras se resuelve una impugnación sobre exactitud o licitud. | Los datos pueden conservarse, pero no procesarse activamente. |
| Revocación del consentimiento | Art. 5 Ley 25.326 / Art. 7.3 GDPR | Retirar el consentimiento en cualquier momento sin efectos retroactivos. | Solo aplica a tratamientos basados en consentimiento. |
| No ser objeto de decisiones automatizadas | Art. 22 GDPR (usuarios EEE) | No ser objeto de decisiones con efectos significativos basadas exclusivamente en tratamiento automatizado. | El usuario puede solicitar revisión humana para decisiones de bloqueo de Shield. |
9.1 Procedimiento de ejercicio de derechos
Para ejercer cualquiera de los derechos anteriores, el usuario debe enviar una solicitud a info@ekamdasha.com con el asunto "Ejercicio de derechos — [nombre del derecho]" indicando:
- Nombre completo y correo electrónico registrado;
- Descripción clara del derecho que desea ejercer;
- En caso de representación, acreditación de la misma.
EkamDasha responderá en los siguientes plazos:
- Ley 25.326: máximo 30 días hábiles;
- GDPR: dentro de un mes, prorrogable por dos meses adicionales notificando al usuario dentro del primer mes.
Las respuestas se proporcionarán de forma gratuita, salvo solicitudes manifiestamente infundadas o excesivas.
9.2 Vías de reclamación
- Argentina: Presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP): www.argentina.gob.ar/aaip / datospersonales@aaip.gob.ar.
- Unión Europea / EEE: Presentar una reclamación ante la autoridad de control competente del Estado miembro de residencia (GDPR Art. 77). Lista disponible en edpb.europa.eu.
10. Cookies y Tecnologías de Seguimiento
10.1 Sitio web
| Tipo de cookie | Finalidad | Base legal | Posibilidad de rechazo |
|---|---|---|---|
| Esenciales / Técnicas | Autenticación, gestión de sesión, seguridad CSRF | Art. 6.1.b GDPR — Necesarias para el contrato | No (necesarias para el funcionamiento) |
| Analíticas (anonimizadas) | Estadísticas de uso del sitio, mejora de la experiencia | Art. 6.1.f GDPR — Interés legítimo | Sí, mediante configuración del navegador |
| De preferencias | Recordar configuración del usuario (idioma, tema) | Art. 6.1.b GDPR — Contrato | No recomendado (afecta funcionalidades) |
EkamDasha no utiliza cookies publicitarias ni de seguimiento de terceros para perfilado de usuarios. No se comparte información de cookies con redes publicitarias.
10.2 API de Shield y Pass
Las APIs de Shield y Pass no utilizan cookies. La autenticación se gestiona mediante tokens seguros transmitidos en cabeceras HTTP.
10.3 Extensión Chrome de Pass
La extensión no utiliza cookies de terceros. El almacenamiento local se limita al token de sesión cifrado y a datos de sincronización del vault. No se recopilan datos de navegación.
11. Menores de Edad
Los Servicios de EkamDasha no están dirigidos a menores de 18 años. EkamDasha no recopila conscientemente datos personales de menores de edad. Si EkamDasha toma conocimiento de que ha recopilado datos de un menor sin el consentimiento verificable de su progenitor o tutor, procederá a eliminar dichos datos sin demora. Los padres o tutores que crean que sus hijos menores han proporcionado datos personales pueden contactar a legal@ekamdasha.com.
Para usuarios de entre 13 y 17 años, es obligatorio el consentimiento verificable del progenitor o tutor legal, conforme al artículo 8 del GDPR y a la Ley 26.061 de Protección Integral de los Derechos de las Niñas, Niños y Adolescentes (Argentina).
12. Registro de Bases de Datos ante la AAIP
EkamDasha se encuentra en proceso de inscripción de las siguientes bases de datos ante la AAIP:
| Base de datos | Estado de inscripción | Finalidad principal |
|---|---|---|
| Usuarios y clientes registrados | En trámite | Gestión de cuentas, facturación y prestación de servicios. |
| Conversaciones del Agente EK | En trámite | Prestación del servicio de asistencia conversacional y mejora del mismo. |
| Análisis y registros de Shield | En trámite | Detección de spam, contenido malicioso y prevención de fraude. |
| Registros de seguridad | En trámite | Prevención de accesos no autorizados y auditoría de seguridad. |
Una vez obtenidos los números de inscripción, serán publicados en esta Política y en el sitio web de EkamDasha. Hasta tanto, EkamDasha da cumplimiento a todas las obligaciones sustanciales de la Ley 25.326.
13. Delegado de Protección de Datos (DPO)
EkamDasha está evaluando si su actividad de tratamiento alcanza los umbrales que requieren la designación obligatoria de un DPO conforme al GDPR y a la normativa argentina. En tanto se complete dicha evaluación, las consultas relativas a la protección de datos pueden dirigirse a legal@ekamdasha.com. Una vez designado el DPO, sus datos de contacto serán publicados en esta Política.
14. Registro de Actividades de Tratamiento
En cumplimiento del artículo 30 del GDPR, EkamDasha mantiene un registro interno de las actividades de tratamiento realizadas bajo su responsabilidad, disponible para consulta por parte de las autoridades de control competentes. Los usuarios interesados en obtener información sobre una actividad de tratamiento específica pueden solicitarla a legal@ekamdasha.com.
15. Modificaciones de esta Política
EkamDasha puede actualizar esta Política en cualquier momento. Las modificaciones materiales serán notificadas mediante:
- Publicación en el sitio web con actualización de la fecha de "Última actualización";
- Notificación por correo electrónico a los usuarios registrados con al menos 30 días de antelación cuando el cambio amplíe el alcance del tratamiento o reduzca los derechos del usuario.
Si el usuario no acepta las modificaciones, puede cancelar su cuenta antes de la fecha de entrada en vigor. El uso continuado de los Servicios constituirá aceptación tácita de la Política actualizada. Los cambios requeridos por obligaciones legales podrán tener efecto inmediato.
16. Contacto y Ejercicio de Derechos
Para cualquier consulta sobre esta Política, para ejercer sus derechos o para comunicar cualquier incidencia relacionada con la privacidad:
- Correo electrónico (consultas generales): legal@ekamdasha.com
- Correo electrónico (ejercicio de derechos): info@ekamdasha.com
- Asunto recomendado: "Ejercicio de derechos — [Derecho solicitado]" o "Consulta sobre privacidad"
- Domicilio postal: Río Colorado, Río Negro, Argentina
- Teléfono: +54 9 11 7631 5651
Para usuarios en Argentina, en caso de no obtener respuesta satisfactoria, puede acudir a la AAIP: www.argentina.gob.ar/aaip. Para usuarios en la UE/EEE, puede acudir a la autoridad de control de su país de residencia.