Política de Privacidad
Vigente desde: 1 de Mayo de 2026 · Cumple Ley 6534/2020 (Paraguay)
1. Responsable del tratamiento
Dotribo SA, con domicilio en Asunción, Paraguay, es el responsable del tratamiento de los datos personales que se procesan en la plataforma Avá. Contacto del DPO (oficial de protección de datos):dpo@dotribo.com.
2. Datos que recolectamos
De usuarios de la plataforma
- Identidad: nombre, email, foto de perfil (vía Clerk).
- Sesión: IP, user-agent, timestamps de login.
- Uso: rutas visitadas, acciones (audit log), latencia.
De empleados cargados por el tenant
- CI, RUC, fecha de nacimiento, dirección, teléfono, email.
- Datos laborales: salario, IPS, MTESS, contratos, vacaciones.
- Datos sensibles (raza, afiliación sindical, salud) no son recolectados por defecto.
De clientes (CRM)
- Nombre, email, teléfono, empresa, cargo, historial de interacciones.
3. Base legal del tratamiento
- Ejecución contractual (Art. 9 inc. b): operación del SaaS contratado.
- Cumplimiento de obligación legal (Art. 9 inc. d): IPS, MTESS, SIFEN, RG90.
- Consentimiento (Art. 9 inc. a): cookies analíticas y emails no transaccionales.
4. Cómo usamos tus datos
- Operación del software: cálculos, reportes, notificaciones.
- Soporte técnico cuando lo solicitás.
- Mejora del producto: telemetría agregada y anonimizada.
- Cumplimiento legal y fiscal.
- Nunca vendemos datos a terceros ni entrenamos modelos de IA con tus datos sin consentimiento explícito.
5. Compartición con terceros (sub-encargados)
- Vercel — hosting, CDN, edge functions (US/EU).
- CockroachDB Cloud — base de datos primaria (multi-región).
- Clerk — autenticación, gestión de sesión, 2FA.
- Stripe — procesamiento de pagos.
- Resend — emails transaccionales.
- Sentry — captura de errores (con scrubbing de PII).
- Anthropic — modelo Claude para asistente AI (opcional, opt-in).
6. Transferencias internacionales
Algunos sub-encargados procesan datos fuera de Paraguay (US, EU). En todos los casos exigimos garantías contractuales conformes al Art. 33 de la Ley 6534/2020. Tu derecho a oponerte se ejerce endpo@dotribo.com.
7. Seguridad técnica
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256-GCM para PII sensible).
- Aislamiento por tenant (schema-per-tenant en CockroachDB).
- Audit log inmutable con cadena de hash SHA-256.
- 2FA obligatorio para roles owner/admin.
- Backups cifrados con retención de 30 días, RPO 24 h, RTO 2 h.
8. Tus derechos (ARCO + portabilidad)
Conforme a la Ley 6534/2020 podés ejercer en cualquier momento:
- Acceso: obtener copia de todos los datos tuyos que tenemos.
- Rectificación: corregir datos inexactos.
- Cancelación / supresión: eliminar datos cuando ya no sean necesarios.
- Oposición: oponerte a tratamientos no contractuales.
- Portabilidad: exportar tus datos en ZIP (JSON+CSV) desde Configuración → Cumplimiento.
Para ejercer cualquiera de estos derechos podés completar el formulario online acá o escribir a dpo@dotribo.com. Plazo máximo de respuesta: 30 días corridos conforme al Art. 18 de la Ley 6534/2020.
9. Retención
- Datos de usuarios activos: mientras dure la suscripción.
- Datos fiscales (SIFEN, IPS): 5 años después de baja (obligación legal PY).
- Audit logs: 7 años.
- Sesiones / telemetría: 90 días.
10. Brechas de seguridad
Si detectamos un acceso no autorizado a datos personales, notificaremos al tenant afectado y a la autoridad competente (SEDECO) en menos de 72 horas, conforme al Art. 25 de la Ley 6534/2020.
11. Menores
Avá no está dirigido a menores de 18 años.
12. Cambios a esta política
Te notificaremos cambios materiales por email con 30 días de anticipación.