G-CERTI Argentina opera procesos de certificación de sistemas de gestión que requieren tratar datos personales de quienes solicitan, cotizan o mantienen vigentes certificados con nosotros. Esta política explica qué datos procesamos, por qué, durante cuánto tiempo y cómo ejercés los derechos que te reconoce la Ley argentina 25.326 de Protección de Datos Personales.
01 ·Responsable del tratamiento.
IAC LATAM S.A., sociedad constituida bajo leyes de la República Argentina, operadora de la marca G-CERTI Argentina bajo Franchise Agreement con G-CERTI Korea (Casa Central, Seúl).
| Razón social | IAC LATAM S.A. |
|---|---|
| Marca operativa | G-CERTI Argentina |
| Domicilio legal | Ciudad Autónoma de Buenos Aires, Argentina |
| CUIT | [a completar antes de publicación pública] |
| Responsable de Protección de Datos (DPO) | privacidad@gcerti.com.ar |
| Inscripción RNBD | Bases declaradas ante la AAIP conforme art. 21 Ley 25.326 |
02 ·Datos personales que tratamos.
Procesamos únicamente los datos necesarios para prestar los servicios de certificación, formación y verificación pública. Aplicamos el principio de minimización del art. 4 de la Ley 25.326.
- Datos de identificación y contacto: nombre y apellido, empresa, cargo o función, email corporativo, teléfono, dirección postal.
- Datos de la organización solicitante: razón social, CUIT, sector de actividad, dotación, sedes incluidas en el alcance.
- Datos de certificación: norma solicitada, alcance, documentación del sistema de gestión, evidencia de auditoría, hallazgos, planes de acción, decisión de certificación.
- Datos de facturación: condición frente a IVA, datos fiscales, comprobantes emitidos.
- Datos técnicos de navegación: dirección IP anonimizada, tipo de dispositivo, páginas visitadas, fecha y hora (cookies técnicas y analíticas anonimizadas, ver cookies.html).
No tratamos datos sensibles en el sentido del art. 2 de la Ley 25.326, salvo que sea estrictamente necesario para una norma específica y bajo consentimiento expreso adicional.
03 ·Finalidades del tratamiento.
- Evaluar solicitudes y emitir cotizaciones de certificación.
- Planificar y ejecutar auditorías de certificación, seguimiento y recertificación.
- Emitir, suspender, cancelar o renovar certificados conforme ISO/IEC 17021-1 y los requisitos de la acreditación IAS MSCB-113.
- Mantener el registro público de certificaciones vigentes exigido por la acreditación.
- Gestionar comunicaciones operativas vinculadas al contrato de certificación.
- Cumplir obligaciones legales fiscales, contables y de trazabilidad regulatoria.
- Atender consultas formuladas a través del sitio web o canales de contacto.
- Enviar comunicaciones comerciales o de formación, únicamente con consentimiento expreso previo y revocable.
04 ·Base legal de cada tratamiento.
| Finalidad | Base legal Ley 25.326 |
|---|---|
| Cotización, contratación y ejecución de auditorías | Ejecución del contrato (art. 5 inc. 2.a) |
| Facturación, contabilidad, retención fiscal | Obligación legal (art. 5 inc. 2.b) |
| Registro público de certificados vigentes | Interés legítimo del certificador y función esencial para la confiabilidad del esquema de acreditación IAS / IAF MLA (art. 5 inc. 2.d) |
| Comunicaciones de marketing y formación | Consentimiento expreso, libre, informado y revocable (art. 5 inc. 1) |
| Cookies técnicas estrictamente necesarias | Interés legítimo de funcionamiento del sitio |
| Cookies analíticas anonimizadas | Consentimiento |
05 ·Plazos de conservación.
- Datos de certificación de clientes activos: durante toda la vigencia del certificado más 5 años posteriores al vencimiento o cancelación, por exigencia de trazabilidad regulatoria del esquema de acreditación.
- Datos contractuales y de facturación: 10 años, por obligaciones impositivas, societarias y de prescripción civil/comercial (Ley 19.550, Código Civil y Comercial, Ley 11.683 y normativa AFIP).
- Cotizaciones no contratadas: 2 años desde la última interacción.
- Bases de marketing: hasta que el titular revoque su consentimiento.
- Datos técnicos de navegación: hasta 30 días; los registros analíticos anonimizados pueden conservarse hasta 26 meses.
Cumplidos los plazos, los datos se eliminan, anonimizan o bloquean según corresponda en los términos del art. 16 inc. 5 de la Ley 25.326.
06 ·Derechos del titular de los datos.
La Ley 25.326 te reconoce los siguientes derechos sobre tus datos personales:
- Acceso (art. 14): saber qué datos tuyos tratamos, con qué finalidad y a quién se ceden.
- Rectificación (art. 16): corregir datos inexactos o desactualizados.
- Actualización (art. 16): incorporar datos faltantes pertinentes a la finalidad.
- Supresión (art. 16): solicitar la eliminación de tus datos, con la limitación que se explica más abajo.
- Oposición: oponerte a tratamientos basados en interés legítimo cuando concurran razones fundadas relativas a tu situación particular.
- Portabilidad: recibir los datos en formato estructurado de uso común.
- Revocación del consentimiento: retirar en cualquier momento el consentimiento prestado para fines de marketing o usos no esenciales, sin efectos retroactivos sobre tratamientos lícitos previos.
- Denuncia ante la AAIP: presentar reclamo ante la autoridad de control (ver sección 09).
07 ·Cómo ejercer tus derechos.
Podés ejercer cualquiera de los derechos enumerados enviando un correo electrónico al DPO a privacidad@gcerti.com.ar, identificándote y describiendo el derecho que ejercés. Si la solicitud se realiza en representación de un tercero, se requiere acreditar la representación.
- Plazo de respuesta: 10 días hábiles desde la recepción acreditada de la solicitud (art. 14 inc. 2 y art. 16 inc. 3 Ley 25.326).
- Costo: el ejercicio de los derechos es gratuito. El acceso puede ejercerse en intervalos no inferiores a seis meses, salvo interés legítimo acreditado.
- Forma: respondemos por el mismo medio en que recibimos la solicitud, salvo pedido distinto del titular.
08 ·Cesiones y encargados de tratamiento.
No vendemos ni cedemos datos personales con fines comerciales. Las únicas cesiones y accesos por encargados de tratamiento son las siguientes:
- G-CERTI Korea (Casa Central, Seúl): recibe datos mínimos de certificados emitidos (organización, norma, alcance, vigencia) para fines de mantenimiento de la acreditación IAS y consolidación del esquema global. Detalle en sección 10.
- International Accreditation Service (IAS): auditorías periódicas de acreditación pueden requerir acceso a registros, bajo acuerdo de confidencialidad y exclusivamente con fines de evaluación.
- Encargados de tratamiento tecnológicos: proveedores de hosting, correo transaccional, herramientas de gestión documental y de auditoría. Todos vinculados por contrato escrito conforme art. 25 Ley 25.326, con obligación de confidencialidad y de no usar los datos para finalidades propias.
- Autoridades competentes: ante requerimientos judiciales o regulatorios fundados, dentro del marco legal aplicable.
09 ·Autoridad de control.
El titular de los datos puede presentar denuncia o reclamo ante la Agencia de Acceso a la Información Pública (AAIP), autoridad de aplicación de la Ley 25.326:
| Domicilio | Av. Pte. Julio A. Roca 710, piso 2, Ciudad Autónoma de Buenos Aires (C1067ABP) |
|---|---|
| Correo electrónico | datospersonales@aaip.gob.ar |
| Sitio web | argentina.gob.ar/aaip |
El reclamo ante la AAIP puede formularse en cualquier momento, sin perjuicio del derecho del titular a recurrir a la vía judicial mediante la acción de hábeas data (arts. 33 a 46 Ley 25.326).
10 ·Transferencias internacionales de datos.
Como parte de la operación del esquema de certificación bajo Franchise Agreement, transferimos a la Casa Central G-CERTI en Seúl, República de Corea, los datos mínimos de los certificados emitidos para fines de mantenimiento de la acreditación IAS y consolidación del registro internacional.
Mecanismo de garantía conforme art. 12 Ley 25.326: la transferencia se ampara en un contrato de tratamiento de datos entre IAC LATAM S.A. y G-CERTI Korea que incorpora cláusulas equivalentes a las garantías adecuadas exigidas por la AAIP (Disposición 60/2016 y concordantes), incluyendo:
- Compromiso del receptor de aplicar un nivel de protección no inferior al exigido por la Ley 25.326.
- Limitación de los datos transferidos a lo estrictamente necesario para la finalidad declarada.
- Obligación de confidencialidad, seguridad y notificación de incidentes.
- Reconocimiento de los derechos del titular y mecanismo de cooperación con la AAIP.
Eventuales sub-encargados tecnológicos pueden estar localizados en la Unión Europea o en jurisdicciones reconocidas por la AAIP como de protección adecuada, o vincularse mediante cláusulas contractuales tipo cuando corresponda.
11 ·Cookies y tecnologías similares.
El sitio web utiliza cookies técnicas estrictamente necesarias y, sujeto a consentimiento, cookies analíticas anonimizadas. No utilizamos cookies de publicidad ni de retargeting comercial. El detalle de cada cookie, su finalidad, plazo y forma de revocar el consentimiento se encuentra en cookies.html.
12 ·Medidas de seguridad.
Aplicamos las medidas técnicas y organizativas razonables para garantizar la seguridad, integridad y confidencialidad de los datos personales (art. 9 Ley 25.326), proporcionadas a la naturaleza de los datos y al estado de la técnica. Entre otras:
- Cifrado en tránsito (TLS) y en reposo donde corresponde.
- Control de accesos por rol y principio de mínimo privilegio.
- Registros de auditoría y trazabilidad de operaciones sobre datos críticos.
- Procedimientos de respaldo, recuperación y continuidad.
- Capacitación periódica del personal con acceso a datos personales.
- Procedimiento documentado de gestión de incidentes y notificación a la AAIP cuando corresponda.
13 ·Imparcialidad y separación de datos.
Conforme los principios de imparcialidad de ISO/IEC 17021-1 §5.2, los datos vinculados a procesos de certificación se procesan con separación estricta respecto de cualquier actividad de consultoría, implementación, capacitación a la organización auditada o servicios profesionales relacionados. Esta separación es de personas, de sistemas y de información. El detalle del esquema de imparcialidad y de su Comité está publicado en imparcialidad.html.
14 ·Modificaciones de esta política.
Esta política puede actualizarse para reflejar cambios normativos, operativos o tecnológicos. Las modificaciones materiales se comunicarán con un mínimo de 30 días de antelación a las cuentas administradoras de los clientes certificados y se publicarán en esta misma página. La versión vigente es siempre la publicada en gcerti.com.ar/privacy.html.