Ω

Areté Oracle

Política de Privacidad

Fecha de entrada en vigor: 22 de mayo de 2026 · Última actualización: 18 de mayo de 2026 · Versión: 2.0

1. Responsable del Tratamiento

El responsable del tratamiento de los datos personales recolectados a través de Areté Oracle (en adelante, "el Servicio") es:

• Titular: Claudia Marcela González
• Documento de identidad: DNI argentino N.° 25.971.771
• Domicilio: Camaleón 1301, Maldonado, Uruguay
• Correo electrónico de contacto en materia de privacidad: info@gocriteria.com
• Nombres comerciales: "Areté Oracle" y "GoCriterIA" son marcas y nombres de fantasía utilizados por la Titular.

La Titular actúa como Responsable del Tratamiento conforme a la Ley N.° 18.331 de Protección de Datos Personales de la República Oriental del Uruguay (en adelante, "Ley 18.331") y su Decreto Reglamentario N.° 414/009, así como en alineación con la legislación de los demás países donde el Servicio se ofrece (Argentina, Brasil, Chile, México).

2. Ámbito de aplicación

La presente Política de Privacidad se aplica a todos los Titulares de Datos Personales (en adelante, "Usuarios") que accedan, se registren o utilicen el Servicio Areté Oracle, accesible a través del sitio web https://arete.gocriteria.com y subdominios asociados, durante el período de beta privada, los planes gratuitos y los planes comerciales pagos.

Esta Política se complementa con los Términos de Servicio del Servicio. La aceptación de los Términos de Servicio implica la aceptación de la presente Política, configurándose un consentimiento informado, expreso e inequívoco del Usuario.

3. Normativa aplicable

El tratamiento de datos personales realizado por el Servicio se rige principalmente por:

• Uruguay: Ley N.° 18.331 y Decreto N.° 414/009.
• Argentina: Ley N.° 25.326 de Protección de los Datos Personales y normativa concordante.
• Brasil: Lei N.° 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).
• Chile: Ley N.° 19.628 sobre Protección de la Vida Privada.
• México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

En todos los casos, se garantizan los principios de licitud, lealtad, transparencia, finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad.

4. Categorías de datos personales tratados

4.1 Datos de registro e identificación

• Dirección de correo electrónico.
• Nombre declarado por el Usuario durante el proceso de onboarding.
• Datos del navegador y dispositivo utilizados para acceder al Servicio (tipo de navegador, User Agent, dirección IP, timestamps de conexión).

4.2 Datos de uso y contenido generado por el Usuario

• Transcripciones de las conversaciones mantenidas con Areté.
• Entradas del Decision Journal (decisiones detectadas automáticamente a partir de las conversaciones).
• Perfil evolutivo del Usuario: temas recurrentes, arquetipos emocionales detectados, tono predominante, dificultades, resistencias, prácticas sugeridas.
• Indicadores de uso (frecuencia de acceso, duración de las sesiones, fecha del último acceso).

4.3 Datos de comunicación

• Correos electrónicos transaccionales enviados al Usuario (bienvenida, recordatorios, Espejo del Domingo semanal, notificaciones operativas).
• Estado de las preferencias de comunicación (opt-in / opt-out por canal).

4.4 Datos de facturación (a partir del lanzamiento comercial)

Cuando el Usuario contrate un plan pago, los datos de pago serán procesados directamente por Lemon Squeezy (ver Sección 7), que actuará como Merchant of Record. La Titular no almacena ni procesa números completos de tarjetas de crédito, datos bancarios ni credenciales financieras del Usuario, sino únicamente los registros mínimos necesarios para la administración de la suscripción (identificador de cliente, estado de la suscripción, monto facturado).

4.5 Datos sensibles voluntariamente compartidos por el Usuario

El Usuario reconoce que tiene el control sobre la información que decide compartir y puede en todo momento ejercer sus derechos conforme a la Sección 11.

5. Finalidades del tratamiento

Los datos personales son tratados con las siguientes finalidades:

1. Prestación del Servicio: permitir al Usuario acceder, registrarse y mantener conversaciones con Areté.
2. Personalización del acompañamiento socrático: generar respuestas contextualizadas a partir del historial de conversaciones y el perfil evolutivo del Usuario.
3. Detección automatizada de decisiones (Decision Journal): identificar momentos relevantes de las conversaciones para preservarlos en el Journal personal del Usuario.
4. Envío de comunicaciones operativas: registro, autenticación, recordatorios técnicos, avisos de cambios sustanciales del Servicio.
5. Envío de comunicaciones reflexivas y de retención: correos semanales como el "Espejo del Domingo", siempre con opción de baja (opt-out) clara.
6. Gestión administrativa y de soporte: atender consultas, gestionar reclamaciones, ejercicio de derechos.
7. Facturación, cobro y gestión de suscripciones: a partir del lanzamiento del plan comercial.
8. Cumplimiento de obligaciones legales, fiscales, contables y regulatorias.
9. Prevención del fraude, abuso o uso indebido del Servicio.
10. Mejora del Servicio: análisis estadístico agregado y anonimizado del uso del Servicio.

6. Bases legales del tratamiento

• Consentimiento expreso, libre, específico e informado del Usuario, otorgado al aceptar la presente Política y los Términos de Servicio al momento del registro.
• Ejecución del contrato entre el Usuario y la Titular para la prestación del Servicio.
• Interés legítimo de la Titular para mejorar el Servicio, prevenir usos abusivos y proteger sus derechos.
• Cumplimiento de obligaciones legales cuando corresponda.

7. Encargados del Tratamiento (proveedores terceros)

Para prestar el Servicio, la Titular utiliza proveedores externos que actúan como Encargados del Tratamiento. Cada uno trata los datos exclusivamente para las finalidades descritas en la presente Política y bajo obligaciones contractuales de confidencialidad y seguridad.

Proveedor	País	Finalidad	Política
Supabase Inc.	Estados Unidos / Singapur	Hosting de base de datos, autenticación, almacenamiento de conversaciones	Ver
Hostinger Intl.	Lituania (UE)	Hosting del frontend y backend (PHP)	Ver
DeepSeek AI	República Popular China	Procesamiento de lenguaje natural (modelo de IA principal). Los datos enviados al modelo se pseudonimizan previamente (ver Sección 9).	Ver
Anthropic PBC	Estados Unidos	Procesamiento de lenguaje natural (modelo de IA de respaldo, utilizado cuando el proveedor principal no esté disponible o ante fallas técnicas).	Ver
Google LLC (Gemini)	Estados Unidos	Embeddings vectoriales para búsqueda semántica del corpus filosófico	Ver
Sendinblue SAS (Brevo)	Francia (UE)	Envío de correos electrónicos transaccionales	Ver
Lemon Squeezy LLC	Estados Unidos	Procesamiento de pagos (Merchant of Record). Vendedor legal al Usuario final.	Ver

La Titular se reserva el derecho de incorporar, modificar o sustituir Encargados del Tratamiento en cualquier momento sin previo aviso individual al Usuario, manteniendo en todo caso estándares equivalentes o superiores de seguridad y confidencialidad. Las actualizaciones se reflejarán en la versión vigente de esta Política.

8. Transferencias internacionales de datos

Dado que algunos proveedores se encuentran fuera de los países donde reside el Usuario, se realizan transferencias internacionales de datos personales:

• A Estados Unidos: Supabase, Google, Lemon Squeezy, Anthropic.
• A Unión Europea (Lituania y Francia): Hostinger, Brevo.
• A República Popular China: DeepSeek AI (con pseudonimización previa — ver Sección 9).

Algunos de los países de destino no han sido declarados como países con "nivel adecuado de protección" por las autoridades de control de datos personales de Uruguay, Argentina, Brasil, Chile o México. En particular, la transferencia a la República Popular China requiere atención especial.

Mecanismos de protección aplicados:

1. Pseudonimización previa al envío a DeepSeek (ver Sección 9).
2. Consentimiento expreso, libre, específico, informado e inequívoco del Usuario al aceptar la presente Política.
3. Cláusulas contractuales con cada proveedor que obligan al cumplimiento de estándares mínimos.

9. Pseudonimización aplicada al procesamiento por IA

Con el fin de mitigar los riesgos asociados a la transferencia de datos a los proveedores de inteligencia artificial (DeepSeek AI como modelo principal y Anthropic PBC como modelo de respaldo), la Titular se compromete a implementar antes del lanzamiento comercial un proceso de pseudonimización previa al envío de las conversaciones al modelo de inteligencia artificial. Este proceso consistirá en:

1. Detección automatizada de entidades personales identificables (nombres propios, identificadores únicos, referencias específicas a terceros).
2. Sustitución de dichas entidades por marcadores no identificables (ej.: "PERSONA_A", "LUGAR_B").
3. Envío al modelo únicamente del texto pseudonimizado.
4. Restauración local de las entidades originales en la respuesta antes de mostrarla al Usuario.

El mapa de correspondencias entre datos originales y marcadores pseudonimizados se almacenará exclusivamente en los servidores controlados por la Titular (Supabase) y no se transmitirá a terceros.

Durante el período de beta privada y previo a la activación de la pseudonimización, los datos podrán ser enviados al modelo en su forma original. El Usuario es notificado expresamente de esta circunstancia y, al aceptarla, otorga su consentimiento expreso para dicho tratamiento durante el período transitorio.

10. Conservación de datos

Tipo de dato	Plazo de conservación
Cuenta y conversaciones (Usuario activo)	Mientras la cuenta permanezca activa
Cuenta y conversaciones (tras solicitud de baja)	90 días desde la solicitud, salvo borrado inmediato
Datos de facturación y comprobantes	Conforme a normativa fiscal y contable (mínimo 5 años)
Logs técnicos, registros de seguridad y auditoría	Hasta 12 meses
Datos sujetos a obligaciones legales específicas	El plazo legal aplicable en cada caso

Transcurridos los plazos, los datos serán eliminados o anonimizados de forma irreversible.

Borrado inmediato bajo solicitud expresa: el Usuario puede solicitar la supresión inmediata de sus datos mediante correo a info@gocriteria.com. La Titular responderá en un plazo máximo de 30 días corridos, sin perjuicio de la obligación legal de conservar ciertos datos por períodos mayores.

11. Derechos del titular de los datos (ARCO + portabilidad)

El Usuario puede ejercer los siguientes derechos en cualquier momento:

• Acceso: conocer qué datos personales se tratan y obtener copia.
• Rectificación: solicitar la corrección de datos inexactos o incompletos.
• Cancelación / Supresión / "derecho al olvido": solicitar la eliminación de los datos cuando ya no sean necesarios o cuando el Usuario revoque su consentimiento.
• Oposición: oponerse al tratamiento por motivos relacionados con su situación particular.
• Portabilidad: recibir los datos en formato estructurado y transmitirlos a otro responsable.
• Revocación del consentimiento: sin efecto retroactivo respecto a los tratamientos ya realizados de forma lícita.
• Limitación del tratamiento: solicitar la suspensión temporal mientras se verifica la exactitud o legitimidad del mismo.

Cómo ejercer estos derechos: enviar un correo a info@gocriteria.com indicando: (1) nombre completo, (2) documento de identidad, (3) derecho que desea ejercer y descripción concreta de la solicitud. La Titular responderá en un plazo máximo de 30 días corridos.

Asimismo, el Usuario tiene derecho a presentar reclamación ante la autoridad de control correspondiente a su país de residencia:

• Uruguay: URCDP
• Argentina: AAIP
• Brasil: ANPD
• Chile: Consejo para la Transparencia
• México: INAI

12. Seguridad de los datos

La Titular adopta medidas técnicas y organizativas razonables y apropiadas para proteger los datos personales contra pérdida, alteración, acceso no autorizado, divulgación o destrucción accidental o ilícita. Incluyen:

• Cifrado en tránsito mediante TLS / HTTPS.
• Cifrado en reposo en los servidores de Supabase.
• Autenticación mediante OTP (códigos de un solo uso por correo).
• Tokens JWT firmados criptográficamente.
• Control de acceso a nivel de fila (Row-Level Security).
• Pseudonimización progresiva de datos enviados al modelo de IA.
• Registros de auditoría de accesos administrativos.
• Revisión periódica de las medidas de seguridad.

En caso de vulneración de seguridad que pueda afectar significativamente los datos personales del Usuario, la Titular notificará al Usuario afectado y a las autoridades competentes en los plazos legales aplicables.

13. Cookies y tecnologías similares

El Servicio utiliza:

• Cookies técnicas estrictamente necesarias para el funcionamiento de la sesión del Usuario (token JWT de autenticación, preferencias de visualización). Son indispensables y no requieren consentimiento adicional.
• Tecnologías de medición agregada y anonimizada del uso del Servicio (no incluyen identificadores personales).

El Servicio NO utiliza cookies publicitarias, de tracking individual, de re-marketing, ni vende información de comportamiento a terceros.

14. Usuarios menores de edad

El Servicio Areté Oracle está dirigido exclusivamente a personas mayores de 18 años. Al registrarse, el Usuario declara y garantiza expresamente bajo su responsabilidad ser mayor de 18 años de edad.

La Titular no tiene capacidad técnica de verificar la edad real del Usuario y se basa exclusivamente en dicha declaración. No recolecta intencionalmente datos personales de menores de edad. Si la Titular toma conocimiento de que ha recolectado datos de un menor sin consentimiento de sus padres o tutores, procederá a la eliminación inmediata.

15. Decisiones automatizadas y procesamiento por IA

El Servicio utiliza procesamiento automatizado mediante modelos de inteligencia artificial generativa para:

1. Generar respuestas conversacionales en el rol de "Areté".
2. Detectar automáticamente decisiones relevantes para el Decision Journal.
3. Construir un "perfil evolutivo" del Usuario con base en patrones detectados.

Estas decisiones automatizadas NO producen efectos jurídicos sobre el Usuario ni le afectan significativamente de modo similar. El perfil evolutivo se utiliza exclusivamente para personalizar el acompañamiento socrático y nunca para fines comerciales, de scoring, evaluación crediticia, contratación, o cualquier otro fin con consecuencias legales o económicas.

16. Comunicaciones al usuario

La Titular envía al Usuario dos tipos de comunicaciones:

1. Operativas y transaccionales (no requieren opt-in): bienvenida, autenticación, recordatorios técnicos, modificaciones sustanciales de la Política o los Términos, alertas de seguridad. Son necesarias para la prestación del Servicio.
2. Reflexivas, de retención y promocionales (opt-out): "Espejo del Domingo" semanal, novedades, contenidos pedagógicos. Baja en cualquier momento mediante el enlace al pie de cada correo o escribiendo a info@gocriteria.com.

17. Cesión, fusión o transferencia del negocio

En caso de fusión, adquisición, venta de activos, reorganización societaria, asociación o cualquier otra operación de cambio de control sobre el negocio, los datos personales del Usuario podrán ser cedidos o transferidos a la entidad adquirente o sucesora como parte de los activos transferidos, manteniéndose en todo caso las obligaciones y protecciones establecidas en la presente Política.

La Titular notificará al Usuario con razonable antelación cualquier cambio de Responsable del Tratamiento, momento en el cual el Usuario podrá ejercer sus derechos conforme a la Sección 11.

18. Actualizaciones de la Política de Privacidad

La Titular podrá modificar la presente Política para adaptarla a cambios legislativos, mejoras del Servicio, incorporación o sustitución de proveedores, o nuevas funcionalidades. Las modificaciones serán notificadas al Usuario mediante:

1. Publicación de la versión actualizada en https://arete.gocriteria.com/privacidad.
2. Notificación por correo electrónico al Usuario cuando los cambios sean sustanciales.
3. Actualización de la fecha de "última actualización" al inicio del documento.

El uso continuado del Servicio tras la notificación constituye aceptación tácita de las modificaciones. Si el Usuario no estuviera de acuerdo, podrá darse de baja y solicitar la supresión de sus datos conforme a la Sección 11.

19. Ley aplicable y jurisdicción

La presente Política se rige por la legislación de la República Oriental del Uruguay. Cualquier controversia será sometida a los Tribunales competentes del Departamento de Maldonado, Uruguay, sin perjuicio de los derechos del Usuario consumidor a accionar ante los Tribunales de su domicilio conforme a la legislación protectoria del consumidor de su país de residencia.

20. Cláusulas finales

• Divisibilidad: si alguna cláusula fuera declarada nula, ilegal o inaplicable, las demás permanecerán plenamente vigentes.
• No renuncia: la falta de ejercicio o el ejercicio tardío de cualquier derecho por parte de la Titular no implicará renuncia al mismo.
• Idioma rector: el español. Cualquier traducción será sólo informativa.
• Aceptación: el registro y/o uso del Servicio implica la aceptación expresa de la presente Política y los Términos de Servicio.

21. Contacto

Para cualquier consulta, solicitud o reclamación:

• Claudia Marcela González
• Camaleón 1301, Maldonado, Uruguay
• info@gocriteria.com