Política de Privacidad

Vigencia desde · 27 may 2026 · Última actualización · 27 may 2026

Esta Política explica qué datos recolectamos cuando usás Gerardo, para qué los usamos, con quién los compartimos y cómo podés ejercer tus derechos. Si algo no te queda claro, escribinos a [email protected].

1. Responsable del tratamiento

Gerardo (también referido como GerardoHQ, sitio web gerardohq.com) es operado por Javier Padrón, CUIT 27-19103838-5, con domicilio en Heredia 1407, Villa Ortúzar, Ciudad Autónoma de Buenos Aires, República Argentina.

Esta es una estructura transitoria. Tenemos previsto constituir una sociedad comercial específica para Gerardo antes del lanzamiento público y vamos a actualizar estos datos cuando eso ocurra. Te notificaremos del cambio según la sección de Cambios a esta Política.

El responsable del tratamiento, en los términos de la Ley Nacional 25.326 de Protección de los Datos Personales, es la persona física identificada arriba.

2. Qué datos recolectamos

Datos que vos nos proporcionás

Cuenta: dirección de email y contraseña (almacenada en formato hash con bcrypt, nunca en texto plano).
Magic links: tokens de un solo uso generados para autenticación sin contraseña, con caducidad corta.
Contenido del producto: tareas, eventos, calendarios, OKRs, proyectos, briefings, notas y cualquier otro contenido que crees en Gerardo.
Conversaciones con Gerardo: mensajes de texto y audio enviados al asistente, junto con sus respuestas.
Memoria persistente del asistente: preferencias, hechos, contexto y decisiones que vos o Gerardo registran explícitamente para usar en conversaciones futuras.
Archivos: documentos, imágenes o adjuntos que subas al Servicio.

Datos generados por el uso del Servicio

Logs de autenticación: dirección IP, agente de usuario (User Agent), timestamps de login y eventos de seguridad relevantes.
Cookies de sesión: ver sección Cookies.
Telemetría de errores: stack traces, IDs de sesión técnica y metadatos del entorno, capturados cuando algo falla en el Servicio.

Datos que aún no recolectamos pero recolectaremos

Cuando Gerardo introduzca planes pagos, recolectaremos información de facturación a través de proveedores de pago especializados (Stripe y, en el futuro, MercadoPago). No almacenaremos los datos completos de tu tarjeta de crédito en nuestros servidores. Te avisaremos antes de que esto entre en vigencia.

Audio: nota específica

Cuando le hablás a Gerardo, tu audio se envía al servicio de transcripción (OpenAI Whisper) para convertirlo a texto. El audio crudo se descarta una vez transcripto. Conservamos únicamente la transcripción textual como parte del historial de conversación.

3. Para qué usamos tus datos

Tratamos tus datos personales con las siguientes finalidades:

Operar el Servicio, autenticarte y mantener tu sesión.
Generar las respuestas, transcripciones y audios de Gerardo.
Persistir tu contenido y tu memoria del asistente entre sesiones.
Enviarte emails transaccionales (verificación de cuenta, recuperación de contraseña, cambios materiales en términos).
Detectar abuso, fraude y violaciones de los Términos del Servicio.
Diagnosticar y resolver errores técnicos.
Cumplir con obligaciones legales aplicables.

No vendemos tus datos personales a terceros. No los compartimos con anunciantes. No los usamos para construir perfiles publicitarios.

4. Base legal del tratamiento

Tratamos tus datos sobre las siguientes bases legales, conforme a la Ley 25.326:

Ejecución del contrato: el tratamiento es necesario para prestarte el Servicio que solicitás al crear tu cuenta.
Consentimiento: al crear tu cuenta y aceptar esta Política, prestás consentimiento expreso, libre, específico e informado para el tratamiento descripto, incluyendo la transferencia internacional de datos prevista en la sección Transferencias internacionales.
Interés legítimo: para seguridad, prevención de fraude y telemetría de errores, en la medida en que no afecte tus derechos fundamentales.
Obligación legal: cuando una norma aplicable nos exija conservar o entregar información.

Podés retirar tu consentimiento en cualquier momento eliminando tu cuenta. El retiro no afecta la legalidad del tratamiento previo.

5. Proveedores de IA y entrenamiento de modelos

Gerardo no entrena modelos de inteligencia artificial propios con tus datos.

Para generar las respuestas, transcripciones y audios que el Servicio requiere, transmitimos tus inputs (texto, voz, archivos) y los outputs generados a proveedores de modelos de lenguaje ("LLM Sub-Processors"):

Proveedor	Servicios usados	Jurisdicción
Anthropic, PBC	Claude API (familia de modelos Claude)	EE. UU.
OpenAI, L.L.C.	Audio API (Whisper STT, TTS), Chat Completions	EE. UU.

Conforme a los términos comerciales vigentes de cada proveedor al momento del tratamiento:

Anthropic se obliga contractualmente a no usar tus inputs ni outputs para entrenar sus modelos. La cláusula aplica a todo el uso programático de la Claude API, según los Commercial Terms of Service vigentes.
OpenAI no utiliza datos enviados a través de su API para entrenar o mejorar sus modelos, por defecto, salvo opt-in explícito que no hemos otorgado. Esta política está publicada en su centro de privacidad empresarial.

Las políticas de uso de datos de los proveedores están sujetas a sus propios términos y pueden cambiar. Vamos a notificarte cualquier cambio material en la lista de LLM Sub-Processors o en sus políticas con al menos 15 días de anticipación, vía email registrado.

Si en el futuro integramos otros proveedores (por ejemplo ElevenLabs para síntesis de voz), te notificaremos antes de activar la integración y actualizaremos esta Política en consecuencia.

6. Otros proveedores y terceros

Además de los LLM Sub-Processors, usamos proveedores especializados para operar el Servicio:

Proveedor	Función	Jurisdicción
Railway Corp.	Hosting de aplicación y base de datos Postgres	EE. UU.
Cloudflare, Inc.	CDN, almacenamiento de archivos (R2), enrutamiento de email	EE. UU.
Resend, Inc.	Envío de emails transaccionales	EE. UU.
Functional Software, Inc. (Sentry)	Captura y análisis de errores técnicos	EE. UU.

Cada uno actúa como encargado del tratamiento por cuenta nuestra, bajo contratos de procesamiento de datos que limitan el uso de la información a la prestación del servicio contratado.

Cuando habilitemos planes pagos, sumaremos a esta lista a Stripe (procesamiento de pagos en USD) y, posteriormente, a MercadoPago (procesamiento de pagos en Argentina). Actualizaremos esta Política antes de activar esas integraciones.

7. Transferencias internacionales de datos

Todos los proveedores listados en las secciones anteriores procesan datos en Estados Unidos. Al usar Gerardo, prestás consentimiento expreso, libre, específico e informado para la transferencia internacional de tus datos personales a Estados Unidos para su procesamiento por dichos proveedores, en los términos del artículo 12 inciso 6.a de la Ley 25.326.

A la fecha de esta Política, Estados Unidos no está reconocido por la Agencia de Acceso a la Información Pública (AAIP) como país con nivel adecuado de protección. Los proveedores citados ofrecen garantías contractuales de confidencialidad, retención limitada y no uso para entrenamiento de modelos, compatibles con el nivel de protección exigido por la ley argentina.

Si en el futuro la AAIP declara la adecuación de Estados Unidos, o si firmamos cláusulas contractuales tipo conforme a la Disposición DNPDP 60/2016, actualizaremos esta sección para reflejar la base de transferencia aplicable.

8. Retención de datos

Conservamos tus datos personales mientras tu cuenta esté activa. Si eliminás tu cuenta o solicitás su eliminación, conservamos tus datos por un período máximo de 30 días corridos, durante los cuales podés revertir la eliminación contactándonos. Vencido ese plazo, los datos personales se eliminan de los sistemas de producción.

Algunos datos pueden persistir más allá de ese plazo cuando:

Existe una obligación legal de conservación (registros contables, fiscales o requerimientos judiciales).
Se trata de copias de respaldo cifradas con rotación periódica, que se eliminan automáticamente al ciclar el respaldo.
Se trata de datos agregados o anonimizados que ya no permiten identificarte.

Los proveedores de IA aplican sus propias políticas de retención sobre los datos que les transmitimos. A la fecha, Anthropic retiene logs de la API por 7 días y OpenAI retiene logs de endpoints de chat y TTS por hasta 30 días para detección de abuso. El endpoint de transcripción de audio (Whisper) no retiene contenido. Estos plazos están sujetos a cambios por los proveedores y a órdenes judiciales aplicables a ellos en su jurisdicción.

9. Tus derechos

Conforme a la Ley 25.326, tenés derecho a:

Acceso: obtener confirmación de si tratamos tus datos y, en su caso, una copia de la información.
Rectificación: corregir datos inexactos, incompletos o desactualizados.
Actualización: incorporar información nueva sobre vos.
Supresión: solicitar la eliminación de tus datos, sujeto a las excepciones legales aplicables.
Oposición: objetar el tratamiento de tus datos en supuestos previstos por la ley.

En la medida en que la ley aplicable lo permita, también podés solicitar la portabilidad de tu contenido (entrega de tus datos en un formato estructurado y de lectura mecánica) y la restricción temporal del tratamiento mientras se resuelve una solicitud.

Para ejercer estos derechos, escribinos a [email protected] desde la dirección de email asociada a tu cuenta. Vamos a responder dentro de los 10 días corridos previstos por el artículo 14 de la Ley 25.326.

Si considerás que el tratamiento no se ajusta a la normativa argentina, podés presentar un reclamo ante la Agencia de Acceso a la Información Pública (argentina.gob.ar/aaip), autoridad de aplicación de la Ley 25.326.

10. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos, incluyendo:

Transporte cifrado (TLS) en todas las comunicaciones entre tu navegador y nuestros servidores.
Almacenamiento de contraseñas con hashing bcrypt y sal por usuario.
Control de acceso basado en roles dentro del producto.
Aislamiento por usuario en la base de datos: tu contenido es accesible únicamente con credenciales válidas asociadas a tu cuenta.
Registro y monitoreo de eventos de autenticación.
Copias de respaldo periódicas en infraestructura administrada.

Ningún sistema en internet es absolutamente seguro. No podemos garantizar que tus datos estén libres de acceso no autorizado en cualquier circunstancia. Si detectáramos un incidente de seguridad que afectara tus datos personales, te notificaremos por email a la brevedad posible y daremos aviso a la autoridad cuando la ley lo exija.

11. Cookies y tecnologías similares

Usamos cookies estrictamente necesarias para operar el Servicio: mantener tu sesión iniciada, prevenir ataques de falsificación de solicitudes (CSRF) y recordar preferencias básicas de configuración como el modo claro u oscuro.

No usamos cookies de analítica, publicidad, ni de seguimiento de terceros. No tenés que aceptar cookies adicionales para usar Gerardo.

Podés deshabilitar las cookies en la configuración de tu navegador, pero el Servicio dejará de funcionar correctamente sin las cookies de sesión.

12. Datos de menores

Gerardo está dirigido a personas mayores de 18 años. Al crear una cuenta, declarás bajo tu responsabilidad ser mayor de edad. No recolectamos deliberadamente datos personales de menores de edad.

Si tomamos conocimiento de que un usuario es menor de edad, suspenderemos la cuenta y eliminaremos los datos asociados, siguiendo el procedimiento general de eliminación de cuentas descripto en la sección Retención de datos.

Si sos madre, padre o representante legal y creés que un menor a tu cargo creó una cuenta en Gerardo, escribinos a [email protected].

13. Decisiones automatizadas

Gerardo usa modelos de inteligencia artificial para generar respuestas, sugerencias y resúmenes. Estas salidas son orientativas y nunca producen, por sí mismas, efectos jurídicos sobre vos ni afectan significativamente tu situación sin tu intervención. Las decisiones que tomás sobre tu trabajo, tu vida o tus finanzas son tuyas y de tu exclusiva responsabilidad.

Si en el futuro incorporamos funcionalidades que impliquen decisiones automatizadas con efectos jurídicos sobre vos, actualizaremos esta Política con la información requerida por la normativa aplicable.

14. Cambios a esta Política

Podemos modificar esta Política de tiempo en tiempo. Cuando introduzcamos cambios materiales, te notificaremos por email a la dirección registrada en tu cuenta, con al menos 15 días corridos de anticipación a la entrada en vigencia.

Si continuás usando el Servicio después de la fecha de entrada en vigencia de la versión actualizada, entendemos que aceptás los cambios. Si no estás de acuerdo, podés eliminar tu cuenta antes de esa fecha.

La versión vigente de esta Política siempre está disponible en gerardohq.com/privacy, con la fecha de última actualización al inicio del documento.

15. Cómo contactarnos

Para cualquier consulta sobre esta Política, sobre el tratamiento de tus datos personales o para ejercer tus derechos, escribinos a [email protected].

Por correspondencia postal: Javier Padrón, Heredia 1407, Villa Ortúzar, Ciudad Autónoma de Buenos Aires, República Argentina.