Política de Privacidad de Trato

Trato es un marketplace entre particulares (C2C) para la compraventa de productos usados en la Argentina, en el que las personas usuarias están verificadas. El responsable de la base de datos personales es quien opera el servicio “Trato” (en adelante, “Trato”, “nosotros” o “la app”).

Para cualquier consulta sobre tus datos o esta política, podés contactarnos a través de los canales que figuran al final de este documento. Allí también indicamos la dirección y el correo a los que podés dirigir tus solicitudes.

• Responsable: Trato (titular del marketplace).
• Correo para temas de privacidad y datos personales: privacidad@apptrato.com
• Correo de soporte general: soporte@apptrato.com

Esta política se rige por la Ley 25.326 de Protección de los Datos Personales, su Decreto Reglamentario 1558/2001 y las resoluciones de la Agencia de Acceso a la Información Pública (AAIP), que es la autoridad de aplicación en la Argentina. El derecho a la protección de tus datos (habeas data) tiene rango constitucional (artículo 43 de la Constitución Nacional).

Esta política aplica a todos los datos personales que tratamos cuando usás Trato: cuando creás tu cuenta, cuando verificás tu identidad, cuando publicás o navegás avisos, cuando chateás con otras personas usuarias y cuando pagás suscripciones o publicaciones destacadas.

La base de datos de Trato está (o será) inscripta en el Registro Nacional de Bases de Datos de la AAIP, conforme a la obligación legal del responsable.

Recolectamos solo los datos que necesitamos para que el marketplace funcione, para verificar identidades y prevenir fraudes, y para cumplir con la ley. A continuación detallamos cada categoría, distinguiendo los datos comunes de los datos sensibles.

• Datos de cuenta (datos comunes): nombre, apellido, email, contraseña (que guardamos siempre hasheada con bcrypt, nunca en texto plano), provincia, ciudad y una ubicación aproximada (latitud/longitud obtenida por geocodificación de tu ciudad y provincia). Finalidad: crear y administrar tu cuenta, autenticarte y permitir búsquedas por proximidad.
• Datos de verificación de identidad (DATOS SENSIBLES y BIOMÉTRICOS): número de DNI, foto del frente del DNI, foto del dorso del DNI y una selfie. Finalidad: verificar que sos quien decís ser, prevenir fraudes y suplantación de identidad, y habilitarte a operar de forma segura en el marketplace. El detalle de cómo tratamos estos datos está en las secciones 4 y 7.
• Datos de publicaciones (públicos): título, descripción, precio, categoría, condición, fotos del producto y ubicación del aviso (provincia, ciudad, barrio y ubicación aproximada). Finalidad: mostrar tus avisos a otras personas usuarias.
• Chat y mensajes: el contenido de los mensajes que intercambiás con otras personas usuarias. Finalidad: permitir la coordinación de las operaciones de compraventa.
• Favoritos y vistas de publicaciones: registro de los avisos que marcás como favoritos y de las vistas que reciben las publicaciones. Finalidad: mejorar tu experiencia y ofrecer estadísticas a las personas vendedoras con plan PRO+.
• Denuncias y reportes: la información que enviás al denunciar una publicación o a otra persona usuaria. Finalidad: moderar contenidos y mantener la comunidad segura.
• Suscripciones y pagos: los pagos de suscripciones y publicaciones destacadas se procesan a través de MercadoPago. Trato NO almacena los datos de tu tarjeta. Finalidad: cobrar planes y servicios pagos.
• Notificaciones: tus preferencias y el envío de notificaciones dentro de la app y por email. Finalidad: avisarte de mensajes, actividad de tus avisos y novedades del servicio.
• Cookies de sesión: usamos cookies técnicas de sesión (NextAuth, JWT). Finalidad: mantener tu sesión iniciada. Más detalle en la sección 11.

Para verificar tu identidad necesitamos tratar datos sensibles: tu número de DNI, las fotos del frente y dorso de tu DNI, y una selfie. Bajo la Ley 25.326, el tratamiento de datos sensibles está prohibido salvo excepciones, y la única base que usamos es tu consentimiento expreso, libre e informado. Queremos que entiendas bien tres puntos clave.

Primero: el reconocimiento facial se hace EN TU DISPOSITIVO. La comparación entre la cara de tu DNI y la de tu selfie se ejecuta en tu propio navegador (con la tecnología face-api.js). Los descriptores y plantillas biométricas de tu rostro NO se envían a nuestros servidores ni se almacenan. Al servidor solo llegan dos números: un “match score” (similitud entre la selfie y la cara del DNI) y un “liveness score” (indicio de que hay una persona real frente a la cámara). Esos números los conservamos como evidencia de la decisión de verificación.

Segundo: los datos sensibles son FACULTATIVOS. No estás obligado a darnos tu DNI, las fotos ni la selfie. Ahora bien, la verificación de identidad es un paso necesario para operar en Trato: si decidís no aportar estos datos, no vas a poder completar la verificación y, por lo tanto, no vas a poder publicar ni realizar ciertas operaciones dentro del marketplace.

Tercero: tu consentimiento se pide por separado. Cuando iniciás el proceso de verificación, te pedimos un consentimiento específico y diferenciado de la aceptación general de los Términos y Condiciones, mediante una casilla dedicada en la que se te advierte el carácter sensible de los datos y la finalidad concreta (verificación de identidad antifraude). Registramos la fecha y hora de ese consentimiento para poder acreditarlo. Podés revocar tu consentimiento en cualquier momento (ver sección 9).

Tratamos tus datos sobre las siguientes bases legales:

Tu consentimiento es la base para el tratamiento de los datos sensibles de verificación de identidad. Ese consentimiento es expreso, libre, informado y específico, y podés retirarlo cuando quieras.

• Para los datos comunes de cuenta, publicaciones, chat y operación del marketplace: la ejecución de la relación que tenemos con vos como persona usuaria del servicio y tu consentimiento al registrarte y aceptar los Términos y Condiciones.
• Para los datos sensibles y biométricos de verificación de identidad (número de DNI, fotos del DNI, selfie y scores de reconocimiento facial): tu CONSENTIMIENTO EXPRESO, LIBRE E INFORMADO, prestado mediante una casilla específica y separada del resto, conforme a los artículos 5 y 7 de la Ley 25.326.
• Para conservar cierta información de pagos y operaciones: el cumplimiento de obligaciones legales (por ejemplo, fiscales) que pesan sobre Trato.

Antes de recolectar tus datos te informamos, de forma clara y expresa, lo siguiente, conforme al artículo 6 de la Ley 25.326:

• Finalidad y destinatarios: usamos tus datos para operar el marketplace, verificar identidades y prevenir fraudes, habilitar la mensajería y procesar pagos de suscripciones y publicaciones destacadas. Los destinatarios son Trato y los encargados de tratamiento (terceros) que detallamos en la sección 8.
• Existencia de la base de datos e identidad del responsable: existe una base de datos de personas usuarias administrada por Trato, cuya identidad y domicilio figuran en este documento.
• Carácter obligatorio o facultativo: los datos básicos de cuenta son necesarios para tener una cuenta. Los datos sensibles de verificación son facultativos, pero sin ellos no vas a poder completar la verificación ni operar plenamente en la app.
• Consecuencias de dar, no dar o dar datos inexactos: si no completás la verificación, no vas a poder publicar ni realizar ciertas operaciones; si proporcionás datos inexactos, la verificación puede ser rechazada o tu cuenta puede ser suspendida.
• Tus derechos: podés ejercer en cualquier momento los derechos de acceso, rectificación, actualización y supresión de tus datos (ver sección 9).

Aplicamos medidas técnicas y organizativas para proteger tus datos, de acuerdo con el artículo 9 de la Ley 25.326 y la Resolución AAIP 47/2018. Estas son las medidas concretas que ya tenemos implementadas:

• Contraseñas: nunca se guardan en texto plano. Se almacenan hasheadas con bcrypt.
• Cifrado de datos sensibles en reposo: el número de DNI y los identificadores/URLs de las imágenes de verificación se guardan ENCRIPTADOS con el algoritmo AES-256-GCM.
• Almacenamiento privado de imágenes: las fotos del DNI y la selfie se guardan en Cloudinary con entrega privada (configuración “authenticated”). No son accesibles por una URL pública ni navegando carpetas: solo pueden verse mediante una URL firmada, no adivinable, generada puntualmente.
• Reconocimiento facial en el dispositivo: la comparación biométrica corre en tu navegador. No subimos descriptores ni plantillas faciales al servidor; solo conservamos dos valores numéricos (match score y liveness score).
• Acceso restringido: la documentación de verificación solo es accesible para administradores autorizados, mediante URL firmada y por causa justificada (por ejemplo, ante una denuncia). El acceso a los datos está controlado por roles.

Para prestar el servicio nos apoyamos en proveedores que actúan como encargados de tratamiento (artículo 25 de la Ley 25.326). A todos ellos les exigimos confidencialidad y medidas de seguridad adecuadas, y solo tratan tus datos por nuestra cuenta y para las finalidades aquí descriptas. No vendemos tus datos personales.

Los proveedores que utilizamos son:

• Neon: base de datos PostgreSQL donde se almacena la información de la app.
• Vercel: hosting e infraestructura donde corre la aplicación.
• Cloudinary: almacenamiento de imágenes (las imágenes de DNI y selfie se guardan con entrega privada).
• Resend: envío de correos electrónicos (notificaciones y comunicaciones del servicio).
• MercadoPago: procesamiento de pagos de suscripciones y publicaciones destacadas. Trato no almacena datos de tarjetas; los procesa MercadoPago bajo su propia política de privacidad.
• Servicio de geocodificación basado en OpenStreetMap/Nominatim: para convertir tu ciudad y provincia en una ubicación aproximada y permitir búsquedas por proximidad.
• Eventualmente, un proveedor de verificación de identidad (por ejemplo, Onfido), en caso de que en el futuro se incorpore para reforzar el proceso de verificación. Si esto ocurriera, se actualizará esta política en consecuencia.

Conservamos los datos de verificación de identidad (número de DNI, fotos del documento y selfie), encriptados y con acceso restringido a administradores, para prevenir fraudes y poder colaborar con la justicia.

Si ocurre un delito vinculado a una operación (por ejemplo, una estafa o un robo), podemos divulgar estos datos a la autoridad competente —policía, fiscalía o juzgado— cuando exista un requerimiento legal o una denuncia que lo justifique. Importante: estos datos NO se entregan directamente a otras personas usuarias; la información de identidad de un tercero solo se comparte con las autoridades por los canales legales correspondientes.

Por este motivo, si tenés una denuncia en revisión en tu contra, es posible que no puedas eliminar tu cuenta hasta que se resuelva.

Como titular de los datos, la ley te reconoce los siguientes derechos, que podés ejercer en forma gratuita:

• Acceso (artículos 14 y 15): pedirnos si tratamos datos tuyos y conocer su contenido, origen, finalidad y eventuales cesiones. Te respondemos dentro de los 10 días corridos. Podés ejercerlo a intervalos no menores a 6 meses, salvo que acredites un interés legítimo.
• Rectificación y actualización (artículo 16): corregir o actualizar datos inexactos, erróneos o desactualizados. Plazo máximo de respuesta: 5 días hábiles.
• Supresión (artículo 16): pedir que eliminemos tus datos cuando su tratamiento ya no corresponda o cuando revoques tu consentimiento. Plazo máximo: 5 días hábiles. No procede cuando pueda perjudicar derechos de terceros o cuando exista una obligación legal de conservar los datos.
• Confidencialidad y bloqueo: solicitar el bloqueo o sometimiento a confidencialidad de tus datos en los casos previstos por la ley.
• Revocación del consentimiento: como el tratamiento de datos sensibles se basa en tu consentimiento, podés revocarlo cuando quieras. La revocación habilita la supresión de las imágenes de DNI/selfie y datos asociados, salvo lo que debamos conservar por ley.

Para ejercer cualquiera de los derechos de la sección anterior, escribinos a privacidad@apptrato.com o al domicilio del responsable. Para poder atender tu pedido y resguardar tus datos, es posible que necesitemos verificar tu identidad antes de responder.

Si considerás que no respetamos tus derechos, podés presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP), que es el órgano de control en materia de protección de datos personales en la Argentina, o iniciar la acción judicial de habeas data prevista en el artículo 43 de la Constitución Nacional y en la Ley 25.326.

Por transparencia, dejamos constancia de que la ley argentina de protección de datos está en proceso de reforma. Las versiones en discusión prevén nuevos derechos (por ejemplo, portabilidad de datos, oposición al tratamiento y derecho a no ser objeto de decisiones basadas únicamente en tratamientos automatizados). Aún no están vigentes; si se aprueban, adaptaremos esta política.

Usamos cookies estrictamente técnicas y necesarias para el funcionamiento del servicio. En particular, cookies de sesión gestionadas por NextAuth (basadas en tokens JWT) que sirven para mantener tu sesión iniciada mientras navegás la app.

Estas cookies son imprescindibles para que puedas usar Trato de forma segura. No las usamos para publicidad ni para perfilar tu comportamiento. Podés bloquear o borrar las cookies desde la configuración de tu navegador, pero en ese caso es posible que no puedas mantener la sesión iniciada ni usar correctamente el servicio.

Conservamos tus datos solo durante el tiempo necesario para las finalidades para las que fueron recolectados, conforme al artículo 4, inciso 7, de la Ley 25.326. Aplicamos criterios de minimización y borrado seguro:

• Datos de cuenta: se conservan mientras tu cuenta esté activa. Si te das de baja, los eliminamos o anonimizamos, salvo lo que debamos conservar por obligación legal.
• Imágenes de DNI y selfie: se conservan, encriptadas y con acceso restringido a administradores, mientras tu cuenta esté activa y por un plazo prudencial posterior, con el fin de prevenir fraudes y de poder responder a requerimientos de la justicia o de autoridades competentes (por ejemplo, ante la denuncia de un delito). No se publican ni se entregan a otras personas usuarias.
• Scores de reconocimiento facial (match y liveness): se conservan como prueba de la decisión de verificación.
• Descriptores y plantillas biométricas: no se conservan, porque el reconocimiento facial corre en tu dispositivo y nunca llegan a nuestros servidores.
• Datos de pagos: la información mínima de operaciones puede conservarse por el plazo que exijan las normas fiscales y legales aplicables.
• Al ejercer la supresión o al darte de baja, eliminamos efectivamente las imágenes (incluida su baja en Cloudinary) y los datos sensibles asociados, salvo que exista una denuncia o investigación en curso, o una obligación legal que nos exija conservarlos por un plazo determinado.

Algunos de nuestros proveedores (por ejemplo, Vercel, Neon y Cloudinary) pueden alojar u operar datos fuera de la Argentina, incluso en países que la AAIP no considera de “nivel adecuado” de protección (como Estados Unidos). Esto implica una transferencia internacional de datos, regulada por el artículo 12 de la Ley 25.326.

Para que esa transferencia sea lícita, nos amparamos en los mecanismos de legitimación previstos por la normativa: la suscripción de cláusulas contractuales modelo aprobadas por la AAIP (Disposición 60/2016, actualizada por la Resolución AAIP 198/2023) con los encargados de tratamiento y, cuando corresponde, tu consentimiento expreso para la transferencia internacional. A todos los encargados les exigimos confidencialidad y medidas de seguridad equivalentes a las que aplicamos nosotros (artículo 25 de la Ley 25.326).

Dado el carácter sensible de los datos de verificación, te informamos esta circunstancia para que la tengas presente al prestar tu consentimiento.

Trato está dirigido exclusivamente a personas mayores de 18 años con capacidad legal para contratar y para prestar válidamente su consentimiento. No está permitido el uso del servicio por menores de edad.

Si tomamos conocimiento de que una cuenta corresponde a una persona menor de 18 años, podremos suspenderla y eliminar los datos asociados.

Podemos actualizar esta Política de Privacidad para reflejar cambios en el servicio, en nuestros proveedores o en la normativa aplicable. Cuando hagamos cambios relevantes, te lo comunicaremos a través de la app o por email, e indicaremos siempre la fecha de vigencia de la versión actualizada.

Te recomendamos revisar esta página periódicamente. El uso continuado del servicio luego de la entrada en vigencia de los cambios implica que tomaste conocimiento de ellos. Cuando se trate de cambios que afecten el tratamiento de datos sensibles, te pediremos nuevamente tu consentimiento cuando corresponda.

• Fecha de vigencia: 7 de junio de 2026.
• Última actualización: 7 de junio de 2026.

Si tenés preguntas, quejas o querés ejercer tus derechos sobre tus datos personales, escribinos. Estamos para ayudarte.

• Privacidad y protección de datos: privacidad@apptrato.com
• Soporte general: soporte@apptrato.com
• Órgano de control: Agencia de Acceso a la Información Pública (AAIP) — ante la cual podés presentar denuncias en materia de protección de datos personales.