Política de Privacidad
Hostly — Plataforma SaaS para Gestión Gastronómica
Última actualización:
1. Responsable del Tratamiento
El responsable del tratamiento de los datos personales recopilados a través de la Plataforma es:
En lo que respecta a los datos de los Comensales gestionados dentro del espacio de un Restaurante, este último actúa como responsable del tratamiento y Hostly como encargado del tratamiento (procesador), conforme se detalla en la Sección 6.
2. Marco Legal Aplicable
Esta Política de Privacidad se enmarca en la legislación argentina vigente en materia de protección de datos personales, en particular:
- Ley N.° 25.326 de Protección de los Datos Personales (LPDP) y su Decreto Reglamentario N.° 1558/2001.
- Disposiciones de la Agencia de Acceso a la Información Pública (AAIP), autoridad de aplicación en materia de protección de datos personales.
- Ley N.° 24.240 de Defensa del Consumidor, en lo pertinente a la información y derechos de los consumidores.
- Ley N.° 26.032 sobre libertad de expresión en internet.
- Código Civil y Comercial de la Nación, en lo referente al derecho a la intimidad y datos personales.
Cuando la Plataforma la usen personas en el exterior, Hostly también respeta la normativa de protección de datos que corresponda en ese país, en la medida en que resulte aplicable.
3. Datos Personales que Recopilamos
3.1. Datos de Registro de Cuenta
| Dato | Tipo de Usuario | Obligatorio |
|---|---|---|
| Nombre completo | Todos | Sí |
| Dirección de correo electrónico | Todos | Sí |
| Contraseña (almacenada cifrada) | Todos | Sí |
| Nombre de usuario público | Todos | Sí |
| Número de teléfono | Restaurantes | Sí |
| Foto de perfil | Todos | No |
3.2. Datos del Restaurante (Tenant)
| Dato | Finalidad |
|---|---|
| Nombre comercial y razón social | Identificación del establecimiento |
| CUIT/CUIL | Facturación fiscal |
| Dirección del establecimiento | Geolocalización y visualización en la página de marca |
| Logotipo e imágenes del establecimiento | Personalización de la página de marca |
| Información de contacto comercial | Comunicación con comensales |
| Datos de facturación y medio de pago | Procesamiento de la suscripción (gestionados por Rebill) |
3.3. Datos de Reservas (Comensales)
| Dato | Finalidad |
|---|---|
| Nombre del comensal | Identificación de la reserva |
| Correo electrónico | Confirmación y comunicaciones sobre la reserva |
| Número de teléfono | Contacto por parte del restaurante |
| Cantidad de comensales | Asignación de mesa adecuada |
| Fecha, hora y preferencias | Gestión de la reserva |
| Notas especiales (alergias, celebraciones, etc.) | Personalización de la experiencia |
Las reservas pueden realizarse sin necesidad de crear una Cuenta. Los comensales con Cuenta podrán acceder a su historial de reservas en todos los Restaurantes.
3.4. Datos de Navegación y Técnicos
De forma automática, la Plataforma puede recopilar:
- Dirección IP y ubicación aproximada derivada de la misma.
- Tipo de navegador, sistema operativo y dispositivo.
- Páginas visitadas dentro de la Plataforma, duración de la visita y patrones de navegación.
- URL de referencia (desde dónde llegó el usuario).
- Datos de rendimiento y errores técnicos.
4. Finalidad del Tratamiento
Los datos personales son tratados con las siguientes finalidades:
4.1. Prestación del Servicio
- Creación y gestión de Cuentas de usuario.
- Provisión de los módulos y funcionalidades contratados por el Restaurante.
- Procesamiento y gestión de reservas entre Comensales y Restaurantes.
- Personalización de la página de marca del Restaurante.
- Asignación automática de mesas según el motor de disponibilidad.
4.2. Facturación y Pagos
- Procesamiento de pagos de suscripción a través de Rebill.
- Emisión de facturas electrónicas conforme normativa fiscal.
- Gestión de cambios de plan, renovaciones y cancelaciones.
4.3. Comunicaciones
- Envío de notificaciones transaccionales (confirmaciones de reserva, alertas de seguridad, comprobantes).
- Envío de comunicaciones de servicio (actualizaciones, mantenimiento, cambios de términos).
- Envío de comunicaciones comerciales (con consentimiento previo del usuario).
4.4. Seguridad y Prevención de Fraude
- Verificación de identidad y autenticación de acceso.
- Detección y prevención de actividades fraudulentas o abusivas.
- Protección de la integridad y seguridad de la Plataforma.
4.5. Mejora del Servicio
- Análisis de uso y patrones de navegación para mejorar la experiencia del usuario.
- Desarrollo de nuevas funcionalidades y módulos.
- Resolución de incidencias técnicas.
4.6. Cumplimiento Legal
- Cumplimiento de obligaciones legales, fiscales y regulatorias.
- Respuesta a requerimientos de autoridades competentes.
- Ejercicio y defensa de derechos legales.
5. Base Legal del Tratamiento
| Finalidad | Base Legal |
|---|---|
| Prestación del Servicio | Ejecución del contrato (relación contractual con el Usuario) — Art. 5 inc. 2(c) Ley 25.326 |
| Facturación y pagos | Ejecución del contrato y obligación legal (normativa fiscal) |
| Comunicaciones transaccionales y de servicio | Ejecución del contrato e interés legítimo del responsable |
| Comunicaciones comerciales | Consentimiento libre, expreso e informado del titular — Art. 5 inc. 1 Ley 25.326 |
| Seguridad y prevención de fraude | Interés legítimo del responsable y de terceros |
| Mejora del Servicio | Interés legítimo del responsable |
| Cumplimiento legal | Obligación legal — Art. 5 inc. 2(b) Ley 25.326 |
6. Roles en el Tratamiento de Datos
La Plataforma opera con un modelo de multi-tenancy que implica roles diferenciados en el tratamiento de datos personales:
6.1. Hostly como Responsable
Hostly actúa como responsable del tratamiento respecto de:
- Los datos de registro de Cuenta (datos globales del usuario).
- Los datos de navegación y técnicos.
- Los datos de facturación de los Restaurantes.
- Los datos recopilados para fines propios de la Plataforma (seguridad, mejora del servicio, comunicaciones).
6.2. El Restaurante como Responsable y Hostly como Encargado
Respecto de los datos de los Comensales ingresados en el contexto de un Restaurante específico (datos de reservas, notas especiales, historial de visitas al establecimiento):
- El Restaurante actúa como responsable del tratamiento y determina las finalidades y medios del procesamiento.
- Hostly actúa como encargado del tratamiento (procesador) y procesa dichos datos exclusivamente conforme las instrucciones del Restaurante y los presentes Términos.
El aislamiento de datos entre Restaurantes (row-level tenant isolation) garantiza que un Restaurante nunca puede acceder a los datos de Comensales gestionados por otro Restaurante.
6.3. Obligaciones del Restaurante
En su carácter de responsable del tratamiento de los datos de sus Comensales, el Restaurante se compromete a:
- Cumplir con la Ley N.° 25.326 y sus normas complementarias.
- Informar a sus Comensales sobre el tratamiento de sus datos personales.
- Obtener el consentimiento de los Comensales cuando fuera necesario.
- Atender los pedidos de los Comensales relativos al ejercicio de sus derechos (acceso, rectificación, supresión).
- No utilizar los datos de los Comensales para fines distintos a los relacionados con la gestión de su actividad gastronómica.
7. Compartición de Datos con Terceros
Hostly no vende, alquila ni comercializa datos personales de los Usuarios. Los datos pueden ser compartidos con los siguientes terceros, exclusivamente para las finalidades descritas:
| Tercero | Finalidad | Datos Compartidos |
|---|---|---|
| Rebill (procesador de pagos) | Procesamiento de pagos de suscripción del Restaurante | Datos de facturación, identificación fiscal y medio de pago del Restaurante |
| Resend (servicio de email) | Envío de comunicaciones transaccionales y de servicio | Dirección de correo electrónico, nombre del destinatario |
| Railway (hosting e infraestructura de base de datos) | Alojamiento de la Plataforma y base de datos PostgreSQL administrada | Todos los datos de la Plataforma procesados y almacenados por la aplicación (cifrados en tránsito y en reposo) |
| Upstash (caché Redis) | Caché de configuración de tenants para rendimiento | Datos de configuración del Restaurante (no datos de Comensales, no datos de reservas) |
| Cloudflare R2 (almacenamiento de archivos) | Almacenamiento de imágenes y archivos | Logos, fotos del establecimiento, fotos de perfil |
| Sentry (monitoreo de errores) | Detección, diagnóstico y resolución de incidencias técnicas de la Plataforma | Identificadores técnicos de sesión y contexto de errores que puede incluir dirección IP, identificador interno del Usuario y metadatos de la solicitud |
Adicionalmente, Hostly podrá compartir datos personales cuando:
- Sea requerido por ley, orden judicial o requerimiento de autoridad competente.
- Sea necesario para proteger los derechos, seguridad o propiedad de Hostly, sus Usuarios o terceros.
- Se produzca una fusión, adquisición o venta de activos de Hostly, en cuyo caso los Usuarios serán notificados.
8. Transferencias Internacionales de Datos
Dado que algunos de los proveedores de servicios utilizados por Hostly operan fuera de la República Argentina, los datos personales pueden ser transferidos a jurisdicciones con distinto nivel de protección de datos. En particular:
- República Argentina: Rebill (procesador de pagos local; los datos de facturación procesados a través de este proveedor no constituyen transferencia internacional).
- Estados Unidos: Resend, Cloudflare, Railway, Upstash, Sentry.
Para estas transferencias, Hostly adopta las siguientes garantías:
- Selección de proveedores que cumplan con estándares internacionales de protección de datos (certificaciones SOC 2, ISO 27001, o equivalentes cuando estén disponibles).
- Celebración de acuerdos de procesamiento de datos (DPA) con cada proveedor, que incluyen cláusulas contractuales adecuadas.
- Implementación de medidas técnicas complementarias (cifrado en tránsito y en reposo) para proteger los datos durante la transferencia.
De conformidad con la Ley N.° 25.326 y las disposiciones de la AAIP, Hostly garantiza que las transferencias internacionales de datos se realizan con un nivel adecuado de protección.
9. Conservación de los Datos
| Tipo de Dato | Período de Conservación |
|---|---|
| Datos de Cuenta activa | Mientras la Cuenta esté activa y el Servicio se encuentre vigente |
| Datos de Cuenta cancelada | 30 días posteriores a la cancelación (período de gracia para reactivación), luego eliminación definitiva |
| Datos de facturación | Conforme los plazos de conservación fiscal exigidos por AFIP (10 años como mínimo) |
| Datos de reservas (Restaurante activo) | Mientras el Restaurante mantenga su suscripción activa |
| Datos de reservas (Restaurante cancelado) | 30 días tras la cancelación del Restaurante, luego eliminación |
| Datos de navegación y logs técnicos | Máximo 12 meses, luego anonimización o eliminación |
| Datos de comunicaciones comerciales | Hasta la revocación del consentimiento por parte del Usuario |
Hostly aplica un principio de desactivación lógica (soft delete) para datos de tenants, lo cual permite la recuperación durante el período de gracia sin posibilidad de acceso público. Vencido el período de conservación, los datos se eliminan de forma definitiva de todos los sistemas, incluyendo respaldos, dentro de un plazo razonable que no excederá los noventa (90) días.
10. Seguridad de los Datos
Hostly implementa medidas de seguridad técnicas y organizativas apropiadas para proteger los datos personales contra el acceso no autorizado, la pérdida, la alteración o la destrucción, incluyendo:
10.1. Medidas Técnicas
- Cifrado en tránsito: Todas las comunicaciones entre el navegador del Usuario y la Plataforma se realizan mediante protocolo HTTPS/TLS.
- Cifrado en reposo: Los datos almacenados en la base de datos están cifrados mediante los mecanismos de cifrado nativos del proveedor de base de datos.
- Contraseñas: Las contraseñas de los Usuarios se almacenan utilizando algoritmos de hash seguros con sal (salted hashing). Hostly nunca almacena contraseñas en texto plano.
- Autenticación: Sistema de autenticación basado en sesiones con cookies seguras (HttpOnly, Secure, SameSite).
- Aislamiento de datos: Filtros obligatorios por tenant_id en todas las consultas a la base de datos, impidiendo el acceso cruzado entre Restaurantes.
- Control de concurrencia: Mecanismos de bloqueo (SELECT ... FOR UPDATE) para prevenir condiciones de carrera en el sistema de reservas.
10.2. Medidas Organizativas
- Acceso a datos restringido al personal autorizado bajo principio de mínimo privilegio.
- Revisión periódica de permisos de acceso.
- Procedimientos de respuesta ante incidentes de seguridad.
- Evaluación de proveedores de servicios en materia de seguridad.
10.3. Notificación de Incidentes
En caso de una violación de seguridad que afecte datos personales, Hostly:
- Notificará a la AAIP conforme los plazos y procedimientos establecidos por la normativa vigente.
- Notificará a los Usuarios afectados sin demora indebida cuando la violación pueda resultar en un alto riesgo para sus derechos.
- Documentará el incidente, sus efectos y las medidas correctivas adoptadas.
11. Derechos del Titular de los Datos
Conforme la Ley N.° 25.326, todo titular de datos personales tiene derecho a:
| Derecho | Descripción | Plazo de Respuesta |
|---|---|---|
| Acceso | Solicitar información sobre los datos personales que obran en las bases de datos de Hostly, incluyendo la finalidad del tratamiento y los destinatarios. | 10 días corridos desde la acreditación de la identidad del solicitante (Art. 14 Ley 25.326) |
| Rectificación | Solicitar la corrección de datos inexactos, incompletos o desactualizados. | 5 días hábiles desde la recepción del reclamo (Art. 16 Ley 25.326) |
| Supresión | Solicitar la eliminación de datos personales cuando ya no sean necesarios para la finalidad para la que fueron recopilados, o cuando el tratamiento no esté justificado. | 5 días hábiles desde la recepción del reclamo (Art. 16 Ley 25.326) |
| Confidencialidad | Exigir que los datos sean tratados con la debida confidencialidad. | Permanente |
| Revocación del consentimiento | Retirar el consentimiento otorgado para el tratamiento de datos en cualquier momento, sin que ello afecte la licitud del tratamiento previo. | 5 días hábiles |
11.1. Cómo Ejercer estos Derechos
El titular de los datos podrá ejercer sus derechos mediante:
- Envío de correo electrónico a privacidad@hostly.com con el asunto "Ejercicio de Derechos LPDP".
- Utilización de las funciones de gestión de datos disponibles en la configuración de la Cuenta (cuando sea posible realizarlo de forma autoservicio).
La solicitud deberá incluir: nombre completo, correo electrónico asociado a la Cuenta, descripción del derecho que se desea ejercer y, en su caso, copia de documento de identidad para verificación.
11.2. Derecho Gratuito
El ejercicio del derecho de acceso a los datos personales es gratuito, conforme lo dispuesto por el artículo 14, inciso 3 de la Ley N.° 25.326, con una periodicidad mínima de seis (6) meses, salvo que se acredite un interés legítimo al efecto.
11.3. Reclamo ante la Autoridad de Aplicación
12. Cookies y Tecnologías de Seguimiento
12.1. Cookies que Utilizamos
| Tipo | Finalidad | Duración | Necesidad de Consentimiento |
|---|---|---|---|
| Cookies esenciales / de sesión | Autenticación del usuario, mantenimiento de la sesión, seguridad (CSRF) | Duración de la sesión | No (estrictamente necesarias) |
| Cookies funcionales | Preferencias del usuario (idioma, tema), configuración de la interfaz | Hasta 12 meses | No (mejora funcional necesaria) |
| Cookies analíticas | Análisis de uso de la Plataforma, estadísticas agregadas | Hasta 12 meses | Sí |
12.2. Gestión de Cookies
Al acceder a la Plataforma por primera vez, el Usuario será informado sobre el uso de cookies mediante un banner visible. Las cookies no esenciales solo se activarán con el consentimiento expreso del Usuario.
El Usuario puede gestionar o desactivar cookies desde la configuración de su navegador. La desactivación de cookies esenciales puede afectar el funcionamiento correcto de la Plataforma.
13. Datos de Menores de Edad
La Plataforma no está dirigida a menores de dieciocho (18) años. Hostly no recopila de forma intencional datos personales de menores de edad. En caso de que Hostly tome conocimiento de que un menor ha proporcionado datos personales sin la debida autorización de su representante legal, procederá a eliminar dichos datos de forma inmediata.
Si un padre, madre o tutor detecta que un menor a su cargo ha utilizado la Plataforma sin su consentimiento, podrá comunicarse con Hostly a través de los canales indicados en la Sección 15 para solicitar la eliminación de los datos.
14. Modificaciones a esta Política
Hostly podrá actualizar esta Política de Privacidad periódicamente para reflejar cambios en las prácticas de tratamiento de datos, la legislación aplicable o las funcionalidades de la Plataforma.
Las modificaciones serán comunicadas a los Usuarios registrados mediante correo electrónico y/o mediante aviso visible en la Plataforma con al menos quince (15) días de anticipación. En caso de modificaciones sustanciales que amplíen el alcance del tratamiento de datos, se solicitará nuevamente el consentimiento del Usuario cuando corresponda.
La fecha de "Última actualización" al inicio de este documento reflejará siempre la versión vigente.
15. Contacto y Reclamos
Para consultas, solicitudes de ejercicio de derechos o reclamos relacionados con el tratamiento de datos personales:
Si el Usuario no obtiene una respuesta satisfactoria, podrá presentar un reclamo ante la Agencia de Acceso a la Información Pública (AAIP) a través de su sitio web: www.argentina.gob.ar/aaip.
© 2026 Hostly — Todos los derechos reservados.
Córdoba, República Argentina