Documento legal

Política de Privacidad

Cómo recopilamos, utilizamos, almacenamos y protegemos los datos personales de los usuarios de la plataforma Citixen.

Última actualización13 de mayo de 2026
Marco normativoLey 25.326 (Argentina) + RGPD

1. Introducción e Identidad del Responsable

1.1 Sobre esta Política

Esta Política de Privacidad (“Política”) describe cómo Citixen Technologies SAS (“Citixen”, “nosotros” o “nuestro”) recolecta, utiliza, almacena, comparte y protege sus datos personales cuando usted utiliza la plataforma Citixen, la aplicación móvil y los servicios asociados (conjuntamente, la “Plataforma”).

Esta Política debe leerse conjuntamente con nuestros Términos y Condiciones, que definen conceptos clave utilizados a lo largo de este documento, incluyendo la naturaleza de los Créditos Cívicos y el rol de la Plataforma como infraestructura tecnológica de participación cívica.

1.2 Responsable del tratamiento

Citixen Technologies SAS
Bell Ville, Provincia de Córdoba
República Argentina

Contacto de privacidad: privacy@citixen.org

Las bases de datos que contienen datos personales procesados a través de la Plataforma serán inscriptas ante la Agencia de Acceso a la Información Pública (AAIP) de Argentina de conformidad con la Ley 25.326, previo al inicio de operaciones con el primer municipio. El número de registro será publicado en esta Política una vez completada la inscripción.

1.3 Alcance

Esta Política se aplica a todos los usuarios de la Plataforma, incluyendo ciudadanos, personal gubernamental, representantes de organizaciones y visitantes. Cubre los datos recolectados a través de la aplicación móvil, los paneles web y cualquier API o servicio operado por Citixen.

2. Datos que Recolectamos

2.1 Datos de identidad y cuenta

  • Nombre completo
  • Dirección de correo electrónico
  • Ciudad de residencia (vinculada a un municipio verificado)
  • Fotografía de perfil (opcional)
  • Contraseña (hasheada; nunca almacenada en texto plano)
  • Identificadores de proveedores de autenticación (Google ID, Apple ID, si aplica)
  • Fecha de creación de la cuenta

2.2 Datos de validación fiscal

Datos enviados para validar contribuciones fiscales para la emisión de Créditos Cívicos:

  • Comprobantes de pago de impuestos y documentos fiscales (imágenes o PDFs)
  • Tipo y método de validación fiscal seleccionado
  • Fecha y monto de las contribuciones validadas
  • Estado de aprobación o rechazo y anotaciones del revisor gubernamental

Estos documentos contienen información financiera y tributaria que requiere protección reforzada. Se recolectan exclusivamente con el propósito de validar la elegibilidad de participación cívica y se comparten únicamente con el gobierno local correspondiente. Ver Sección 5 para detalles.

2.3 Datos de participación cívica

  • Conteo de Créditos Cívicos e historial de asignaciones
  • Proyectos que ha creado, incluyendo descripciones, fotografías y evidencia
  • Proyectos que ha apoyado (registros de asignación)
  • Organizaciones que ha creado o gestiona
  • Iniciativas comunitarias en las que ha creado o participado (likes, reportes)
  • Registros de Tickets de Cobro asociados a sus proyectos u organizaciones
  • Información bancaria (CBU, alias o datos de cuenta bancaria) proporcionada con fines de desembolso

2.4 Datos de ubicación

  • Municipio (ciudad) asociado a su cuenta — requerido para la funcionalidad de participación cívica
  • Coordenadas geográficas de proyectos y organizaciones que usted crea (si elige agregar ubicación)
  • Ubicación aproximada derivada de la dirección IP (para seguridad y prevención de fraude)

No recolectamos datos de ubicación continuos ni en segundo plano de su dispositivo.

2.5 Datos de dispositivo y técnicos

  • Tipo de dispositivo, sistema operativo y versión
  • Tokens de notificación push (tokens FCM) para la entrega de notificaciones
  • Identificadores de dispositivo asociados al registro de notificaciones push
  • Dirección IP
  • Tipo y versión de navegador (para usuarios del panel web)
  • Versión de la aplicación

2.6 Datos de autenticación y seguridad

  • JSON Web Tokens (tokens de acceso)
  • Tokens de actualización (almacenados encriptados en nuestra base de datos)
  • Tokens de proveedores OAuth (temporales, utilizados solo durante el flujo de autenticación)
  • Marcas de tiempo de inicio de sesión y datos de sesión
  • Intentos fallidos de inicio de sesión (para monitoreo de seguridad)

2.7 Datos de comunicación

  • Mensajes de soporte enviados a través de la Plataforma
  • Preferencias e historial de notificaciones
  • Reportes comunitarios que usted envíe o que se envíen sobre su contenido

2.8 Datos que NO recolectamos

No recolectamos:

  • Datos biométricos
  • Datos de salud o médicos
  • Datos sobre origen racial o étnico
  • Opiniones políticas ni afiliación partidaria
  • Creencias religiosas
  • Orientación sexual
  • Antecedentes penales
  • Datos de menores (la Plataforma está restringida a usuarios de 18 años o más)

2.9 Procesamiento asistido por inteligencia artificial

Ciertas funciones de la Plataforma pueden utilizar modelos de inteligencia artificial (IA) de terceros para asistir en el procesamiento de información, incluyendo:

  • Extracción y estructuración de datos de documentos fiscales y financieros (ej: lectura de comprobantes de pago, balances municipales);
  • Filtrado automatizado de contenido para detectar lenguaje potencialmente inadecuado en propuestas y comentarios ciudadanos;
  • Categorización y organización de información para facilitar la gestión por parte de los gobiernos locales.

Principios que rigen el uso de IA en la Plataforma:

  • Sin decisiones automatizadas vinculantes. Ninguna decisión que produzca efectos legales sobre los usuarios (aprobación de cuentas, aprobación de proyectos, procesamiento de desembolsos, suspensión de cuentas) es tomada por sistemas automatizados. Todas las decisiones gubernamentales son tomadas por funcionarios humanos.
  • Revisión humana obligatoria. Cuando la IA asiste en la extracción o clasificación de datos, los resultados son revisados y validados por un operador humano antes de que produzcan efecto.
  • Sin entrenamiento con datos personales identificables. Los datos personales de los usuarios no se utilizan para entrenar, ajustar ni mejorar modelos de IA. El procesamiento se limita a la ejecución de tareas específicas sobre los datos proporcionados, sin retención por parte del modelo.
  • Proveedores de IA. Los modelos de IA utilizados son provistos por terceros (actualmente Anthropic, Inc.). Los datos enviados a estos proveedores están sujetos a los acuerdos de procesamiento de datos correspondientes y a las mismas salvaguardas descritas en la Sección 6.

3. Cómo Utilizamos sus Datos

3.1 Bases legales para el procesamiento

Procesamos sus datos personales bajo las siguientes bases legales, en cumplimiento de la Ley argentina de Protección de Datos Personales (Ley 25.326) y el Reglamento General de Protección de Datos (RGPD) cuando sea aplicable:

  • Ejecución de contrato: operar su cuenta, procesar asignaciones de CC y generar tickets, compartir datos con su gobierno local para participación cívica, enviar notificaciones transaccionales.
  • Consentimiento: enviar notificaciones push a su dispositivo, enviar newsletter o comunicaciones promocionales.
  • Interés legítimo: prevenir fraude y asegurar la seguridad de la Plataforma, hacer cumplir los Términos y Condiciones, moderar contenido, generar analíticas anonimizadas y agregadas.
  • Obligación legal: cumplir con obligaciones legales (retención de registros fiscales, registros de auditoría), responder a solicitudes legales de autoridades competentes.

3.2 Procesamiento basado en consentimiento

Cuando nos basamos en el consentimiento como base legal (notificaciones push, newsletter), usted puede retirar su consentimiento en cualquier momento:

  • Notificaciones push: desactivar a través de la configuración de su dispositivo o las preferencias de notificación de la Plataforma.
  • Newsletter: cancelar la suscripción a través del enlace en cualquier correo de newsletter, o a través de la configuración de cuenta.

El retiro del consentimiento no afecta la legalidad del procesamiento realizado antes del retiro.

3.3 Evaluaciones de interés legítimo

Cuando nos basamos en el interés legítimo, hemos realizado evaluaciones de balance:

  • Prevención de fraude: nuestro interés en mantener la integridad de la Plataforma prevalece sobre el impacto mínimo a la privacidad del monitoreo de patrones de inicio de sesión.
  • Intercambio de datos con gobiernos: se procesa bajo ejecución de contrato (el servicio requiere participación gubernamental) e interés público (la Plataforma facilita el ejercicio de derechos de participación cívica). Este intercambio es inherente al servicio y se limita a los propósitos específicos descritos en la Sección 5.
  • Analíticas: utilizamos únicamente datos anonimizados y agregados — sin perfilamiento individual de usuarios.

4. Qué es Público y Qué es Privado

4.1 Información pública

  • Título, descripción, categoría, ubicación y fotografías del proyecto — visible para todos los usuarios.
  • Nombre, avatar y ciudad del creador del proyecto — visible para todos los usuarios.
  • Progreso de financiamiento del proyecto (CC asignados vs. meta) — visible para todos los usuarios.
  • Número de supporters (solo conteo agregado) — visible para todos los usuarios.
  • Nombre, descripción y estado de verificación de la organización — visible para todos los usuarios.
  • Nombre del representante de la organización (para organizaciones verificadas) — visible para todos los usuarios.
  • Detalles de la iniciativa comunitaria y conteo de likes — visible para todos los usuarios.

4.2 Información privada

  • Su dirección de correo electrónico — solo usted + su gobierno local.
  • Su conteo de CC — solo usted.
  • Su historial de asignaciones (qué proyectos apoyó) — solo usted.
  • Sus documentos de validación fiscal — solo usted + su gobierno local.
  • Su información bancaria (CBU/alias) — solo usted + su gobierno local (solo al procesar un desembolso).
  • Montos individuales de apoyo por proyecto — solo usted.
  • Sus datos de dispositivo y técnicos — solo Citixen.
  • Sus tokens de autenticación — solo Citixen.

4.3 Anonimato de los supporters

Cuando usted asigna Créditos Cívicos a un proyecto, su identidad como supporter no se divulga a otros usuarios, al creador del proyecto ni al público general. Solo se muestran conteos agregados (ej: “47 ciudadanos apoyan este proyecto”). Esta es una decisión de diseño deliberada para proteger las elecciones de participación cívica de los ciudadanos de presión social o represalias.

Reconocemos que las elecciones de participación cívica pueden reflejar preferencias y convicciones personales. Su historial individual de asignaciones se trata con confidencialidad reforzada y no se divulga a otros usuarios, creadores de proyectos, el público general ni funcionarios del gobierno local.

4.4 Visibilidad del creador

Si usted crea un proyecto, iniciativa comunitaria u organización, su nombre, avatar y ciudad son públicamente visibles como creador. Esta es una condición de crear contenido cívico público en la Plataforma. La rendición de cuentas cívica requiere que la persona que propone un uso de recursos públicos sea públicamente identificable.

5. Intercambio de Datos con Gobiernos Locales

5.1 Propósito

El intercambio de datos entre Citixen y los gobiernos locales es un componente necesario del servicio de participación cívica que la Plataforma provee. Citixen es una empresa privada que provee tecnología a gobiernos locales — no es una entidad pública, autoridad gubernamental ni extensión del Estado.

Este intercambio sirve tres propósitos específicos:

  • Validación de identidad — verificar que los ciudadanos son residentes genuinos del municipio.
  • Prevención de fraude — permitir al gobierno revisar documentos fiscales y detectar reclamos fraudulentos.
  • Ejecución de decisiones colectivas — permitir al gobierno revisar proyectos, aprobar iniciativas y procesar desembolsos.

Este intercambio de datos no es: vigilancia, comercialización de datos, intercambio discrecional ni perfilamiento con fines ajenos a la participación cívica.

5.2 Datos accesibles para los gobiernos locales

  • Datos de registro: nombre, email, ciudad, fecha de registro, estado de aprobación — para validación de identidad.
  • Documentos fiscales: comprobantes impositivos enviados para validación de CC — para validación fiscal.
  • Proyectos: detalles del proyecto, estado, progreso de financiamiento, evidencia — para gestión de proyectos.
  • Organizaciones: detalles de la organización, estado de verificación, presupuesto — para gestión del ecosistema.
  • Tickets de Cobro: detalles del ticket, beneficiario, cantidad de CC, equivalente en fiat — para procesamiento de desembolsos.
  • Información bancaria: CBU/alias (solo en etapa de desembolso) — para ejecución de pagos.

5.3 Datos NO accesibles para los gobiernos locales

  • Qué proyectos específicos usted apoyó como ciudadano (se preserva el anonimato del supporter)
  • Su conteo individual de CC
  • Su actividad en otros municipios
  • Sus datos de dispositivo, dirección IP o tokens de autenticación
  • Su actividad en iniciativas comunitarias (a menos que la iniciativa sea señalada para revisión)
  • Sus preferencias de notificaciones push o historial de comunicación con Citixen

5.4 Aislamiento jurisdiccional

Cada gobierno local solo puede acceder a datos pertenecientes a ciudadanos, proyectos y organizaciones dentro de su propio municipio. El acceso a datos inter-jurisdiccional está técnicamente prohibido a nivel de la Plataforma. Un gobierno en la Ciudad A no puede acceder a ningún dato relacionado con la Ciudad B, y la Plataforma aplica esta restricción a través de validación del lado del servidor.

5.5 Relación de responsable del tratamiento con los gobiernos

Citixen y los gobiernos locales procesan sus datos personales cada uno para sus propios fines distintos: Citixen para operar la Plataforma, el gobierno local para ejercer sus funciones de gobernanza cívica. Cada parte determina los fines de su propio procesamiento de forma independiente.

El uso de datos por parte del gobierno se rige por sus propias obligaciones de protección de datos bajo la legislación aplicable. Si tiene inquietudes sobre cómo su gobierno local utiliza datos accedidos a través de la Plataforma, debe dirigir esas inquietudes al gobierno local directamente, además de contactar a Citixen a privacy@citixen.org.

6. Intercambio de Datos con Terceros

6.1 Proveedores de servicios

Compartimos datos personales con las siguientes categorías de proveedores de servicios:

  • MongoDB, Inc. — alojamiento de base de datos (MongoDB Atlas) — Estados Unidos / UE
  • DigitalOcean, LLC — alojamiento en la nube y almacenamiento de archivos — Estados Unidos
  • Google LLC (Firebase) — entrega de notificaciones push (FCM) — Estados Unidos
  • Google LLC / Apple Inc. — autenticación OAuth — Estados Unidos
  • Resend, Inc. — correos electrónicos transaccionales — Estados Unidos
  • Anthropic, Inc. — procesamiento asistido por IA (extracción de datos, filtrado de contenido) — Estados Unidos

6.2 No venta de datos personales

Citixen no vende, alquila ni comercializa sus datos personales a ningún tercero, bajo ninguna circunstancia. Esta no es una política que pueda cambiar mediante una actualización de los Términos sin consentimiento explícito y separado.

6.3 Divulgación legal

Podemos divulgar sus datos personales si así lo requiere la ley, una orden judicial o una solicitud gubernamental, o si creemos de buena fe que la divulgación es necesaria para proteger los derechos, propiedad o seguridad de Citixen, nuestros usuarios o el público. Cuando la ley lo permita, le notificaremos de dicha divulgación.

6.4 Transferencias comerciales

En caso de fusión, adquisición o venta de activos de Citixen, sus datos personales podrán ser transferidos a la entidad adquirente. Le notificaremos de cualquier transferencia antes de que sus datos queden sujetos a una política de privacidad diferente.

7. Seguridad de los Datos

7.1 Medidas técnicas

  • Encriptación en tránsito — todos los datos transmitidos entre su dispositivo y nuestros servidores están encriptados utilizando TLS/HTTPS.
  • Seguridad de autenticación — los tokens de acceso se almacenan como cookies httpOnly y seguras (paneles web) o en almacenamiento encriptado del dispositivo (aplicación móvil); los tokens de actualización se almacenan encriptados con rotación de uso único y detección de replay.
  • Content Security Policy — los paneles web están protegidos por encabezados CSP estrictos que previenen XSS y clickjacking.
  • Control de acceso — controles de acceso basados en roles y perfiles de permisos aseguran que los usuarios gubernamentales solo puedan acceder a datos dentro de su jurisdicción.
  • Limitación de tasa — los endpoints de la API están protegidos por limitación de tasa para prevenir ataques de fuerza bruta y abuso.
  • Seguridad de contraseñas — las contraseñas se hashean utilizando algoritmos estándar de la industria y nunca se almacenan en texto plano.
  • Protección CORS — las solicitudes de origen cruzado están restringidas únicamente a dominios autorizados.

7.2 Medidas organizativas

  • El acceso a datos personales se limita al personal de Citixen que lo requiere para la operación de la Plataforma.
  • El acceso gubernamental está delimitado por fronteras jurisdiccionales y se aplica a nivel de servidor.
  • Las acciones administrativas se registran en registros de auditoría con marcas de tiempo e identificación del actor.
  • La información bancaria se captura como instantáneas al momento de generar registros de desembolso.

7.3 Respuesta a incidentes

En caso de una violación de datos personales, Citixen notificará a la autoridad competente dentro de las 72 horas y a los usuarios afectados sin demora indebida si la violación resulte en alto riesgo para sus derechos y libertades.

7.4 Sin garantía absoluta

Si bien implementamos medidas de seguridad comercialmente razonables, ningún sistema es completamente seguro. Usted es responsable de mantener la seguridad de sus credenciales de cuenta y su dispositivo.

8. Retención de Datos

8.1 Períodos de retención

  • Cuentas activas: los datos se conservan mientras la cuenta esté activa.
  • Documentos de validación fiscal: 10 años desde el envío (obligación fiscal argentina, Ley 11.683).
  • Registros de auditoría: 5 años (cumplimiento legal y rendición de cuentas).
  • Registros de Tickets de Cobro: 10 años desde la generación (conservación de registros fiscales).
  • Proyectos completados: indefinido (anonimizados — registro cívico histórico).
  • Notificaciones: 90 días (limpieza automática).
  • Tokens de actualización rotados: 30 días desde la rotación.
  • Tokens FCM inactivos: eliminados automáticamente al fallar la entrega push.
  • Cuentas eliminadas — datos personales: 30 días post-solicitud de eliminación.
  • Cuentas eliminadas — registros anonimizados: indefinido (registro cívico histórico).

8.2 Obligaciones legales de retención

Ciertos datos deben retenerse más allá de la solicitud de eliminación del usuario:

  • Documentos fiscales — la ley fiscal argentina requiere su retención por el período legalmente mandado.
  • Registros de auditoría — se retienen con la identidad del usuario anonimizada después de la eliminación de la cuenta.
  • Registros de Tickets de Cobro — como registros que involucran fondos públicos, se retienen por el período legalmente mandado.

8.3 Anonimización de registros históricos

Cuando usted elimina su cuenta, los registros de proyectos completados y participación cívica se retienen como parte del registro cívico histórico. Aplicamos técnicas de anonimización irreversible: su nombre se reemplaza con un identificador genérico no único, su correo electrónico, foto de perfil y todos los demás identificadores personales se eliminan permanentemente. Los identificadores geográficos que podrían permitir la re-identificación en municipios pequeños se generalizan al nivel de ciudad. Después de la anonimización, los datos restantes no pueden ser rastreados hasta usted.

Si la anonimización completa no es técnicamente factible para un registro específico, Citixen le informará y discutirá alternativas, que pueden incluir la eliminación completa del registro.

9. Sus Derechos

9.1 Derechos bajo la legislación aplicable

De acuerdo con la Ley 25.326 y el RGPD (cuando sea aplicable), usted tiene derecho a:

  • Acceso: solicitar una copia de los datos personales que tenemos sobre usted.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión (“Derecho al olvido”): solicitar la eliminación de sus datos personales, sujeto a las obligaciones legales de retención.
  • Limitación del tratamiento: solicitar que limitemos el procesamiento de sus datos en ciertas circunstancias.
  • Portabilidad de datos: solicitar sus datos en un formato estructurado y legible por máquina.
  • Oposición: oponerse al procesamiento basado en interés legítimo.
  • Retirar el consentimiento: cuando el procesamiento se base en el consentimiento.
  • No ser objeto de decisiones automatizadas: no tomamos decisiones basadas exclusivamente en procesamiento automatizado que produzcan efectos legales sobre usted. Todas las decisiones gubernamentales son tomadas por funcionarios humanos. Citixen evalúa periódicamente los riesgos de privacidad asociados al procesamiento de datos fiscales y participación cívica.

9.2 Cómo ejercer sus derechos

Para ejercer estos derechos, contactar a privacy@citixen.org. Responderemos dentro de los 30 días. Para usuarios en Argentina, responderemos dentro de los 10 días hábiles conforme lo requiere la Ley 25.326. No hay cargo por ejercer sus derechos.

9.3 Derecho a presentar una queja

Si considera que nuestro procesamiento viola la legislación aplicable:

  • Argentina: Agencia de Acceso a la Información Pública (AAIP) — www.argentina.gob.ar/aaip
  • Unión Europea: la autoridad de protección de datos de su país de residencia.
  • Otras jurisdicciones: la autoridad de protección de datos relevante en su país.

10. Transferencias Internacionales de Datos

Sus datos personales pueden ser transferidos y procesados en países distintos a su país de residencia. Nuestros principales proveedores de servicios están ubicados en Estados Unidos y la Unión Europea.

Nos aseguramos de que las transferencias internacionales estén protegidas por:

  • El estatus de adecuación de Argentina reconocido por la Comisión Europea.
  • Cláusulas Contractuales Tipo (CCT) cuando los datos se transfieren a países sin determinación de adecuación.
  • Protecciones contractuales con todos los proveedores de servicios.
  • Evaluaciones de impacto de transferencia con medidas suplementarias (encriptación en tránsito y en reposo, pseudonimización cuando sea factible).

11. Cookies y Tecnologías de Rastreo

Paneles web

  • Cookies esenciales: cookies de autenticación httpOnly requeridas para el inicio de sesión seguro. No pueden ser deshabilitadas.
  • Sin cookies publicitarias — no utilizamos cookies de publicidad, retargeting ni rastreo de comportamiento.
  • Sin analíticas de terceros — no incorporamos servicios de analíticas de terceros que rastreen usuarios entre sitios web.

Aplicación móvil

La aplicación móvil no utiliza cookies. Los tokens de autenticación se almacenan en almacenamiento encriptado del dispositivo (keychain seguro).

Do Not Track

Respetamos las señales Do Not Track (DNT). Dado que no realizamos rastreo entre sitios, las señales DNT no modifican nuestras prácticas de datos.

12. Privacidad de Menores

La Plataforma no está destinada a y no puede ser utilizada por personas menores de dieciocho (18) años. No recolectamos deliberadamente datos personales de menores. Si tomamos conocimiento de que hemos recolectado datos de un menor, eliminaremos esos datos y cancelaremos la cuenta asociada.

13. Cambios a esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Para cambios sustanciales proporcionaremos al menos treinta (30) días de aviso previo a través de un aviso dentro de la Plataforma, un correo electrónico y una notificación dentro de la aplicación.

Su uso continuado de la Plataforma después de la fecha de vigencia de cualquier cambio constituye su reconocimiento de la Política actualizada. Si no está de acuerdo con los cambios, puede dejar de utilizar la Plataforma y solicitar la eliminación de su cuenta.

14. Contáctenos

Para cualquier pregunta, inquietud o solicitud relacionada con esta Política de Privacidad o sus datos personales:

Citixen Technologies SAS
Bell Ville, Provincia de Córdoba
República Argentina

Consultas de privacidad: privacy@citixen.org
Consultas legales: legal@citixen.org

Nos proponemos responder a todas las consultas relacionadas con privacidad dentro de los 30 días.

Esta Política de Privacidad está disponible en español e inglés. En caso de discrepancia, la versión en español prevalecerá para la interpretación legal para usuarios en Argentina. Para usuarios fuera de Argentina, la versión en inglés prevalecerá.