← Documentos legales

Acuerdo de Tratamiento de Datos

Anexo a los Términos y Condiciones

Versión 1.0.0

Acuerdo de Tratamiento de Datos Personales (DPA)

Anexo a los Términos y Condiciones de Uso de Valto

Versión 1.0.0 Vigente desde: 3 de junio de 2026

1. Identificación de las partes

Encargado del tratamiento:

  • Titular: Miguel Ángel Ovejero Ferreira, persona humana ("el Encargado"), titular y operador del producto "Valto".
  • CUIT: 20-39422020-6
  • Domicilio: Divino Maestro 8292, Córdoba Capital, Argentina.
  • Contacto: privacidad@valto.com.ar

A los efectos del presente DPA, "Valto" se refiere al producto/plataforma y "el Encargado" a la persona humana que actúa como encargado del tratamiento.

Responsable del tratamiento:

El Cliente identificado en su Cuenta de Valto (la "Inmobiliaria" o "el Responsable").

A los efectos del presente acuerdo, ambas son las "Partes".

2. Objeto y carácter integrante

Este Acuerdo de Tratamiento de Datos (en adelante, "DPA") regula el tratamiento por parte de Valto de los datos personales que el Cliente carga en la Plataforma sobre sus propietarios, inquilinos, garantes y demás Titulares de Datos, en cumplimiento del artículo 25 de la Ley 25.326 de Protección de los Datos Personales y la Disposición 11/2006 de la AAIP sobre medidas de seguridad.

El DPA es parte integrante de los Términos y Condiciones de Uso de Valto (TyC Inmobiliaria). En caso de contradicción entre el DPA y los TyC sobre cuestiones de protección de datos personales, prevalece el DPA.

3. Calificación de las Partes

3.1. El Cliente actúa en carácter de responsable del tratamiento de los datos personales que carga sobre sus Titulares. Le compete:

a) Determinar las finalidades del tratamiento.

b) Garantizar la base legal habilitante de la carga y procesamiento de los datos.

c) Informar a los Titulares conforme al artículo 6 de la Ley 25.326.

d) Atender los pedidos de ejercicio de derechos por parte de los Titulares (acceso, rectificación, cancelación, oposición).

e) Inscribir su propia base de datos en el RNBD cuando corresponda.

3.2. Valto actúa en carácter de encargado del tratamiento, conforme las instrucciones documentadas del Cliente y los presentes Términos. Valto no determinará por su cuenta las finalidades de tratamiento de los datos del Cliente sobre Titulares, salvo cumplimiento de obligaciones legales propias.

3.3. Excepciones — datos respecto de los cuales Valto es responsable: Valto actúa como responsable propio del tratamiento respecto de:

  • Datos administrativos del Cliente y sus Usuarios (suscripción, facturación, autenticación).
  • Datos generados por su propia operatoria (logs técnicos, audit trail, métricas internas).
  • Datos personales del Cliente Final captados directamente en el Portal del Cliente Final, en lo que respecta a la prestación del servicio del portal hacia el Cliente Final (aunque su tratamiento operativo se ejecuta también por encargo del Cliente).

4. Instrucciones documentadas

4.1. Valto tratará los datos personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, contenidas en:

a) Los presentes TyC, Política de Privacidad y este DPA.

b) Las acciones del Cliente y sus Usuarios dentro de la Plataforma (carga, edición, eliminación, exportación, invitación al Portal del Cliente Final, instrucciones de envío de mails, etc.).

c) Pedidos formales del Cliente cursados al canal privacidad@valto.com.ar.

4.2. Si Valto considera que una instrucción del Cliente infringe la Ley 25.326 o normas concordantes, informará al Cliente sin demora y podrá rehusar el cumplimiento de dicha instrucción.

4.3. El cumplimiento de obligaciones legales propias por parte de Valto (por ejemplo, requerimientos de autoridad competente) no requiere autorización del Cliente, pero Valto lo notificará en la medida en que la ley aplicable lo permita.

5. Categorías de datos y de Titulares

5.1. Categorías de Titulares

  • Propietarios de inmuebles administrados por el Cliente.
  • Inquilinos de los contratos administrados por el Cliente.
  • Garantes de los contratos.
  • Otros contactos comerciales registrados por el Cliente.

5.2. Categorías de datos personales

  • Datos identificatorios: nombre y apellido, DNI, CUIT/CUIL.
  • Datos de contacto: email, teléfono, dirección.
  • Datos económico-financieros: alquileres, gastos, liquidaciones, pagos, deudas, datos bancarios (CBU/Alias).
  • Datos contractuales: contratos de locación, fechas, montos, condiciones, índices, fianzas.
  • Datos vinculados al inmueble: dirección, características, servicios.
  • Datos generados por el Cliente Final (cuando corresponda): comprobantes, comentarios, marcas de pago, reportes de mantenimiento.
  • Datos técnicos asociados (logs, IP, accesos al Portal del Cliente Final).

5.3. Datos sensibles

El tratamiento de datos personales sensibles (definidos en el art. 2 inc. 3 de la Ley 25.326) está prohibido salvo consentimiento expreso del Titular y notificación previa a Valto, conforme la Política de Privacidad y los TyC.

6. Finalidades autorizadas

Valto tratará los datos personales exclusivamente con las siguientes finalidades:

a) Prestar la funcionalidad de la Plataforma al Cliente (gestión de contactos, propiedades, contratos, liquidaciones, etc.).

b) Permitir el acceso del Cliente Final al Portal del Cliente Final con el alcance descripto en los TyC.

c) Procesar pagos y gestionar la suscripción del Cliente con Mercado Pago.

d) Enviar notificaciones operativas a Usuarios y Clientes Finales.

e) Operar el Asistente IA (cuando el Cliente o sus Usuarios lo invoquen).

f) Cumplir obligaciones legales aplicables a Valto.

g) Asegurar la integridad y seguridad de la Plataforma (prevención de fraude, logs, auditoría).

Cualquier otra finalidad requiere instrucción previa documentada del Cliente.

7. Confidencialidad

7.1. Valto se compromete a que toda persona autorizada a tratar los datos personales del Cliente (empleados, colaboradores, proveedores) esté sujeta a una obligación contractual o estatutaria de confidencialidad o que esté sometida a un deber profesional de secreto.

7.2. La obligación de confidencialidad subsiste tras la finalización de la relación contractual.

8. Medidas técnicas y organizativas de seguridad

Conforme la Disposición 11/2006 de la AAIP y el estado actual de la técnica, Valto aplica las siguientes medidas. El detalle puede actualizarse para reflejar la mejor práctica disponible.

8.1. Medidas técnicas

| Medida | Implementación | |---|---| | Aislamiento por inquilino | Multi-tenancy con Row-Level Security en PostgreSQL. Una inmobiliaria no puede leer datos de otra inmobiliaria. | | Cifrado en tránsito | HTTPS/TLS en todas las conexiones públicas y entre servicios. | | Cifrado en reposo | Delegado al proveedor de almacenamiento (AWS S3, base administrada). | | Autenticación | Delegada a Clerk Inc. Soporte de doble factor (2FA) disponible. | | Control de acceso por roles | Owner, staff, super admin de Valto. Cada acción se valida contra el rol. | | Audit logs | Registro de acciones críticas, incluidas las del Asistente IA en modo escritura. | | Whitelist de archivos | Solo se permite subir PDF e imágenes (JPG, PNG, WEBP, HEIC, GIF) en comprobantes y adjuntos del Cliente Final. | | Limitación de tamaño | Máximo 10 MB por archivo. | | Backups automatizados | Periódicos, con rotación. | | Aislamiento del Asistente IA | El modo escritura requiere activación expresa por el Usuario y queda registrado en el audit log. | | Validación criptográfica de notificaciones de pago | Las notificaciones que envía Mercado Pago se validan con firma digital para evitar suplantación. |

8.2. Medidas organizativas

  • Acceso a la infraestructura de producción limitado al personal técnico autorizado.
  • Cláusulas de confidencialidad en contratos con colaboradores.
  • Procedimiento de respuesta ante incidentes de seguridad.
  • Política interna de mínimo privilegio en accesos.

8.3. Ninguna medida garantiza seguridad absoluta

Valto realiza esfuerzos razonables y conformes al estado actual de la técnica, pero ningún sistema ofrece protección absoluta. En caso de incidente, Valto aplicará el procedimiento de la cláusula 11.

9. Subprocesadores

9.1. Autorización general

El Cliente autoriza con carácter general el empleo por parte de Valto de los subprocesadores que figuran en la Política de Privacidad cláusula 5 y en el Anexo 1 del presente DPA.

9.2. Modificación del listado

Si Valto incorpora un nuevo subprocesador con acceso a datos personales del Cliente, o sustituye uno existente, lo notificará al owner del Cliente por correo electrónico con una anticipación no inferior a treinta (30) días corridos.

9.3. Derecho de objeción del Cliente

Dentro del plazo de notificación, el Cliente podrá objetar fundadamente al nuevo subprocesador por motivos relacionados con la protección de datos personales. Si Valto no puede ofrecer una alternativa razonable, el Cliente podrá cancelar la suscripción sin penalidad antes de la entrada en vigencia, conforme cláusula 6.6 del TyC.

9.4. Responsabilidad de Valto

Valto firma con cada subprocesador acuerdos de tratamiento de datos con las mismas obligaciones materiales que Valto asume frente al Cliente, en lo aplicable. Valto responde frente al Cliente por los actos u omisiones de los subprocesadores en los términos previstos en el TyC.

10. Asistencia al Responsable

Valto asistirá al Cliente, en la medida razonable y siempre que sea técnicamente posible, para que pueda cumplir con:

a) Pedidos de ejercicio de derechos por parte de los Titulares (acceso, rectificación, cancelación, oposición). Valto pondrá a disposición del Cliente las herramientas de la Plataforma para responder estos pedidos. Cuando el Titular se dirija directamente a Valto, este derivará el pedido al Cliente sin demora.

b) Cumplimiento de obligaciones de seguridad previstas en la cláusula 8.

c) Notificación de incidentes conforme la cláusula 11.

d) Evaluaciones de impacto de privacidad cuando el Cliente las realice, en la medida en que dependan de información que Valto pueda aportar.

11. Notificación de incidentes de seguridad

11.1. Si Valto toma conocimiento de un incidente de seguridad que afecte datos personales del Cliente, lo notificará al owner del Cliente sin demora indebida y, en cualquier caso, dentro de las setenta y dos (72) horas posteriores a la confirmación del incidente.

11.2. La notificación incluirá, en la medida en que la información esté disponible:

a) Descripción del incidente.

b) Categorías y volumen aproximado de datos y Titulares afectados.

c) Consecuencias probables.

d) Medidas adoptadas o propuestas para mitigar el incidente.

e) Punto de contacto para más información.

11.3. Si la información no está disponible al momento de la primera notificación, se facilitará por entregas escalonadas en cuanto sea posible.

11.4. Esta cláusula no implica reconocimiento de responsabilidad por parte de Valto y se cumplirá en complemento de las obligaciones legales propias del Cliente como Responsable ante la AAIP y los Titulares.

12. Auditoría

12.1. El Cliente tiene derecho a verificar el cumplimiento de las obligaciones de Valto bajo este DPA mediante:

a) Cuestionarios escritos respondidos por Valto.

b) Solicitud de informes razonables sobre las medidas de seguridad implementadas (la propia cláusula 8 ya provee el detalle estándar).

c) Auditorías presenciales o remotas, con preaviso no menor a treinta (30) días, en horarios laborales, sin afectar la continuidad del servicio. Estas auditorías corren por cuenta y orden del Cliente y están sujetas a la firma previa de un acuerdo de confidencialidad razonable.

12.2. Valto puede satisfacer la obligación de auditoría poniendo a disposición del Cliente certificaciones, reportes de seguridad de terceros o documentación equivalente.

12.3. La frecuencia razonable de auditoría es una vez al año, salvo incidente grave o requerimiento legal específico.

13. Transferencia internacional

13.1. Tal como se detalla en la Política de Privacidad cláusula 6, varios subprocesadores se ubican en Estados Unidos. La transferencia se realiza al amparo de las cláusulas contractuales tipo, los acuerdos de tratamiento de datos publicados por cada proveedor y la Disposición 60-E/2016 de la AAIP.

13.2. Valto se obliga a mantener actualizadas las salvaguardas contractuales con cada subprocesador y a proveer copia de las mismas a requerimiento del Cliente para los fines de un eventual procedimiento ante la AAIP.

14. Devolución y eliminación al finalizar

14.1. A la finalización de la relación contractual por cualquier causa, Valto procederá conforme la cláusula 6.6 del TyC:

a) Noventa (90) días corridos desde el fin del último período pago para que el Cliente exporte sus datos a través de las herramientas de la Plataforma o por requerimiento formal a Valto.

b) Transcurrido ese plazo, eliminación irreversible de los datos personales del Cliente en los sistemas operativos.

c) Rotación de backups dentro de los 30 días posteriores, dejando los datos imposibles de restaurar.

14.2. Quedan exceptuados de la eliminación los datos cuya conservación esté impuesta por la ley aplicable (registros impositivos, contables, laborales), por el plazo legal correspondiente.

14.3. Quedan también exceptuados los registros de aceptación de Términos y consentimientos, los registros de auditoría y otros datos cuya conservación responde a obligaciones legales o probatorias propias de Valto, con los plazos descriptos en la Política de Privacidad cláusula 7.2.

14.4. Valto entregará al Cliente, a su requerimiento, una constancia escrita del cumplimiento de la eliminación.

15. Responsabilidad

15.1. Cada Parte responde por los daños derivados del incumplimiento de sus propias obligaciones bajo el DPA.

15.2. La responsabilidad de Valto frente al Cliente bajo el DPA se rige por la cláusula 14 del TyC Inmobiliaria (limitaciones, exclusiones y tope).

15.3. El Cliente mantiene la indemnidad de Valto en los términos de la cláusula 15 del TyC respecto de reclamos de Titulares derivados del incumplimiento por parte del Cliente de sus obligaciones como Responsable del tratamiento.

16. Duración

Este DPA estará vigente mientras dure la relación contractual entre el Cliente y Valto, y subsistirá luego de su terminación en lo necesario para cumplir las obligaciones residuales de eliminación, conservación y atención de derechos.

17. Ley aplicable y jurisdicción

Este DPA se rige por las leyes de la República Argentina y, en particular, por la Ley 25.326 y la Disposición 11/2006 y la Disposición 60-E/2016 de la AAIP.

Para toda controversia derivada del DPA se aplica la cláusula 19 del TyC Inmobiliaria (Tribunales Ordinarios de la Ciudad de Córdoba, Provincia de Córdoba).

Anexo 1 — Listado de subprocesadores

Ver Política de Privacidad cláusula 5. El listado vigente al momento de la firma incluye:

  • Clerk Inc. (US) — autenticación.
  • Anthropic PBC (US) — Asistente IA.
  • Mercado Pago S.R.L. (AR) — procesamiento de pagos.
  • Resend Inc. (US) — emails transaccionales.
  • Amazon Web Services Inc. — S3 (US) — almacenamiento de archivos.
  • Vercel Inc. (US) — hosting del panel de la aplicación.
  • Cloudflare Inc. (US / red global) — CDN y hosting del sitio público (landing); el tráfico transita por su red, sin almacenar datos personales del servicio.
  • arquiler.com (AR) — provisión de índices oficiales (sin datos personales).

Valto se obliga a publicar la versión vigente del listado en su Política de Privacidad y a notificar al Cliente cualquier modificación conforme la cláusula 9.

Anexo 2 — Datos de contacto para asuntos del DPA

  • Valto: privacidad@valto.com.ar
  • Cliente: el email registrado del owner en la Cuenta del Cliente.

Última versión vigente: 1.0.0 Fecha de publicación: 3 de junio de 2026 Hash SHA-256 del documento: (se calcula al publicar)