Qué datos tomamos, cuáles no, y por qué.

1. Qué datos NO recolectamos

El verificador público no recibe el contenido de los archivos que arrastrás al dropzone. El hash SHA-256 se calcula íntegramente en tu navegador mediante la Web Crypto API. Lo único que viaja al servidor es esa huella de 64 caracteres hexadecimales y, en el caso de PDFs, un identificador GEXPLO-AAAA-NNNN si la metadata del archivo lo contiene.

No usamos cookies de publicidad, píxeles de tracking, servicios de analytics de terceros (Google Analytics, Meta, TikTok) ni ningún script externo que pueda identificarte a través de sitios.

2. Qué datos SÍ recolectamos

• Hash consultado: el SHA-256 que el navegador envía al servidor al verificar un archivo. Se guarda en un registro interno para medir uso agregado.
• Resultado de la verificación (valid / altered / unknown).
• Hash anónimo de tu dirección IP. Calculado con HMAC-SHA256 usando una clave privada del servidor. El hash no es reversible: permite detectar patrones agregados (picos de tráfico, scraping) pero no identifica individuos. La IP en claro nunca se guarda.
• Fecha y hora de la consulta.

Estos datos quedan en la tabla interna verifications_log y son accesibles solo para los administradores de GEXPLO. No se comparten con terceros.

3. Datos de los documentos sellados

Cuando GEXPLO sella un documento para un cliente, guardamos la metadata relacionada (nombre del proyecto, tipo de documento, responsable técnico, hash criptográfico, prueba OpenTimestamps). Esta información es necesaria para que la verificación pública funcione.

El nombre del cliente y las notas internas no se exponen en la verificación pública. Solo aparecen en el panel administrativo de GEXPLO, con acceso restringido por autenticación.

Los archivos marcados (PDFs con QR y metadata de trazabilidad) se guardan en Supabase Storage con acceso privado, accesibles únicamente para el equipo de GEXPLO mediante URLs firmadas de corta duración.

4. Cookies

Solo usamos cookies técnicas necesarias para el funcionamiento del panel administrativo (sesión de Supabase Auth). No hay cookies de terceros. La home y el embed no requieren cookies para verificar un documento.

5. Base legal

En Argentina aplica la Ley 25.326 de Protección de Datos Personales. Para clientes internacionales aplican sus normativas locales (GDPR en la Unión Europea, UK GDPR, LGPD en Brasil).

Los tratamientos de datos descriptos arriba tienen base legal en el interés legítimo de prestar un servicio de verificación documental (Art. 5º Ley 25.326; Art. 6.1.f GDPR). Cuando corresponde, solicitamos consentimiento explícito para tratamientos adicionales.

6. Tus derechos

Bajo Ley 25.326 y normativas equivalentes, tenés derecho de acceso, rectificación, cancelación y oposición sobre tus datos personales. Ejercitalos escribiendo a info@gexplo.com. Te pedimos que acompañes la solicitud con un documento que acredite tu identidad. Respondemos en un plazo máximo de 10 días hábiles.

7. Conservación

• Registros de verificación verifications_log: 24 meses.
• Documentos sellados y su metadata: sin plazo (son la base del servicio de trazabilidad y deben permanecer disponibles para verificación futura).
• Cuentas administrativas: mientras el admin pertenezca a GEXPLO; se eliminan al ser dado de baja.

8. Infraestructura

La aplicación corre en Vercel (hosting) y Supabase (base de datos, autenticación, almacenamiento). Datos almacenados en la región sa-east-1 (São Paulo, Brasil). Ambos proveedores cumplen con estándares SOC 2 y GDPR.

9. Cambios a esta política

Si cambiamos alguna parte de esta política, actualizamos la fecha de “versión vigente” al principio del documento y avisamos por email a los admins registrados. Los cambios materiales se comunican con un mes de antelación.

10. Contacto

Consultas sobre privacidad: info@gexplo.com.
Responsable del tratamiento: GEXPLO · Paraná, Entre Ríos, Argentina.