Seguridad y tratamiento de datos

Esta página documenta cómo protegemos la información en Nino Legal (antes ArchivosYa): cómo se enrutan los datos entre navegador y servidor, qué guardamos, por cuánto tiempo y bajo qué condiciones.

Verificaciones de seguridad

Security Headers: ACalificación A · ver reporte →TLS 1.3 · HSTSCifrado moderno en tránsitoDivulgación responsablePolítica de reporte (RFC 9116)

Sección 01

Flujo sitio web ⇄ servidor

Resumen operativo del recorrido de una consulta desde el navegador hasta los servicios de procesamiento.

1.1 · Autenticación y sesión

Cuando iniciás sesión en Nino Legal, verificamos tu identidad a través de Auth0. Solo después de esa verificación el sitio web te permite acceder a tus datos y usar funciones de la plataforma.

1.2 · Token firmado para servicios internos

El servidor de Nino Legal emite un JWT firmado, sin exponer API keys al navegador. Ese token se usa para autorizar llamadas al backend y validar que cada usuario solo accede a sus propios recursos, mediante chequeos de ownership por identificador.

1.3 · Inferencia con proveedores de IA y almacenamiento mínimo local

Los mensajes se procesan con nuestros proveedores de IA (OpenAI y Microsoft Azure). Aplicamos minimización de datos y seudonimización cuando corresponde antes del envío. Nino Legal guarda en MongoDB únicamente metadatos de la conversación (id, usuario, timestamps, tipo de cuenta y configuración); no se persiste el histórico completo del chat.

Sección 02

Cifrado en tránsito y en reposo

Protecciones aplicadas durante la transmisión y el almacenamiento de la información.

El tráfico web público de Nino Legal se sirve sobre HTTPS/TLS. Para llamadas internas, la plataforma exige autenticación de sesión o token firmado. En reposo, trabajamos con proveedores de infraestructura que ofrecen cifrado de almacenamiento en bases de datos, índices vectoriales y sistemas de observabilidad.

Cifrado en tránsito en endpoints web públicos (ninolegal.com y subdominios).
Cifrado en reposo delegado a proveedores gestionados (MongoDB Atlas, OpenAI, Microsoft Azure y otros).
No se exponen claves de OpenAI, MongoDB o Mercado Pago en el navegador.
Endurecimiento de cabeceras HTTP de seguridad y restricciones CORS en el servidor.

Sección 03

Retención y borrado

Qué datos se conservan, por cuánto tiempo y cómo gestionamos las solicitudes de supresión.

Metadatos de conversaciones: se conservan hasta un (1) año, con limpieza automática de conversaciones antiguas. Esa limpieza solicita también la eliminación de la conversación correspondiente en OpenAI.
Mensajes de chat: Nino Legal no persiste el historial completo en su base de datos; se consulta por ID de conversación en OpenAI.
Archivos cargados para extracción puntual de texto: se procesan de forma transitoria; no se guardan de manera permanente en la base transaccional del sitio.
Eliminación desde la app: si un usuario elimina una conversación desde la plataforma, se borra su registro local asociado y se solicita también su eliminación en OpenAI.
"Mis Asistentes" y bases administradas: al borrar un archivo se eliminan su metadata, sus chunks e índices relacionados.

Workflow de eliminación

Recepción del pedido por canal oficial, validación de identidad del titular, eliminación en sistemas propios y gestión de supresión en subprocesadores cuando aplica, según sus políticas y ventanas de retención.

Sección 04

Política de entrenamiento de modelos

Cómo se enrutan los datos según el tipo de cuenta y qué impacto tiene sobre el entrenamiento de modelos.

Nino Legal no utiliza el contenido de clientes para entrenar modelos propios.
Cuentas pagas: se procesan con la configuración de OpenAI para uso comercial, que excluye el uso de las conversaciones para entrenamiento del proveedor.
Cuentas gratis: se enrutan por la configuración estándar de OpenAI; según la política vigente del proveedor, esos datos podrían ser elegibles para mejora de modelos.
El tipo de cuenta (free/paid) queda fijado por conversación al momento de su creación.

El detalle completo y la base legal aplicable están descriptos en la Política de Privacidad, Sección 09.

Sección 05

Regiones de hosting y residencia de datos

Dónde operan los proveedores que intervienen en la plataforma.

Nino Legal no ofrece actualmente una opción de residencia por país seleccionable por el usuario final. El procesamiento se realiza según las regiones operativas de cada proveedor y servicio utilizado.

Sitio y APIs públicas: ninolegal.com y subdominios.
Observabilidad y monitoreo: endpoints de Sentry en región US.
Procesadores externos (OpenAI, Microsoft Azure, Auth0, MongoDB y otros): infraestructura multi-región, típicamente con procesamiento fuera de Argentina.

Sección 06

Subprocesadores principales

Proveedores externos que intervienen en autenticación, IA, almacenamiento, pagos y observabilidad.

Proveedor	Finalidad	Datos que procesa	Región
OpenAI	Inferencia de IA y conversaciones	Mensajes, prompts, adjuntos	Global
Microsoft Azure (Azure OpenAI)	Inferencia de IA y procesamiento de texto	Mensajes, prompts, adjuntos y jurisprudencia	US
Auth0	Autenticación y sesión	Identidad, correo y claims	Global
MongoDB Atlas	Base de datos operativa	Usuarios, metadatos, créditos	Global
Mercado Pago	Procesamiento de pagos	Datos de cobro y estado	LatAm
SendGrid	Emails transaccionales	Email y eventos de entrega	Global
Sentry	Monitoreo de errores	Logs técnicos y contexto	US
Amplitude	Analítica de producto	Eventos de uso	US / Global

Los cambios en los subprocesadores se informan en esta página o por correo electrónico con razonable antelación.

Sección 07

Controles de acceso

Controles técnicos para restringir y auditar el acceso a recursos sensibles.

Verificación de sesión en rutas /api/* antes de acceder a datos sensibles.
JWT firmado para operaciones contra el servidor y chequeos de ownership por identificador de usuario.
Restricciones CORS en el servidor para orígenes permitidos.
Principio de mínimo privilegio en accesos operativos y segmentación por rol para funciones administrativas.

Sección 08

Backups, continuidad e incident response

Cómo gestionamos la recuperación y la respuesta ante incidentes operativos.

Backups: se apoyan en las capacidades de snapshot y recuperación de los proveedores gestionados de base de datos e infraestructura.
Monitoreo: los errores críticos se registran en Sentry, tanto en sitio web como en servidor, para detección temprana.
Respuesta ante incidentes: contención técnica, análisis de causa raíz, corrección, y notificación según corresponda por la normativa aplicable.

El detalle sobre notificación a usuarios y a la AAIP está en la Política de Privacidad, Sección 11.

Sección 09

Cumplimiento y buenas prácticas

Marco legal y principios de operación segura en la plataforma.

Marco legal de privacidad aplicable en Argentina (Ley 25.326 y normativa complementaria), según lo detallado en nuestras políticas vigentes.
Principios de licitud, finalidad, proporcionalidad, minimización, calidad, seguridad y confidencialidad en el tratamiento.
Endurecimiento de cabeceras HTTP de seguridad, monitoreo de errores e iteración continua sobre los controles técnicos.

Sección 10

Canales de contacto y documentación

Vías para ejercer derechos de datos y revisar las políticas vigentes.

Para pedidos de eliminación, consultas de seguridad o revisión de tratamiento de datos, escribinos a contacto@ninolegal.com.

Política de Privacidad: Ver documento
Términos y Condiciones: Ver documento
Quiénes somos: Conocé al equipo