Política de privacidad

Extensión de Chrome ARCA Selector — Estudio GS

Versión 1.0 · Última actualización: 4 de junio de 2026

1. Identidad del responsable del tratamiento

Razón social: Fernandez Sequino Consultores S.R.L.
Nombre comercial: Estudio Contable GS
CUIT: 33-71609181-9
Correo de contacto: info@estudiocontablegs.com.ar
Sitio web: www.estudiocontablegs.com.ar

El Estudio Contable GS, junto con los estudios contables que contraten el Ágora GS bajo modalidad SaaS, actúa como encargado del tratamiento respecto de los datos personales y fiscales de los contribuyentes (clientes) que previamente otorgaron autorización expresa al estudio para gestionar sus obligaciones impositivas ante ARCA (ex AFIP) y demás organismos fiscales nacionales y provinciales.

2. Marco legal aplicable

El tratamiento se realiza conforme a la normativa argentina:

  • Ley 25.326 de Protección de Datos Personales y su Decreto Reglamentario 1558/2001.
  • Resolución AAIP 47/2018 — medidas de seguridad recomendadas para el tratamiento y conservación de datos personales.
  • Ley 20.488 — régimen del ejercicio profesional en ciencias económicas; art. 156 del Código Penal, que sanciona la violación del secreto profesional; Código de Ética del CPCECABA.
  • Art. 101 de la Ley 11.683 — secreto fiscal que pesa sobre el fisco y sus terceros encomendados, respecto de las declaraciones juradas, manifestaciones e informes presentados ante ARCA.
  • Ley 26.388 — Delitos informáticos (arts. 153 bis, 157 bis y 184 del Código Penal).
  • RG 3713/2015 ARCA — régimen de Clave Fiscal y designación de apoderados/administradores de relaciones por parte del contribuyente.
  • Art. 1770 del Código Civil y Comercial — protección de la intimidad personal.

3. Datos que trata la extensión

3.1. Datos del usuario operador (colaborador del estudio)

  • Dirección de correo electrónico corporativo.
  • Token de sesión (access_token, refresh_token) emitido por el proveedor de identidad del Ágora GS.
  • Identificador interno del usuario y de su organización.
  • Estado de verificación de doble factor de autenticación (MFA).

Finalidad: autenticar al colaborador y validar que pertenece a la organización autorizada para operar con los datos del cliente.

3.2. Datos del contribuyente (cliente del estudio)

  • Razón social o nombre y apellido.
  • CUIT/CUIL.
  • CUIT del representante legal o apoderado (cuando el cliente es persona jurídica que se opera con la clave fiscal de una persona humana apoderada).
  • Clave fiscal de ARCA — dato sensible cuyo tratamiento está sujeto al deber de secreto profesional del Contador Público interviniente (Ley 20.488 + art. 156 CP) y cuyos datos asociados están amparados por el secreto fiscal del art. 101 Ley 11.683 frente a ARCA. Ver sección 5 sobre medidas de protección.

Finalidad: permitir al colaborador del estudio acceder al sitio oficial de ARCA en representación del cliente, en el marco del contrato de prestación de servicios profesionales contables y de la designación como apoderado/administrador de relaciones conforme RG 3713/2015.

3.3. Datos de auditoría

  • Identificador del usuario que realizó cada operación.
  • Identificador del cliente sobre el que se operó.
  • Tipo de operación, fecha y hora.
  • Origen del acceso (extension versus interfaz web).

Finalidad: trazabilidad operativa, control interno y cumplimiento de los principios de licitud y responsabilidad proactiva (art. 4 inc. 1 Ley 25.326).

4. Base legal del tratamiento

  • Para datos del operador: ejecución del contrato laboral o de servicios con el colaborador del estudio (art. 5 inc. 2.a Ley 25.326).
  • Para datos del contribuyente: consentimiento expreso e informado prestado por el cliente al contratar los servicios profesionales del estudio y al designarlo como apoderado / administrador de relaciones de su Clave Fiscal conforme RG 3713/2015 (art. 5 inc. 1 Ley 25.326).
  • Para datos de auditoría: interés legítimo del estudio en la trazabilidad de las operaciones y obligaciones de seguridad recomendadas por la Resolución AAIP 47/2018.

5. Medidas de seguridad técnicas y organizativas

En cumplimiento de la Resolución AAIP 47/2018 y considerando que el tratamiento involucra datos sensibles bajo secreto fiscal, se aplican las siguientes medidas:

Técnicas

  • Cifrado en reposo de las claves fiscales mediante AES-256-GCM con vector de inicialización aleatorio por registro y etiqueta de autenticación; la clave maestra reside fuera de la base de datos.
  • Cifrado en tránsito mediante TLS 1.2 o superior en toda comunicación entre la extensión, el Ágora GS y el proveedor de identidad.
  • Autenticación con JWT firmado, autorización basada en roles (administrador, operador, lectura), y doble factor (MFA) que se recomienda enfáticamente activar en todas las cuentas y resulta exigible para roles privilegiados.
  • Sistema de tokens de capacidad de un solo uso, vinculados a usuario + organización + cliente, con TTL corto, exigidos para cada operación de descifrado.
  • Modo fail-closed en los controles críticos: interrupción del servicio si los componentes de rate-limit o auditoría no responden.
  • Aislamiento por organización (multi-tenancy) con Row-Level Security en la base de datos y validación adicional en cada endpoint.
  • No persistencia de claves fiscales en el navegador: la clave se entrega únicamente en respuesta puntual a un pedido del operador y se escribe directamente en el formulario de ARCA; el almacenamiento intermedio queda aislado en el contexto del service worker de la extensión y se borra en cuanto se utiliza.
  • Limitación de tasa (rate limiting) por operador para detectar y frenar exfiltración automatizada.

Organizativas

  • Registro de auditoría inmutable de todos los accesos a claves (operador, cliente, momento, origen). El Estudio o la AAIP pueden auditarlo.
  • Procedimiento de rotación de credenciales y separación de privilegios entre desarrollo, operación y administración de la clave maestra.
  • Programa periódico de auditorías de seguridad de la infraestructura y del código.
  • Acceso restringido a la base de datos al personal con necesidad operativa concreta.

6. Transferencia internacional de datos

El Ágora GS utiliza proveedores de infraestructura cuyos servidores están localizados fuera de la República Argentina, en particular en los Estados Unidos de América. En consecuencia, parte del tratamiento conlleva una transferencia internacional de datos personales a un país que la Agencia de Acceso a la Información Pública no considera con nivel adecuado de protección.

Para legitimar la transferencia, el Estudio Contable GS:

  • Suscribe los acuerdos de procesamiento de datos (DPA, por sus siglas en inglés) provistos por los encargados subcontratados, que incluyen las cláusulas contractuales tipo equivalentes a las exigidas por la Disposición DNPDP 60-E/2016.
  • Limita el contenido transferido al mínimo necesario para la prestación del servicio (principio de minimización, art. 4 inc. 1 Ley 25.326).
  • Asegura que las claves fiscales se almacenan exclusivamente cifradas con clave maestra que no se transfiere a los proveedores subcontratados, manteniendo así su confidencialidad aun en caso de incidente del proveedor.

Proveedores actuales que pueden recibir datos en el marco de la prestación: Supabase (base de datos e identidad), Vercel (hosting), Resend (envío de correo), Twilio (mensajería), Anthropic (procesamiento de imágenes para extracción de datos de acuses). Cada uno con sus respectivas políticas de privacidad publicadas.

7. Plazo de conservación

  • Claves fiscales: mientras dure la relación contractual con el cliente. Al darse de baja, las claves del cliente se borran (incluido su histórico cifrado) en un plazo máximo de 30 días desde la baja efectiva, salvo obligación legal de conservación.
  • Datos de auditoría: conservados por el plazo exigido por la normativa fiscal aplicable (mínimo 10 años para operaciones con incidencia tributaria).
  • Tokens de sesión locales del operador: hasta el cierre de sesión o desinstalación de la extensión.

8. Derechos del titular de los datos

Los titulares de los datos personales (contribuyentes clientes y colaboradores del estudio) tienen derecho a:

  • Acceso (art. 14 Ley 25.326): solicitar información sobre los datos personales que se les tratan.
  • Rectificación (art. 16): corregir datos inexactos o incompletos.
  • Actualización: mantener los datos al día.
  • Supresión (art. 16): solicitar el borrado de datos que ya no sean necesarios, sin perjuicio de las obligaciones legales de conservación del estudio.
  • Oposición: oponerse al tratamiento en supuestos legalmente previstos.

Estos derechos se ejercen mediante solicitud al correo info@estudiocontablegs.com.ar. El estudio responderá en el plazo máximo de 10 días corridos desde la recepción de la solicitud, conforme art. 14 inc. 2 de la Ley 25.326.

Adicionalmente, el titular puede presentar denuncias ante la Agencia de Acceso a la Información Pública (AAIP), con domicilio en Av. Pte. Julio A. Roca 710, piso 2, CABA — sitio web argentina.gob.ar/aaip.

9. Lo que la extensión NO hace

  • No accede a datos de sitios distintos de los declarados en el manifiesto (auth.afip.gob.ar, sistema.estudiocontablegs.com.ar y proveedor de identidad).
  • No transmite datos a terceros con fines publicitarios, comerciales o de perfilado.
  • No instala cookies en sitios externos.
  • No utiliza herramientas de analítica de terceros (Google Analytics, Meta, etc.) dentro de la extensión.
  • No persiste claves fiscales del cliente en el navegador del operador.
  • No automatiza operaciones sobre ARCA: la decisión de cada acción operativa la toma el colaborador humano.

10. Requisitos y limitaciones operativas

La extensión es solo una herramienta de acceso facilitado: depende de que la información correcta esté previamente cargada en el Ágora GS. En particular, no podrá completar el ingreso a ARCA si se da alguno de estos supuestos:

  • El cliente no está dado de alta en el Ágora GS. Si no figura en la base, no aparece en el panel y no es posible seleccionarlo. Solución: dar de alta al cliente desde el módulo de clientes del Ágora GS.
  • El cliente no tiene clave fiscal cargada (o tiene clave fiscal de otro organismo pero no de ARCA). El panel puede mostrarlo, pero el ingreso fallará. Solución: cargar la clave ARCA del cliente desde su ficha en el sistema.
  • La clave cargada en el sistema está desactualizada respecto de la real (por ejemplo, porque el cliente la cambió en ARCA sin avisar al estudio). ARCA rechazará el login. Solución: pedir al cliente la clave actualizada y reemplazarla en el sistema; el Ágora GS también ofrece un flujo automatizado de detección de claves caídas que avisa al cliente por canal seguro para que la actualice.
  • El cliente es persona jurídica sin representante cargado. El ingreso a ARCA en nombre de una sociedad requiere la clave fiscal de la persona humana apoderada (CUIT representante). Si esa relación no está cargada, la extensión intentará entrar con el CUIT de la sociedad y ARCA rechazará el acceso. Solución: cargar el CUIT del apoderado en la ficha del cliente.
  • ARCA exige cambio obligatorio de clave al ingresar. En ese caso la sesión se interrumpe en la pantalla de cambio. El Ágora GS contempla un flujo asistido de rotación de clave que se dispara desde la propia extensión, evitando que el operador tenga que ver la clave en pantalla.
  • Tu cuenta del Ágora GS no tiene los permisos necesarios. La extensión exige rol admin o operador. El rol lectura no puede obtener claves descifradas. Si tu cuenta tiene MFA activo (lo recomendamos enfáticamente), debe estar verificado en una ventana reciente antes de poder operar.
  • Te alcanzó un límite de uso por seguridad. La extensión está protegida con un límite máximo de revelaciones por hora por operador para frenar exfiltración masiva. Si te alcanza, esperás unos minutos y reintentás.

Para evitar interrupciones, mantener al día los datos del cliente en el Ágora GS es responsabilidad operativa del estudio.

11. Permisos solicitados por la extensión

  • storage — almacenar localmente el token de sesión del operador y datos de configuración no sensibles.
  • host: auth.afip.gob.ar/* — inyectar el panel de selección de clientes en las pantallas de login con Clave Fiscal de ARCA.
  • host: sistema.estudiocontablegs.com.ar/* — consultar el listado de clientes y solicitar el descifrado puntual de la clave fiscal autorizada.
  • host: *.supabase.co/* — comunicación con el proveedor de identidad del Ágora GS para autenticación y refresh de sesión.

12. Notificación de incidentes de seguridad

En el supuesto improbable de que se detecte un incidente de seguridad que pueda comprometer datos personales tratados, el Estudio Contable GS notificará a los titulares afectados y a la Agencia de Acceso a la Información Pública en los plazos y formas recomendados por la Resolución AAIP 47/2018, conjuntamente con el detalle de las medidas de mitigación adoptadas.

13. Modificaciones de esta política

Esta política puede actualizarse cuando se introduzcan cambios significativos en el tratamiento, en la legislación aplicable o en las medidas de seguridad. La versión vigente es la publicada en esta URL. La fecha de última actualización figura al inicio del documento.

14. Ley aplicable y jurisdicción

Esta política se rige por las leyes de la República Argentina. Cualquier controversia derivada de la misma será sometida a la jurisdicción de los tribunales ordinarios competentes de la Ciudad Autónoma de Buenos Aires, con renuncia expresa a cualquier otro fuero o jurisdicción que pudiere corresponder.

Documento publicado por Fernandez Sequino Consultores S.R.L. (Estudio Contable GS), CUIT 33-71609181-9.

Para consultas sobre esta política o sobre el tratamiento de tus datos personales: info@estudiocontablegs.com.ar