Política de Privacidad

CannabisOne – Última actualización en el documento

POLÍTICA DE PRIVACIDAD – CANNABISONE

Última actualización: 25 de febrero de 2026

Índice

1. Identificación del prestador

ISKRA SAS
RUT: 220705550017
Domicilio: Montevideo, República Oriental del Uruguay
Correo de contacto: [email protected]

CannabisOne es un software de gestión para clubes cannábicos prestado bajo modalidad Software as a Service (SaaS) por ISKRA SAS.

2. Alcance

La presente Política de Privacidad regula el tratamiento de datos personales realizado a través del sistema CannabisOne, en el marco de la prestación del servicio a clubes cannábicos que lo contratan.

Aplica a los datos tratados dentro del sistema y a los datos técnicos necesarios para su operación, seguridad, mantenimiento y soporte.

Para los socios que no acceden al sistema (no tienen usuario en CannabisOne), el Club es responsable de recabar el consentimiento informado antes de cargar sus datos, por ejemplo mediante formularios de afiliación. CannabisOne actúa como Encargado del Tratamiento; el Club garantiza haber informado y obtenido el consentimiento de dichos titulares.

3. Roles en el tratamiento de datos

El Club Cannábico que contrata el sistema actúa como Responsable del Tratamiento de los datos personales que ingresa y gestiona (socios, empleados y usuarios).

ISKRA SAS actúa como Encargado del Tratamiento, procesando datos personales exclusivamente por cuenta del Club y conforme a las instrucciones contractuales recibidas (incluyendo el DPA).

ISKRA no determina la finalidad del tratamiento de los datos cargados por el Club ni los utiliza con fines comerciales propios.

4. Datos personales que pueden ser procesados

En el marco del funcionamiento del sistema pueden procesarse las siguientes categorías:

Datos identificatorios y de contacto

  • Nombre y apellido
  • Documento de identidad (cuando el Club lo configure/registre)
  • Correo electrónico
  • Teléfono
  • Número de socio u otros identificadores internos

Datos de cuenta y autenticación

  • Credenciales de acceso (contraseñas almacenadas como hash; no se almacenan contraseñas en texto plano)
  • Rol y permisos (CLIENTE, TRABAJADOR, ADMINISTRADOR)
  • Datos de sesión asociados al uso del sistema

Datos operativos

  • Pedidos/órdenes, ítems y cantidades asociadas
  • Productos, stock y movimientos internos
  • Compras, gastos y registros administrativos/financieros internos del Club
  • Configuración interna del Club (ClubSettings)

Datos técnicos (logs)

  • Fecha y hora de acceso
  • Dirección IP
  • Acciones relevantes dentro del sistema (p. ej. altas/bajas/modificaciones), en la medida necesaria para seguridad y auditoría

El sistema no está destinado al tratamiento de datos biométricos.

5. Finalidad del tratamiento

Los datos personales se procesan con las siguientes finalidades:

  • Gestión administrativa interna del Club.
  • Control de stock y movimientos.
  • Control de límites internos/legales de compra definidos por el Club.
  • Generación de reportes internos.
  • Soporte técnico y mantenimiento del sistema.
  • Seguridad, prevención de fraude/abuso, auditoría técnica y trazabilidad.
  • Cumplimiento de obligaciones contractuales.

ISKRA no comercializa, cede ni explota los datos personales con fines propios.

6. Base legal y marco normativo

El tratamiento se fundamenta en:

  • La ejecución del contrato de prestación del servicio SaaS.
  • El cumplimiento de obligaciones legales que correspondan al Club.
  • El interés legítimo vinculado a la seguridad, estabilidad y correcto funcionamiento del sistema.

El tratamiento se realiza conforme a la Ley N.º 18.331 de Protección de Datos Personales y Acción de Habeas Data y su Decreto Reglamentario N.º 414/009, así como demás normativa aplicable en Uruguay.

7. Datos especialmente protegidos e inferencias

CannabisOne es un sistema de gestión administrativa. No está diseñado para tratar datos biométricos.

No obstante, el Responsable reconoce que ciertos datos operativos (p. ej., historial de pedidos y cantidades) podrían permitir inferencias sobre hábitos o patrones de consumo y constituyen información de carácter privado. En consecuencia:

  • El Responsable declara contar con base legal suficiente y haber informado adecuadamente a los titulares para el tratamiento de los datos que ingresa al sistema.
  • ISKRA aplica medidas de seguridad razonables y actúa exclusivamente como Encargado, limitándose a tratar los datos por cuenta del Responsable y para las finalidades del servicio.

Si en el futuro el Responsable decidiera incorporar categorías de datos expresamente sensibles según la Ley 18.331 (por ejemplo, datos de salud), será responsabilidad del Responsable asegurar los recaudos legales y contractuales adicionales que correspondan.

8. Conservación de los datos

Los datos personales se conservan:

  • Durante la vigencia del contrato entre el Club e ISKRA.
  • Hasta 30 días posteriores a su finalización, a efectos de permitir la exportación por el Responsable (salvo obligación legal que requiera otro tratamiento).
  • En copias de respaldo por un período técnico limitado necesario para garantizar la integridad del sistema y la continuidad operativa.

Transcurridos los plazos aplicables, los datos podrán ser eliminados o anonimizados conforme al contrato y al DPA.

9. Medidas de seguridad

ISKRA implementa medidas técnicas y organizativas razonables para proteger los datos personales, incluyendo:

  • Autenticación individual y control de roles (CLIENTE, TRABAJADOR, ADMINISTRADOR).
  • Encriptación de la información en tránsito mediante HTTPS.
  • Segmentación lógica por club en el entorno de prestación del servicio (cuando aplique según la modalidad de despliegue/instalación).
  • Backups periódicos.
  • Restricción de acceso interno y principio de mínimo privilegio.
  • Medidas de endurecimiento y controles alineados con buenas prácticas (sin implicar certificación formal).

Las medidas podrán evolucionar conforme a mejoras tecnológicas y estándares aplicables.

10. Transferencias y proveedores de infraestructura

El sistema puede utilizar proveedores de infraestructura tecnológica y servicios cloud (por ejemplo: hosting, bases de datos, almacenamiento, monitoreo), que pueden encontrarse ubicados fuera del territorio nacional.

Estas transferencias se realizan bajo condiciones contractuales y técnicas adecuadas (salvaguardas razonables), incluyendo obligaciones de confidencialidad, seguridad y control de acceso.

Subencargados: el Responsable podrá solicitar información sobre subencargados relevantes. ISKRA podrá mantener una lista actualizada por canal razonable (por ejemplo, anexo contractual, documento publicado, o comunicación escrita al Responsable cuando corresponda).

11. Cookies, analítica y servicios de terceros

El sitio y/o la aplicación web pueden utilizar cookies o tecnologías similares necesarias para el funcionamiento (por ejemplo, gestión de sesión y seguridad).

Adicionalmente, el Responsable podrá habilitar o ISKRA podrá utilizar herramientas de monitoreo/telemetría para fines de seguridad y mantenimiento (por ejemplo, registro de errores).
Cuando se utilicen servicios de terceros que impliquen tratamiento de datos personales, se procurará:

  • Informar de forma razonable su uso,
  • Limitar los datos a lo necesario,
  • Aplicar salvaguardas contractuales y técnicas.

12. Derechos de los titulares

De conformidad con la Ley N.º 18.331, los titulares tienen derecho a:

  • Acceder a sus datos.
  • Solicitar rectificación o actualización.
  • Solicitar inclusión.
  • Solicitar supresión cuando corresponda.

Dado que el Club actúa como Responsable del Tratamiento, las solicitudes deberán dirigirse al Club correspondiente.

ISKRA asistirá al Responsable en la medida de lo razonable para facilitar el ejercicio de dichos derechos, conforme al DPA.

13. Incidentes de seguridad

Ante un incidente de seguridad que afecte datos personales tratados por cuenta del Responsable, ISKRA notificará al Responsable dentro de las 72 horas desde que tome conocimiento del incidente, incluyendo, en la medida de lo razonable, información sobre el alcance, impacto y medidas de mitigación.

14. Autoridad de control

La autoridad de control en materia de protección de datos en Uruguay es la Unidad Reguladora y de Control de Datos Personales (URCDP).

ISKRA mantendrá el registro de bases de datos ante la URCDP cuando la normativa vigente lo exija.

Los titulares podrán presentar denuncias ante dicha autoridad si consideran vulnerados sus derechos.

15. Modificaciones

ISKRA podrá actualizar la presente Política de Privacidad cuando resulte necesario por cambios normativos, técnicos o contractuales.

Las versiones actualizadas serán publicadas indicando la fecha de última actualización.

16. Contacto

Para consultas relacionadas con esta Política de Privacidad:
[email protected]