Ir al contenido

Legal

Política de Privacidad

Última actualización: 8 de mayo de 2026

1. Resumen rápido

Si tenés un minuto, esto es lo importante. El detalle está más abajo.

  • Recibimos de Google tu nombre, email y foto de perfil cuando iniciás sesión.
  • Cuando completás el quiz, generamos un perfil de piel. Lo tratamos como dato sensible (información referente a la salud, art. 7 Ley 25.326) y te pedimos un consentimiento explícito y separado, que podés retirar cuando quieras.
  • Nunca vendemos tus datos. No los compartimos con marcas para publicidad.
  • Tus datos se alojan en Supabase (Brasil). Hay subprocesadores en Estados Unidos (Vercel para hosting, Google para autenticación). Brasil y Estados Unidos no figuran en la lista de países adecuados de la AAIP, por eso aplicamos garantías contractuales y te lo informamos para que prestes consentimiento.
  • Tenés derecho a acceder, rectificar, suprimir y oponerte. Podés borrar tu cuenta y todos tus datos escribiéndonos; estamos incorporando un botón de autoservicio en tu perfil.
  • Esto es una sugerencia de rutina cosmética, no diagnóstico, tratamiento ni prescripción médica.

2. Quiénes somos

The Routine es una plataforma de sugerencia de rutina de skincare construida en la República Argentina por un equipo independiente que incluye a una farmacóloga matriculada con posgrado en formulación cosmética.

Responsable del tratamiento: The Routine. Domicilio: Ciudad Autónoma de Buenos Aires, Argentina. Email para temas de privacidad: hola@glowapp.com.ar (poné "Privacidad" en el asunto), o usá nuestra página de contacto seleccionando la opción "Privacidad / Datos personales".

3. Qué datos recopilamos

3.1 Datos de cuenta (al iniciar sesión con Google)

Cuando te registrás mediante Google SSO recibimos, de tu cuenta de Google:

  • Nombre y apellido.
  • Dirección de email.
  • Foto de perfil (si la tenés configurada).
  • Identificador único de Google (Google ID), que usamos como llave de tu cuenta.

No recibimos tu contraseña, contactos, calendario ni ningún otro dato de tu cuenta de Google.

3.2 Perfil de piel (datos sensibles)

Al completar el quiz recopilamos:

  • Tipo de piel: oleosidad, reactividad, pigmentación, firmeza (valores numéricos derivados de tus respuestas).
  • Tendencia acneica: sin acné, ocasional o frecuente.
  • Fototipo: una escala de 1 a 5 sobre tu tono de piel y cómo reacciona al sol. Podés elegir "Prefiero no responder".
  • Edad por rango: menor de 25, 25 a 34, 35 a 45, mayor de 45.
  • Clima: el contexto donde vivís.
  • Preocupaciones: las 2 o 3 que más te importan (manchas, acné, hidratación, arrugas, poros, sensibilidad, luminosidad).
  • Respuestas individuales del quiz: las opciones que elegiste para cada pregunta.
  • Datos derivados: scores R/B/T/A calculados por nuestro motor a partir de tus respuestas, y porcentajes de match con cada producto del catálogo. Estos datos derivados también se consideran sensibles porque permiten inferir condiciones cutáneas.

Tratamos este bloque como información referente a la salud bajo el art. 2 de la Ley 25.326. Por eso te pedimos consentimiento expreso, separado del resto, y podés retirarlo cuando quieras (ver sección 8). Si no aceptás este tratamiento, podés navegar el sitio sin guardar perfil; las recomendaciones personalizadas no van a estar disponibles.

3.3 Reseñas de productos

Si dejás una reseña guardamos: tu experiencia ("mi piel mejoró", "sin cambios", "mi piel reaccionó mal"), una calificación opcional, un comentario opcional, el tiempo de uso declarado y un snapshot de tu perfil de piel al momento de publicarla. El snapshot también se considera dato sensible.

3.4 Datos de uso del sitio

Mientras navegás generamos eventos analíticos que nos ayudan a mejorar el producto:

  • Páginas que visitás, productos que abrís, rutinas que armás.
  • Acciones específicas: completar el quiz, abrir un producto, expandir una explicación, hacer click en "Dónde comprarlo".
  • Identificador técnico de sesión (no asociado a tu identidad si no estás logueado/a).
  • Información agregada de dispositivo y navegador, vía Vercel Analytics.

No almacenamos tu dirección IP de forma persistente asociada a tu identidad, no usamos Google Analytics, Meta Pixel ni trackers de terceros para publicidad cross-site.

3.5 Comunicaciones

Si nos escribís a través del formulario de contacto, recibimos tu nombre, email, motivo y mensaje. Hoy esos mensajes se procesan a través de los logs operativos de nuestro proveedor de hosting; estamos integrando un servicio de mail transaccional dedicado y vamos a actualizar esta sección cuando esté en producción.

3.6 Imágenes de productos

El sitio carga las fotos de los productos directamente desde los servidores de las marcas asociadas o desde nuestro almacenamiento en Supabase. Cuando la imagen viene del servidor de la marca, ese servidor recibe tu solicitud HTTP estándar (IP y User-Agent), igual que si visitaras su sitio web. No enviamos información sobre tu cuenta ni tu perfil de piel a esos servidores.

4. Cómo los usamos y por cuánto tiempo

Para cada categoría declaramos la finalidad, la base legal que la habilita y el plazo de conservación.

Datos de cuenta (Google). Identificarte, mantener tu sesión, prevenir abusos. Base legal: ejecución del servicio (art. 5 inc. 2.b Ley 25.326) y consentimiento. Plazo: mientras la cuenta esté activa, más 12 meses tras la baja para cierre administrativo.

Perfil de piel y datos derivados. Generar tu sugerencia de rutina personalizada, calcular el match con productos, mostrar la explicación del match. Base legal: consentimiento expreso para datos sensibles (art. 7 Ley 25.326). Plazo: mientras la cuenta esté activa, o hasta que retires el consentimiento o lo borres desde tu perfil.

Reseñas de productos. Mostrarlas a otros usuarios y mejorar el catálogo. Base legal: consentimiento más interés legítimo en mejorar el servicio. Plazo: mientras la cuenta esté activa, salvo que pidas su eliminación. Si borrás la cuenta, las reseñas se borran o se anonimizan completamente sin trazabilidad a tu identidad.

Eventos de uso del sitio. Entender qué funciona y mejorar el producto, detectar errores, medir performance. Base legal: interés legítimo (art. 5 inc. 2.d Ley 25.326), agregados y sin identificadores publicitarios. Plazo: 24 meses, luego se anonimizan o eliminan.

Mensajes de contacto. Responderte y mantener trazabilidad de la consulta. Base legal: consentimiento. Plazo: 24 meses desde el último intercambio.

Comunicaciones por email. Distinguimos dos tipos:

  • Transaccionales (cambios en tu cuenta, respuestas a tus consultas, avisos legales): siempre las enviamos mientras la cuenta esté activa, base legal contractual.
  • Marketing y novedades del producto (newsletters, lanzamientos, recomendaciones): sólo si las pedís expresamente al registrarte o desde tu perfil. Cualquier email de este tipo trae un link de baja inmediata.

Backups técnicos. Recuperación ante incidentes. Base legal: interés legítimo en la integridad del servicio. Plazo: según la política estándar de nuestro proveedor de base de datos (típicamente entre 7 y 30 días, rotativos). Los datos eliminados desde tu cuenta sobreviven en el backup hasta el cierre del ciclo correspondiente.

Los plazos pueden extenderse cuando una ley aplicable lo exija (por ejemplo, requerimientos fiscales o judiciales).

5. Sugerencias automatizadas y revisión humana

Tu rutina y los porcentajes de match se calculan con un motor de recomendación construido por nuestro equipo de formulación cosmética. Es un proceso automatizado que aplica criterios farmacológicos sobre tu perfil de piel y el catálogo. Para que ese tratamiento sea transparente:

  • El catálogo entero y la lógica de scoring son revisados por una farmacóloga matriculada antes de pasar a producción. No hay productos sugeridos sin curaduría humana.
  • Podés ver por qué un producto te matchea en la pestaña de explicación del producto (cuáles son los activos clave que justifican el porcentaje, en qué nivel de evidencia descansan).
  • Podés pedir una revisión humana de cualquier sugerencia escribiéndonos.
  • Podés oponerte al tratamiento automatizado en cualquier momento. Si lo hacés, desactivamos las recomendaciones personalizadas y mantenemos sólo los datos mínimos de la cuenta.

6. Con quién compartimos tus datos

No vendemos datos. Compartimos información estrictamente necesaria con proveedores que operan partes del servicio:

  • Supabase (Functional Software, Inc., con infraestructura en Brasil región sa-east-1) — base de datos, autenticación y almacenamiento de imágenes.
  • Google (Google LLC, infraestructura global) — proveedor de OAuth para iniciar sesión.
  • Vercel (Vercel Inc., infraestructura en Estados Unidos) — hosting del sitio y analítica agregada del producto.

Cada proveedor trata los datos sólo para las finalidades que le contratamos y bajo sus propios marcos contractuales y obligaciones de seguridad. Si en algún momento sumamos otro subprocesador, lo agregamos a esta lista y, si el cambio es material, te avisamos antes (ver sección 13).

Cuando una autoridad pública lo requiera por orden válida (por ejemplo, una orden judicial), evaluaremos cada pedido y, si corresponde legalmente, podremos compartir información estrictamente acotada al alcance del requerimiento.

7. Transferencia internacional

Brasil y Estados Unidos no figuran en la lista de países con nivel adecuado de protección publicada por la AAIP (Disposición DNPDP 60/2016 y actualizaciones posteriores). Para que la transferencia internacional de tus datos sea legítima nos apoyamos en tres mecanismos combinados:

  1. Tu consentimiento informado al aceptar esta política y, en particular, el tratamiento de tu perfil de piel.
  2. Marcos contractuales estándar: nos suscribimos a los Data Processing Agreements y cláusulas contractuales modelo que cada proveedor ofrece, en línea con los modelos aceptados por la AAIP (Resolución 34/2019 y Resolución 198/2023, modelo RIPD) y, cuando corresponde, los Standard Contractual Clauses de la Comisión Europea.
  3. Medidas técnicas adicionales: cifrado en tránsito (TLS), control de acceso por roles, Row Level Security en la base de datos para que cada usuario sólo acceda a sus propios datos.

Si querés una copia de los acuerdos contractuales vigentes con nuestros proveedores, escribinos.

8. Tus derechos

Conforme a la Ley 25.326 y las mejores prácticas internacionales (anticipándonos a la reforma argentina alineada con GDPR), tenés los siguientes derechos sobre tus datos.

Acceso. Pedirnos qué datos tenemos sobre vos. Plazo de respuesta: 10 días corridos (art. 14 Ley 25.326).

Rectificación. Corregir datos incorrectos. Podés editar tu perfil de piel directamente desde /perfil en cualquier momento. Plazo: 5 días hábiles (art. 16).

Supresión. Pedir que borremos tu cuenta y todos los datos asociados. Hoy se ejecuta por email; estamos incorporando un botón de autoservicio en tu perfil. Plazo: confirmamos la solicitud en 5 días hábiles y la eliminación efectiva ocurre dentro de los 30 días posteriores.

Oposición. Oponerte a un tratamiento específico (por ejemplo, las recomendaciones automatizadas, o las comunicaciones de marketing). Plazo: 5 días hábiles.

Portabilidad. Pedir tus datos en un formato estructurado y reutilizable que puedas llevarte a otro servicio. Plazo: 30 días.

Retiro del consentimiento. Para datos sensibles, en cualquier momento y con efecto a futuro. Lo hacemos tan fácil como darlo: con un click desde tu perfil o un mail a la dirección que aparece más abajo.

Cómo ejercerlos. Escribinos a hola@glowapp.com.ar con "Privacidad" en el asunto, o usá nuestra página de contacto seleccionando "Privacidad / Datos personales". El ejercicio de estos derechos es gratuito si lo hacés a intervalos no menores a 6 meses, conforme al art. 14 inc. 3 de la Ley 25.326.

Si considerás que vulneramos tus derechos, podés presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP), órgano de control de la Ley 25.326: argentina.gob.ar/aaip.

La Agencia de Acceso a la Información Pública (AAIP), órgano de control de la Ley N.° 25.326, tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos.

9. Cómo borrar tu cuenta

Tenés dos vías:

  1. Próximamente, autoservicio: estamos incorporando un botón "Borrar mi cuenta" dentro de /perfil. Cuando esté disponible, esta sección va a describir el flow completo paso a paso.
  2. Hoy, por email: escribinos a hola@glowapp.com.ar desde la dirección con la que iniciás sesión, indicando "Borrar mi cuenta" en el asunto.

En ambos casos:

  • Confirmamos la solicitud por email dentro de 5 días hábiles.
  • Borramos de forma definitiva tu cuenta, perfil de piel, datos derivados, reseñas, rutinas guardadas y eventos analíticos asociados a tu identidad dentro de los 30 días siguientes.
  • Si preferís borrar sólo tu perfil de piel (no la cuenta entera), eliminamos los datos sensibles y dejamos sólo la identificación de cuenta.

Los backups técnicos del proveedor se sobrescriben en su ciclo natural; los datos restantes desaparecen ahí dentro del ciclo correspondiente.

10. Cookies y almacenamiento del navegador

The Routine usa el almacenamiento de tu navegador exclusivamente para hacer funcionar el servicio. No usamos cookies de terceros para publicidad ni tracking cross-site.

Cookies estrictamente necesarias (sesión):

  • Cookies de Supabase Auth para mantener tu sesión iniciada.
  • Cookie técnica de preferencia de tema (claro/oscuro) si la cambiaste manualmente.

Almacenamiento local del navegador (localStorage y sessionStorage): ninguno se sincroniza con servidores de terceros.

  • glow_saved_products: productos que guardaste como favoritos.
  • glow_routine_products: borrador de la rutina que estás armando.
  • quiz_draft_*: borrador de tus respuestas mientras hacés el quiz, para no perderlas si cerrás la pestaña.
  • pending_save_flag: marca interna para retomar el guardado de una rutina al iniciar sesión.
  • pdp_verdict_played_*: marca de sesión para no repetir una animación que ya viste.

Analítica del producto. Usamos Vercel Analytics, que recopila estadísticas agregadas (páginas vistas, dispositivo aproximado, país) sin identificadores publicitarios persistentes. Vercel procesa la dirección IP de forma efímera para derivar país y dispositivo, y la descarta una vez derivada. Podés bloquear la analítica con cualquier extensión de privacidad estándar; el sitio funciona igual.

Podés borrar todo este almacenamiento desde la configuración de tu navegador en cualquier momento (vas a perder tu sesión y los borradores guardados).

11. Seguridad y brechas

Aplicamos medidas razonables y proporcionales al tamaño de la operación.

  • TLS/HTTPS en todo el tráfico, incluido HSTS con max-age de un año.
  • Row Level Security en la base de datos: cada usuario sólo accede a sus propios datos.
  • Autenticación delegada en Google: no almacenamos contraseñas.
  • Acceso al panel de administración restringido a personal autorizado.
  • Headers de seguridad estándar (HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy estricta).
  • Bloqueo del acceso del sitio a la cámara, el micrófono y la geolocalización del navegador (Permissions-Policy).

Brechas de seguridad. Ningún sistema es perfectamente seguro. Si detectamos una brecha que pueda afectar tus derechos:

  • Te lo comunicamos sin demora indebida al email registrado.
  • Notificamos a la AAIP dentro de las 72 horas desde que tomamos conocimiento, en línea con las mejores prácticas internacionales (notification timeline del GDPR y del proyecto de reforma argentino).
  • Publicamos un resumen del incidente y las medidas adoptadas si afecta a un número significativo de usuarios.

12. Menores

The Routine está dirigida a personas mayores de 18 años. No recopilamos intencionalmente datos de personas menores de edad. Al registrarte declarás tener 18 años o más.

Si descubrimos que una persona menor de edad creó una cuenta sin el consentimiento de su representante legal, eliminamos la cuenta y los datos asociados. Si sos representante legal de una persona menor que aparece registrada, escribinos.

13. Cambios a esta política

Podemos actualizar esta política para reflejar cambios en el servicio, en nuestros proveedores, o en la normativa aplicable.

  • Cambios menores (redacción, claridad, correcciones): se publican en esta misma página actualizando la fecha y la versión, sin notificación adicional.
  • Cambios materiales (nuevas finalidades, nuevos subprocesadores, nuevas categorías de datos, ampliación de plazos de retención): te avisamos por email a la dirección registrada con al menos 30 días de antelación y, cuando corresponda, te pedimos un nuevo consentimiento. Si no aceptás, podés ejercer tu derecho a borrar la cuenta antes de la fecha de entrada en vigencia.

Cada vez que aceptás esta política dejamos un registro con la versión exacta que aceptaste, la fecha y un identificador técnico, para que el consentimiento sea probatorio frente a auditorías o reclamos.

14. Aviso cosmetológico

The Routine ofrece sugerencias de rutina cosmética elaboradas con criterio farmacológico. No constituyen diagnóstico, tratamiento ni prescripción médica. Ante cualquier condición dermatológica diagnosticada o sospechada, consultá con un médico dermatólogo matriculado.

15. Contacto y jurisdicción

Para cualquier consulta sobre privacidad, datos personales o ejercicio de derechos, escribinos a hola@glowapp.com.ar o usá nuestra página de contacto. Te respondemos dentro del plazo legal que corresponde a cada derecho.

Esta política se rige por las leyes de la República Argentina. Cualquier controversia se somete a los tribunales ordinarios de la Ciudad Autónoma de Buenos Aires.