POLÍTICA DE PRIVACIDAD — LEVER (STRADA GROUP)

INTRODUCCIÓN

En STRADA GROUP SAS (en adelante, el "Responsable" o "Nosotros") valoramos y respetamos la privacidad de quienes utilizan nuestra plataforma LEVER. El presente Aviso y Política de Privacidad (en adelante, la "Política") describe de manera clara y detallada qué datos personales recolectamos, con qué finalidades, sobre qué base de licitud, con quiénes los compartimos, cómo los protegemos y cuáles son los derechos de los titulares.

Esta Política se aplica a todos los usuarios de LEVER: la aplicación Android instalada en la terminal Clover del comercio y el panel web en lever.lat. Está redactada conforme a la Ley N.° 25.326 de Protección de Datos Personales de la República Argentina (en adelante, "LPDP") y su Decreto Reglamentario N.° 1558/2001.

Al instalar o utilizar LEVER, el titular de los datos declara haber leído y comprendido esta Política.

Sección 1. IDENTIDAD Y CONTACTO DEL RESPONSABLE DEL TRATAMIENTO

DENOMINACIÓN: STRADA GROUP SAS

CUIT: 30-71890162-2

DOMICILIO: Libertad 1370, Ciudad Autónoma de Buenos Aires, Argentina.

REPRESENTANTE LEGAL: Lucas Alberto Insua (CUIT 20-43571318-2)

CORREO DE PRIVACIDAD: linsua@groupstrada.com

SITIO WEB: lever.lat

El Responsable es la persona jurídica que determina los fines y los medios del tratamiento de los datos personales recabados a través de LEVER.

Cualquier consulta, ejercicio de derechos o reclamación vinculada a la privacidad debe dirigirse al correo electrónico: linsua@groupstrada.com, indicando en el asunto: "Protección de Datos — LEVER".

Sección 2. ÁMBITO DE APLICACIÓN Y SUJETOS

LEVER es un software B2B (business-to-business) destinado exclusivamente a comercios (personas humanas o jurídicas) y a sus operadores (empleados y/o encargados designados por el comercio). NO es una aplicación dirigida a consumidores finales.

En consecuencia, los titulares de datos cuyos datos son tratados bajo esta Política son:

a) EL COMERCIO LICENCIATARIO: persona humana o jurídica que contrata LEVER y opera la terminal Clover.

b) LOS USUARIOS OPERADORES: empleados, socios o encargados del comercio que acceden a LEVER con sus credenciales individuales.

Los clientes o consumidores finales del comercio NO son titulares de datos en LEVER: LEVER no recolecta datos personales de los compradores finales del comercio. Los datos de transacción que procesa LEVER son Metadata (ver Sección 3) que no permite identificar a los compradores finales.

Sección 3. DATOS QUE SE RECOLECTAN

LEVER recolecta únicamente los datos estrictamente necesarios para cumplir sus finalidades de conciliación e inteligencia de cobros. A continuación se detalla cada categoría:

3.1. DATOS DEL COMERCIO

— Razón social o nombre del comercio.

— CUIT/CUIL del comercio.

— Domicilio fiscal y/o comercial.

— Datos de contacto (teléfono, correo electrónico).

— Identificadores internos de la cuenta en la plataforma Clover/Fiserv (Merchant ID).

— Datos bancarios asociados a la cuenta de liquidación (CBU/CVU y nombre de entidad), en los casos en que el comercio los ingrese voluntariamente para la conciliación.

— Plan de suscripción contratado y datos de facturación.

3.2. DATOS DE LOS USUARIOS OPERADORES

— Nombre y apellido del operador.

— Dirección de correo electrónico (utilizada como credencial de acceso).

— Contraseña (almacenada con hash criptográfico; el Responsable no accede a la contraseña en texto plano).

— Rol y permisos asignados dentro de la Cuenta del comercio.

— Registros de actividad (logs) dentro de la plataforma: inicios de sesión, acciones realizadas, fecha y hora.

3.3. METADATA DE TRANSACCIONES

LEVER lee la siguiente información de cada operación del punto de venta, en origen, a través de la Clover REST API y/o webhooks:

— Monto de la operación.

— Fecha y hora de la operación.

— Tipo de medio de pago (efectivo, tarjeta de débito, tarjeta de crédito, QR, cuenta corriente, etcétera). LEVER NO recibe el número de tarjeta (PAN), el código de seguridad (CVV/CVC), datos de banda magnética ni datos de chip.

— Identificador único de la operación (generado por Clover/Fiserv).

— Identificador del comercio (Merchant ID) y de la terminal.

— Ítems o detalle del pedido (nombre del producto/servicio, cantidad, precio unitario), según lo que el comercio configure en Clover.

— Estado de la transacción (aprobada, rechazada, revertida, en disputa).

— Canal de cobro (salón, delivery, cuenta corriente, etcétera).

3.4. DATOS TÉCNICOS Y DE NAVEGACIÓN

— Dirección IP del dispositivo al acceder al panel web.

— Tipo y versión del navegador o dispositivo utilizado.

— Datos de uso y diagnóstico de la aplicación Android en la terminal Clover (logs de errores, rendimiento).

ACLARACIÓN EXPRESA — DATOS DE TARJETA Y ALCANCE PCI:

LEVER NO almacena, procesa ni transmite números de tarjeta (PAN), códigos de seguridad (CVV/CVC), datos de banda magnética, datos de chip, ni ningún otro dato de instrumento de pago sensible conforme el estándar PCI DSS (Payment Card Industry Data Security Standard). Todos esos datos quedan exclusiva e íntegramente bajo la custodia y responsabilidad de Fiserv y su infraestructura Clover. El Responsable no está en posición de acceder a dichos datos y no los recolecta bajo ningún concepto.

Sección 4. FINALIDADES Y BASE DE LICITUD DEL TRATAMIENTO

Conforme al artículo 5 de la Ley 25.326, el tratamiento de datos personales puede efectuarse cuando deriva de una relación contractual o resulta necesario para su ejecución (art. 5 inc. 2d LPDP). A continuación se detallan las finalidades y la base de licitud de cada tratamiento:

4.1. PRESTACIÓN DEL SERVICIO DE CONCILIACIÓN

Finalidad: leer la Metadata de Transacciones de la terminal Clover del comercio, conciliarla automáticamente contra el registro contable y brindar vistas unificadas de cobros.

Base de licitud: ejecución del contrato de suscripción (EULA) celebrado entre el Responsable y el Licenciatario (art. 5, inc. 2d, LPDP).

4.2. GESTIÓN DE CUENTAS Y AUTENTICACIÓN

Finalidad: registrar, autenticar y gestionar los usuarios operadores del comercio en la plataforma LEVER.

Base de licitud: ejecución del contrato y necesidad del servicio (art. 5, inc. 2d, LPDP).

4.3. FACTURACIÓN Y COBRO DEL SERVICIO

Finalidad: gestionar el cobro de la suscripción, emitir comprobantes fiscales y mantener registros contables conforme a la normativa impositiva argentina.

Base de licitud: ejecución del contrato y obligación legal tributaria y contable.

4.4. SOPORTE TÉCNICO

Finalidad: atender consultas, incidencias y requerimientos del Licenciatario vinculados al funcionamiento de LEVER.

Base de licitud: ejecución del contrato (art. 5, inc. 2d, LPDP).

4.5. SEGURIDAD Y DETECCIÓN DE FRAUDE

Finalidad: monitorear el acceso y uso de la plataforma para detectar accesos no autorizados, vulneraciones de seguridad o uso fraudulento.

Base de licitud: interés legítimo del Responsable en proteger la integridad de la plataforma y los datos de todos los licenciatarios.

4.6. MEJORA DEL SERVICIO E INVESTIGACIÓN

Finalidad: analizar datos anonimizados y/o agregados para mejorar funcionalidades, desarrollar nuevas características y generar estadísticas internas de uso. En ningún caso este análisis permite identificar al Licenciatario o a sus operadores de manera individual.

Base de licitud: interés legítimo del Responsable; datos tratados de forma anonimizada, por lo que no aplica la LPDP a esos datos resultantes.

4.7. CUMPLIMIENTO DE OBLIGACIONES LEGALES

Finalidad: responder a requerimientos de autoridades judiciales, administrativas o fiscales competentes, conforme a la legislación argentina.

Base de licitud: obligación legal (art. 5, inc. 2b, LPDP).

El Responsable no utilizará los datos para finalidades distintas o incompatibles con las indicadas, conforme al artículo 4 inc. 3 de la LPDP.

Sección 5. AUSENCIA DE TRATAMIENTO DE DATOS SENSIBLES DE MEDIOS DE PAGO

5.1. LEVER no trata "datos sensibles" en los términos del artículo 2 de la Ley 25.326 (datos que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosofías morales, afiliación sindical o información referente a la salud o vida sexual).

5.2. En particular, y de modo expreso:

a) LEVER NO almacena, procesa ni transmite números de cuenta/tarjeta (PAN), códigos de verificación (CVV/CVC), fechas de vencimiento de instrumentos de pago, datos de banda magnética, datos de chip EMV, ni ninguna otra información que identifique el instrumento de pago de un tercero.

b) La única información relacionada con el medio de pago que LEVER procesa es el TIPO de instrumento (por ejemplo: "tarjeta de crédito", "tarjeta de débito", "efectivo", "QR") y el ESTADO de la transacción, dato que Clover/Fiserv expone a través de su API pública para desarrolladores ISV sin incluir datos sensibles.

c) Los datos bancarios del comercio (CBU/CVU) que el Licenciatario ingresa voluntariamente se tratan únicamente con la finalidad de conciliación de liquidaciones y se almacenan con cifrado en reposo.

Sección 6. ENCARGADOS DEL TRATAMIENTO Y TRANSFERENCIA INTERNACIONAL DE DATOS

6.1. ENCARGADOS DEL TRATAMIENTO (SUBENCARGADOS)

El Responsable utiliza los siguientes proveedores de infraestructura cloud en carácter de encargados del tratamiento, que procesan datos personales por cuenta y bajo las instrucciones del Responsable:

| Proveedor | Función | Ubicación de los Servidores |

|---|---|---|

| Vercel, Inc. | Hospedaje y despliegue del panel web (front-end) | Estados Unidos |

| Supabase, Inc. | Base de datos, autenticación y almacenamiento (back-end) | Estados Unidos |

El Responsable ha suscripto o acepta los términos de procesamiento de datos de cada uno de estos proveedores, que incluyen obligaciones de confidencialidad y seguridad equivalentes a las exigidas por la LPDP y el Decreto 1558/2001.

6.2. TRANSFERENCIA INTERNACIONAL DE DATOS

Dado que la infraestructura de Vercel, Inc. y Supabase, Inc. opera con servidores ubicados en los Estados Unidos de América, los datos personales tratados por LEVER son transferidos internacionalmente a dicho país.

Con respecto a esta transferencia internacional:

a) Los Estados Unidos no cuentan con una declaración general de nivel de protección adecuado por parte de la Agencia de Acceso a la Información Pública (AAIP) de la República Argentina.

b) La transferencia se basa en las siguientes salvaguardas: (i) cláusulas contractuales de protección de datos incorporadas en los acuerdos con Vercel, Inc. y Supabase, Inc.; (ii) la naturaleza de la transferencia, que es necesaria para la ejecución del contrato entre el Responsable y el Licenciatario (conforme al art. 12, inc. 2 LPDP).

c) El Responsable se compromete a mantener actualizadas dichas salvaguardas y a notificar a los titulares ante cualquier cambio sustancial en la ubicación del tratamiento.

6.3. OTROS RECEPTORES

Además de los encargados listados, el Responsable podrá compartir datos personales con:

a) Fiserv, Inc. / Clover Network, LLC: en la medida en que la integración técnica lo requiera para la lectura de Metadata de Transacciones. Fiserv actúa como responsable de los datos de pagos en su propio ecosistema; su tratamiento se rige por sus propios términos de privacidad.

b) Autoridades judiciales, fiscales o administrativas competentes: ante requerimiento legal fundado.

c) Asesores profesionales (abogados, auditores, contadores): bajo estrictas obligaciones de confidencialidad y exclusivamente para defensa de derechos del Responsable.

6.4. El Responsable NO vende, alquila ni cede datos personales a terceros con fines comerciales propios de dichos terceros.

Sección 7. PLAZO DE CONSERVACIÓN DE LOS DATOS

Conforme al artículo 4 inc. 7 y al artículo 16 inc. 7 de la Ley 25.326, los datos personales deben conservarse durante los plazos previstos en las disposiciones aplicables.

En consecuencia:

a) Los datos del comercio y la Metadata de Transacciones se conservarán durante un plazo de cinco (5) años desde la última operación registrada o desde la terminación del contrato, lo que ocurra más tarde. Este plazo es coherente con las obligaciones de conservación de libros y comprobantes contables y fiscales establecidas por la Administración Federal de Ingresos Públicos (AFIP/ARCA) y la normativa comercial argentina (art. 328 CCyC).

b) Los datos de usuarios operadores (nombre, correo, logs de acceso) se conservarán durante la vigencia de la relación contractual más dos (2) años, o el plazo mayor que exija la normativa aplicable.

c) Si existiera una obligación legal de conservación mayor (por ejemplo, por requerimiento judicial firme, obligaciones impositivas, prevención de lavado de activos u otras normas de orden público), ese plazo prevalece sobre los indicados precedentemente.

d) Transcurridos los plazos de conservación, los datos serán eliminados de forma segura o anonimizados de modo irreversible.

Sección 8. MEDIDAS DE SEGURIDAD

El Responsable adopta medidas de seguridad técnicas, organizativas y administrativas razonables para proteger los datos personales contra acceso no autorizado, alteración, pérdida, destrucción o divulgación, conforme al artículo 9 de la Ley 25.326 y el artículo 11 del Decreto 1558/2001.

Entre las medidas implementadas se incluyen:

a) Cifrado de datos en tránsito mediante TLS 1.2 o superior en todas las comunicaciones entre la aplicación, el panel web y los servidores.

b) Cifrado de datos en reposo en la base de datos provista por Supabase.

c) Autenticación de usuarios mediante contraseñas hasheadas (bcrypt o equivalente de similar robustez). Soporte de autenticación de dos factores (2FA) disponible para usuarios operadores.

d) Control de accesos basado en roles (RBAC): cada operador accede únicamente a los datos y funcionalidades correspondientes a su perfil.

e) Aislamiento lógico de datos entre distintos comercios licenciatarios (multi-tenancy seguro).

f) Monitoreo de logs de acceso y alertas ante comportamientos anómalos.

g) Políticas internas de acceso mínimo para el personal del Responsable.

h) Copias de seguridad (backups) periódicas de los datos almacenados.

El Responsable no puede garantizar la seguridad absoluta de ningún sistema de información. Ante la detección de una brecha de seguridad que afecte datos personales, el Responsable notificará a los titulares afectados y a la Agencia de Acceso a la Información Pública (AAIP) en el menor plazo posible, conforme a la normativa vigente.

Sección 9. DERECHOS DE LOS TITULARES (ARCO)

Conforme a los artículos 14 y 16 de la Ley 25.326, los titulares de datos personales tienen los siguientes derechos:

9.1. DERECHO DE ACCESO (art. 14 LPDP): El titular puede solicitar y obtener información sobre los datos personales que el Responsable tenga registrados sobre él, en forma gratuita, a intervalos no inferiores a seis (6) meses, salvo acreditación de interés legítimo. El Responsable responderá dentro de los diez (10) días corridos de recibida la solicitud fehaciente.

9.2. DERECHO DE RECTIFICACIÓN Y ACTUALIZACIÓN (art. 16 LPDP): El titular puede solicitar la corrección de datos inexactos, incompletos o desactualizados. El Responsable realizará las correcciones en un plazo máximo de cinco (5) días hábiles de recibida la solicitud.

9.3. DERECHO DE SUPRESIÓN (art. 16 LPDP): El titular puede solicitar la eliminación de sus datos cuando hayan dejado de ser necesarios o pertinentes para la finalidad por la que fueron recabados, o cuando haya revocado el consentimiento que fue la base del tratamiento. La supresión no procede cuando pudiera causar perjuicio a derechos o intereses legítimos de terceros o exista obligación legal de conservación (arts. 4 inc. 7 y 16 inc. 5 LPDP).

9.4. DERECHO DE CONFIDENCIALIDAD (art. 16 LPDP): El titular puede solicitar que sus datos sean sometidos a tratamiento confidencial cuando el tratamiento resulte ilegiítimo.

9.5. EJERCICIO DE LOS DERECHOS: Los derechos enumerados pueden ejercerse:

— Mediante correo electrónico a: linsua@groupstrada.com, indicando en el asunto: "Ejercicio de Derechos LPDP — LEVER".

— El titular deberá acreditar su identidad adjuntando copia de su DNI o documento equivalente.

— En el caso de solicitudes realizadas en nombre de personas jurídicas (comercios), se deberá acreditar la representación invocada.

9.6. RECLAMACIÓN ANTE LA AAIP: Sin perjuicio de lo anterior, el titular tiene derecho a presentar una reclamación ante la Agencia de Acceso a la Información Pública (AAIP), autoridad de control en materia de protección de datos personales de la República Argentina, con domicilio en Tte. Gral. Juan Domingo Perón 667, 2° Piso, CABA. (CP:1038), y a través del portal: www.argentina.gob.ar/aaip.

Sección 10. USO DE LA APLICACIÓN EN LA TERMINAL CLOVER

10.1. LEVER opera como aplicación de terceros (ISV — Independent Software Vendor) dentro del ecosistema Clover/Fiserv. Su instalación y uso en la terminal Clover se rige adicionalmente por los Términos y Condiciones y la Política de Privacidad de Fiserv/Clover, que el Licenciatario acepta al momento de alta en dicha plataforma.

10.2. LEVER accede a la Clover REST API únicamente en la medida en que el Licenciatario le otorgue permisos (OAuth) dentro de su Merchant Account de Clover. El Licenciatario puede revocar dichos permisos en cualquier momento desde el panel de administración de Clover, lo que interrumpirá el flujo de datos hacia LEVER.

10.3. Fiserv actúa como responsable independiente del tratamiento de los datos dentro de la infraestructura Clover. La presente Política no regula el tratamiento que Fiserv realiza sobre los datos del comercio ni sobre las transacciones de pago procesadas en su infraestructura.

10.4. LEVER puede recibir notificaciones de eventos (webhooks) desde la plataforma Clover de manera automática y en tiempo real. Estos webhooks contienen exclusivamente Metadata de Transacciones, conforme a lo definido en la Sección 3.3 de esta Política. En ningún caso los webhooks contienen datos de tarjeta.

Sección 11. COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

11.1. El panel web de LEVER (lever.lat) puede utilizar cookies propias de sesión estrictamente necesarias para autenticar al usuario y mantener la sesión activa. No se utilizan cookies de rastreo, publicidad ni analítica de terceros que requieran consentimiento específico.

11.2. La aplicación Android instalada en la terminal Clover no utiliza cookies. Puede recolectar logs de rendimiento y errores con fines de diagnóstico, conforme a lo indicado en la Sección 3.4.

11.3. El Responsable se reserva el derecho de incorporar herramientas de analítica de uso (por ejemplo, análisis de uso anónimo de funcionalidades) en el futuro, en cuyo caso actualizará esta Política y notificará a los titulares con antelación.

Sección 12. DATOS DE MENORES DE EDAD

LEVER está dirigido exclusivamente a personas humanas mayores de edad (18 años o más) o a personas jurídicas que actúan a través de representantes legales. El Responsable no recolecta datos personales de menores de edad de manera intencional. Si el Responsable tomara conocimiento de que ha recolectado datos de un menor sin el consentimiento de sus representantes legales, procederá a eliminar dicha información a la brevedad.

Sección 13. VIGENCIA Y CAMBIOS EN LA POLÍTICA

13.1. Esta Política entra en vigencia el 9 de julio de 2025 y se mantendrá vigente hasta su reemplazo por una versión actualizada.

13.2. El Responsable podrá modificar esta Política en cualquier momento para reflejar cambios normativos, modificaciones en la plataforma o en las finalidades del tratamiento. Las modificaciones sustanciales serán notificadas al Licenciatario mediante correo electrónico a la dirección registrada en la Cuenta, con al menos quince (15) días corridos de antelación a su entrada en vigencia.

13.3. La versión vigente de esta Política estará disponible en todo momento en lever.lat/privacidad (o la URL que el Responsable indique en dicho sitio).

13.4. El uso continuado de LEVER tras la entrada en vigencia de una nueva versión implicará la aceptación de la Política actualizada.

Sección 14. LEY APLICABLE Y JURISDICCIÓN

Esta Política se rige por la Ley N.° 25.326 de Protección de Datos Personales de la República Argentina, su Decreto Reglamentario N.° 1558/2001, y demás normativa concordante. Para cualquier controversia relativa a su interpretación o aplicación, las partes se someten a los Tribunales Ordinarios de la Ciudad Autónoma de Buenos Aires, sin perjuicio del derecho del titular de acudir ante la AAIP como autoridad de control.