POLÍTICA DE PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES — SISTEMA DE PAGO SAU ("SDP")
La presente Política de Privacidad y Protección de Datos Personales (la "Política") regula el tratamiento de los datos personales realizado por Sistema de Pago SAU ("SDP") en el marco de la provisión, operación, comercialización, administración, soporte y mejora de la billetera digital Taca Taca, sus funcionalidades, productos, canales y servicios asociados, conforme a la Ley N.° 25.326 de Protección de los Datos Personales, su reglamentación, normas complementarias y demás disposiciones aplicables en la República Argentina.
1. OBJETO
La presente Política tiene por objeto informar, en forma integral y suficiente, las condiciones de recolección, acceso, registro, organización, conservación, uso, cesión, comunicación, transferencia, bloqueo, anonimización, supresión y demás operaciones de tratamiento realizadas sobre datos personales de usuarios, potenciales usuarios, clientes, representantes, apoderados, autorizados y terceros vinculados a la relación con SDP, así como establecer las bases generales conforme a las cuales tales datos serán tratados.
2. RESPONSABLE DEL TRATAMIENTO
El responsable del tratamiento de los datos personales alcanzados por esta Política es Sistema de Pago SAU, con domicilio en Bartolomé Mitre 341, piso 6, Ciudad Autónoma de Buenos Aires, República Argentina, correo electrónico de contacto centrodeseguridad@taca-taca.com.ar, quien actuará como responsable de las bases de datos personales que administre en el marco de sus actividades y servicios.
3. ÁMBITO DE APLICACIÓN
La presente Política resulta aplicable a todo tratamiento de datos personales efectuado por SDP por cualquier medio, soporte o canal, incluyendo, sin limitación, los siguientes:
• sitio web www.taca-taca.com.ar y demás sitios, micrositios o páginas bajo su control;
• aplicación móvil, portales de autogestión, interfaces, herramientas y desarrollos digitales puestos a disposición de los usuarios;
• canales oficiales en redes sociales, plataformas de mensajería, asistencia, atención y comunicación institucional;
• interacciones telefónicas, electrónicas, presenciales, documentales o contractuales con SDP;
• procedimientos de alta, validación, autenticación, soporte, prevención de fraude, campañas, promociones, atención de reclamos, monitoreo y mejora continua del servicio; y
• vínculos con proveedores, aliados comerciales, emisores, adquirentes, procesadores, validadores, prestadores tecnológicos y demás terceros que intervengan legítimamente en la prestación o soporte de los servicios.
El acceso, registro, uso o interacción con los servicios y canales alcanzados por la presente Política importa el conocimiento de sus términos. Cuando la normativa aplicable exija consentimiento, el mismo será recabado de manera previa, expresa e informada por los medios que SDP estime idóneos.
4. PRINCIPIOS APLICABLES AL TRATAMIENTO
El tratamiento de datos personales realizado por SDP se regirá, entre otros, por los principios de licitud, lealtad, transparencia, finalidad, calidad, proporcionalidad, minimización, exactitud, confidencialidad, seguridad y conservación limitada, en tanto resulten aplicables conforme a la normativa vigente.
5. CATEGORÍAS DE DATOS PERSONALES OBJETO DE TRATAMIENTO
Sin perjuicio de otras categorías que resulte necesario tratar con arreglo a la finalidad perseguida y a la normativa aplicable, SDP podrá recolectar y tratar las siguientes categorías de datos personales:
5.1. Datos identificatorios y de contacto
Nombre y apellido, tipo y número de documento, CUIT/CUIL/CDI, fecha de nacimiento, nacionalidad, domicilio, correo electrónico, número telefónico, firma, imagen del documento y demás datos necesarios para la identificación del titular y la prestación del servicio.
5.2. Datos económicos, impositivos, previsionales y laborales
Información previsional, laboral, impositiva, patrimonial, de ingresos, actividad, condición fiscal y cualquier otro antecedente necesario para el alta, la validación, el análisis, la prevención de fraude, el cumplimiento regulatorio o la evaluación de productos y servicios.
5.3. Datos transaccionales y operativos
Información relativa a operaciones, pagos, cobros, transferencias, acreditaciones, consumos, movimientos, horarios, frecuencia de uso, sesiones, accesos, logs y demás registros operativos vinculados con la utilización de los servicios o canales de SDP.
5.4. Datos técnicos y de navegación
Dirección IP, identificadores de dispositivo, tipo de dispositivo, sistema operativo, versión de la aplicación, idioma, navegador, eventos de uso, cookies, balizas web, registros técnicos y demás información generada por la navegación, interacción o utilización de plataformas digitales.
5.5. Datos de validación, autenticación e identificación
Datos y evidencias vinculados con procesos de alta, onboarding, validación documental, autenticación, prevención de suplantación y control de identidad, incluyendo registros fotográficos, capturas, video-selfie u otros medios habilitados por SDP o por terceros especializados que actúen por cuenta de SDP.
5.6. Datos obtenidos de terceros o fuentes externas
Datos provenientes de registros públicos, proveedores de información, burós de crédito, organismos de control, listas de sanciones, proveedores de prevención de fraude, partners y servicios que el usuario vincule a su cuenta, en la medida en que ello resulte necesario para la prestación, seguridad o cumplimiento regulatorio del servicio.
5.7. Datos opcionales derivados de permisos del dispositivo
Cuando el usuario habilite expresa y voluntariamente funcionalidades específicas, SDP podrá acceder a datos de ubicación, contactos del dispositivo, cámara, micrófono o biometría del dispositivo, exclusivamente para la prestación de la funcionalidad solicitada, la autenticación, la validación de identidad, la prevención de fraude, la seguridad del servicio o finalidades compatibles con la función habilitada.
La negativa a otorgar tales permisos no impedirá, en principio, el uso general del servicio, salvo en aquellos casos en que la funcionalidad dependa técnica y necesariamente de la autorización correspondiente.
5.8. Datos sensibles
En general, SDP no solicita ni trata deliberadamente datos sensibles en los términos de la legislación vigente, salvo cuando exista una base legal válida, una obligación normativa o una necesidad estrictamente vinculada con la finalidad perseguida y con las garantías reforzadas que resulten aplicables.
6. FINALIDADES DEL TRATAMIENTO
Los datos personales podrán ser tratados por SDP para las siguientes finalidades:
6.1. Prestación, habilitación y administración del servicio
• crear, habilitar, administrar y mantener la cuenta del usuario;
• verificar la identidad del titular;
• procesar pagos, cobros, transferencias, acreditaciones y demás operaciones;
• brindar soporte, responder consultas, gestionar reclamos y realizar gestiones administrativas;
• proteger el acceso a la cuenta y asegurar la continuidad y correcto funcionamiento del servicio; y
• emitir, administrar y soportar productos, instrumentos o funcionalidades asociadas.
6.2. Cumplimiento legal y regulatorio
• cumplir obligaciones relacionadas con prevención de fraude, prevención del lavado de activos y financiamiento del terrorismo, conocimiento del cliente y requerimientos de autoridades competentes;
• atender requerimientos administrativos, judiciales o regulatorios válidamente formulados;
• realizar auditorías, registraciones y actuaciones relacionadas con la defensa de derechos de SDP o de terceros; y
• cumplir obligaciones contables, fiscales, societarias, contractuales y regulatorias aplicables.
6.3. Seguridad, prevención de fraude y mejora del servicio
• detectar, prevenir e investigar actividades sospechosas, abusivas, fraudulentas, ilícitas o contrarias a los términos y condiciones aplicables;
• monitorear el uso de los servicios para proteger a usuarios, a SDP y a terceros;
• desarrollar, optimizar, analizar y mejorar productos, funcionalidades, procesos internos y experiencia de usuario; y
• elaborar métricas, reportes, estadísticas y analítica interna, preferentemente sobre información agregada o anonimizada cuando ello resulte posible.
6.4. Comunicaciones operativas, comerciales y promocionales
SDP podrá remitir comunicaciones operativas, avisos de seguridad, alertas, confirmaciones, notificaciones relativas al servicio y, en los casos permitidos por la normativa aplicable, comunicaciones promocionales, publicitarias o de fidelización por correo electrónico, notificaciones push, SMS, mensajería, teléfono, redes sociales u otros medios equivalentes.
6.5. Funciones opcionales basadas en permisos del dispositivo
Cuando el usuario habilite determinadas funciones, SDP podrá utilizar datos de ubicación, contactos u otras capacidades del dispositivo exclusivamente para la funcionalidad solicitada o para reforzar la seguridad y trazabilidad de dicha funcionalidad.
7. BASE DE LEGITIMACIÓN DEL TRATAMIENTO
SDP tratará datos personales cuando ello resulte permitido por la normativa aplicable y, según corresponda, sobre la base de alguna de las siguientes circunstancias habilitantes:
• consentimiento previo, expreso e informado del titular, cuando sea legalmente requerido;
• necesidad del tratamiento para la ejecución de una relación precontractual o contractual solicitada por el titular;
• cumplimiento de obligaciones legales, regulatorias o requerimientos válidos emitidos por autoridades competentes;
• ejercicio regular de derechos por parte de SDP en sede administrativa, judicial o arbitral; y
• demás supuestos admitidos por la normativa aplicable.
Cuando el tratamiento se funde en el consentimiento, el titular podrá revocarlo en cualquier momento, sin efectos retroactivos y sin perjuicio de los tratamientos que deban continuar realizándose por existencia de otra base legítima o por cumplimiento de obligaciones legales o contractuales vigentes.
8. ORIGEN DE LOS DATOS
Los datos personales objeto de tratamiento podrán ser obtenidos:
• directamente del titular, al registrarse, completar formularios, utilizar los servicios o interactuar con SDP;
• desde el dispositivo o navegador utilizado para acceder a los servicios;
• de terceros autorizados por el titular;
• de proveedores, aliados, validadores o partners que intervengan en la operación del servicio;
• de registros o bases públicas, fuentes de acceso público irrestricto y otras fuentes legalmente habilitadas; y
• de autoridades u organismos públicos o privados, cuando exista obligación o habilitación legal.
9. DESTINATARIOS Y CATEGORÍAS DE TERCEROS CON ACCESO A DATOS
SDP podrá compartir datos personales, en la medida necesaria para las finalidades indicadas en esta Política, con las siguientes categorías de destinatarios:
• proveedores tecnológicos e infraestructura, incluyendo servicios de hosting, nube, almacenamiento, desarrollo, soporte, monitoreo, mensajería, atención al cliente y ciberseguridad;
• proveedores de validación, onboarding, autenticación, scoring, prevención de fraude o verificación documental;
• emisores, procesadores, adquirentes, marcas, redes y otros participantes del ecosistema de pagos;
• auditores, asesores y estudios profesionales, sujetos a obligaciones de confidencialidad;
• sociedades controlantes, controladas o vinculadas, para fines administrativos internos, soporte, cumplimiento, gestión de riesgos, auditoría o prevención de fraude;
• autoridades administrativas, judiciales o regulatorias, cuando exista obligación legal o requerimiento válido; y
• potenciales compradores, inversores, cesionarios o sucesores, en procesos societarios tales como reorganizaciones, fusiones, escisiones o ventas de activos, sujetos a deberes de confidencialidad y continuidad de protección.
SDP procurará que los terceros que actúen por su cuenta asuman obligaciones de confidencialidad, seguridad y tratamiento de datos de conformidad con instrucciones documentadas y con la normativa aplicable.
10. TRANSFERENCIAS INTERNACIONALES DE DATOS
En determinados supuestos, los datos personales podrán ser almacenados o resultar accesibles desde otras jurisdicciones por parte de proveedores o entidades vinculadas. Cuando ello ocurra, SDP adoptará las salvaguardas, mecanismos jurídicos y medidas de seguridad que resulten pertinentes conforme a la legislación vigente, incluyendo instrumentos idóneos y compromisos contractuales acordes con el artículo 12 de la Ley N.° 25.326 y su normativa complementaria.
11. COMUNICACIONES COMERCIALES Y PREFERENCIAS DEL TITULAR
El titular podrá, en cualquier momento, solicitar la interrupción de comunicaciones promocionales, revocar el consentimiento otorgado a fines comerciales u oponerse al tratamiento de datos con fines de marketing directo en la medida legalmente procedente. La baja de comunicaciones promocionales no afectará el envío de notificaciones operativas, de seguridad, legales o vinculadas con la administración de la cuenta y del servicio.
12. CONSERVACIÓN DE LOS DATOS PERSONALES
Los datos personales serán conservados únicamente durante el tiempo necesario para cumplir la finalidad para la cual fueron recolectados y por el plazo exigido o permitido por la normativa aplicable, los requerimientos regulatorios, la prevención de fraude, la auditoría, la defensa en juicio y la protección de derechos de SDP o de terceros. A título enunciativo, podrán observarse los siguientes criterios generales de conservación:
• datos de alta, validación y legajo: mientras exista la relación y por el tiempo necesario para acreditar el alta y el cumplimiento regulatorio;
• datos transaccionales, registrales, contables e impositivos: por los plazos legales y regulatorios aplicables;
• logs, evidencias técnicas y datos de seguridad o fraude: por el tiempo necesario para prevenir, investigar y documentar incidentes o reclamos;
• datos utilizados con fines comerciales: hasta la oposición del titular, la revocación del consentimiento, el cese de la relación o la desaparición de la necesidad de tratamiento;
• datos de ubicación, contactos o permisos opcionales: mientras la funcionalidad respectiva permanezca activa y por el tiempo estrictamente necesario para su ejecución, seguridad y trazabilidad; y
• evidencias biométricas o de validación de identidad: por el tiempo necesario para completar y acreditar los procesos de identificación, seguridad o cumplimiento regulatorio.
Una vez finalizado el plazo de conservación aplicable, SDP podrá suprimir, anonimizar o bloquear los datos personales, según corresponda y conforme a la normativa vigente y a las necesidades de resguardo probatorio residual.
13. SEGURIDAD Y CONFIDENCIALIDAD
SDP implementará medidas técnicas, organizativas, administrativas y contractuales razonables y apropiadas para proteger los datos personales frente a accesos no autorizados, pérdida, divulgación, alteración, destrucción o uso indebido. Dichas medidas podrán incluir controles de acceso, autenticación, monitoreo, registro de eventos, resguardo, gestión segura de terceros, capacitación, confidencialidad y revisión periódica de controles.
El personal de SDP y los terceros que accedan a datos personales en el marco de una relación con SDP deberán guardar la debida confidencialidad y tratar la información únicamente conforme a las instrucciones recibidas y a las obligaciones contractuales y legales aplicables. Sin perjuicio de las medidas adoptadas, ningún sistema resulta absolutamente inmune a incidentes de seguridad.
14. DERECHOS DEL TITULAR DE LOS DATOS
El titular de los datos personales podrá ejercer los derechos reconocidos por la Ley N.° 25.326 y normas complementarias, incluyendo, entre otros, los siguientes:
• acceso a sus datos personales;
• rectificación y actualización de datos inexactos o desactualizados;
• supresión de datos, cuando corresponda;
• revocación del consentimiento, cuando el tratamiento se base en él; y
• oposición, en los supuestos legalmente procedentes.
El derecho de acceso podrá ser ejercido en forma gratuita en intervalos no inferiores a seis (6) meses, salvo que se acredite un interés legítimo al efecto. Para ejercer sus derechos, el titular deberá remitir su solicitud a centrodeseguridad@taca-taca.com.ar o al domicilio indicado en la presente Política, pudiendo SDP requerir información adicional razonable para validar la identidad del solicitante y prevenir accesos indebidos a datos de terceros.
La Agencia de Acceso a la Información Pública (AAIP), en su carácter de órgano de control de la Ley N.° 25.326, tiene la atribución de atender denuncias y reclamos vinculados con el incumplimiento de las normas sobre protección de datos personales.
15. EXACTITUD Y ACTUALIZACIÓN DE LA INFORMACIÓN
El titular declara que los datos proporcionados a SDP son completos y exactos, y asume el compromiso de mantenerlos actualizados. SDP podrá solicitar información o documentación adicional cuando resulte necesario verificar su vigencia, suficiencia o exactitud.
16. DATOS DE TERCEROS INFORMADOS POR EL USUARIO
Cuando el usuario proporcione datos personales de terceros, declara y garantiza que cuenta con autorización suficiente para comunicar dichos datos y que, cuando corresponda, ha informado a sus titulares sobre dicha comunicación y sobre las finalidades vinculadas con la operatoria respectiva. El usuario será responsable por la legitimidad, exactitud y actualidad de esos datos.
17. SITIOS, PLATAFORMAS O SERVICIOS DE TERCEROS
Los servicios de SDP pueden contener enlaces, integraciones o funcionalidades provistas por terceros. El acceso o uso de tales entornos se regirá por las políticas y condiciones de dichos terceros, respecto de las cuales SDP no ejerce control. Se recomienda al usuario revisar las políticas de privacidad de cada sitio, aplicación o servicio externo antes de suministrar información personal.
18. MODIFICACIONES DE LA POLÍTICA
SDP podrá modificar, actualizar o sustituir la presente Política a fin de reflejar cambios normativos, regulatorios, operativos, tecnológicos o comerciales. La versión vigente estará disponible en los canales oficiales de SDP con indicación de la fecha de última actualización. Cuando las modificaciones resulten sustanciales y la normativa aplicable así lo requiera o aconseje, SDP adoptará medidas razonables para informar tales cambios con antelación suficiente.
19. LEGISLACIÓN APLICABLE Y AUTORIDAD DE CONTROL
La presente Política se rige por la legislación de la República Argentina, en particular por la Ley N.° 25.326 de Protección de los Datos Personales, su reglamentación y normas complementarias. La autoridad de aplicación y órgano de control en materia de protección de datos personales es la Agencia de Acceso a la Información Pública (AAIP).
20. CONTACTO
Toda consulta, solicitud o reclamo vinculado con la presente Política o con el tratamiento de datos personales realizado por SDP podrá dirigirse a: Sistema de Pago SAU, Bartolomé Mitre 341, piso 6, Ciudad Autónoma de Buenos Aires, República Argentina. Correo electrónico: centrodeseguridad@taca-taca.com.ar.