Argentina
Declaración de Privacidad
Declaración de Privacidad
Políticas de privacidad
Bay Treasure Caramel S.A.
Lineamientos Generales
La presente Política de Privacidad tiene como objetivo documentar el marco de cumplimiento que Bay Treasure Caramel S.A. (“BTC”) ha adoptado en relación con el tratamiento de datos personales, conforme a lo dispuesto por la Ley N° 25.326 de Protección de los Datos Personales, su Decreto Reglamentario N° 1558/2001, y las disposiciones, directrices y recomendaciones emitidas por la Agencia de Acceso a la Información Pública, en su carácter de autoridad de control.
Esta política aplica a todos los procesos y operaciones llevadas a cabo por BTC que involucre el tratamiento de datos personales, incluyendo aquellos realizados a través de las plataformas digitales, servicios presenciales, redes y sistemas de atención al cliente, así como por terceros proveedores .
Responsable del tratamiento
BTC, en su carácter de Proveedor de Servicios de Activos Virtuales, actúa como Responsable del Tratamiento de los Datos Personales, conforme a lo establecido en el artículo 2, inciso e) de la Ley N.º 25.326 de Protección de los Datos Personales. En tal calidad, le corresponde garantizar la adecuada gestión, resguardo y confidencialidad de los datos personales recolectados, cumpliendo con los principios, derechos y obligaciones previstos por la normativa vigente en la materia.
En su carácter de responsable, BTC asume la obligación legal y ética de garantizar el cumplimiento de los principios rectores del tratamiento de datos personales —licitud, finalidad, calidad, seguridad, confidencialidad, información, proporcionalidad y minimización— así como de asegurar que el tratamiento se realice bajo condiciones de legalidad, transparencia y control.
En línea con las mejores prácticas internacionales en materia de privacidad y protección de datos, BTC ha designado un Delegado de Protección de Datos Personales (DPO). Este delegado actúa como supervisor de la implementación de estas políticas, monitoreo del cumplimiento normativo en todos los niveles operativos, y a su vez, es el punto de contacto tanto para la Agencia de Acceso a la Información Pública como para los titulares de datos que deseen ejercer sus derechos.
El contacto institucional para el ejercicio de derechos o requerimientos regulatorios en materia de datos personales es el correo electrónico DPO@lemon.me, a través del cual se canalizan todas las consultas o presentaciones que correspondan.
Tipos de datos personales que recopilamos
1. Datos proporcionados al momento del registro
Datos identificatorios y de contacto: nombre y apellido, sexo, domicilio de residencia, dirección postal, número de teléfono, correo electrónico, nacionalidad, fecha de nacimiento, idioma, y documento de identidad.
Datos socioeconómicos: actividad laboral, profesión u ocupación, datos fiscales y tributarios.
Datos biométricos: patrón facial
2. Datos generados por el uso de la plataforma
Datos de contratación: productos y servicios contratados, condición del usuario como titular o autorizado, e información sobre inversiones realizadas y su evolución.
Datos financieros básicos: saldos actuales e históricos de productos y servicios, así como movimientos en cuentas, incluyendo tipo de operación, partes intervinientes, importe y concepto.
Datos de comunicaciones: registros de chats, correos electrónicos, llamadas y otros medios equivalentes en los que el usuario haya participado
Datos de navegación: fecha y hora de acceso a la plataforma, historial de navegación, clics en contenidos, ID del dispositivo, dirección IP, y aceptación o rechazo del uso de cookies.
Datos de localización: ubicación de comercios donde se efectúen consumos con la tarjeta y, en caso de autorización, datos de geolocalización del dispositivo móvil.
3. Datos derivados del análisis de su información
Datos obtenidos mediante modelos estadísticos: aplicamos algoritmos y modelos de análisis para detectar posibles fraudes, inferir hábitos de consumo y preferencias, cumplir con obligaciones normativas y optimizar la oferta de productos y servicios.
Datos de evaluación de riesgos: utilizamos mecanismos de scoring basados en los datos del usuario para analizar su capacidad de pago como paso previo a la oferta de determinados productos.
4. Datos obtenidos de fuentes públicas o externas
Datos de sistemas de información crediticia: resultados de consultas a bases reconocidas que brindan información sobre deudas, solvencia patrimonial y situación crediticia (tanto como deudor como acreedor).
Datos de organismos públicos: información proveniente de registros de acceso público relacionada con situaciones de deuda.
Datos sobre sanciones internacionales: información sobre personas incluidas en listas restrictivas en materia de sanciones económico-financieras, emitidas por organismos como Naciones Unidas, la Unión Europea, el Reino Unido, Estados Unidos, entre otros.
Datos demográficos: estadísticas asociadas a zonas geográficas, grupos etarios y sectores económicos, que se vinculan con su información personal para fines analíticos.
Datos sobre cargos públicos y vínculos societarios: información obtenida de fuentes de prestigio utilizadas para complementar el análisis de actividad e identificación del usuario.
Datos de redes sociales: información disponible en aquellas plataformas que usted haya vinculado expresamente o para las que haya otorgado autorización de consulta.
5.Datos obtenidos por transacciones en BLOCKCHAIN
Al momento de realizar una operación que involucre activos digitales, determinados datos personales o vinculados a la actividad del usuario quedarán registrados de forma permanente en la red blockchain correspondiente. Esta tecnología, por su diseño descentralizado e inmutable, conserva de manera pública y verificable la información esencial asociada a cada transacción.
Concretamente, cada operación deja asentada en la cadena de bloques la dirección de la wallet de origen, la dirección de la wallet de destino, el monto total transferido, así como la fecha y la hora exacta en que se llevó a cabo la transacción. Estos datos, aunque no siempre permiten identificar directamente al titular sin una actividad de vinculación posterior, constituyen información que puede resultar asociable a una persona física bajo ciertos contextos.
Una vez que dichos elementos han sido incorporados en un bloque y validados por la red, su alteración o eliminación resulta técnicamente inviable. Este carácter inmodificable es una de las propiedades centrales de la tecnología blockchain y, si bien ofrece altos estándares de integridad y transparencia, también representa un desafío respecto del ejercicio de determinados derechos vinculados a la protección de datos personales, como la rectificación o la supresión.
Finalidad y tratamiento de los datos recolectados
Bay Treasure Caramel lleva adelante el tratamiento de datos personales en el marco de su actividad operativa y regulada, con base en finalidades previamente determinadas, explícitas y legítimas.
El tratamiento de datos personales realizado por la empresa persigue, entre otros, los siguientes objetivos institucionales:
Verificar la identidad del usuario mediante mecanismos de autenticación, validación documental y, cuando corresponda, el uso de datos biométricos.
Demostrar el consentimiento otorgado por el titular, incluyendo el registro fehaciente de su manifestación voluntaria, específica e informada en las condiciones exigidas por la normativa vigente.
Realizar análisis de crédito, tanto previos como posteriores a la contratación, mediante el uso de modelos estadísticos y sistemas de evaluación de solvencia o capacidad de pago.
Identificar y prevenir fraudes operativos o documentales, mediante el monitoreo de conductas, patrones transaccionales y alertas internas, así como a través de integraciones con bases de datos externas.
Detectar y mitigar amenazas a la seguridad de la plataforma, tanto desde una perspectiva tecnológica como institucional, preservando la integridad de los sistemas, las operaciones y la información procesada.
Efectuar contactos publicitarios, promocionales o informativos, siempre que exista consentimiento expreso o habilitación legal, con el objetivo de comunicar novedades, beneficios, productos o servicios acordes al perfil del usuario.
Dar cumplimiento a la normativa vigente en materia de prevención de lavado de activos y financiamiento del terrorismo (PLA/FT), incluyendo procesos de identificación, monitoreo de operaciones inusuales y reportes ante la UIF.
Atender requisitorias judiciales o administrativas, garantizando la trazabilidad, integridad y disponibilidad de los datos ante eventuales solicitudes formales de autoridades competentes.
Personalizar, optimizar y mejorar los servicios y funcionalidades de la plataforma, mediante el análisis técnico de datos operativos, de navegación y de preferencias del usuario.
Analizar el comportamiento general de los usuarios con fines estadísticos, operativos, de gestión de riesgos o de mejora continua de la experiencia digital y la oferta de valor.
El uso de los datos personales fuera de las finalidades previamente establecidas está prohibido, salvo que se trate de una finalidad compatible debidamente evaluada en términos de riesgo legal, técnico y reputacional. En tales casos, deberá mediar revisión interna por las áreas de legales, cumplimiento o privacidad, y su documentación conforme a los estándares de trazabilidad de Bay Treasure Caramel
Este criterio aplica tanto al tratamiento realizado de forma directa por la empresa como a través de terceros proveedores, quienes deberán operar bajo instrucciones contractualmente determinadas y con adecuadas garantías de protección de datos.
Base jurídica del tratamiento
Las actividades de tratamiento se llevan a cabo con fundamento en diversas bases jurídicas, entre las cuales se encuentra el consentimiento informado y previo otorgado por el titular de los datos. También se respaldan en la ejecución de contratos suscriptos con dicho titular, así como en el cumplimiento de obligaciones legales que resulten aplicables, tales como las relacionadas con la prevención del lavado de activos o los requerimientos provenientes de organismos de control. Asimismo, el tratamiento puede apoyarse en el interés legítimo del responsable, siempre que dicho interés haya sido debidamente ponderado frente a los derechos y libertades del titular.
Transferencia de datos
Los datos personales pueden ser compartidos con distintas contrapartes, incluyendo entidades que forman parte del mismo grupo corporativo. Asimismo, podrán ser transferidos a proveedores que prestan servicios en nombre de la compañía, siempre bajo estrictos acuerdos contractuales que aseguren el cumplimiento de las obligaciones legales en materia de protección de datos. También se contempla la posibilidad de compartir datos con aliados comerciales, siempre que se haya dado cumplimiento a los requisitos normativos correspondientes. Además, los datos podrán ser comunicados a autoridades competentes cuando así lo exija la normativa aplicable. En los casos en que se efectúen transferencias internacionales de datos hacia jurisdicciones que no cuenten con un nivel adecuado de protección, se adoptarán cláusulas contractuales tipo y otras garantías apropiadas, conforme lo establece el marco legal vigente.
Conservación de los datos
Los datos personales son conservados durante el tiempo estrictamente necesario para cumplir con las finalidades para las cuales fueron recolectados, así como para dar respuesta a eventuales requerimientos de índole legal o contractual. Esta conservación se realiza conforme a los plazos de prescripción aplicables, que pueden ser de 2, 5 o 10 años, según el caso. Una vez vencidos dichos plazos y siempre que no exista una obligación legal de conservarlos por más tiempo, los datos son suprimidos o sometidos a un proceso de anonimización, de modo que ya no sea posible asociarlos con una persona identificada o identificable.
BTC adopta un enfoque integral en materia de seguridad de la información, implementando un conjunto de medidas técnicas y organizativas diseñadas para proteger los datos personales frente a riesgos como el acceso no autorizado, la pérdida, la alteración, el uso indebido o la divulgación no consentida.
Medidas de seguridad
Entre las medidas técnicas implementadas se destacan la encriptación de datos tanto en tránsito como en reposo, el establecimiento de controles de acceso basados en roles y niveles de privilegio, y mecanismos robustos de autenticación para el ingreso a los sistemas. Asimismo, BTC realiza un monitoreo permanente de vulnerabilidades y aplica protocolos de actualización y parches de seguridad para minimizar riesgos. La infraestructura tecnológica cuenta con respaldos periódicos (backups) y con segmentación de redes que limita la propagación de eventuales incidentes y mejora el control interno de los flujos de datos.
En cuanto a las medidas organizativas, la compañía promueve una cultura de seguridad mediante políticas internas, capacitaciones periódicas al personal, procedimientos de gestión de incidentes y auditorías regulares para verificar el cumplimiento de las normas establecidas. Se han establecido también planes de contingencia y protocolos de respuesta ante incidentes de seguridad, garantizando una actuación oportuna y eficaz en caso de eventos que comprometan la integridad o confidencialidad de los datos.
Ejercicio de derechos
Los titulares de datos personales tienen derecho a ejercer, en cualquier momento y de manera gratuita, los derechos reconocidos por la normativa aplicable en materia de protección de datos. Estos incluyen los derechos de acceso, rectificación, cancelación y oposición (conocidos como derechos ARCO), así como, en su caso, los derechos de limitación del tratamiento, portabilidad y revocación del consentimiento previamente otorgado.
Para ejercer cualquiera de estos derechos, el titular podrá comunicarse con el Delegado de Protección de Datos (DPO) a través del correo electrónico: DPO@lemon.me, indicando claramente la solicitud que desea realizar, junto con la información necesaria para acreditar su identidad y, en caso de representación, la documentación correspondiente.
Una vez recibida la solicitud, BTC evaluará el requerimiento conforme a los procedimientos internos y a los plazos legales previstos, garantizando una respuesta oportuna, transparente y completa. En caso de que se requiera información adicional para procesar el pedido, se le informará al titular en tiempo y forma.
Actualización de la política
La presente política de privacidad podrá ser modificada o actualizada por BTC en cualquier momento, con el fin de adaptarla a cambios normativos, mejoras en los procesos internos de tratamiento de datos, nuevas tecnologías o modificaciones en las finalidades originalmente informadas. Toda modificación sustancial será debidamente notificada a la autoridad de control competente, conforme lo exija la normativa vigente, y también será comunicada a los titulares de datos personales en aquellos casos en que resulte necesario obtener nuevamente su consentimiento o brindarles información relevante sobre el nuevo tratamiento. BTC se compromete a mantener a disposición de los usuarios la versión vigente de esta política a través de los canales habituales de comunicación.
Jurisdicción y ley aplicable
La interpretación, aplicación y cumplimiento de esta política se regirá por las leyes de la República Argentina. Cualquier controversia derivada del tratamiento de los datos personales o del alcance de la presente política será sometida a la jurisdicción de los Tribunales Nacionales Ordinarios con asiento en la Ciudad Autónoma de Buenos Aires, con renuncia expresa a cualquier otro fuero o jurisdicción que pudiera corresponder.
ANEXO
CONSENTIMIENTO INFORMADO
Por medio del presente, en mi carácter de TÍTULAR DE LOS DATOS presto mi CONSENTIMIENTO para que “BTC SA ”en su carácter de CESIONARIO confronte mis datos personales que se indican en párrafo siguiente con la base de datos del RENAPER, conforme a las especificaciones que a continuación se detallan:
DATOS AUTORIZADOS:
El presente consentimiento para el tratamiento de mis datos personales alcanza a los incluidos en mi Documento Nacional de Identidad (INCLUYENDO DATOS BIOMETRICOS DE HUELLA DACTILAR Y DE RECONOCIMIENTO FACIAL) en confronte con lo que informa el web service del REGISTRO NACIONAL DE LAS PERSONAS.
INFORMACIÓN SOBRE EL TRATAMIENTO:
1. Los datos serán tratados con la exclusiva finalidad de validar mi identidad y verificar la vigencia de mi Documento Nacional de Identidad para que se confronten los datos frente a la base de datos del “RENAPER” a los fines de verificar diferentes datos personales.
2. Los datos confrontados serán destruidos una vez verificada la validez del Documento Nacional de Identidad y validada la misma, no pudiendo ser almacenados.
3. Los datos son facilitados con carácter obligatorio, por cuanto es imprescindible identificar fehacientemente al titular, para asegurar el correcto proceso de identificación.
4. El titular de los datos podrá ejercer los derechos de acceso, rectificación y supresión de sus datos en cualquier momento y a su sola solicitud ante el RENAPER.
5. En cumplimiento de la Resolución AAIP Nº 14/2018, le hacemos saber que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, en su carácter de Órgano de Control de la Ley N° 25.326, tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos por incumplimiento de las normas vigentes en materia de protección de datos personales.
