Política de Privacidad
1. Disposiciones Generales
1.1. Objeto
1.1.1. La presente política establece el marco regulatorio para el tratamiento de datos personales en Betplay Argentina desde enero 2024.
1.1.2. El alcance abarca todas las operaciones realizadas en territorio argentino bajo la Ley 25.326.
1.1.3. Las disposiciones se actualizan trimestralmente mediante auditorías certificadas ISO 27001.
1.2. Marco Legal
1.2.1. Normativa principal: Ley 25.326 y Decreto 1558/2001.
1.2.2. Supervisión: Agencia de Acceso a la Información Pública (AAIP).
1.2.3. Estándares técnicos: ISO/IEC 27001:2013.
| Elemento | Especificación | Actualización |
| Ley 25.326 | Datos Personales | Enero 2024 |
| ISO 27001 | Seguridad | Trimestral |
| AAIP | Supervisión | Mensual |
2. Conceptos Básicos
2.1. Definiciones Fundamentales
2.1.1. Usuario: Persona física registrada en Betplay Argentina.
2.1.2. Datos Personales: Información vinculada a usuarios identificados.
2.1.3. Tratamiento: Operaciones automatizadas sobre datos personales.
2.2. Categorías de Datos
2.2.1. Datos de identificación:
- Nombre completo
- DNI/Pasaporte
- Dirección física
- Correo electrónico
- Teléfono
- Datos biométricos
3. Derechos y Obligaciones del Operador
3.1. Obligaciones Técnicas
3.1.1. Implementación de cifrado AES-256 en servidores argentinos.
3.1.2. Autenticación multifactor renovada cada 6 horas.
3.1.3. Respaldos incrementales cada 4 horas en centros Tier III.
3.2. Obligaciones Administrativas
3.2.1. Mantenimiento de registros durante 60 meses.
3.2.2. Capacitación semestral obligatoria del personal.
3.2.3. Actualización de protocolos cada 90 días.
| Proceso | Frecuencia | Responsable |
| Respaldo | 4 horas | Sistemas |
| Auditoría | 90 días | Seguridad |
| Capacitación | 180 días | RRHH |
4. Derechos y Obligaciones de los Interesados
4.1. Derechos Fundamentales
4.1.1. Acceso a datos personales en plazo máximo de 48 horas.
4.1.2. Rectificación de información inexacta en 72 horas.
4.1.3. Cancelación según artículo 16 de Ley 25.326.
4.2. Procedimientos de Ejercicio
4.2.1. Solicitudes mediante formulario digital certificado.
4.2.2. Verificación biométrica de identidad obligatoria.
4.2.3. Resolución documentada en 10 días hábiles.
5. Principios del Tratamiento
5.1. Principios Básicos
5.1.1. Minimización:
- Recolección datos esenciales
- Filtrado automático
- Validación de necesidad
- Revisión periódica
- Control de redundancia
5.2. Calidad de Datos
5.2.1. Verificación mensual de exactitud mediante cruce de bases.
5.2.2. Actualización automática de información desactualizada.
5.2.3. Eliminación programada de datos obsoletos.
6. Condiciones del Tratamiento
6.1. Requisitos Técnicos
6.1.1. Cifrado RSA-4096 para almacenamiento.
6.1.2. Tokenización PCI DSS nivel 1 para datos financieros.
6.1.3. Hash SHA-256 para credenciales de acceso.
| Medida | Tecnología | Renovación |
| Cifrado | RSA-4096 | Diaria |
| Tokens | PCI DSS | 24 horas |
| Hash | SHA-256 | Por sesión |
7. Procedimientos de Tratamiento
7.1. Recolección
7.1.1. Validación en tiempo real de documentos.
7.1.2. Verificación cruzada con bases oficiales.
7.1.3. Control de duplicidad mediante algoritmos propietarios.
7.2. Almacenamiento
7.2.1. Servidores principales en Buenos Aires.
7.2.2. Replicación en Córdoba y Mendoza.
7.2.3. Segregación por niveles de sensibilidad.
8. Confidencialidad
8.1. Medidas Organizativas
8.1.1. Acuerdos de confidencialidad:
- Empleados directos
- Proveedores externos
- Consultores temporales
- Personal tercerizado
- Auditores independientes
8.2. Control de Accesos
8.2.1. Autenticación por roles específicos.
8.2.2. Rotación de credenciales cada 30 días.
8.2.3. Registro detallado de cada operación.
9. Disposiciones Finales
9.1. Vigencia
9.1.1. Entrada en vigor: 1 de enero 2024.
9.1.2. Revisiones programadas trimestrales.
9.1.3. Actualizaciones según cambios normativos.
9.2. Jurisdicción
9.2.1. Tribunales competentes de Buenos Aires.
9.2.2. Mediación previa obligatoria documentada.
9.2.3. Plazos de resolución establecidos.
10. Gestión de Incidentes de Seguridad
10.1. Detección y Clasificación
10.1.1. Monitoreo automatizado 24/7 mediante SIEM.
10.1.2. Clasificación por niveles de severidad (1-5).
10.1.3. Activación de protocolos según impacto.
10.2. Respuesta
10.2.1. Tiempos de respuesta:
- Nivel 1 (Crítico): 15 minutos
- Nivel 2 (Alto): 1 hora
- Nivel 3 (Medio): 4 horas
- Nivel 4 (Bajo): 8 horas
- Nivel 5 (Informativo): 24 horas
11. Transferencias de Datos
11.1. Transferencias Nacionales
11.1.1. Protocolos de transmisión cifrada SSL/TLS 1.3.
11.1.2. Verificación de identidad del destinatario.
11.1.3. Registro en blockchain de cada transferencia.
11.2. Transferencias Internacionales
11.2.1. Autorización previa de AAIP obligatoria.
11.2.2. Evaluación del nivel de protección del país destino.
11.2.3. Contratos específicos con cláusulas modelo.
| Tipo Transferencia | Protocolo | Verificación |
| Nacional | SSL/TLS 1.3 | Inmediata |
| Internacional | VPN IPSec | 24 horas |
| Interna | MPLS | Tiempo real |
12. Auditoría y Control
12.1. Programa de Auditorías
12.1.1. Auditorías internas mensuales documentadas.
12.1.2. Evaluaciones externas trimestrales independientes.
12.1.3. Pruebas de penetración programadas bimensualmente.
12.2. Documentación
12.2.1. Sistema de gestión documental certificado.
12.2.2. Trazabilidad completa de modificaciones.
12.2.3. Conservación cifrada por 5 años.
13. Medidas Técnicas Específicas
13.1. Infraestructura
13.1.1. Centros de datos:
- Principal: Buenos Aires (Tier III)
- Secundario: Córdoba (Tier III)
- Respaldo: Mendoza (Tier II)
- DR Site: Santiago de Chile
- Edge: 5 ubicaciones provinciales
13.2. Seguridad Perimetral
13.2.1. Firewalls redundantes en configuración activo-activo.
13.2.2. IPS/IDS con actualización de firmas cada 4 horas.
13.2.3. Análisis de vulnerabilidades automatizado diario.
