Documento legal
Política de Privacidad
Última actualización: Mayo 2026
1. Marco Legal y Responsable del Tratamiento
Esta política se rige por la Ley 25.326 de Protección de Datos Personales y su Decreto Reglamentario 1558/2001, complementada por las normas de aplicación de la Agencia de Acceso a la Información Pública (AAIP), autoridad de aplicación en Argentina. Velora opera registrando sus bases de datos cuando corresponde y aplica los principios de calidad, finalidad, consentimiento, información, confidencialidad y seguridad establecidos en los arts. 4° a 10° de la Ley 25.326.
2. Datos que Recopilamos
| Categoría | Datos | Finalidad |
|---|---|---|
| Registro | Email, alias/usuario, teléfono, IP de registro, timestamp aceptación T&C/Privacidad | Autenticación, comunicaciones del servicio, prueba de consentimiento (art. 5° Ley 25.326) |
| Verificación KYC (solo anunciantes) | Documento de identidad oficial (DNI/pasaporte), selfie sosteniendo documento, video corto de presentación | Confirmar mayoría de edad, titularidad y consentimiento — obligatorio para cumplir Ley 26.842 (Trata) y art. 128 CP (protección de menores) |
| Publicación | Imágenes, videos, audios, descripción, datos de contacto que el anunciante decide mostrar públicamente | Mostrar el perfil en el directorio |
| Pago | Referencia de transacción, monto, gateway, fecha. No guardamos datos de tarjeta (los procesadores MP y NowPayments están certificados PCI-DSS) | Registro de suscripción, conciliación contable |
| Técnicos | IP, país, agente de usuario (browser/OS), cookies técnicas, logs de acceso | Seguridad, geobloqueo, prevención de fraude, debugging |
| Audit trail interno | Eventos de login, edición de publicación, aprobación/rechazo KYC, denuncias recibidas, IP asociada | Trazabilidad y prueba ante requerimiento judicial |
3. Base Legal del Tratamiento
Conforme al art. 5° Ley 25.326: consentimiento expreso del titular al aceptar Términos y Política al alta, manifestado mediante checkbox obligatorio con registro de timestamp e IP. Para datos sensibles (imágenes asociadas a datos de identidad), consentimiento informado adicional dentro del flujo de verificación KYC.
Bases legales subsidiarias aplicables: (a) ejecución del contrato de servicio publicitario; (b) cumplimiento de obligaciones legales — Ley 26.842 art. 30 (deber de cooperación), AFIP (obligaciones fiscales de retención documental), Ley 25.326 (registro y atención de derechos).
4. Tratamiento de Documentación de Identidad (KYC)
La documentación entregada en el proceso de verificación (DNI, selfie con DNI, video) recibe el tratamiento más estricto del sistema:
► Almacenamiento: bucket privado dedicado (identity-documents) en infraestructura cifrada at-rest (AES-256, gestión de claves a cargo del proveedor), separado del bucket público de fotos de perfil.
► Control de acceso: Row Level Security (RLS) per-user — el archivo es legible solamente por el usuario que lo subió y por el equipo de moderación interno con rol administrador. Las URL públicas no funcionan: cada visualización requiere una signed URL de corta expiración (≤1 hora) generada server-side previa autenticación.
► Transmisión: exclusivamente sobre HTTPS/TLS 1.2 o superior. Sin endpoints HTTP en producción.
► Acceso humano: el equipo de moderación accede únicamente para (i) verificación inicial al alta; (ii) re-verificación ante denuncia o patrón sospechoso; (iii) cooperación con autoridades ante requerimiento judicial formal. Cada acceso queda registrado en audit trail con admin_id, timestamp e IP.
► No se publica jamás: los archivos KYC nunca son visibles en el perfil público del anunciante, no aparecen en buscadores, no se usan para marketing, no se comparten con terceros comerciales.
► Servicios de terceros (Cloudinary, Supabase Storage): los proveedores de infraestructura son encargados de tratamiento en los términos del art. 25 Ley 25.326, vinculados por contrato con cláusulas de confidencialidad, seguridad y prohibición de uso secundario.
5. Almacenamiento y Seguridad General
Base de datos PostgreSQL con Row Level Security activado por tabla, cifrado TLS en tránsito, backups encriptados. Acceso al panel de administración con autenticación de dos factores (TOTP) obligatorio. Logs de acceso de admin retenidos durante el período legal aplicable. Auditorías de seguridad periódicas y respuesta a incidentes con notificación a AAIP cuando aplique según art. 12 Decreto 1558/2001.
6. Cooperación con Autoridades
VELORA ✦ coopera con autoridades argentinas y extranjeras ante requerimiento judicial debidamente notificado: oficio firmado, mandamiento, exhorto o requerimiento fiscal con identificación de causa, jurisdicción y autoridad emisora. Tiempo de respuesta garantizado: 48 horas hábiles.
La respuesta incluye los datos personales requeridos en los términos del art. 36 Ley 25.326 (cesión de datos a autoridad judicial, exceptuada del requisito de consentimiento) y la legislación procesal aplicable. No respondemos requerimientos informales (mensajes de redes sociales, llamadas, emails sin firma oficial): cualquier consulta seria debe canalizarse por vía formal.
Autoridades con las que VELORA ✦ tiene canal de cooperación habitual: Ministerios Públicos Fiscales (nacional y provinciales), UFETIPP (PROTEX), Comité Ejecutivo de Lucha contra la Trata (Ley 26.842), Direcciones de Cibercrimen, INTERPOL Argentina, Agencia de Acceso a la Información Pública (AAIP).
7. Retención de Datos
| Tipo | Retención | Justificación |
|---|---|---|
| Cuenta activa | Mientras esté activa | Ejecución del contrato |
| Datos post-baja | 90 días, luego eliminación | Reactivación / errores |
| Documentos KYC (DNI, selfie, video) | Hasta 1 año tras cierre de cuenta | Cumplimiento Ley 26.842 y AFIP |
| Registros contables y de pago | 10 años | Código Comercial / AFIP (RG 1361) |
| Audit trail de admin | 5 años | Trazabilidad ante requerimiento judicial |
| Datos cedidos por orden judicial | Mientras dure la causa | Cumplimiento procesal |
8. Derechos del Titular
Conforme a los arts. 14 a 16 Ley 25.326, sos titular de los siguientes derechos:
► Acceso: conocer qué datos tuyos tenemos, su origen, finalidad y cesiones realizadas. Gratuito a intervalo mínimo de 6 meses (art. 14).
► Rectificación: corregir datos inexactos o desactualizados.
► Supresión / derecho al olvido: eliminar datos personales cuando ya no sean necesarios, salvo retención por obligación legal (KYC + contable). Solicitable desde el panel del usuario o por mail.
► Oposición: rechazar tratamientos basados en interés legítimo.
► Portabilidad: recibir tus datos en formato estructurado (JSON/CSV).
Cómo ejercer: enviar email a [email protected] indicando alias de usuario y derecho que invocás. Respondemos en 10 días hábiles para acceso, 5 para rectificación/supresión (arts. 14.3 y 16.1 Ley 25.326). Sin costo. Si no recibís respuesta o no quedás conforme con la resolución, podés iniciar acción ante la AAIP (argentina.gob.ar/aaip) o reclamo judicial vía habeas data (art. 43 Constitución Nacional + arts. 33-46 Ley 25.326).
9. Cookies y Tecnologías de Tracking
Cookies técnicas (necesarias para autenticación y funcionamiento del sitio) y cookies analíticas internas para tráfico agregado. Sin cookies de publicidad de terceros. Sin píxeles de Facebook, Google Ads ni TikTok. Las cookies analíticas pueden desactivarse desde la configuración del navegador sin afectar la funcionalidad del sitio.
10. Menores de Edad
Prohibido para menores de 18 años — tanto para visitantes como para anunciantes. Si detectamos datos de un menor en cuenta o publicación, eliminamos de inmediato, notificamos a quien aportó los datos, y conservamos únicamente lo necesario para una eventual denuncia ante la SENAF (Línea 102) o ante la justicia competente. No realizamos perfilado, marketing ni recolección activa de datos de menores.
11. Transferencias Internacionales de Datos
La infraestructura técnica (Supabase, Cloudflare, Vercel, Cloudinary) opera con centros de datos fuera de Argentina, en jurisdicciones que aplican estándares de protección equivalentes o superiores a la Ley 25.326. Los proveedores son encargados de tratamiento en los términos del art. 25 Ley 25.326, vinculados por contrato con cláusulas de confidencialidad y seguridad.
Marco aplicable a transferencias internacionales: la Disposición AAIP 60-E/2016 reconoce niveles adecuados de protección en países como los Estados miembros de la Unión Europea, Reino Unido, Suiza, Canadá, Nueva Zelanda y otros — para esos destinos no se requiere autorización adicional. Para transferencias a países sin nivel adecuado, la transferencia se basa en consentimiento informado del titular + cláusulas contractuales tipo (Standard Contractual Clauses) que garanticen protección equivalente. El detalle de los proveedores y sus jurisdicciones está disponible bajo pedido a [email protected].
12. Notificación de Incidentes de Seguridad
Ante incidente de seguridad que comprometa datos personales (brecha, acceso no autorizado), notificamos a los titulares afectados sin demora indebida y reportamos a la AAIP cuando corresponda. Procedimiento alineado con buenas prácticas internacionales (GDPR art. 33-34).
13. Modificaciones
Cambios significativos se notifican por email a los usuarios registrados y mediante banner visible en el sitio. La versión vigente está siempre publicada en velora-argentina.com/privacidad con fecha de última actualización. El historial de versiones está disponible bajo pedido a [email protected].
Contactos de privacidad
Ejercicio de derechos (acceso, rectificación, supresión, oposición, portabilidad): [email protected]
Reclamos en sede administrativa: Agencia de Acceso a la Información Pública (AAIP)
Habeas data (art. 43 CN): vía judicial — asistencia legal a [email protected]
