Política de privacidad

El responsable del tratamiento de los datos personales es el operador del Servicio Llaneros. Para ejercer sus derechos o realizar cualquier consulta vinculada a la presente política, usted puede escribir a [email protected].

[Pendiente de revisión legal: razón social, CUIT, domicilio y número de inscripción AAIP como Responsable de Tratamiento.]

Para prestar el Servicio se recolectan exclusivamente los datos enumerados a continuación. No se recolectan datos no listados en esta sección. Cualquier ampliación futura se publicará con quince (15) días corridos de anticipación a su entrada en vigencia, conforme a la Sección 12.

Datos de identidad y de cuenta.

• SteamID64 obtenido mediante el flujo de Steam OpenID 2.0. Es el identificador primario del usuario en el Servicio.
• Identificador de Discord, en caso de que usted vincule voluntariamente su cuenta mediante el flujo de chat /link.
• Dirección de correo electrónico, ingresada voluntariamente en el panel de la cuenta.
• Nombre visible (display name) tomado de la Steam Web API.
• Idioma preferido del usuario (por defecto es-AR; alternativamente pt-BR).

Datos de facturación y de pago.

• Nombre y apellido, DNI o CUIT, y domicilio fiscal. Se ingresan al iniciar una compra y son requeridos por la normativa AFIP para emitir el comprobante fiscal.
• Identificador de pago MercadoPago, monto, moneda, método de pago, cantidad de cuotas y estado del pago. Llaneros no almacena los datos completos de su tarjeta de crédito o débito; éstos se procesan exclusivamente en la pasarela de MercadoPago.
• Identificador de cliente e identificador de suscripción provistos por MercadoPago para las suscripciones mensuales.

Datos técnicos y de comunidad.

• Dirección IP, agente de usuario y registros de acceso al sitio.
• Registros internos de despacho RCON, decisiones de rate-limit y resultados de auditoría operativa.
• Contenido del chat dentro del servidor de juego.
• Contenido de los canales públicos del Discord vinculado al Servicio, en la medida en que sean relevadas por el bot de operaciones rust-caretaker.
• Marca de baneo y registro de moderación cuando corresponda.

Datos que el Servicio no recolecta. El Servicio no almacena los datos completos de tarjetas de crédito o débito, ni datos biométricos, ni datos sensibles en el sentido del artículo 2 de la Ley 25.326 (origen racial o étnico, opiniones políticas, convicciones religiosas, datos referidos a la salud o a la vida sexual), salvo la mención explícita y voluntaria del titular en un canal de soporte, en cuyo caso se aplica el deber de confidencialidad reforzado del artículo 8. Tampoco se recolecta geolocalización precisa más allá de la inferida por la dirección IP a los fines antifraude.

Cada categoría de datos se trata exclusivamente para las finalidades enumeradas, bajo la base legal indicada conforme al artículo 5 de la Ley 25.326.

• Ejecución del contrato (art. 5 inc. 1 y art. 11 inc. 1.b): identificar al usuario, entregar los beneficios contratados dentro del servidor de juego, brindar soporte por los canales habilitados y enviar comunicaciones transaccionales (confirmación de pago, factura, recordatorio de vencimiento de suscripción).
• Obligación legal (art. 5 inc. 2.b): procesar el pago y emitir la factura electrónica conforme a la normativa AFIP, emitir Notas de Crédito en caso de devolución o contracargo, y dar cumplimiento a requerimientos judiciales o administrativos válidamente notificados.
• Interés legítimo (art. 5 inc. 2.c): prevenir fraude, abusos, contracargos abusivos y violaciones a los Términos del Servicio; moderar la comunidad y aplicar sanciones proporcionales para preservar la convivencia. El interés legítimo se ejerce con proporcionalidad y se limita a los datos estrictamente necesarios.
• Consentimiento del titular (art. 5 inc. 1): toda comunicación de marketing futura, si llegara a implementarse, requerirá el consentimiento previo, expreso e informado del titular en los términos del artículo 27, con opción de revocación visible en cada envío. Al momento de la publicación de esta política el Servicio no envía comunicaciones de marketing.

El Servicio no realiza decisiones automatizadas con efectos jurídicos sobre el titular en el sentido del artículo 20 de la Ley 25.326. El despacho automático de beneficios al servidor de juego luego de un pago aprobado constituye la ejecución del contrato, no una decisión sobre el titular. La eventual suspensión automática de la cuenta por contracargo confirmado es revisable por el operador antes de adquirir efectos definitivos.

El Servicio no vende, no alquila ni cede los datos personales a terceros con fines comerciales o publicitarios.

Los datos se conservan durante el plazo mínimo necesario para cumplir las finalidades indicadas, salvo obligación legal en contrario.

• Datos de facturación (nombre, DNI o CUIT, domicilio fiscal) y registros de pago: cinco (5) años contados desde el cierre del ejercicio fiscal, conforme a la normativa AFIP / ARCA aplicable a la emisión de Factura C.
• Intentos de pago rechazados: noventa (90) días, a los fines del monitoreo antifraude.
• Contenido de chat del servidor de juego y de Discord público: treinta (30) días corridos, conforme al principio de minimización del artículo 4 inciso 7 de la Ley 25.326.
• Registros de acceso web (IP, agente de usuario) y registros de despacho RCON: treinta (30) días, para operación y defensa frente a abuso.
• SteamID64, Discord ID y dirección de correo electrónico: durante la vigencia de la cuenta. Se eliminan o disocian al cierre de cuenta, o al desvincular Discord en el caso del identificador correspondiente.
• Marca de baneo y registro de moderación:indefinido, mientras subsista la sanción, por interés legítimo de seguridad de la comunidad.
• Memoria del agente operativo Hermes (bot rust-caretaker): no almacena PII del jugador. Los identificadores transitorios se eliminan al cierre de la sesión y las transcripciones indexadas se purgan a noventa (90) días.

Cumplido el plazo aplicable, los datos se eliminan de forma irreversible o, cuando una obligación legal coexistente lo impida (por ejemplo, los cinco años de retención AFIP), se disocian de la identidad del titular preservando únicamente el mínimo requerido por la norma fiscal.

Los datos personales se comparten exclusivamente con los proveedores y autoridades enumerados a continuación, en la medida estrictamente necesaria para cumplir las finalidades de la Sección 3.

• MercadoPago S.R.L. (Argentina): datos de pago, identificadores de transacción e importe, para el procesamiento del pago.
• Servicio de facturación electrónica facturar.blackasteroid.com.ar (integrado con ARCA, operado por el responsable): datos de facturación, importe y descripción del producto, para la emisión de Factura C y de Notas de Crédito.
• AFIP / ARCA: datos contenidos en el comprobante fiscal, en cumplimiento de la obligación tributaria.
• Proveedor de alojamiento de cómputo (Hetzner Online GmbH en el ambiente actual; OVH SAS o equivalente en producción): datos almacenados en el panel de control y en la base de datos de la tienda; identificadores de jugador y registros de actividad dentro del servidor.
• Cloudflare, Inc. (red global de borde): datos de tránsito (IP, agente de usuario, ruta solicitada) y registros de acceso, para defensa contra ataques de denegación de servicio, optimización de entrega y firewall de aplicaciones.
• Proveedor de almacenamiento de copias de seguridad cifradas (Backblaze Inc. o Amazon Web Services S.A.): recibe únicamente copias cifradas en origen de la base de datos, ilegibles sin la clave que mantiene el responsable.
• Autoridades judiciales o administrativas competentes: los datos materia de un requerimiento válidamente notificado, en cumplimiento de la obligación legal.

La ejecución del Servicio implica transferencias internacionales de datos personales hacia jurisdicciones fuera de la República Argentina, en los términos del artículo 12 de la Ley 25.326. Las transferencias se realizan con garantías de protección adecuadas, ya sea por estar el país de destino reconocido como adecuado por la AAIP, por la existencia de cláusulas contractuales aprobadas, o por la aplicación de medidas técnicas que disocien efectivamente el dato del titular.

• Alemania (Unión Europea): infraestructura de cómputo en el ambiente actual de pre-producción, operada por Hetzner Online GmbH. La Unión Europea es reconocida como jurisdicción adecuada conforme a la Disposición AAIP 60/2016 y normativa concordante; el proveedor suscribe contrato de procesamiento de datos.
• Brasil (São Paulo): infraestructura del servidor de juego de producción, operada por OVH SAS o proveedor equivalente. Brasil adhiere a la Lei Geral de Proteção de Dados (LGPD), que provee un nivel de protección sustancialmente equivalente al de la Ley 25.326.
• Estados Unidos (red global de borde): datos de tránsito y registros de acceso procesados por Cloudflare, Inc. al amparo de su contrato de procesamiento de datos con cláusulas contractuales tipo y del Data Privacy Framework UE-EE.UU., aplicado por equivalencia al titular argentino.
• Estados Unidos o Brasil (almacenamiento de copias de seguridad cifradas): las copias se cifran en origen, por lo que el proveedor no tiene acceso al contenido en claro. El cifrado en origen actúa como medida técnica de seudonimización.

El titular puede solicitar copia del contrato de transferencia internacional aplicable, conforme al artículo 12 inciso 2 de la Ley 25.326.

[Pendiente de revisión legal: confirmación del datacenter de producción y de la cláusula de transferencia internacional aplicable a cada destino.]

El titular de los datos tiene los derechos reconocidos por la Ley 25.326:

• Acceso (art. 14): obtener información sobre los datos personales suyos almacenados por el responsable, sus finalidades, los destinatarios y el origen.
• Rectificación (art. 16): solicitar la corrección de datos inexactos, incompletos o desactualizados.
• Actualización (art. 16): solicitar la incorporación de datos que reflejen su situación actual.
• Supresión (art. 16): solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad o cuando se hubieran tratado en infracción a la ley.
• Confidencialidad (art. 10): exigir que sus datos sean tratados con el deber de secreto profesional.
• Información sobre cesiones (art. 11): conocer los destinatarios de eventuales comunicaciones de sus datos.
• Reclamo ante la AAIP: presentar denuncia ante la Agencia de Acceso a la Información Pública en su carácter de órgano de control.

Plazo de respuesta. Las solicitudes de acceso se responden dentro de los diez (10) días corridos contados desde su recepción, conforme al artículo 14 inciso 2. Las solicitudes de rectificación, actualización o supresión se resuelven dentro de los cinco (5) días hábiles, conforme al artículo 16 inciso 2. Si la solicitud no pudiera ser atendida dentro del plazo legal, el responsable comunicará al titular las razones del retraso y el plazo estimado de resolución antes del vencimiento del término.

Canal de ejercicio. Las solicitudes deben dirigirse a [email protected] acompañadas de documentación que permita acreditar la identidad del titular. Se aceptan, alternativamente, una sesión activa de Steam OpenID en la tienda más confirmación por correo electrónico al casillero registrado, o comprobante de identidad (DNI, pasaporte o documento equivalente). Las solicitudes anónimas o que no permitan acreditar la identidad serán rechazadas mediante respuesta motivada con indicación de los pasos para su re-presentación.

Límites al derecho de supresión. Conforme al artículo 16 inciso 5 de la Ley 25.326, la supresión no procede cuando la conservación esté impuesta por una norma legal o cuando exista un interés legítimo prevaleciente. En particular:

• Los datos de facturación se conservan los cinco (5) años exigidos por la normativa AFIP, aun mediando solicitud de supresión, disociándose la identidad del titular respecto del cuerpo del comprobante en lo que la normativa fiscal permita.
• La marca de baneo y el registro de la sanción se conservan mientras subsista la sanción, por interés legítimo de seguridad de la comunidad.
• Cuando exista una investigación de fraude o contracargo en curso, la supresión queda diferida hasta el cierre de dicha investigación.

El responsable aplica medidas técnicas y organizativas razonables y proporcionales para proteger los datos personales contra accesos no autorizados, pérdidas, alteraciones o divulgación indebida:

• Cifrado en tránsito mediante TLS 1.2 o superior en todos los canales públicos.
• Cifrado en reposo de las copias de seguridad mediante clave gestionada exclusivamente por el responsable.
• Control de accesos por roles y autenticación reforzada para el personal autorizado.
• Registro de auditoría de las operaciones sensibles (emisión de factura, despacho de beneficio, baneo, supresión de datos).
• Enmascaramiento de identificadores de contacto en los registros operativos; las direcciones IP se conservan únicamente por el plazo necesario para la finalidad antifraude.
• Separación entre el ambiente del servidor de juego, la tienda web y el agente operativo, con credenciales rotables propias y sin reutilización de secretos.
• Revisión anual de la política de seguridad junto con el contador y, cuando corresponda, con el asesor legal.

Ningún sistema es absolutamente invulnerable. Frente a un incidente de seguridad que afecte datos personales, se activa el procedimiento descripto en la Sección 9.

En caso de detectarse un incidente de seguridad que afecte datos personales, el responsable notificará a la Agencia de Acceso a la Información Pública dentro de las setenta y dos (72) horas de tomar conocimiento del incidente, conforme a la Resolución AAIP 47/2018 y normativa concordante.

La notificación a la AAIP contendrá, como mínimo, la naturaleza del incidente, las categorías y el número aproximado de titulares afectados, las consecuencias probables, las medidas adoptadas para mitigarlo y un punto de contacto para consultas.

Cuando el incidente pudiera generar un alto riesgo para los derechos del titular, se le comunicará individualmente por el canal habilitado, en lenguaje claro, indicando las medidas que el propio titular puede adoptar para mitigar el riesgo (por ejemplo, rotación de contraseñas reutilizadas con otros servicios y vigilancia de comunicaciones sospechosas).

El Servicio utiliza únicamente cookies estrictamente necesarias para su prestación, en los términos del artículo 5 inciso 2.a de la Ley 25.326. Estas cookies se emplean para mantener la sesión del usuario autenticado mediante Steam OpenID, recordar la preferencia de idioma (es-AR o pt-BR) y mitigar fraude.

El Servicio no utiliza cookies de publicidad, perfilado comercial, retargeting ni rastreadores de terceros con finalidades publicitarias al momento de la publicación de esta política.

El Servicio está dirigido a usuarios mayores de dieciocho (18) años. No se solicita ni se acepta a sabiendas el tratamiento de datos personales de menores de edad sin el consentimiento del representante legal, conforme al artículo 7 de la Ley 26.061 y al artículo 4 de la Ley 25.326. Si un representante legal advierte que un menor a su cargo ha facilitado datos personales al Servicio, podrá solicitar la supresión inmediata por el canal indicado en la Sección 7.

La presente política puede ser modificada en cualquier momento. Cualquier cambio sustancial será comunicado en el sitio con al menos quince (15) días corridos de anticipación a su entrada en vigencia, sea mediante anuncio destacado en la portada de la tienda o mediante notificación al correo electrónico registrado por el titular. Los cambios meramente formales (corrección tipográfica, actualización de enlaces, precisión de la nomenclatura) podrán incorporarse de inmediato sin notificación previa.

El número de versión y la fecha de última actualización se publican en el encabezado y en el pie del documento.

Para ejercer los derechos previstos en la Sección 7, así como para cualquier consulta vinculada al tratamiento de datos personales, el titular puede dirigirse a [email protected]. La solicitud deberá acompañarse de la documentación necesaria para acreditar fehacientemente la identidad del titular.

Sin perjuicio de lo anterior, el titular puede formular un reclamo directamente ante la Agencia de Acceso a la Información Pública (AAIP), órgano de control de la Ley 25.326. La AAIP recibe denuncias a través de su sitio oficial en https://www.argentina.gob.ar/aaip y de sus mesas de entrada habilitadas en la Ciudad Autónoma de Buenos Aires.

[Pendiente de revisión legal: confirmación del canal de correo y del domicilio postal de notificaciones.]