Política de Privacidad y Protección de Datos Personales

‍

‍

INTRODUCCIÓN

‍

Bolsas y Mercados Argentinos S.A (BYMA) es la Bolsa de Valores de Argentina que combina de manera inteligente mercados y tecnología, para convertir la inversión en crecimiento y desarrollo, llevando a cabo además las funciones de Cámara Compensadora.

BYMA y sus empresas vinculadas brindan a los participantes del ecosistema los servicios para el listado, la negociación, el registro, la liquidación, la custodia con depósito central, el pago de acreencias, el acceso a tenencias, y otros servicios pre y post negociación.

En este marco, BYMA implementa acciones hacia el cumplimiento permanente del marco legal y regulatorio vigente, conformado principalmente por la Ley N° 26.831 de Mercado de Capitales, el Decreto Reglamentario N° 471/18 y las normas reglamentarias dictadas por la Comisión Nacional de Valores.

BYMA trabaja en el fortalecimiento interno en materia de Gobierno Corporativo conforme a recomendaciones internacionales. En consonancia con la Ley de Responsabilidad Penal Empresaria N° 27.401, lleva a cabo un Programa de Integridad, que cuenta con un Código de Conducta y Ética, que debe ser leído, entendido y cumplido por los miembros del Órgano de Administración y Fiscalización, empleados de BYMA, proveedores y demás sociedades controladas subsidiarias.

En línea con el compromiso asumido por BYMA desde su creación y que, continuamente se renueva y actualiza conforme a los más altos estándares en materia de Seguridad Informática, se publica la presente Política de Privacidad y Protección de Datos Personales (en adelante “la Política”), que establece las medidas técnicas y organizativas implementadas para proteger los datos personales que BYMA recolecta, trata, procesa y almacena.

Consideramos que la formación de todas las personas que forman parte de BYMA y la creación de una cultura ética duradera que llegue a todos los niveles dentro de BYMA, constituyen un elemento esencial.

Por ello, la Política trasciende los meros aspectos prácticos de prevención y control, y es para BYMA un objetivo de cultura corporativa que impregna dando valor y confiabilidad a la propia estructura.

‍

1. OBJETIVO

‍

El objetivo de la Política es asegurar la protección de la información de datos personales a lo largo de todo el ciclo de vida del dato desde su recolección y procesamiento hasta su conservación y destrucción.

El resguardo de los datos personales asentados en archivo, registro, base o banco de datos se realiza en cumplimiento con las normas dictadas por la Comisión Nacional de Valores y la Ley 25.326 de “Protección de Datos Personales” (en adelante “LPDP”) junto a sus normativas reglamentarias, así también como aquellas disposiciones internacionales de aplicación en la materia.

‍

2. ALCANCE

‍

La presente Política se aplica en todo el ámbito de BYMA y vinculadas (en adelante “BYMA”) en lo referente a la protección de los datos personales de sus colaboradores y de la totalidad de su ecosistema incluyendo clientes, vendor, colocadores, individuos, empresas y agentes miembros, como también cualquier individuo que se encuentre interesado en contratar con BYMA y brinde sus datos personales (en adelante “Titular”).

‍

3. GENERALIDADES Y DEFINICIONES

‍

• Archivo, registro, base o banco de datos: indistintamente: designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.

• Agencia de Acceso a la Información Pública: Ente público de contralor conforme a la normativa aplicable.

• Clientes: inversores; vendors; depositantes; depositarias; agentes miembros; emisores / Ag. Registro; organismos públicos; proveedores; otros mercados; cuentas bancarias y de inversiones; accionistas y comitentes.

• Datos personales: información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

• Datos sensibles: datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

• Ecosistema: conjunto de entidades que conforman la Infraestructura del Mercado de Capitales (mercados, proveedores de servicio y cualquier otra organización asociada).

• Responsable de archivo, registro, base o banco de datos: persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos.

• SIEM: solución de seguridad que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de tener la oportunidad de interrumpir las operaciones comerciales.

• Tratamiento de datos: operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos

personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

• Titular de los datos (en adelante “Titular”): toda persona física o jurídica con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la Política.

• Pentest: una prueba de penetración es una técnica de seguridad cibernética que las organizaciones utilizan para identificar, probar y resaltar vulnerabilidades en su postura de seguridad.

‍

4. CONSIDERACIONES GENERALES

‍

BYMA implementa todas las medidas necesarias para mantener la seguridad de la información que recaba, contemplando las medidas técnicas y organizativas internas necesarias para garantizar la seguridad y confidencialidad de los datos, situación contemplada en el “Marco de Resiliencia y Ciberseguridad”, la “Política de Seguridad Informática”, “Código de Conducta y Ética” y “Código de Uso Responsable de los Activos”.

Los datos personales que reciba BYMA de parte de sus clientes, colaboradores y proveedores será debidamente resguardada, por lo que no podrá comunicarse, modificarse o divulgarse públicamente, sino bajo las condiciones y en los casos que la legislación vigente lo establezca o autorice.

BYMA se compromete a emplear todos los medios técnicos y resguardos legales necesarios para asegurar la protección de los datos personales y la privacidad de los mismos bajo los principios de confianza y transparencia con sujeción a la legislación vigente.

‍

4.1. RECOLECCIÓN Y TRATAMIENTO DE DATOS PERSONALES

‍

BYMA recopila datos personales en los supuestos en los que el Titular presta su consentimiento exceptuando aquellos datos que se obtengan de fuentes de acceso público irrestricto o deriven de una relación contractual del Titular de los datos, y resulten necesarios para su desarrollo o cumplimiento.

BYMA recopila únicamente la información necesaria para el ejercicio de sus actividades, no solicitando información que sea incompatible con las mismas, ni que directa o indirectamente revele datos sensibles, salvo aquellos casos estrictamente necesarios para la confección de los correspondientes legajos y cuando se cuente con el consentimiento de los respectivos Titulares.

Toda la información y los Datos Personales ingresados por el Titular tienen carácter de declaración jurada. BYMA no se responsabiliza por la certeza de los datos personales provistos por los Titulares. Sin embargo, garantizará la exactitud de los datos recolectados. Los mismos se conservarán durante el tiempo necesario para cumplir los fines para los cuales fueron recabados, salvo que la ley exija conservarlos durante más tiempo.

BYMA en aquellas circunstancias que lo requieren y al firmar contratos con terceros, establece cláusulas que la autorizan de forma expresa a procesar los datos personales que recabe de los servicios informáticos, debiendo cumplir en todo momento las leyes aplicables en la materia adoptando las medidas de seguridad apropiadas y limitando el uso de los mismos a la finalidad para la cual fueron revelados. Al respecto, se declara que la responsabilidad de completitud, exactitud y calidad de los Datos Personales es responsabilidad de la parte que los origina, siendo ésta la que debe garantizar en todo momento al dueño de los datos personales, su derecho de acceso, modificación, rectificación y eliminación de los mismos.

‍

4.1.1. TRATAMIENTO DE DATOS PERSONALES POR CUENTA DE TERCEROS

‍

Ocasionalmente las empresas de BYMA pueden facilitarse determinados Datos Personales entre sí cuando ello fuere necesario para el cumplimiento de las finalidades establecidas anteriormente. Asimismo, en determinados casos BYMA puede comunicar Datos Personales a socios estratégicos que le provean productos o servicios, así como comunicárselos a terceros que realicen el tratamiento de datos en nombre de BYMA. Algunos de estos servicios podrán tener por objeto:

‍

✓ El trámite de pedidos de clientes, mejora de datos de sus clientes y atención al cliente.

✓ La protección ante bots y spam de nuestro sitio web y ciertas aplicaciones del negocio.

✓ El almacenamiento de datos.

‍

En caso de tratamiento o conservación de datos personales por cuenta de terceros, BYMA firmará con aquellos un contrato en el cual establezca que dicho tercero no podrá aplicarlos o utilizarlos con un fin distinto al que figure en el contrato de servicios, ni cederlos a un tercero.

En el caso de que la cesión o utilización de estos datos sean utilizados para una finalidad diferente, BYMA solicitará al Titular, con carácter previo, su consentimiento libre, expreso e informado.

El Titular entiende y acepta que, tanto BYMA como los proveedores de servicios externos que traten los Datos Personales por cuenta de BYMA, pueden almacenar y procesar la información recibida en servidores localizados fuera de la República Argentina únicamente a destinos que garanticen un nivel de protección adecuado conforme a la normativa aplicable en la materia. De realizarse transferencias a países que no hayan sido declarados

adecuados, se adoptarán las medidas de seguridad, contractuales y técnicas previstas por la normativa vigente para garantizar la protección de los datos personales.

Asimismo, BYMA informa la utilización de servicios reCAPTCHA por parte de terceros en ciertas aplicaciones del negocio con el fin de mejorar la seguridad, la experiencia de usuario y la protección contra actividades fraudulentas y maliciosas. Este servicio puede recopilar datos personales como dirección IP, comportamiento del usuario en el sitio, y otros datos técnicos. Dicho esto, el uso de reCAPTCHA está sujeto a la Política de Privacidad y los Términos de Servicio del Proveedor.

‍

4.2.FINALIDAD DEL TRATAMIENTO

‍

BYMA nunca utilizará los Datos Personales para fines distintos a los mencionados en la Política.

Dependiendo de la contratación de servicios o de los usos que el Titular haga en las páginas institucionales o aplicaciones del negocio, los Datos Personales recolectados serán utilizados por BYMA para una o varias de las siguientes finalidades, las que son descriptas de manera enunciativa:

‍

✓ Cumplir con las obligaciones contractuales o profesionales acordadas;

✓ Cumplir con las obligaciones legales y fiscales aplicables, tales como prevención de la corrupción, lavado de activos y financiamiento del terrorismo, o por otras razones relevantes de interés público;

✓ Gestionar las solicitudes de contacto (contactos comerciales, periodísticos, entre otros), consultas y denuncias realizadas por los Titulares;

✓ Permitir otras actividades y/o interacciones disponibles en el Sitio Web;

✓ Proteger el sitio web de spam y actividad maliciosa, identificar y bloquear bots, y mejorar la experiencia del usuario;

✓ Facilitar el tratamiento de datos por terceros, según lo establecido en la sección “5.1.1 Tratamiento de Datos Personales por Cuenta de Terceros”.

‍

4.3.CONSERVACIÓN Y DESTRUCCIÓN DE LA INFORMACIÓN

‍

BYMA almacena los datos personales hasta que se cumpla el período de prescripción legal por responsabilidades legales o contractuales posteriores que puedan a llegar a corresponder.

Se encuentra establecido un proceso para el proceso de destrucción de la información denominado “Destrucción de documentos y medios de almacenamiento de información” que incluye una planificación detallada que involucra la identificación de aquella que ha cumplido su ciclo de vida útil, la selección de métodos apropiados de destrucción según el tipo de medio (físico o digital), la verificación de la destrucción y la generación de un registro de todas las actividades de destrucción realizadas.

‍

4.4. INSCRIPCIÓN DE BASES DE DATOS

‍

En cumplimiento con las disposiciones de la LPDP y sus normativas reglamentarias, BYMA se encuentra debidamente inscripta como responsable de Bases de Datos ante la Agencia de Acceso a la Información Pública. Esta inscripción incluye las bases de datos que BYMA gestiona y que contienen información personal bajo su control.

‍

4.5.CONTROL DE ACCESOS

‍

El área Gestión de Identidades es responsable de restringir los accesos no autorizados a los sistemas de información, bases de datos y servicios de información de BYMA, mediante la implementación de medidas de seguridad que garanticen la autenticación y autorización adecuada de los usuarios.

El principal objetivo del área es supervisar, gestionar y proteger los activos de información y establecer lineamientos para garantizar que solo usuarios autorizados accedan a la información para la cual han sido autorizados, así como velar por el mantenimiento continuo del principio del mínimo privilegio.

Asimismo, se establecen controles de seguridad destinados a registrar y revisar los eventos y actividades críticas realizadas por los usuarios, con el fin de asegurar el cumplimiento de las políticas de seguridad. Esto se realiza a través del monitoreo continuo de las principales tecnologías empleadas en el procesamiento de la información, conforme a lo establecido en el Instructivo de "Monitoreo y control de eventos de seguridad", lo que permite una supervisión constante de las actividades en los sistemas críticos de BYMA.

‍

4.6. GESTIÓN DE VULNERABILIDADES

‍

La Gerencia de Seguridad Informática de BYMA ha implementado un proceso para la identificación, documentación, seguimiento y remediación de vulnerabilidades encontradas en los sistemas y aplicaciones, tanto nuevas como existentes. Este proceso incluye escaneos de vulnerabilidades y la realización periódica de pruebas de penetración con el objetivo de detectar posibles debilidades que pueden ser explotadas por actores maliciosos.

El proceso de gestión de vulnerabilidades no solo se limita a la identificación de las mismas, sino que también detalla las acciones correctivas necesarias para mitigar o eliminar los riesgos asociados. Además, se lleva un registro exhaustivo de todas las vulnerabilidades detectadas, las cuales son priorizadas según su criticidad y el potencial impacto sobre la infraestructura tecnológica de BYMA. Este registro, junto con el seguimiento continuo, garantiza que cada vulnerabilidad sea tratada de manera oportuna y adecuada.

El procedimiento específico, detallado en el documento “Gestión y Seguimiento de Vulnerabilidades (Pentest)”, establece los roles y responsabilidades de los equipos involucrados, la documentación del informe técnico de vulnerabilidades junto a su seguimiento, remediación y verificación de la solución. Asimismo, el proceso fomenta una cultura de mejora continua, donde los resultados obtenidos a partir de las pruebas de penetración son utilizados para fortalecer las políticas de seguridad existentes, garantizando una mayor resiliencia frente a amenazas futuras.

‍

4.7. INCIDENTES DE SEGURIDAD

‍

La Gerencia de Seguridad Informática de BYMA es responsable de establecer las directrices para la respuesta y gestión de incidentes de seguridad de la información, implementando procedimientos claros que incluyan mecanismos proactivos para detectar y reaccionar de manera ágil frente a diversos vectores de ataque. Esto permite no solo una rápida reacción ante incidentes, sino también la elaboración de planes de recuperación que contribuyen a mejorar la resiliencia organizacional. Los incidentes son debidamente documentados y resguardados, tanto para cumplir con los requerimientos legales como para futuras investigaciones, y se utilizan como insumos para la mejora continua de los sistemas de seguridad.

El Comité de Tecnología y Seguridad de la Información se encarga de implementar los canales y medios necesarios para que la Gerencia de Seguridad Informática reciba y gestione los reportes de incidentes y anomalías. Este Comité, además, supervisa las investigaciones y monitoreo de los incidentes relativos a la seguridad.

La Gerencia de Seguridad Informática es responsable del análisis y documentación de los incidentes reportados, así como de su comunicación a los propietarios de la información y al Comité de Tecnología y Seguridad de la Información.

El procedimiento específico, detallado en el documento “Procedimiento Operativo de Respuesta y Recuperación ante Ciberincidentes (RRCI)”, establece los roles y responsabilidades de los equipos involucrados, las acciones realizadas antes, durante y después del ciber incidente, así como los mecanismos de comunicación necesarios entre las distintas áreas de la organización.

Asimismo, el “Playbook - Respuesta ante Incidente Externo” establece el proceso en que debe realizarse una determinada acción rápida y detallada por parte del equipo CIRT-TRIAGE, Ingeniería de Seguridad, Gestión de Identidades y Comunicaciones, ante el ataque cibernético al ecosistema de BYMA.

‍

4.8. ENTORNOS DE DESARROLLO

‍

La Gerencia de Seguridad Informática de BYMA define pautas de seguridad y controles que deben aplicarse durante la adquisición o desarrollo de software, con el fin de mitigar los riesgos tanto internos como externos relacionados con accesos no autorizados y posibles pérdidas de datos. Estas medidas están diseñadas para asegurar que todas las aplicaciones desarrolladas o adquiridas cumplan con los más altos estándares de seguridad, reduciendo los riesgos asociados a vulnerabilidades en el software.

Durante todo el Ciclo de Vida de Desarrollo de Aplicaciones, se siguen los lineamientos generales establecidos en el documento “Lineamientos de Seguridad para Aplicaciones”. Este marco guía tanto a los equipos de desarrollo como a los responsables de seguridad en la implementación de controles específicos que garantizan la protección de la información desde las primeras etapas del desarrollo, hasta la puesta en producción y mantenimiento de las aplicaciones.

Asimismo, establece los controles y pautas que deben implementarse durante el ciclo de vida del desarrollo de software para garantizar la seguridad de las aplicaciones. Entre sus principales disposiciones, se destacan la auditoría y registro de eventos de seguridad, la gestión segura de configuraciones y sesiones de usuario, la encriptación de contraseñas y datos sensibles, y la adopción del principio de menor privilegio.

Asimismo, contempla la integración de las aplicaciones críticas de BYMA con sistemas de monitoreo y respuesta a incidentes (SIEM), el diseño seguro contra vulnerabilidades como ataques de denegación de servicio y errores de lógica de negocio, y la implementación de medidas de seguridad para el almacenamiento y la transferencia de información sensible, asegurando un enfoque de defensa en profundidad en cada fase del desarrollo.

‍

4.9. EJERCICIO DEL DERECHO DE ACCESO, RECTIFICACIÓN O SUPRESIÓN

‍

Los Titulares de los Datos tienen la facultad de ejercer el derecho de acceso a los mismos en forma gratuita, acreditando debidamente su identidad a tal efecto, a intervalos no inferiores a seis meses, salvo que se acredite un interés legítimo al efecto conforme lo establecido en el artículo 14, inciso 3 de la Ley No25.326. Asimismo, cuando correspondiere, los Titulares de los Datos tienen el derecho de ejercer los derechos de rectificación y supresión de los datos.

Para el ejercicio de los derechos, el Titular de los Datos deberá presentar una solicitud, ya sea de manera presencial o bien a distancia, por cualquiera de los siguientes medios: mensajería electrónica, carta documento y/o presentación escrita con firma certificada ante Banco o Escribano y/ o medio postal o telegráfico.

La solicitud deberá incluir: a) nombre y apellido; b) Original o copia autenticada de DNI o de documento válido legalmente equivalente que acredite identidad; c) Domicilio; d) Código Postal; e) Teléfono; f) E-mail; g) Especificación del tipo de derecho que se está ejerciendo: derecho de acceso, de supresión, de rectificación o actualización. Se deberá brindar una breve explicación de la razón de la solicitud; h) Medio a través del cual se desea obtener la información, la cual podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin, conforme el artículo 15.3 de la Ley 25326; i) firma hológrafa al final de la solicitud.

En caso de que la solicitud sea realizada vía mensajería electrónica se puede utilizar firma digital, si la tuviere.

‍

Según el medio elegido, la solicitud deberá realizarse a: 

‍

25 de Mayo 362 - Ciudad de Buenos Aires CP: C1002ABG

Teléfono: (54-11) 4316-6000

Mail: habeas_data@byma.com.ar

‍

Las direcciones de correo electrónico mencionadas sólo atenderán las solicitudes que tengan por objeto ejercitar los derechos regulados por la Ley 25.326 de Protección de Datos Personales.

La Agencia de Acceso a la Información Pública, en su carácter de Órgano de Control de la Ley N°25.326, tiene la atribución de atender las denuncias y reclamos que interpongan quienes resulten afectados en sus derechos por incumplimiento de las normas vigentes en materia de protección de datos personales.

‍

4.10. CONSENTIMIENTO PARA EL USO DE IMAGEN, VOZ Y NOMBRE DE COLABORADORES

‍

Durante el transcurso de la relación laboral, y con el objeto de promocionar iniciativas institucionales, productos, servicios y valores corporativos, BYMA podrá captar, utilizar y difundir la imagen, voz y/o nombre de sus colaboradores a través de distintos medios, tales como videos institucionales, fotografías, entrevistas, publicaciones internas o externas en redes sociales corporativas, sitio web, newsletters, presentaciones institucionales, entre otros.

La utilización de estos elementos se realizará exclusivamente con fines institucionales, comunicacionales o de promoción de la imagen de BYMA, y no tendrá fines comerciales directos, es decir, el material no será vendido ni cedido a terceros con fines de lucro. Esta

autorización será de carácter:

‍

✓ Voluntario y gratuito, sin generar compensaciones económicas.

✓ Ilimitado en el tiempo, manteniéndose vigente incluso después de la finalización de la relación laboral, salvo revocación expresa del consentimiento por parte del titular de los datos conforme lo previsto por la normativa vigente.

✓ Amplio en cuanto a medios y formatos, autorizando la reproducción, adaptación, comunicación pública, almacenamiento y distribución del material en cualquier soporte (digital, audiovisual, gráfico, etc.).

‍

El tratamiento de esta información personal se realizará en cumplimiento de la Ley N.o 25.326 de Protección de Datos Personales, su normativa complementaria y el artículo 53 del Código Civil y Comercial de la Nación. BYMA garantizará, en todos los casos, el respeto por la dignidad, la privacidad y la integridad del colaborador cuya imagen, voz o nombre sea utilizado.

‍

5. ANEXOS

‍

No contiene.

‍

6. DOCUMENTACIÓN REFERIDA

‍

✓ N-81000 - Marco de resiliencia y ciberseguridad – BYMA

✓ LCC-81000 - Código de Conducta y Ética - BYMA

✓ P-81006 - Política de uso de información privilegiada

✓ P-81000 - Política de seguridad de la información – BYMA

✓ N-59001 - Lineamientos de Seguridad para Aplicaciones

✓ PG-50007- Procedimiento operativo de respuesta y recuperación de ciberincidentes

✓ PG-59012- Gestión y Seguimiento de Vulnerabilidades – Pentest

✓ PG-36000- Gestión de solicitud de información sobre datos personales

✓ IT-62001 - Destrucción de documentos y medios de almacenamiento de información

✓ IT-62003 - Envío de documentación al archivo

✓ IT-59008- Monitoreo y control de eventos de seguridad

✓ PE-59017 - Playbook - Respuesta ante Incidente Externo

‍

CONTROL DE CAMBIOS

‍

Julio 2025 Versión inicial. Aprobado el día 04/07/2025 por Acta de Directorio N°25 del Comité de Tecnología.

‍