Política de Privacidad — "Chequeo de Seguridad Web"
BORRADOR — requiere revisión de abogado/a habilitado/a antes de uso. Documento preparado por Carolina (compliance de datos, Arobilar/PROGITAL). No constituye asesoría legal formal. Flujo obligatorio antes de publicar: autor → Carolina → abogado/a humano/a → Mauricio → publicar.
Responsable del tratamiento: PROGITAL
Sitio: seguridad.progital.cl
Versión: v0.1 (borrador) — Fecha vigente: 2026-06-15
Contacto de datos: contacto@progital.cl (placeholder — se recomienda canal dedicado, p. ej. privacidad@progital.cl o datos@progital.cl)
⚠️ CAMPOS A COMPLETAR POR ABOGADO/MAURICIO: razón social, RUT, domicilio, y el correo de contacto de datos definitivo. Identificación del responsable: art. 1 letra a) Ley 19.628 (vigente en la transición) y deber de transparencia de la Ley 21.719.
Nota de vigencia (Carolina): Durante la transición rige la Ley 19.628 sobre Protección de la Vida Privada. La Ley 21.719, publicada el 13-12-2024, entra en vigencia plena el 1-12-2026 y crea la Agencia de Protección de Datos Personales con potestad sancionatoria (multas de hasta 20.000 UTM en infracciones gravísimas). Esta política se redacta ya conforme al estándar de la 21.719 porque la adecuación es ahora, no en 2026. Verificado por WebSearch el 2026-06-15. Confirmar con abogado/a la numeración de artículos definitiva de la 21.719 y el estado de su reglamento, que está en desarrollo.
1. Quiénes somos (responsable)
El responsable del tratamiento de tus datos personales es [COMPLETAR: razón social], RUT [COMPLETAR: RUT], domicilio en [COMPLETAR], en adelante "PROGITAL". Puedes contactarnos en materia de datos personales escribiendo a contacto@progital.cl (placeholder).
2. Qué datos recogemos
Al usar la Herramienta podemos tratar las siguientes categorías de datos:
| Dato | Cómo se obtiene | Carácter |
|---|---|---|
| Correo electrónico | Lo ingresas voluntariamente para recibir el informe en PDF | Dato personal identificador |
| Dirección IP del solicitante | Se registra automáticamente al usar la Herramienta | Dato personal |
| URL del sitio analizado | La ingresas tú | Dato; puede ser personal si el dominio identifica a una persona |
Resultado del análisis (resultado_json) | Lo genera la Herramienta | Dato; puede ser personal por asociación al titular del sitio |
| Datos de auditoría (fecha y hora, IP, URL, resultado) | Se registran automáticamente | Log de auditoría |
Nota legal (Carolina): Importante declarar que el resultado del análisis de un sitio de un tercero también puede ser dato personal de ese tercero (p. ej., si el dominio corresponde a una persona natural o a un profesional). No se recogen datos sensibles. No se solicita ni se requiere RUT en esta Herramienta.
3. Para qué usamos tus datos (finalidades) y con qué base de licitud
Bajo la Ley 21.719, todo tratamiento debe tener una base de licitud documentada por finalidad. En esta Herramienta:
| Finalidad | Dato(s) | Base de licitud |
|---|---|---|
| a) Ejecutar el análisis y mostrarte el resultado en pantalla | URL, IP, resultado | Tu solicitud / medida precontractual a petición del titular |
| b) Enviarte el informe detallado en PDF | Correo electrónico | Consentimiento del titular (libre, informado, específico, inequívoco) |
| c) Contacto comercial y marketing de PROGITAL (newsletter, ofertas de servicios) vía CRM/MailerLite | Correo electrónico | Consentimiento específico y separado del titular |
| d) Seguridad, prevención de abuso y trazabilidad (rate-limit, captcha, log de auditoría) | IP, URL, fecha/hora, resultado | Interés legítimo de PROGITAL, ponderado contra tus derechos |
| e) Cumplir obligaciones legales (responder a la autoridad, conservar prueba) | Según corresponda | Obligación legal |
Nota legal (Carolina) — DECISIÓN CLAVE: Las finalidades (b) y (c) deben pedirse como dos consentimientos SEPARADOS, no empaquetados. Recibir el informe (b) no puede condicionarse a aceptar marketing (c): si se obliga a aceptar marketing para recibir el PDF, el consentimiento deja de ser "libre" y se vicia. Ver el texto del campo de email en consentimiento-y-disclaimers.md (secciones B y C). El interés legítimo de la finalidad (d) es defendible para anti-abuso, pero no sirve para marketing (c), que siempre exige consentimiento. Confirmar con abogado/a la ponderación del interés legítimo y la redacción de los consentimientos separados.
4. A quién comunicamos tus datos (encargados de tratamiento)
PROGITAL utiliza proveedores que tratan datos por cuenta de PROGITAL ("encargados de tratamiento"). Con cada uno debe existir un acuerdo de encargo de tratamiento que los obligue a confidencialidad, seguridad y a tratar los datos solo según nuestras instrucciones:
| Encargado | Servicio | Dato tratado |
|---|---|---|
| MailerLite / CRM (confirmar proveedor) | Envío de correos y gestión de contactos | Correo electrónico |
| Proveedor de hosting (cPanel — confirmar proveedor) | Alojamiento de la aplicación y la base de datos | Todos los datos almacenados |
| [COMPLETAR: otros proveedores] (captcha, envío de PDF, analítica) | Según corresponda | Según corresponda |
No vendemos tus datos. No los comunicamos a terceros con fines distintos de los aquí declarados, salvo obligación legal o requerimiento de autoridad competente.
Nota legal (Carolina): La Ley 21.719 exige acuerdo de encargo de tratamiento con cada proveedor. MailerLite y muchos hosting alojan datos fuera de Chile: hay que verificar las transferencias internacionales de datos y su base habilitante. Esto es un punto del checklist (checklist-cumplimiento.md). Confirmar con abogado/a el régimen de transferencia internacional aplicable.
5. Por cuánto tiempo conservamos tus datos (retención)
| Categoría | Plazo de retención sugerido | Criterio |
|---|---|---|
| Correo electrónico (lead/marketing) | Mientras exista relación o hasta que revoques el consentimiento / pidas la baja | Consentimiento revocable |
| Log de auditoría (IP, URL, fecha, resultado) | [SUGERIDO: 12 meses] (confirmar) | Anti-abuso y trazabilidad razonable |
Resultado del análisis (resultado_json) | [SUGERIDO: 12 meses] o anonimización antes | Minimización |
Cumplido el plazo, los datos se eliminan o anonimizan mediante un mecanismo real y verificable.
Nota legal (Carolina): Los plazos son sugerencias de partida, no certezas: deben fijarse según necesidad real y proporcionalidad (principio de minimización, Ley 21.719) y dejarse por escrito en el registro de actividades de tratamiento. Conservar IPs indefinidamente no es proporcional. Confirmar con abogado/a los plazos definitivos y que exista mecanismo técnico de borrado (coordinar con Mateo/Rodrigo).
6. Tus derechos (ARCOP) y cómo ejercerlos
Como titular de los datos tienes derecho a:
- Acceso: saber qué datos tuyos tratamos y obtener una copia.
- Rectificación: corregir datos inexactos o desactualizados.
- Cancelación / supresión: pedir que eliminemos tus datos cuando proceda.
- Oposición: oponerte a un tratamiento, incluido el marketing.
- Portabilidad: recibir tus datos en un formato estructurado, de uso común y lectura mecánica.
- Bloqueo: pedir la suspensión temporal del tratamiento mientras se resuelve tu solicitud.
Cómo ejercerlos: escribiendo a contacto@progital.cl (placeholder), identificándote. Responderemos dentro del plazo legal. Si no estás conforme, podrás reclamar ante la Agencia de Protección de Datos Personales (una vez en funcionamiento).
Nota legal (Carolina): La Ley 21.719 sistematiza estos derechos (ARCOP + bloqueo) y obliga a tener un canal operativo con responsable y plazo —referencias de mercado y la práctica administrativa apuntan a un plazo del orden de 30 días corridos, prorrogables; el plazo exacto debe confirmarse en el texto legal/reglamento vigente. Un correo que nadie lee no es un canal. Confirmar con abogado/a el plazo de respuesta legal definitivo y designar un/a responsable interno/a de solicitudes.
7. Cómo protegemos tus datos (seguridad)
PROGITAL aplica medidas técnicas y organizativas razonables para proteger los datos contra acceso no autorizado, pérdida o alteración (entre otras, control de acceso, registro de auditoría y controles anti-abuso). Ninguna medida es infalible; en caso de brecha de seguridad que afecte datos personales, PROGITAL actuará conforme a la ley.
Nota legal (Carolina): La Ley 21.719 establece deber de notificación de brechas a la Agencia (y al titular cuando haya riesgo relevante), con un plazo que las fuentes ubican en torno a 72 horas. Esto conecta con Diego (seguridad): un hallazgo con datos personales pasa a tener reloj legal. No detallar aquí las medidas concretas para no revelar información explotable. Confirmar con abogado/a el procedimiento y plazo de notificación de brechas.
8. Cambios a esta política
Podemos actualizar esta política. Publicaremos la versión vigente en seguridad.progital.cl con su número de versión y fecha. Si un cambio es relevante para tratamientos basados en tu consentimiento, te lo informaremos y, cuando corresponda, pediremos un nuevo consentimiento.
Tabla: cláusula → norma que la respalda → riesgo si se omite
| Cláusula | Norma que la respalda | Riesgo si se omite |
|---|---|---|
| 1. Identificación del responsable | Art. 1 a) Ley 19.628; transparencia Ley 21.719 | Tratamiento sin responsable identificable; infracción |
| 3. Finalidades + base de licitud por finalidad | Bases de licitud Ley 21.719 (consentimiento, contrato, interés legítimo, obligación legal) | Tratamiento sin base = infracción sancionable por la Agencia |
| 3(b)(c) Consentimientos separados informe vs marketing | Consentimiento libre y específico, Ley 21.719 | Consentimiento viciado; baja de toda la lista; reclamo |
| 4. Encargados de tratamiento | Régimen de encargados Ley 21.719 | Comunicación de datos sin acuerdo = infracción |
| 4. Transferencia internacional (MailerLite/hosting) | Transferencia internacional Ley 21.719 | Transferencia sin base habilitante = infracción |
| 5. Retención y eliminación | Principios de finalidad y minimización Ley 21.719 | Conservación excesiva; falta de accountability |
| 6. Derechos ARCOP + canal | Derechos del titular Ley 21.719 | No poder ejercer derechos = infracción; reclamo a la Agencia |
| 7. Seguridad y notificación de brechas | Deber de seguridad y notificación de brechas Ley 21.719 | Sanción agravada por brecha no notificada |
Puntos que el/la abogado/a humano/a debe confirmar
- Razón social, RUT, domicilio y correo de contacto de datos definitivo (
[COMPLETAR]). - Numeración exacta de los artículos de la Ley 21.719 citados y estado de su reglamento.
- Consentimientos separados para informe (b) y para marketing (c) — no empaquetar, no condicionar.
- Base de interés legítimo para anti-abuso/log (finalidad d) y su ponderación documentada.
- Transferencia internacional de datos (MailerLite, hosting fuera de Chile) y su base habilitante.
- Plazos de retención definitivos por categoría y mecanismo real de borrado/anonimización.
- Plazo legal de respuesta a derechos ARCOP y designación de responsable interno.
- Procedimiento y plazo de notificación de brechas (coordinar con Diego).