Esta Política aplica a todos los datos personales que ARCO+ SPA trata en calidad de responsable, es decir, los datos de:

• Visitantes del sitio web arcoplus.cl.
• Personas que contactan a través de formularios o correo electrónico.
• Administradores de organizaciones suscritas (clientes que contratan el servicio y acceden al panel de administración).

No aplica a los datos personales que los clientes de ARCO+ tratan sobre sus propios titulares a través de la plataforma (respecto de esos datos, ARCO+ actúa como encargado y se rige por el Acuerdo de Tratamiento de Datos — Anexo A de los Términos y Condiciones).

Identidad del responsable: ARCO+ SPA (razón social y RUT definitivos se incorporarán en la versión comercial) | Contacto: privacidad@arcoplus.cl

Tratamos datos personales bajo las siguientes finalidades y bases legales:

a) Visitantes del sitio web

• Medir el tráfico y mejorar el sitio (analítica agregada) — Base: consentimiento (solo con cookies analíticas aceptadas).
• Seguridad y diagnóstico técnico — Base: interés legítimo.

b) Prospectos y contactos comerciales

• Responder consultas y coordinar demostraciones — Base: medidas precontractuales a petición del titular.
• Comunicaciones comerciales (si lo autorizas) — Base: consentimiento.

c) Administradores de organizaciones suscritas

• Crear y gestionar tu cuenta, autenticación y control de acceso — Base: ejecución del contrato.
• Facturación y emisión de documentos tributarios — Base: ejecución del contrato y obligación legal.
• Soporte técnico y atención al cliente — Base: ejecución del contrato.
• Registro de auditoría de acciones (seguridad del servicio) — Base: interés legítimo.
• Comunicaciones del servicio (cambios, incidencias, actualizaciones) — Base: ejecución del contrato.

Visitantes: IP anonimizada, páginas visitadas, fecha/hora, dispositivo/navegador (solo con consentimiento analítico).

Prospectos: nombre, email, empresa, cargo, contenido de consultas.

Administradores suscritos: nombre, email corporativo, cargo, contraseña (hash irrecuperable), organización, rol en la plataforma, datos de facturación (RUT empresa, razón social, dirección), historial de acciones en el panel.

No tratamos datos sensibles (salud, origen étnico, opiniones políticas, etc.) de nuestros clientes administradores. Los datos sensibles de titulares finales son responsabilidad exclusiva de cada organización suscrita.

Compartimos datos únicamente con proveedores de infraestructura que actúan como encargados bajo obligaciones contractuales de confidencialidad y seguridad:

• Google Cloud Platform — alojamiento del servicio (Cloud Run, Cloud SQL, GCS), región us-central1.
• Proveedor de email transaccional (SendGrid u otro SMTP) — envío de notificaciones del servicio.
• Sentry — registro de errores técnicos (sin datos personales identificables intencionalmente).

También podremos comunicar datos cuando sea exigido por ley o requerimiento de autoridad competente.

Los datos pueden ser tratados en EE.UU. (Google Cloud, Sentry). Para garantizar un nivel de protección adecuado, exigimos a estos proveedores cláusulas contractuales tipo equivalentes a las de la Unión Europea u otras salvaguardas reconocidas. Conforme a los reglamentos que emita la APDP bajo la Ley 21.719, actualizaremos estas garantías.

• Datos de cuenta: mientras dure el contrato + 5 años para obligaciones legales.
• Datos de facturación: 6 años desde la emisión del documento tributario (Código Tributario).
• Logs de auditoría: 2 años; 5 años si hay incidente de seguridad asociado.
• Datos de prospectos: 3 años desde último contacto; 1 año si no hay conversión.
• Datos analíticos: 14 meses en Google Analytics 4 (configuración de cuenta).

Transcurridos estos plazos, aplicamos eliminación segura o anonimización.

Puedes ejercer los siguientes derechos sobre tus datos personales escribiendo a privacidad@arcoplus.cl con tu nombre completo, tipo de derecho y descripción de tu solicitud:

• Acceso: conocer qué datos tratamos sobre ti.
• Rectificación: corregir datos inexactos o incompletos.
• Cancelación / Supresión: solicitar la eliminación de tus datos.
• Oposición: oponerte al tratamiento para finalidades específicas (ej. comunicaciones comerciales).
• Portabilidad (desde vigencia Ley 21.719, dic-2026): recibir tus datos en formato estructurado y de uso común.
• Bloqueo (desde vigencia Ley 21.719, dic-2026): suspender temporalmente el tratamiento mientras se resuelve una disputa.

Plazos de respuesta: 30 días corridos (prorrogables con justificación fundada). Para bloqueo: respuesta en 2 días hábiles con suspensión inmediata del tratamiento afectado.

Implementamos medidas técnicas y organizativas proporcionales al riesgo:

• Cifrado de contraseñas con bcrypt (12 rondas) — irrecuperables.
• HTTPS en todas las comunicaciones (HSTS con preload).
• Control de acceso basado en roles (RBAC) — nadie accede a más de lo necesario.
• Logs de auditoría de acciones en el panel.
• Rate limiting y protección ante ataques de fuerza bruta.
• Monitoreo de errores con Sentry.
• Backups automáticos de base de datos en Cloud SQL.

En caso de brecha de seguridad que afecte datos personales, notificaremos a los afectados y a la APDP dentro de los plazos exigidos por la Ley 21.719 (72 horas para la APDP; sin dilación indebida para los titulares).

Utilizamos cookies esenciales para el funcionamiento del servicio y, con tu consentimiento previo, cookies analíticas (Google Analytics 4). Puedes gestionar tus preferencias en cualquier momento desde el enlace «Gestionar cookies» en el pie de página, o consultar nuestra Política de Cookies para el detalle de cada cookie.

El sitio y el panel de administración no están dirigidos a menores de 18 años. Si identificamos que hemos tratado datos de un menor sin las autorizaciones pertinentes, tomaremos medidas para su eliminación inmediata.

Actualizaremos esta Política cuando cambien la normativa, nuestra infraestructura o nuestras prácticas de tratamiento. Publicaremos la versión vigente aquí con la fecha de actualización. Para cambios relevantes que afecten a clientes suscritos, notificaremos por email con al menos 30 días de anticipación.

Si estimas que no hemos atendido adecuadamente tus derechos, puedes recurrir a:

• Agencia de Protección de Datos Personales (APDP) — autoridad chilena competente bajo la Ley 21.719 (operativa desde dic-2026).
• Vías legales ordinarias — mientras la APDP no esté operativa, aplican los mecanismos previstos en la Ley 19.628 vigente.