El presente contrato regula el acceso y uso del servicio ARCO+ SPA («ARCO+» o «el Proveedor»), RUT e información registral a incorporar en la versión comercial definitiva, y la empresa o persona natural que contrata el servicio («el Cliente»).

Al registrar una cuenta o activar un plan de pago, el Cliente declara haber leído, comprendido y aceptado íntegramente estos Términos y el Anexo A (Acuerdo de Tratamiento de Datos).

Si el Cliente actúa en representación de una empresa, declara tener facultades suficientes para obligarla contractualmente.

ARCO+ es una plataforma SaaS («Software as a Service») que permite a organizaciones:

• Recibir, gestionar y responder solicitudes de derechos de datos personales (ARCO+: Acceso, Rectificación, Cancelación/Supresión, Oposición, Portabilidad, Bloqueo) de sus titulares, conforme a la Ley N° 21.719.
• Habilitar un portal público para que los titulares ejerzan sus derechos.
• Gestionar plazos, comunicaciones y documentación de cada solicitud.
• Llevar registro de actividades de tratamiento y otras obligaciones de cumplimiento normativo.

ARCO+ es una herramienta de soporte operativo, no asesoría legal. La conformidad normativa final depende de las políticas y controles que adopte cada organización. El Proveedor no garantiza que el uso del servicio, por sí solo, asegure el cumplimiento íntegro de la Ley 21.719 ni de ninguna otra normativa aplicable al Cliente.

a) Planes disponibles
ARCO+ ofrece planes de suscripción cuyos precios, límites (solicitudes mensuales, usuarios, organizaciones) y funcionalidades se detallan en la página de precios. Los planes y sus condiciones pueden modificarse con aviso previo de 30 días.

b) Período de prueba
Si ARCO+ ofrece un período de prueba gratuito, el Cliente podrá usar el servicio sin cargo durante el plazo indicado. Al término del período de prueba, el servicio se suspenderá salvo que el Cliente active un plan de pago.

c) Facturación
La suscripción se cobra de forma mensual o anual según el plan elegido. El pago se procesa mediante los medios habilitados por ARCO+ (tarjeta de crédito/débito, transferencia u otros). Se emitirá boleta o factura electrónica conforme a la normativa tributaria chilena. Las facturas se envían al correo de facturación registrado por el Cliente.

d) Impagos y suspensión
Si un cobro fracasa, ARCO+ intentará el cobro nuevamente y notificará al Cliente. Tras 7 días sin pago desde la notificación, el servicio puede suspenderse. Tras 30 días sin regularización, el contrato puede terminarse y los datos quedan sujetos al procedimiento de la Cláusula 13 y el Apartado A-10 del Anexo A.

e) Reembolsos
Los períodos ya facturados no son reembolsables, salvo que la suspensión del servicio sea imputable exclusivamente al Proveedor y supere las garantías de disponibilidad del plan contratado.

El Cliente es responsable de:

• Mantener la confidencialidad de sus credenciales de acceso.
• Designar y gestionar adecuadamente los usuarios administradores de su organización.
• Notificar a ARCO+ de inmediato ante cualquier uso no autorizado o sospecha de compromiso de cuenta, escribiendo a seguridad@arcoplus.cl.

ARCO+ no será responsable por pérdidas derivadas del uso no autorizado de credenciales del Cliente cuando éste no haya tomado las medidas de seguridad razonables o no haya notificado oportunamente el incidente.

El Proveedor se reserva el derecho de suspender o cerrar una cuenta si detecta actividad que incumpla estos Términos, previa notificación al Cliente salvo situaciones de urgencia por seguridad.

El Cliente se compromete a usar el servicio únicamente para fines lícitos y conforme a la normativa aplicable. Está expresamente prohibido:

• Usar ARCO+ para tratar datos personales sin contar con las bases legales exigidas por la Ley 21.719.
• Intentar acceder sin autorización a sistemas, datos de otros clientes o componentes de la infraestructura del Proveedor.
• Introducir malware, realizar ataques de denegación de servicio o cualquier actividad que perjudique la plataforma o a otros usuarios.
• Suplantar la identidad de titulares o de la autoridad regulatoria.
• Revender, sublicenciar o hacer uso comercial no autorizado del servicio.
• Tratar datos sensibles (salud, origen étnico, biométricos, etc.) sin haber adoptado las medidas de seguridad reforzadas exigidas por la Ley 21.719 y haberlas comunicado al Proveedor.

El incumplimiento de esta cláusula faculta al Proveedor a suspender el servicio de forma inmediata y, según la gravedad, a terminar el contrato sin derecho a reembolso.

ARCO+ y todos sus componentes (código, diseño, marca, documentación, algoritmos) son propiedad exclusiva de ARCO+ SPA o de sus licenciantes. El presente contrato no transfiere ningún derecho de propiedad intelectual al Cliente.

Se concede al Cliente una licencia no exclusiva, no transferible e intransferible para usar el servicio durante la vigencia del contrato y dentro de los límites del plan contratado.

Los datos ingresados por el Cliente y los datos personales de los titulares del Cliente son propiedad del Cliente; el Proveedor solo los trata por cuenta del Cliente conforme al Anexo A.

El Proveedor realizará esfuerzos comercialmente razonables para mantener el servicio disponible. Los planes de pago incluyen una disponibilidad objetivo indicada en la página de precios.

El Proveedor se reserva el derecho a realizar mantenimientos programados, notificando al Cliente con al menos 48 horas de antelación salvo que se trate de una intervención urgente de seguridad.

La disponibilidad no cubre interrupciones causadas por: (i) fuerza mayor; (ii) acciones del Cliente o de sus usuarios; (iii) proveedores de infraestructura fuera del control razonable del Proveedor.

En la máxima medida permitida por la legislación chilena:

• Daños excluidos: el Proveedor no será responsable por daños indirectos, incidentales, especiales o consecuenciales (lucro cesante, pérdida de datos, interrupción del negocio) derivados del uso o la imposibilidad de uso del servicio.
• Límite máximo: la responsabilidad total del Proveedor por cualquier reclamación no superará el monto pagado por el Cliente en los últimos 3 meses anteriores al hecho generador.
• Exclusión de garantías implícitas: el servicio se provee «tal cual» y el Proveedor no garantiza que sea ininterrumpido, libre de errores ni que cumpla requisitos específicos del Cliente más allá de lo expresamente pactado.

Estas limitaciones no aplican en casos de dolo o culpa grave del Proveedor, ni respecto a obligaciones imperativas establecidas en la Ley 21.719 u otras normas de orden público.

Ambas partes se obligan a mantener confidencial toda información que reciban de la otra parte y que no sea de dominio público, durante la vigencia del contrato y por 3 años desde su término. Esta obligación no aplica a información que: (i) sea de dominio público por causas ajenas a quien la recibe; (ii) deba divulgarse por requerimiento legal o de autoridad competente; (iii) sea conocida independientemente por la parte receptora sin incumplimiento de este contrato.

El tratamiento de datos personales que el Cliente ingrese a la plataforma (datos de los titulares de sus propias organizaciones) se rige por el Anexo A — Acuerdo de Tratamiento de Datos que forma parte integrante de estos Términos y que se detalla al final de este documento.

Los datos personales de los propios administradores del Cliente se rigen por la Política de Privacidad de ARCO+.

a) Vigencia: el contrato entra en vigor con la aceptación de estos Términos y se mantiene mientras el Cliente tenga una suscripción activa o una cuenta registrada.

b) Término por el Cliente: el Cliente puede cancelar su suscripción en cualquier momento desde el panel de administración o contactando a contacto@arcoplus.cl. La cancelación opera al término del período ya pagado.

c) Término por el Proveedor: el Proveedor puede terminar el contrato con 30 días de aviso sin expresión de causa, o de forma inmediata si el Cliente incumple materialmente estos Términos (especialmente el uso aceptable o las obligaciones de pago).

d) Efectos del término: al término del contrato, el Cliente tendrá 30 días para exportar sus datos conforme al Apartado A-10 del Anexo A. Transcurrido ese plazo, los datos serán suprimidos.

El Proveedor puede modificar estos Términos con aviso previo de al menos 30 días a los Clientes con suscripción activa. La notificación se realizará por email al contacto registrado y mediante aviso en el panel de administración.

Si el Cliente no acepta los cambios, puede terminar el contrato sin penalidad antes de que entren en vigor. El uso continuado del servicio tras la fecha de entrada en vigor constituye aceptación de los nuevos Términos.

Estos Términos se rigen por las leyes de la República de Chile, incluyendo la Ley N° 19.628 vigente y la Ley N° 21.719 desde su plena vigencia (1 de diciembre de 2026).

Para controversias derivadas de estos Términos, las partes se someten a la jurisdicción de los tribunales ordinarios de justicia con asiento en la ciudad de Santiago de Chile. Las partes podrán, de mutuo acuerdo, someter la controversia a mediación o arbitraje antes de acudir a los tribunales.

Para efectos del presente Anexo:

• Responsable: el Cliente suscrito, que decide los fines y medios del tratamiento de datos personales de sus titulares.
• Encargado: ARCO+ SPA, que trata datos personales por cuenta y bajo instrucción del Responsable.
• Titular: la persona natural cuyos datos son objeto de tratamiento a través del servicio.
• Datos Personales: cualquier información referida a personas naturales identificadas o identificables que el Responsable ingrese, cargue o genere en la plataforma.
• Brecha de Seguridad: todo evento que afecte la confidencialidad, integridad o disponibilidad de los Datos Personales.
• APDP: Agencia de Protección de Datos Personales de Chile.

Objeto del tratamiento: gestión de solicitudes ARCO+ de los titulares del Responsable, a través de la plataforma arcoplus.cl.

Naturaleza del tratamiento: recolección, almacenamiento, procesamiento, comunicación interna y supresión de datos de titulares que ejercen derechos ARCO+.

Tipos de datos tratados: identificación del titular (nombre, RUT/pasaporte, email, teléfono), datos de contacto, documentos adjuntos a solicitudes, historial de comunicaciones, y eventualmente datos sensibles si el titular los incluye en su solicitud.

Duración: la vigencia del contrato de servicio más el período de retención post-término indicado en A-10.

El Encargado tratará los Datos Personales exclusivamente siguiendo las instrucciones documentadas del Responsable, que se manifiestan a través de: (i) la configuración del panel de administración; (ii) instrucciones escritas por email o ticket; (iii) las presentes cláusulas.

El Encargado no utilizará los Datos Personales para fines propios (marketing, análisis de negocio propio, entrenamiento de modelos de IA ni venta a terceros). Solo podrá usar datos anonimizados y agregados para métricas internas de producto.

Si el Encargado considera que una instrucción puede infringir la Ley, lo comunicará al Responsable por escrito antes de ejecutarla.

Confidencialidad: el personal con acceso a Datos Personales está sujeto a deber contractual de confidencialidad y recibe capacitación básica en protección de datos.

Medidas técnicas de seguridad:

• TLS en todas las comunicaciones (HTTPS con HSTS).
• Cifrado de contraseñas con bcrypt (12 rondas) — irrecuperables.
• Control de acceso basado en roles (RBAC) con separación estricta entre tenants.
• Logs de auditoría de acciones en el panel.
• Copias de seguridad automáticas en Cloud SQL con prueba periódica de restauración.
• Rate limiting y protección ante ataques de fuerza bruta.
• Entornos separados para producción y desarrollo.

El Responsable autoriza expresamente al Encargado a subcontratar el tratamiento con los proveedores de infraestructura que actualmente se indican a continuación. El Encargado exige a cada subencargado obligaciones equivalentes a las del presente Anexo:

Subencargado	Función	País	Garantía
Google Cloud Platform	Infraestructura (Cloud Run, Cloud SQL, GCS)	EE.UU. (us-central1)	CCT equivalentes UE
SendGrid / SMTP	Emails transaccionales	EE.UU.	CCT equivalentes UE
Sentry	Error tracking (sin PII intencional)	EE.UU.	DPA Sentry / CCT

El Encargado notificará al Responsable con al menos 30 días de antelación cualquier cambio de subencargado. El Responsable puede objetar dentro de ese plazo con razones fundadas; si no objeta, se entiende aceptado.

Los datos pueden ser tratados en EE.UU. (Google Cloud Platform, Sentry, SendGrid). El Encargado garantiza que estas transferencias se realizan bajo cláusulas contractuales tipo equivalentes a las adoptadas por la Unión Europea u otras salvaguardas reconocidas. Conforme a los reglamentos que emita la APDP bajo la Ley 21.719, estas garantías serán actualizadas.

Si el Responsable debe realizar una Evaluación de Impacto en Protección de Datos para tratamientos soportados por ARCO+, el Encargado proporcionará la información técnica necesaria (flujos de datos, medidas de seguridad, subencargados) para completar dicha evaluación, en el plazo razonable acordado por las partes.

Ante una Brecha de Seguridad que afecte Datos Personales del Responsable, el Encargado notificará al Responsable dentro de las 24 horas desde que tenga conocimiento del incidente.

La notificación inicial incluirá: tipo de incidente, categorías y volumen aproximado de datos afectados, medidas de contención adoptadas, punto de contacto del Encargado, y estimación sobre la obligación de notificar a la APDP. La notificación puede ser parcial si no se dispone de toda la información; se complementará en un máximo de 48 horas adicionales.

El Encargado asistirá al Responsable en la preparación de la notificación a la APDP, que debe realizarse dentro de las 72 horas desde el conocimiento del incidente (art. 49 Ley 21.719).

El Encargado documentará internamente todos los incidentes de seguridad, incluyendo los de bajo riesgo.

La plataforma está diseñada para facilitar el ejercicio de los derechos ARCO+ de los titulares del Responsable, incluyendo: canal de recepción de solicitudes (Portal del Titular), herramientas de exportación (acceso y portabilidad), herramientas de supresión/anonimización, alertas de SLA y bitácora de cada solicitud.

La decisión sobre cómo resolver cada solicitud ARCO+ corresponde exclusivamente al Responsable. El Encargado provee las herramientas; el Responsable ejerce el criterio legal.

El Encargado pondrá a disposición del Responsable, a solicitud razonada y con preaviso de 30 días: documentación de medidas de seguridad, evidencia de formación del personal, lista actualizada de subencargados y registros de auditoría relevantes para el tratamiento del Responsable.

El Responsable puede realizar auditorías a su costo, directamente o mediante auditor externo bajo acuerdo de confidencialidad, sin interferir con la operación del servicio ni comprometer la seguridad de otros clientes. El Encargado puede cumplir esta obligación entregando certificaciones de terceros equivalentes (SOC 2, ISO 27001) en la medida que cubran el objeto auditado.

Dentro de los 30 días siguientes a la terminación del contrato, el Responsable puede elegir:

• Exportación: recibir todos sus datos en formato JSON o CSV (historial de solicitudes, documentos adjuntos).
• Supresión certificada: el Encargado suprime todos los Datos Personales de sus sistemas activos y de respaldo, y emite certificado de supresión.

Si el Responsable no ejerce ninguna opción dentro de ese plazo, el Encargado suprimirá los datos tras notificación con 15 días adicionales.

El Encargado podrá retener datos estrictamente necesarios para cumplir obligaciones legales propias (ej. facturación por el período tributario aplicable). Los datos eliminados de sistemas activos pueden persistir en copias de seguridad hasta 30 días adicionales en el ciclo ordinario de rotación.