Política de Privacidad

01 Responsable del tratamiento

El responsable del tratamiento de sus datos personales es:

Costrol SpA

RUT: [por completar] · Representante legal: [por completar]
Domicilio: Santiago, Chile
Email de contacto privacidad: [email protected]
Email soporte general: [email protected]

Esta Política de Privacidad aplica al sitio web costrol.cl, a la plataforma SaaS de Costrol y a todos los servicios relacionados (en adelante, el "Servicio").

🛡️

Costrol actúa como responsable del tratamiento de los datos de registro, uso y navegación. Para los datos financieros y bancarios cargados por el usuario, actúa como encargado del tratamiento, siendo el usuario el responsable de dichos datos.

02 Datos que recopilamos

Recopilamos distintos tipos de información según la interacción que tengas con el Servicio:

2.1 Datos que tú nos proporcionas directamente

Categoría	Datos específicos	Cuándo se recopila
Datos de identidad	Nombre, apellido, RUT (opcional)	Al registrarse
Datos de contacto	Email, teléfono (opcional)	Al registrarse o actualizar perfil
Datos de empresa	Nombre empresa, RUT empresa, giro, dirección	Al completar perfil o facturación
Credenciales	Contraseña (almacenada en hash bcrypt, nunca en texto plano)	Al registrarse
Datos de facturación	Información de tarjeta (procesada por pasarela certificada, no almacenada por Costrol), dirección de facturación	Al contratar plan de pago
Datos financieros de obras	Cartolas bancarias, movimientos, categorías, presupuestos, nombres de obras	Durante el uso del Servicio
Comunicaciones	Mensajes enviados a soporte, formularios de contacto	Al contactarnos

2.2 Datos que recopilamos automáticamente

Dato	Finalidad
Dirección IP	Seguridad, detección de fraude, geolocalización aproximada
User agent (navegador y SO)	Compatibilidad técnica y soporte
Páginas visitadas y tiempo de sesión	Análisis de uso para mejora del producto
Fecha y hora de acceso	Registro de actividad y auditoría de seguridad
Identificador de sesión	Autenticación y mantenimiento de sesión activa
Acciones en la plataforma (eventos)	Análisis de uso, mejora de UX, soporte técnico

ℹ️

Costrol nunca recopila datos de categorías especiales o sensibles como origen racial, salud, afiliación política, religión u orientación sexual.

03 Finalidades del tratamiento y bases legales

Tratamos tus datos personales únicamente para las siguientes finalidades, cada una con su base legal correspondiente conforme a la Ley N° 19.628:

Finalidad	Base legal
Prestación del Servicio contratado (crear cuenta, procesar cartolas, mostrar dashboard)	Ejecución del contrato (Términos de Uso)
Gestión de suscripciones, cobros y emisión de documentos tributarios	Ejecución del contrato + obligación legal (Ley SII)
Comunicaciones transaccionales (confirmaciones, alertas, soporte)	Ejecución del contrato
Seguridad del Servicio, prevención de fraude y abuso	Interés legítimo de Costrol
Mejora del producto mediante análisis estadístico anonimizado	Interés legítimo de Costrol
Envío de newsletter y comunicaciones de marketing	Consentimiento (opt-in explícito)
Cumplimiento de obligaciones legales y requerimientos de autoridades	Obligación legal

📧

Las comunicaciones de marketing son siempre opt-in. Puedes darte de baja en cualquier momento haciendo clic en el enlace "Cancelar suscripción" al pie de cualquier email comercial, o escribiendo a [email protected].

04 Compartición de datos con terceros

Costrol no vende, arrienda ni comercializa tus datos personales bajo ninguna circunstancia. Solo compartimos información en los siguientes casos limitados y necesarios para operar el Servicio:

4.1 Encargados del tratamiento (subprocesadores)

Utilizamos proveedores externos que actúan como encargados del tratamiento bajo instrucciones nuestras y que están obligados contractualmente a proteger tus datos:

☁️ Infraestructura cloud (AWS)

Almacenamiento de datos y cómputo. Datos almacenados en región us-east-1 con cifrado en reposo. Política AWS

💳 Pasarela de pagos (WebPay / Transbank)

Procesamiento de pagos con tarjeta. Costrol nunca almacena datos de tarjetas. Transbank está certificado PCI-DSS. Política Transbank

📧 Servicio de email transaccional

Envío de emails de confirmación, alertas y soporte. Solo reciben tu email y el contenido del mensaje específico.

📊 Analítica de producto (anonimizado)

Herramienta de análisis de uso de la plataforma. Los datos se transmiten sin información personal identificable (sin email, sin nombre, sin datos financieros).

4.2 Divulgación legal obligatoria

Podemos divulgar información personal cuando sea requerido por ley, orden judicial, o requerimiento de autoridad competente chilena (SII, PDI, Ministerio Público), siempre en la medida estrictamente necesaria y notificando al usuario cuando la ley lo permita.

4.3 Transmisión en caso de cambio corporativo

En caso de fusión, adquisición o venta de activos de Costrol, los datos de usuarios podrían transferirse al nuevo propietario, quien quedará obligado por esta Política. Notificaremos a los usuarios con al menos 30 días de anticipación.

05 Datos financieros y bancarios — protección especial

Los datos financieros que cargas en Costrol (cartolas bancarias, movimientos, presupuestos, costos de obras) merecen y reciben una protección especial:

Propiedad exclusiva del usuario: Estos datos te pertenecen a ti. Costrol es solo el custodio técnico que los procesa bajo tus instrucciones.
Acceso restringido al mínimo necesario: Solo el personal técnico estrictamente necesario para operar el Servicio puede acceder a los datos, bajo acuerdos de confidencialidad.
Sin análisis comercial: Costrol no analiza, agrega ni usa tus datos financieros con fines comerciales propios ni para ofrecerlos a terceros.
Sin uso para entrenamiento de IA externo: Los datos financieros no se usan para entrenar modelos de inteligencia artificial de terceros.
Aislamiento por tenant: Los datos de cada empresa/cuenta están lógicamente aislados de los de otras cuentas mediante arquitectura multi-tenant con control de acceso estricto.

🔒

Las cartolas bancarias procesadas se almacenan cifradas con AES-256. El acceso a los datos desencriptados requiere autenticación múltiple y queda registrado en logs de auditoría.

06 Períodos de retención de datos

Conservamos los datos personales únicamente durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados, según los siguientes plazos:

Tipo de dato	Período de retención	Razón
Datos de cuenta activa (perfil, configuración)	Mientras la cuenta esté activa	Prestación del Servicio
Datos financieros (cuenta activa)	Según límite del plan (6–∞ meses)	Prestación del Servicio
Datos financieros (post-cancelación)	90 días calendario	Exportación y portabilidad
Datos de facturación y documentos SII	6 años	Obligación legal tributaria
Logs de seguridad y auditoría	12 meses	Seguridad e investigación
Comunicaciones de soporte (emails)	3 años	Registro de servicio
Datos de analytics anonimizados	Indefinido (no son datos personales)	Mejora del producto
Copias de seguridad (backups)	90 días adicionales post-retención activa	Recuperación ante desastres

Al vencimiento del plazo de retención, los datos se eliminan de forma segura mediante sobreescritura o destrucción certificada de los medios de almacenamiento, según corresponda.

💾

Después de cancelar tu cuenta tienes 90 días para exportar todos tus datos desde el panel de configuración antes de que sean eliminados permanentemente.

07 Medidas de seguridad

Implementamos medidas técnicas y organizativas adecuadas al nivel de riesgo para proteger tus datos personales contra acceso no autorizado, pérdida, destrucción o divulgación:

7.1 Medidas técnicas

Cifrado en tránsito: TLS 1.3 en todas las comunicaciones entre el navegador y nuestros servidores. HTTP estricto (HSTS).
Cifrado en reposo: AES-256 para todos los datos almacenados en base de datos y objetos en storage.
Contraseñas: Almacenadas con hash bcrypt (cost factor 12). Jamás en texto plano.
2FA disponible: Autenticación de dos factores opcional para todos los usuarios (obligatoria para cuentas Enterprise).
Pruebas de seguridad: Auditorías de seguridad periódicas, análisis de vulnerabilidades y pruebas de penetración.
Monitoreo continuo: Sistemas de detección de intrusiones y alertas automáticas ante comportamientos anómalos.

7.2 Medidas organizativas

Acceso a datos de producción restringido al personal mínimo necesario, bajo principio de mínimo privilegio.
Acuerdos de confidencialidad con todo el personal y contratistas con acceso a datos.
Capacitación periódica en seguridad y privacidad de datos para el equipo.
Procedimiento documentado de respuesta ante brechas de seguridad.

7.3 Notificación de brechas

En caso de una brecha de seguridad que afecte datos personales, Costrol notificará a los usuarios afectados dentro de las 72 horas siguientes a tener conocimiento de la misma, detallando la naturaleza de la brecha, los datos afectados y las medidas adoptadas.

08 Cookies y tecnologías de rastreo

Costrol utiliza cookies y tecnologías similares (localStorage, sessionStorage) para el funcionamiento técnico y la mejora del Servicio. A continuación detallamos las cookies que utilizamos:

🍪

Costrol no usa cookies de publicidad ni comparte datos de comportamiento con redes publicitarias. No mostramos anuncios y no tenemos afiliados publicitarios.

Puedes controlar las cookies a través de Configuración → Privacidad dentro de la plataforma, o mediante la configuración de tu navegador. Ten en cuenta que desactivar cookies necesarias impedirá el uso del Servicio.

09 Derechos del titular de datos

De conformidad con la Ley N° 19.628 sobre Protección de la Vida Privada y la legislación aplicable, tienes los siguientes derechos respecto a tus datos personales:

👁️

Derecho de acceso

Puedes solicitar una copia de todos los datos personales que Costrol tiene sobre ti, incluyendo la información que has proporcionado y la generada automáticamente.

✏️

Derecho de rectificación

Puedes corregir datos personales inexactos o incompletos. Muchos datos puedes actualizarlos directamente en Configuración → Perfil.

🗑️

Derecho de supresión

Puedes solicitar la eliminación de tus datos personales. Ten en cuenta que algunos datos deben conservarse por obligaciones legales (ej. documentos SII).

📦

Derecho de portabilidad

Puedes exportar todos tus datos en formato CSV o JSON desde Configuración → Exportar datos, en cualquier momento mientras tu cuenta esté activa.

🚫

Derecho de oposición

Puedes oponerte al tratamiento de tus datos para fines de marketing o analítica. Esto no afecta el tratamiento necesario para prestar el Servicio.

⏸️

Derecho de limitación

Puedes solicitar que suspendamos el tratamiento de tus datos mientras se resuelve una reclamación sobre su exactitud o la licitud del tratamiento.

Cómo ejercer tus derechos

Para ejercer cualquiera de estos derechos, escribe a [email protected] indicando:

Tu nombre completo y email asociado a la cuenta.
El derecho que deseas ejercer.
Descripción específica de tu solicitud.

Responderemos dentro de los 30 días hábiles siguientes a la recepción de tu solicitud. En casos complejos, podemos ampliar este plazo otros 30 días, notificándote previamente.

📋

Si consideras que tu solicitud no fue atendida correctamente, puedes recurrir ante el Consejo para la Transparencia o los Tribunales de Justicia competentes de Chile.

10 Menores de edad

El Servicio de Costrol está dirigido exclusivamente a personas mayores de 18 años. No recopilamos intencionalmente datos personales de menores de edad.

Si tienes conocimiento de que un menor de 18 años ha creado una cuenta o nos ha proporcionado datos personales, notifícanos de inmediato a [email protected] y procederemos a eliminar dicha cuenta y sus datos asociados.

11 Transferencias internacionales de datos

Algunos de nuestros proveedores de infraestructura (como AWS) operan desde servidores ubicados fuera de Chile, principalmente en Estados Unidos. Estas transferencias se realizan con las siguientes salvaguardas:

Los proveedores están sujetos a cláusulas contractuales estándar que garantizan un nivel de protección equivalente al chileno.
AWS cuenta con certificaciones internacionales de seguridad (ISO 27001, SOC 2 Type II) y cumple con estándares equivalentes a los exigidos por la Ley 19.628.
Los datos financieros de obras se almacenan preferentemente en la región us-east-1 (Virginia, EE.UU.) bajo los estándares de seguridad descritos en la sección 7.

Al aceptar estos términos y usar el Servicio, consientes la transferencia de tus datos a estos países bajo las salvaguardas descritas.

12 Cambios a esta política

Podemos actualizar esta Política de Privacidad ocasionalmente para reflejar cambios en nuestras prácticas, en el Servicio o en la legislación aplicable.

Los cambios materiales serán notificados por email con al menos 30 días de anticipación.
Los cambios no materiales (correcciones de redacción, aclaraciones) se publicarán sin notificación previa.
La fecha de "Última actualización" al inicio del documento siempre refleja la versión vigente.
El uso continuado del Servicio después de la entrada en vigor de los cambios constituye aceptación de la nueva política.

El historial de versiones anteriores de esta política está disponible a solicitud enviando un email a [email protected].

13 Contacto sobre privacidad

Para cualquier consulta, solicitud o reclamación relacionada con esta Política de Privacidad o con el tratamiento de tus datos personales:

📧 Email de privacidad

[email protected] — Encargado de protección de datos. Tiempo de respuesta: hasta 5 días hábiles para acuse de recibo, hasta 30 días hábiles para resolución.

📧 Email legal

[email protected] — Para solicitudes legales formales, requerimientos de autoridades y comunicaciones jurídicas.

🌐 Formulario de contacto

costrol.cl/contacto — Para consultas generales sobre privacidad y protección de datos.

⚖️ Autoridad de control

Si no estás conforme con nuestra respuesta, puedes reclamar ante el Consejo para la Transparencia de Chile o ante los tribunales civiles competentes de Santiago.