Politica de Privacidad — Chile
Ultima actualizacion: 20 de mayo de 2026
1. Responsable del Tratamiento
cepaos LLC, sociedad de responsabilidad limitada constituida en el Estado de Wyoming, Estados Unidos, es responsable del tratamiento de los datos personales recopilados a traves de la plataforma cepaos ("la Plataforma").
- Correo de contacto: privacidad@cepaos.com
- Delegado de proteccion de datos: dpo@cepaos.com
Representante en la UE (Art. 27 RGPD): La designacion de un representante en la Union Europea conforme al articulo 27 del Reglamento General de Proteccion de Datos esta en proceso de formalizacion. Los datos de contacto definitivos se publicaran en un plazo maximo de 14 dias. Mientras tanto, las consultas sobre proteccion de datos de residentes de la UE pueden dirigirse a privacy@cepaos.com.
2. Datos Personales que Recopilamos
2.1 Datos Proporcionados por el Usuario
- Nombre completo y cargo
- Direccion de correo electronico
- Numero de telefono (opcional)
- Nombre de la organizacion, identificacion fiscal y domicilio
- Informacion de facturacion y metodos de pago (procesados por dLocalGo o Stripe segun mercado)
- Datos de perfil y preferencias de la cuenta
2.2 Datos Recopilados Automaticamente
- Direccion IP y datos de geolocalizacion aproximada
- Tipo de navegador y sistema operativo
- Paginas visitadas, tiempo de permanencia y flujos de navegacion
- Identificadores de dispositivo y cookies (ver Politica de Cookies)
- Registros de acceso y logs de seguridad
2.3 Datos de la Organizacion
El Usuario puede ingresar datos operativos de su organizacion (inventarios, lotes, procesos productivos, datos comerciales). Estos datos se tratan conforme a los Terminos y Condiciones y al Acuerdo Marco de Servicios aplicable. cepaos trata dichos datos como informacion confidencial del Cliente.
3. Bases Legales del Tratamiento
Tratamos datos personales sobre las siguientes bases legales:
- Ejecucion contractual: para prestar el servicio contratado y gestionar la cuenta del Usuario.
- Consentimiento: para comunicaciones de marketing, analitica no esencial y cookies opcionales. El consentimiento puede retirarse en cualquier momento.
- Interes legitimo: para mejorar la seguridad de la plataforma, prevenir fraudes y generar analitica agregada.
- Obligacion legal: para cumplir con obligaciones fiscales, registros contables y requerimientos de autoridades competentes.
4. Finalidades del Tratamiento
- Prestar y mantener el servicio de la Plataforma
- Gestionar la cuenta, autenticacion y control de accesos
- Procesar pagos y facturacion
- Enviar notificaciones operativas y de seguridad
- Proporcionar soporte tecnico al Usuario
- Mejorar la Plataforma mediante analitica agregada y anonimizada
- Cumplir con obligaciones legales y regulatorias
- Prevenir fraudes y garantizar la seguridad de la Plataforma
- Enviar comunicaciones de marketing (solo con consentimiento)
5. Comparticion de Datos
cepaos no vende datos personales. Compartimos datos unicamente con:
5.1 Subprocesadores
Los siguientes proveedores procesan datos personales por cuenta de cepaos bajo contratos de tratamiento (DPA) y, cuando aplica, con las Clausulas Contractuales Tipo (SCC) de la Comision Europea o adhesion al EU-U.S. Data Privacy Framework como mecanismo de transferencia internacional. Para mayor detalle veanse las Secciones 6 y 10.
| Proveedor | Funcion | Ubicacion | Base / mecanismo legal |
|---|---|---|---|
| Stripe Inc. | Procesador de pagos (non-LATAM) | Estados Unidos | EU-U.S. DPF + SCC + Stripe DPA |
| dLocal Pty Ltd | Procesador de pagos (LATAM) | Uruguay | Equivalencia GDPR (Decision UE 2012) + DPA |
| Supabase Inc. | Base de datos y autenticacion | EE.UU. / UE | SCC + Supabase DPA |
| Railway Corp. | Hosting de aplicacion | Estados Unidos | SCC + Railway DPA |
| Cloudflare Inc. | CDN y proteccion DDoS | Estados Unidos (red global) | EU-U.S. DPF + SCC + Cloudflare DPA |
| Upstash Inc. | Cache y rate limiting (Redis) | Estados Unidos | SCC + Upstash DPA |
| Resend Inc. | Correo transaccional | Estados Unidos | SCC + Resend DPA |
| Sentry / Functional Software | Monitoreo de errores | Estados Unidos | SCC + Sentry DPA |
| PostHog Inc. | Analitica de producto (con consentimiento) | Estados Unidos / UE | SCC + PostHog DPA |
Datos compartidos con Stripe (Usuarios non-LATAM): correo electronico del administrador, nombre de la organizacion, identificador Stripe Customer ID y Stripe PaymentMethod ID (tokenizado). cepaos no recibe ni almacena el numero de tarjeta.
Datos compartidos con dLocal Go (Usuarios LATAM): correo electronico del administrador, identificador de cliente y token de tarjeta. cepaos no recibe ni almacena el numero de tarjeta.
5.2 Autoridades
Podemos divulgar datos personales cuando lo requiera una orden judicial, requerimiento de autoridad competente o cuando sea necesario para proteger derechos, propiedad o seguridad de cepaos, nuestros usuarios o el publico.
6. Transferencias Internacionales
Los datos personales pueden transferirse a paises fuera de la jurisdiccion del Usuario, incluyendo Estados Unidos. Aplicamos las siguientes salvaguardas:
- Clausulas contractuales tipo (SCC) aprobadas por la Comision Europea
- Evaluaciones de impacto de transferencia cuando corresponde
- Acuerdos de procesamiento de datos (DPA) con todos los subprocesadores
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
7. Retencion de Datos
- Datos de cuenta: durante la vigencia de la suscripcion mas 30 dias tras la cancelacion.
- Registros de facturacion: 10 anos (obligacion legal fiscal).
- Logs de seguridad: 12 meses.
- Datos de analitica: 24 meses en formato agregado y anonimizado.
- Copias de seguridad: eliminadas dentro de los 90 dias posteriores a la eliminacion de los datos originales.
8. Seguridad
Implementamos medidas tecnicas y organizativas para proteger los datos personales, incluyendo:
- Cifrado en transito (TLS 1.3) y en reposo (AES-256)
- Aislamiento multi-tenant con Row Level Security (RLS) en PostgreSQL
- Autenticacion con tokens seguros via Supabase Auth
- Rate limiting y proteccion contra ataques de fuerza bruta
- Monitoreo continuo de seguridad y alertas automatizadas
- Acceso restringido basado en roles (RBAC)
- Auditorias periodicas de seguridad
9. Derechos del Titular de los Datos
Segun la legislacion aplicable, el Usuario tiene los siguientes derechos:
- Acceso: solicitar una copia de los datos personales que conservamos.
- Rectificacion: corregir datos inexactos o incompletos.
- Supresion: solicitar la eliminacion de datos personales.
- Portabilidad: recibir datos en formato estructurado y legible por maquina (CSV, JSON).
- Oposicion: oponerse al tratamiento basado en interes legitimo.
- Limitacion: restringir temporalmente el tratamiento en ciertos casos.
- Retiro del consentimiento: retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.
Para ejercer estos derechos, contacte a privacidad@cepaos.com. Responderemos dentro de los plazos previstos por la ley aplicable a su jurisdiccion (ver Seccion 10).
10. Cumplimiento — Chile (Ley 19.628 + Ley 21.719)
Sobre Proteccion de la Vida Privada
cepaos cumple con la Ley 19.628 Sobre Proteccion de la Vida Privada y se prepara para el cumplimiento de la Ley 21.719 de Proteccion de Datos Personales, promulgada en diciembre de 2024 y con vigencia plena en 2026.
Bases de Licitud (Ley 21.719 art. 12)
- Consentimiento del titular
- Ejecucion de un contrato en el que el titular es parte
- Cumplimiento de una obligacion legal
- Interes legitimo del responsable, debidamente ponderado
Derechos del Titular (Ley 21.719 arts. 5-9)
La Ley 21.719 reconoce derechos similares al RGPD europeo:
- Acceso: conocer si sus datos son tratados y en que terminos.
- Rectificacion: corregir datos inexactos.
- Cancelacion / Supresion: solicitar la eliminacion de datos.
- Oposicion: oponerse al tratamiento por motivos relativos a su situacion particular.
- Portabilidad: recibir los datos en formato estructurado y de uso comun.
- Bloqueo: suspender temporalmente el tratamiento en casos previstos por la ley.
Plazo de respuesta: 30 dias corridos desde la recepcion de la solicitud, conforme al art. 8 de la Ley 21.719. Solicitudes a privacidad@cepaos.com.
Transferencia Internacional (Ley 21.719 cap. III)
Las transferencias a Estados Unidos se realizan mediante clausulas contractuales tipo equivalentes a las SCC del RGPD, previo analisis de las garantias de proteccion del pais destino.
Autoridad de Control
La Agencia de Proteccion de Datos Personales (creada por la Ley 21.719) es el organo de control. Hasta su implementacion plena, las consultas pueden dirigirse al Servicio Nacional del Consumidor (SERNAC) y al Consejo para la Transparencia.
11. Menores de Edad
La Plataforma esta dirigida exclusivamente a operaciones comerciales (B2B) y no recopila intencionalmente datos de menores de 18 anos. Si tomamos conocimiento de que hemos recopilado datos de un menor, procederemos a eliminarlos de inmediato.
12. Modificaciones a esta Politica
cepaos puede actualizar esta Politica de Privacidad periodicamente. Las modificaciones se notificaran con al menos 30 dias de anticipacion por correo electronico y/o aviso en la Plataforma. La fecha de la ultima actualizacion se indica al inicio de este documento.
13. Contacto
Para consultas sobre privacidad y proteccion de datos:
- Privacidad: privacidad@cepaos.com
- DPO: dpo@cepaos.com
- cepaos LLC — Wyoming, Estados Unidos
Estos términos pueden ser actualizados periódicamente. La versión vigente es la publicada en cepaos.com. Para consultas legales, escribí a legal@cepaos.com.