Saltar al contenido principal

Última actualización: 10 de junio de 2026

Anexo de Tratamiento de Datos (DPA)

Este anexo forma parte integrante de los Términos de Servicio de PrivacTech y regula el tratamiento de datos personales que EnrichLatam SpA realiza por cuenta del cliente, conforme a la Ley 21.719.

1. Cuándo aplica este anexo

Al usar la plataforma, tu empresa puede cargar o conectar datos personales de terceros: empleados, clientes o proveedores. Por ejemplo:

  • ·Nóminas de empleados inscritos en Academia PrivacTech (nombre, email, RUT, área)
  • ·Archivos escaneados mediante los conectores opcionales (Google Drive, Dropbox, OneDrive, S3)
  • ·Registros de sistemas de RR.HH. conectados (Buk, Talana, Rankmi, Defontana)
  • ·Datos de terceros incluidos en las respuestas del cuestionario o en consultas al asistente

Respecto de esos datos, tu empresa es el responsable del tratamiento y EnrichLatam SpA actúa como encargado: los tratamos únicamente para prestarte el servicio y según tus instrucciones.

2. Objeto y duración

Tratamiento objeto del encargo: análisis de cumplimiento, generación de documentos de compliance, detección de datos personales en fuentes conectadas, gestión de solicitudes de derechos (ARCO), gestión de capacitaciones y registro de incidentes.

Duración: mientras tu cuenta esté activa, más el período de conservación posterior a la cancelación descrito en la Política de Privacidad (90 días en modo lectura, luego eliminación).

3. Instrucciones del responsable

EnrichLatam SpA trata los datos del encargo exclusivamente según las instrucciones documentadas del cliente, que se expresan mediante la configuración y el uso normal de la plataforma (qué conectores activas, qué empleados inscribes, qué documentos generas).

No usamos los datos del encargo para fines propios, ni para marketing, scoring o publicidad, ni los compartimos con terceros distintos de los subencargados listados.

Si una instrucción del cliente infringe, a nuestro juicio, la normativa de protección de datos, se lo informaremos antes de ejecutarla.

4. Confidencialidad

El personal con acceso a datos del encargo está sujeto a deber de confidencialidad y el acceso se limita al principio de necesidad de saber. El acceso a los datos de cada empresa está aislado por cuenta (control de acceso por usuario y empresa).

5. Medidas de seguridad

  • ·Cifrado en tránsito: HTTPS / TLS 1.2+ extremo a extremo
  • ·Cifrado de datos personales en reposo a nivel de aplicación (Fernet: AES-128-CBC + HMAC-SHA256), incluyendo emails, RUT, contenido de conversaciones y solicitudes ARCO
  • ·Autenticación sin contraseñas (magic link) con sesiones JWT revocables del lado del servidor
  • ·Registro de auditoría de cambios con datos personales enmascarados
  • ·Telemetría y registro de errores con redacción automática de identificadores (email, RUT, teléfono)
  • ·Respaldos automáticos gestionados por el proveedor de infraestructura

El detalle vigente de las prácticas de seguridad está publicado en /seguridad.

6. Subencargados

Para prestar el servicio utilizamos los subencargados listados, con su función y región, en la Política de Privacidad. Al contratar, el cliente autoriza expresamente su uso. Notificaremos cambios de subencargados con al menos 30 días de anticipación.

Procesamiento con IA

El contenido que la plataforma analiza con IA — incluyendo el contenido de archivos escaneados por los conectores y metadatos de estructura de sistemas conectados (nombres de campos, tipos y conteos — sin valores de registros individuales) — se procesa mediante la API de Anthropic (Claude) en EE.UU. Anthropic no usa los datos enviados por API para entrenar modelos. Como responsable, el cliente debe contar con una base de licitud para el tratamiento de los datos de terceros que conecte o cargue a la plataforma. Nota: la pseudonimización cubre RUT, email y teléfono en los conectores estructurados; nombres propios y direcciones físicas que aparezcan en texto libre de archivos cargados pueden transmitirse en claro a Anthropic, ya que su detección es el propósito del análisis. El cliente es responsable de valorar si su base de licitud cubre esta transferencia.

7. Asistencia al responsable

  • ·Derechos de los titulares: la plataforma provee herramientas para recibir y gestionar solicitudes ARCO dentro de los plazos legales
  • ·Brechas de seguridad: asistencia para evaluar y notificar a la Agencia de Protección de Datos cuando corresponda
  • ·Auditorías: entregaremos información razonable para acreditar el cumplimiento de este anexo, con aviso previo de 5 días hábiles

8. Supresión y devolución

Al término del servicio puedes exportar tus datos en formato estructurado (JSON) desde tu cuenta. Tras la cancelación, los datos se conservan 90 días en modo lectura y luego se eliminan. Las cuentas eliminadas a solicitud del usuario se anonimizan en un plazo de 30 días.

La eliminación en subencargados se efectúa en la medida técnicamente posible; los respaldos de infraestructura (Railway PostgreSQL) se purgan automáticamente según el ciclo de rotación del plan contratado. La retención máxima de backups en Railway es configurable por plan y actualmente se revisa semestralmente; contacta a privacidad@privactech.com para conocer el período vigente. Durante ese período los datos pueden persistir en backups aunque hayan sido eliminados de la base activa.

9. Notificación de brechas

Si detectamos una brecha de seguridad que afecte datos del encargo, notificaremos al cliente dentro de las 72 horas siguientes a su detección, indicando la naturaleza de la brecha, los datos afectados, las medidas adoptadas y un punto de contacto.

10. Transferencias internacionales

Parte de los subencargados opera fuera de Chile. Las transferencias se amparan en garantías contractuales adecuadas con cada proveedor (incluyendo cláusulas contractuales tipo), según se describe en la Política de Privacidad. Cuando la Agencia de Protección de Datos publique el régimen chileno de transferencias internacionales, este anexo se adecuará a él.

11. Aceptación

Este anexo se entiende aceptado junto con los Términos de Servicio al contratar cualquier plan de la plataforma. Para consultas sobre este anexo: privacidad@privactech.com