Privacidad

1. Identidad del responsable del tratamiento

Responsable del tratamiento de datos personales: deábaco (sitio operado bajo el dominio deabaco.com).

Canal de contacto para todo asunto relacionado con privacidad y para el ejercicio de derechos: hola@deabaco.com. No tenemos un Delegado de Protección de Datos formalmente designado dado el tamaño actual del proyecto; el canal de contacto se atiende directamente y la respuesta llega de una persona, no de un bot.

La identidad legal completa del responsable (razón social, RUT, domicilio legal en Chile) se publicará en este aviso antes del inicio de cualquier campaña activa de adquisición de usuarios y antes de la entrada en vigor de la Ley 21.719 el 1 de diciembre de 2026. Mientras tanto, el proyecto opera en fase de pre-lanzamiento y los datos tratados son mínimos.

2. Datos que recopilamos y finalidades de cada tratamiento

Al navegar el sitio sin iniciar sesión: ninguna información identificable. Vercel, nuestro proveedor de hosting, registra logs técnicos básicos (dirección IP, user-agent, ruta solicitada, código de respuesta, timestamp) con la finalidad de seguridad operacional y depuración. Estos logs se rotan automáticamente según la política de retención del proveedor (típicamente 30 días).

Al iniciar sesión: tu dirección de correo electrónico. Finalidad: autenticación de la cuenta mediante magic link (no usamos contraseñas). La sesión se mantiene con cookies seguras estrictamente necesarias (HttpOnly, Secure, SameSite=Lax) emitidas por Supabase.

Al usar funciones que requieren cuenta: (a) tu progreso por capítulo — clave/valor por usuario, sin contenido libre; (b) contadores de uso del asistente IA — cuántas consultas, en qué módulo, fecha — exclusivamente para aplicar rate limiting. Finalidad: sincronización de progreso entre dispositivos, control de uso y prevención de abuso del asistente.

En el asistente IA: el contenido de tu prompt y la respuesta no se almacenan en nuestra base de datos. Detalle completo en la sección 7.

No recopilamos: dirección postal, teléfono, fecha de nacimiento, género, ingresos, ubicación precisa, dato bancario, dato laboral, ni ningún dato sensible en el sentido de la Ley 21.719 art. 2 letra g (salud, biometría, origen, opiniones políticas, vida sexual, etc.). Ningún tracker publicitario de terceros (Facebook Pixel, Google Ads, etc.) está instalado.

3. Base legal del tratamiento

La Ley 21.719 art. 13 enumera las bases que legitiman el tratamiento de datos personales. Cada finalidad anterior se ampara en una de ellas:

Autenticación de cuenta + sincronización de progreso + asistente IA: ejecución de la relación contractual / prestación del servicio educativo solicitado expresamente por el usuario al crear cuenta. Sin estos tratamientos no podemos entregar el servicio.

Contadores de uso y rate limiting del asistente IA: interés legítimo del responsable (sostenibilidad técnica y económica del servicio, prevención de abuso). El interés del usuario en el funcionamiento del servicio prevalece sobre la mínima injerencia en su privacidad que supone llevar un contador por cuenta.

Logs técnicos del servidor (Vercel): interés legítimo en seguridad operacional y depuración. La información tratada es la mínima necesaria para detectar incidentes y depurar errores.

Cookies estrictamente necesarias (sesión, idioma, anti-CSRF): exentas de consentimiento previo bajo la mayoría de marcos regulatorios cuando son indispensables para entregar un servicio explícitamente solicitado por el usuario (Ley 19.628 vigente, Ley 21.719 art. 13, e-Privacy Directive UE).

No tratamos datos sobre la base de consentimiento porque no recopilamos categorías de datos cuya licitud lo requiera. Si en el futuro se habilita una funcionalidad que sí lo requiera (por ejemplo, suscripción a newsletter, recepción de comunicaciones comerciales), se solicitará consentimiento granular antes del tratamiento y se podrá revocar en cualquier momento sin pérdida del servicio educativo principal.

4. Plazos de retención

Correo de cuenta y datos de progreso: mientras la cuenta esté activa. Al solicitar la eliminación de la cuenta, estos datos se borran en un plazo máximo de 30 días corridos. Detalle del workflow en la sección 9.

Contadores de uso del asistente IA: rolling de 30 días para efectos de rate limiting; al cumplirse el plazo el contador se desplaza naturalmente. Al eliminar la cuenta, se borran junto con el resto de los datos asociados.

Cookies de sesión Supabase: persisten mientras la sesión está activa; expiran al cerrar sesión o al vencer el token según política de Supabase.

Logs técnicos del servidor (Vercel): según política de retención del proveedor (típicamente 30 días para el plan vigente). Se pueden conservar logs anonimizados por períodos superiores cuando sean necesarios para responder a incidentes de seguridad documentados.

Logs de la API de Anthropic: según la política de retención del proveedor (típicamente 30 días para el plan API estándar). deábaco no tiene control sobre la retención dentro de la infraestructura de Anthropic más allá de la selección del plan; la política aplicable está en anthropic.com/legal.

5. Encargados y subencargados del tratamiento

Tres proveedores de infraestructura tratan datos por cuenta de deábaco. Cada uno opera bajo sus propios estándares de seguridad y sus respectivos compromisos contractuales de protección de datos:

Supabase Inc. — base de datos PostgreSQL y servicio de autenticación. Trata: correo de cuenta, sesión activa, datos de progreso, contadores de uso. La política de privacidad de Supabase está disponible en supabase.com/privacy. Servidores en Estados Unidos (región según la configuración del proyecto).

Anthropic PBC — proveedor del modelo de lenguaje (Claude) usado por el asistente IA dentro de los módulos. Trata: el contenido del prompt enviado en cada consulta + un fragmento del módulo relacionado, exclusivamente durante la generación de la respuesta. La política de Anthropic establece que las consultas de la API estándar no se usan para entrenamiento de modelos. Política completa en anthropic.com/legal.

Vercel Inc. — proveedor de hosting y red de borde (edge). Trata: logs técnicos básicos del servidor. La política de Vercel está disponible en vercel.com/legal/privacy-policy.

No compartimos datos con ningún otro destinatario — ni anunciantes, ni brokers, ni agregadores de leads. Cualquier ampliación futura de la lista de subencargados se actualizará en esta sección con anticipación razonable antes de comenzar el nuevo tratamiento.

6. Transferencias internacionales de datos

Los tres subencargados nombrados en la sección 5 procesan datos en Estados Unidos. Esto constituye una transferencia internacional de datos personales fuera de Chile en el sentido de la Ley 21.719 título IV.

Estados Unidos no cuenta hoy con una decisión de adecuación de protección de datos emitida por la autoridad chilena. Las garantías que sustentan esta transferencia son: (a) cláusulas contractuales en los términos de servicio firmados con cada subencargado que comprometen estándares mínimos de seguridad de la información y trato de datos compatibles con el RGPD europeo; (b) la naturaleza limitada de los datos efectivamente transferidos (correo + progreso de capítulo + prompts educativos sobre contenido público); (c) la disponibilidad de los derechos del titular bajo las leyes de cada subencargado.

Antes de la entrada en vigor de la Ley 21.719 el 1 de diciembre de 2026, deábaco revisará y, si fuera necesario, suscribirá los mecanismos formales que la nueva ley exija para estas transferencias (típicamente cláusulas contractuales tipo emitidas por la Agencia de Protección de Datos Personales chilena una vez constituida, o equivalentes contractuales reconocidos por la autoridad).

7. Asistente de IA — qué pasa con tus prompts

Cuando escribes una pregunta al asistente de IA dentro de un módulo, el flujo es el siguiente: tu prompt + un fragmento del contenido del módulo se envía a la API de Anthropic, recibimos la respuesta en streaming, y se muestra en tu pantalla.

Guardamos un contador de uso por cuenta (cuántas consultas, en qué módulo, fecha) exclusivamente para aplicar rate limiting y prevenir abuso. NO almacenamos el contenido del prompt ni la respuesta de la IA en nuestra base de datos. Estos pasan únicamente por logs técnicos temporales (≤ 30 días) y por la infraestructura de Anthropic según su propia política.

El asistente de IA no toma decisiones automatizadas con efectos jurídicos significativos sobre el usuario en el sentido del RGPD art. 22 o la Ley 21.719 art. 19 — no decide sobre tu cuenta, no determina precios, no condiciona el acceso al contenido. Es una herramienta educativa que genera explicaciones sobre el contenido del módulo. Las respuestas pueden contener errores y deben validarse contra fuentes primarias antes de aplicar a un caso real (ver Términos de uso, sección 4).

8. Tus derechos y cómo ejercerlos

Bajo la Ley 19.628 vigente, la Ley 21.719 aplicable desde el 1 de diciembre de 2026, el RGPD si te encuentras en la UE/EEE, la CCPA / CPRA si resides en California, y las leyes equivalentes de otras jurisdicciones, dispones de los siguientes derechos sobre tus datos personales:

Acceso: conocer qué datos tuyos tenemos y cómo los tratamos. Rectificación: corregir datos inexactos. Eliminación / cancelación: solicitar el borrado de los datos cuando ya no sean necesarios o cuando retires tu consentimiento donde aplique. Oposición: oponerte al tratamiento cuando se base en interés legítimo. Portabilidad: recibir tus datos en formato estructurado y de uso común. Limitación: solicitar la suspensión del tratamiento mientras se resuelve una controversia.

Para ejercer cualquiera de estos derechos, escribe a hola@deabaco.com con el asunto «Ejercicio de derechos» indicando qué derecho quieres ejercer y el correo de la cuenta. Respondemos dentro del plazo legal aplicable a tu jurisdicción y nunca después de 30 días corridos.

No exigimos formularios ni trámites adicionales para el ejercicio de los derechos. Si la solicitud requiere verificación de identidad (por ejemplo, para una eliminación de cuenta) lo gestionamos por el mismo canal de correo con el mínimo de pasos razonables.

9. Eliminación de cuenta y exportación de datos

Eliminación de cuenta. El producto aún no dispone de un botón de auto-eliminación dentro de la interfaz; el flujo es manual y se ejecuta en respuesta a un correo a hola@deabaco.com con el asunto «Eliminación de cuenta». Tras verificar que la solicitud proviene del titular del correo (típicamente con un mensaje de confirmación), eliminamos: (a) tu correo de la base de Supabase; (b) todos los registros asociados en la tabla user_progress; (c) los contadores de uso del asistente IA. Los logs técnicos anonimizados pueden permanecer hasta el plazo de retención del proveedor (típicamente 30 días). El plazo total de la eliminación es de 30 días corridos como máximo; en la práctica es de horas a pocos días.

Exportación de datos. El producto aún no dispone de un endpoint de auto-exportación dentro de la interfaz; el flujo es manual y se ejecuta en respuesta a un correo a hola@deabaco.com con el asunto «Exportación de datos». Entregamos un archivo JSON estructurado con todos los registros asociados a tu cuenta. El plazo es de 30 días corridos como máximo; en la práctica es de horas a pocos días.

Estamos construyendo los flujos de auto-servicio (botón de eliminación + endpoint de descarga) como parte de la preparación para el 1 de diciembre de 2026 y para el lanzamiento abierto. Cuando estén disponibles, actualizaremos esta sección y publicaremos una errata.

10. Seguridad

Autenticación: magic link enviado al correo de cuenta. No usamos contraseñas. Los enlaces expiran y son de un solo uso.

Aislamiento de datos por usuario: aplicamos Row Level Security (RLS) en la base de datos. Cada usuario solo puede consultar y modificar los registros asociados a su propia cuenta. Verificable en las migraciones SQL del repositorio.

Encabezados HTTP de seguridad activos en todas las rutas: HSTS (Strict-Transport-Security) con 2 años de vigencia, Content-Security-Policy con allowlist estrecha para connect-src, X-Frame-Options DENY, Permissions-Policy desactivando funcionalidades del navegador no utilizadas. Tráfico cifrado mediante HTTPS / TLS 1.2+ extremo a extremo.

Programa de reporte responsable de vulnerabilidades: si descubres una vulnerabilidad, escribe a hola@deabaco.com con el asunto «Vulnerabilidad» antes de divulgarla públicamente. Respondemos dentro de 48 horas.

11. Notificación de incidentes de seguridad

En caso de un incidente de seguridad que pueda afectar datos personales — acceso no autorizado, pérdida de integridad, destrucción no autorizada — actuamos según la siguiente secuencia: (a) contención técnica inmediata; (b) evaluación del alcance y los datos potencialmente afectados dentro de 48 horas; (c) notificación a los usuarios cuyos datos estuvieron expuestos por el canal de correo registrado, en un plazo máximo de 72 horas desde la confirmación del incidente; (d) notificación a la Agencia de Protección de Datos Personales chilena (una vez constituida y operativa) en el plazo y forma que la Ley 21.719 establezca; (e) publicación de una errata pública en /erratas con el detalle del incidente, los datos afectados y las medidas aplicadas.

El plazo objetivo de 72 horas se alinea con el RGPD art. 33 europeo y con la práctica esperada bajo la Ley 21.719 una vez plenamente operativa, y se mantendrá incluso si la ley chilena finalmente exigiera un plazo más laxo.

12. Cambios a este aviso

Si actualizamos este aviso de manera material (por ejemplo, sumamos un nuevo subencargado, ampliamos las finalidades del tratamiento, o cambiamos las bases legales que invocamos), te notificamos por correo a la cuenta registrada con al menos 14 días de anticipación y publicamos una errata en /erratas describiendo el antes/después.

Cambios menores — clarificaciones, corrección de erratas tipográficas, mejor redacción sin cambio sustantivo — actualizan la fecha en el encabezado sin notificación individual.

13. Reclamación ante la autoridad

Tienes derecho a presentar reclamación ante la autoridad de protección de datos competente en tu jurisdicción si consideras que el tratamiento de tus datos por parte de deábaco no se ajusta a la normativa aplicable.

En Chile, durante la vigencia de la Ley 19.628 la autoridad competente es el Servicio Nacional del Consumidor (SERNAC) para aspectos vinculados a consumo y el Consejo para la Transparencia para datos en posesión de órganos del Estado. A partir del 1 de diciembre de 2026, con la entrada en vigor de la Ley 21.719, será la Agencia de Protección de Datos Personales.

En la Unión Europea / EEE: tu autoridad nacional de protección de datos (lista en edpb.europa.eu).

Recomendamos como buena práctica contactarnos primero a hola@deabaco.com antes de elevar la reclamación, para resolver el asunto directamente cuando sea posible.

14. Contacto

Para cualquier asunto vinculado a privacidad, ejercicio de derechos, notificación de incidentes o consultas generales sobre este aviso: hola@deabaco.com. Respondemos personalmente, no con bot. El canal de privacidad no se usa para fines de marketing.