Política de privacidad

1. Quiénes somos

[REVISAR ABOGADO: razón social completa, RUT, domicilio comercial.]

Somos el responsable de tratamiento de tus datos personales en los términos de la Ley 19.628 sobre Protección de la Vida Privada de Chile.

2. Qué datos recolectamos

Recolectamos las siguientes categorías de datos:

Datos de cuenta:

  • Nombre, email, rol, productora a la que pertenecés.
  • Contraseña hasheada (nunca en texto plano).
  • Configuración de 2FA (si activado).

Datos operacionales del show:

  • Eventos, riders, presupuestos, packs técnicos.
  • Cotizaciones, facturas, pagos.
  • Documentos cargados al sistema.

Datos de contraparte:

  • Información de clientes finales, proveedores y promotores que cargas al sistema.
  • Importante: eres responsable del tratamiento legítimo de estos datos de terceros.

Telemetría técnica:

  • Logs de uso (qué páginas visitas, qué acciones realizas).
  • Errores y crashes (vía Sentry).
  • Métricas agregadas de comportamiento (vía PostHog).

[DECISIÓN PENDIENTE: ¿qué datos específicos recolecta PostHog? Confirmar que no se almacena PII innecesariamente.]

3. Cómo los usamos

Usamos tus datos para:

  • Proveer y mantener el Servicio.
  • Procesar pagos y facturación.
  • Comunicarte sobre el producto (cambios importantes, releases).
  • Mejorar el producto basándonos en patrones de uso agregados.
  • Cumplir obligaciones legales.

No usamos tus datos para:

  • Entrenar modelos de IA.
  • Vender a terceros.
  • Marketing dirigido fuera de Producit.

4. Con quién los compartimos

Compartimos datos solo con subprocesadores necesarios para operar el Servicio:

SubprocesadorFinalidadDatos compartidos
AWSHosting infraestructuraTodos los datos del Servicio
PayCoreProcesamiento de pagosDatos de facturación
SentryMonitoreo de erroresLogs de error técnico
PostHogAnalytics de productoTelemetría de uso
AWS SESEnvío de emails transaccionalesEmail del usuario
[REVISAR ABOGADO: lista completa según infra real]

Cada subprocesador está obligado contractualmente a tratar tus datos con el mismo nivel de protección que nosotros.

5. Dónde residen

[DECISIÓN PENDIENTE: confirmar región AWS. JTBD menciona us-east-1 por defecto. Considerar si se mueve a región sudamericana — sa-east-1 (São Paulo) — por razones de latencia y soberanía de datos chilenos.]

Tus datos se almacenan en infraestructura de AWS región [REGIÓN A CONFIRMAR]. Los backups se mantienen en la misma región.

6. Cuánto los guardamos

[DECISIÓN PENDIENTE: definir política de retención. Sugerimos:]

  • Datos de cuenta activa: mientras la cuenta esté activa.
  • Datos post-cancelación: 90 días en estado de “soft-delete” para permitir recuperación.
  • Eliminación definitiva: 90 días después de cancelación, excepto datos retenidos por obligación legal (facturación SII, típicamente 6 años).
  • Logs técnicos: 12 meses, agregados sin PII.
  • Backups: 30 días rolling.

[REVISAR ABOGADO: alineación con plazos legales chilenos para facturación electrónica y obligaciones tributarias.]

7. Tus derechos

Bajo la Ley 19.628 tienes los siguientes derechos sobre tus datos personales:

  • Acceso: saber qué datos tenemos sobre ti.
  • Rectificación: corregir datos inexactos.
  • Eliminación: solicitar la eliminación de tus datos (sujeto a obligaciones legales).
  • Oposición: oponerte a usos específicos de tus datos.
  • Portabilidad: recibir tus datos en formato estructurado y exportable (CSV).

8. Cómo ejercerlos

Para ejercer cualquiera de estos derechos, escribí a privacy@producit.cl.

Respondemos en máximo 30 días hábiles. Si tu solicitud requiere verificación de identidad, podemos pedirte documentación adicional.

[REVISAR ABOGADO: procedimiento exacto según práctica chilena.]

9. Seguridad

Para detalles técnicos sobre cómo protegemos tus datos, consultá /legal/seguridad.

Resumen:

  • Cifrado en tránsito (TLS 1.3) y en reposo.
  • Aislamiento multi-tenant a nivel de base de datos (PostgreSQL Row-Level Security).
  • Autenticación 2FA disponible. Recomendada para roles administrativos.
  • Audit logs de todas las acciones críticas.

10. Cookies y trackers

[DECISIÓN PENDIENTE: política de cookies completa. Necesario decidir:]

  • ¿Qué cookies estrictamente necesarias usamos? (sesión, CSRF, preferencias)
  • ¿Usamos cookies de analytics no esenciales? (PostHog)
  • ¿Activamos cookie banner con consentimiento? (probablemente sí, GDPR-friendly)

Borrador:

Usamos las siguientes categorías de cookies:

  • Estrictamente necesarias: sesión, CSRF token, preferencias de idioma. No requieren consentimiento.
  • Analíticas: PostHog para entender uso de producto. Requieren consentimiento.
  • Marketing: [DECISIÓN: ¿usaremos? por defecto NO en fase 1].

Puedes gestionar tus preferencias de cookies desde el banner inicial o en configuración de tu cuenta.

11. Cambios a esta política

Podemos actualizar esta política. Cambios materiales serán notificados con al menos 30 días de anticipación vía email.

12. Contacto

Privacidad: privacy@producit.cl
Legal: legal@producit.cl

[REVISAR ABOGADO: ¿necesitamos designar formalmente un DPO (Data Protection Officer)? En Chile no es obligatorio bajo Ley 19.628, pero buena práctica.]