Saltar al contenido
AGLAYA Auditoría Ley 21.719
Inicio Auditoría Adecuación Consentimiento Plugin WP Blog Contacto
Escanear mi web gratis

LEGAL · LEY 21.719

Política de tratamiento de datos personales

Este documento cumple el deber de información y transparencia establecido en el artículo 14 ter de la Ley N.º 21.719 sobre Protección de la Vida Privada y de los Datos Personales de la República de Chile. Describe quién trata los datos, con qué finalidad, en qué base y qué derechos corresponden al titular.

Versión: 1.5 Vigente desde: 13 de junio de 2026 Derechos y privacidad: [email protected]

1. Identidad del responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de auditoria-ley21719.cl es AGLAYA, equipo operativo de carácter internacional sin sede legal registrada en una jurisdicción única. AGLAYA actúa como responsable en los términos del artículo 1.° bis, letra c) de la Ley 21.719, por cuanto el sitio está dirigido exclusivamente a residentes en Chile y ofrece servicios de diagnóstico regulatorio relativos a la normativa chilena.

No existe en esta fecha representante legal con domicilio en Chile ni encargado de prevención de infracciones designado. Los canales operativos para el ejercicio de derechos y cualquier comunicación relativa al tratamiento de datos son los correos electrónicos indicados en el apartado 2.

2. Contacto para el ejercicio de derechos

Para ejercer cualquier derecho sobre tus datos, plantear dudas sobre esta política o solicitar aclaraciones, puedes contactar con AGLAYA por los siguientes medios:

  • Derechos del titular (acceso, rectificación, supresión, oposición, portabilidad y bloqueo) y privacidad: [email protected]
  • Consultas generales: [email protected]
  • Formulario de contacto: auditoria-ley21719.cl/contacto/

Responderemos a todas las solicitudes en un plazo máximo de 30 días hábiles desde su recepción. Si la complejidad o el volumen lo requieren, informaremos de la prórroga antes de que venza ese plazo.

3. Datos tratados, finalidades y base de licitud

La siguiente tabla describe los datos personales que podemos tratar, la finalidad de cada tratamiento, su base de licitud conforme a la Ley 21.719 y los destinatarios a quienes pueden comunicarse.

Dato Finalidad Base de licitud Destinatarios
URL o dominio público enviado al scanner Análisis técnico automatizado de la superficie pública del sitio Ejecución del servicio solicitado (Art. 13) Infraestructura propia (Railway, EE.UU.)
Texto público raspado del sitio analizado (HTML de políticas, T&C, banners, formularios visibles, etiquetas script) Evaluación lingüística automatizada de criterios de cumplimiento Ley 21.719 mediante modelo de lenguaje (LLM). El LLM lee el contenido público del sitio analizado para identificar la presencia o ausencia de cláusulas exigidas. No se le envían datos personales del titular que solicitó la auditoría. Ejecución del servicio solicitado (Art. 13) Anthropic PBC (EE.UU.) — proveedor principal del modelo Claude. Retención por el proveedor: ≤30 días. No se utilizan los datos para entrenamiento de modelos. OpenAI Inc. (EE.UU.) — usado solo como respaldo si Anthropic no responde; misma política de retención y mismo compromiso de no entrenamiento.
Correo electrónico (formulario «continuar») Entregar el informe de auditoría y gestionar el estado del pedido Ejecución del servicio solicitado (Art. 13) Railway (almacenamiento), Resend (envío, EE.UU.)
Correo electrónico y nombre (agendamiento de sesión técnica) Coordinar la sesión opcional de lectura técnica del informe Consentimiento (Art. 12) — la sesión se solicita activamente por el titular Cal.com Inc. (EE.UU.) — plataforma de agendamiento. Railway (registro del evento).
Nombre y mensaje (formulario de contacto) Responder la consulta o incidencia planteada Interés legítimo — responder a la solicitud del titular (Art. 13 d) Railway (almacenamiento, EE.UU.)
Correo electrónico (suscripción a comunicaciones) Enviar actualizaciones del servicio y comunicaciones comerciales Consentimiento (Art. 12) MailerLite (Lituania / UE)
Identificadores técnicos (audit_id, dirección IP, agente de usuario) Operar el servicio, prevenir abuso y entrega técnica del resultado Interés legítimo — operación del servicio (Art. 13 d) Cloudflare (CDN/seguridad, EE.UU.), Railway (EE.UU.), Netlify, Inc. (EE.UU.) — alojamiento del frontend estático
Señales de analítica de uso (GA4) Medir el uso del sitio para mejora del servicio Consentimiento (Art. 12) Google LLC (EE.UU.) — solo tras consentimiento explícito
Señales de actividad web (Meta Pixel y Conversions API) Medir el rendimiento de campañas publicitarias, atribuir conversiones y optimizar el alcance de los anuncios Consentimiento (Art. 12) Meta Platforms Ireland Ltd. (Irlanda) — solo tras consentimiento explícito
Identificadores de campaña (parámetros UTM, fbclid, slug de la landing de origen) Atribuir cada solicitud de auditoría a la fuente publicitaria que originó la visita y medir el rendimiento de las campañas. No se utilizan para ningún otro fin. Interés legítimo — medición del rendimiento publicitario (Art. 13 d), informado en el formulario «continuar» Railway (almacenamiento operativo, EE.UU.)
Datos de pago y facturación Procesar la compra y renovación de la licencia del plugin Consent Ledger Ejecución del contrato (Art. 13 a) Lemon Squeezy (EE.UU.) — AGLAYA no accede a datos de tarjeta

La URL pública analizada por el scanner es, en la mayoría de casos, un dominio corporativo y no un dato personal. En los supuestos en que pueda identificar a una persona natural, recibe el mismo tratamiento que el resto de datos de esta tabla.

Coincidencias avanzadas automáticas (Advanced Matching). Cuando aceptas las cookies de publicidad y, posteriormente, nos facilitas tu correo electrónico en el formulario «continuar», el píxel de Meta hashea ese correo con SHA-256 en tu propio navegador y envía únicamente el hash a Meta. Nunca remitimos tu correo en claro a Meta. El hash sirve para que Meta pueda atribuir tu visita a la campaña publicitaria correcta y deduplicar eventos del navegador con los eventos enviados desde nuestro servidor a la API de Conversiones. Esta funcionalidad se desactiva por completo si rechazas las cookies de publicidad o si revocas el consentimiento desde «Gestionar cookies».

Plugin Consent Ledger — datos técnicos y soberanía. Si adquieres nuestro plugin de WordPress, el software instalado en tu sitio se comunica con dos servicios transmitiendo únicamente datos técnicos (sin datos personales): (a) Lemon Squeezy, para validar la licencia, enviando la clave de licencia y el dominio del sitio; y (b) el servidor de actualizaciones de AGLAYA, enviando el dominio y la versión instalada, para ofrecer actualizaciones. Existe un modo de funcionamiento 100% offline que desactiva ambas llamadas. Los datos de consentimiento que el plugin registra —las personas que consienten en tu propio sitio— se almacenan en la base de datos de tu instalación y no se transmiten a AGLAYA en ningún momento.

4. Medidas de seguridad aplicadas

AGLAYA aplica las siguientes medidas técnicas y organizativas para proteger los datos personales tratados en el servicio:

  • Tráfico cifrado mediante HTTPS/TLS en todos los endpoints públicos.
  • Control de acceso a datos por necesidad operativa estricta.
  • Limitación de tasa de peticiones (rate limiting) en todos los formularios y endpoints de la API, implementada en capa de servidor.
  • Protección anti-bot mediante Cloudflare Turnstile en todos los formularios.
  • Firewall de aplicaciones web (WAF) y protección DDoS vía Cloudflare.
  • No se almacenan contraseñas ni datos de tarjeta en sistemas propios.
  • Rotación periódica de credenciales de producción y ausencia de secretos en repositorio.

Ningún sistema conectado a internet ofrece garantía absoluta. En caso de incidente que afecte a datos personales, AGLAYA notificará a los titulares afectados en los plazos y formas que establezca la normativa aplicable.

5. Derechos de los titulares

Conforme a los artículos 4.° a 9.° de la Ley 21.719, los titulares de datos tienen los siguientes derechos, ejercibles en todo momento:

  • Acceso (Art. 4.°): conocer qué datos trata AGLAYA sobre ti, con qué finalidad y en qué condiciones.
  • Rectificación (Art. 5.°): solicitar la corrección de datos inexactos, incompletos o desactualizados.
  • Supresión (Art. 6.°): solicitar la eliminación de los datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos, o cuando se retire el consentimiento y no exista otra base de licitud.
  • Oposición (Art. 7.°): oponerte al tratamiento de tus datos en determinadas circunstancias, en particular cuando la base sea el interés legítimo del responsable.
  • Portabilidad (Art. 8.°): recibir en formato estructurado y de uso común los datos que nos hayas facilitado directamente, y transmitirlos a otro responsable cuando sea técnicamente posible.
  • Bloqueo temporal (Art. 9.°): solicitar la suspensión del tratamiento mientras se resuelve una impugnación sobre la exactitud de los datos o la licitud del tratamiento.

Para ejercer cualquiera de estos derechos, escríbenos a [email protected] indicando el derecho que deseas ejercer y los datos suficientes para identificarte como titular.

Datos ya transmitidos a Google o Meta. Si has dado tu consentimiento y, posteriormente, deseas que eliminemos eventos ya enviados a Google Analytics o a Meta (Pixel / Conversions API), escríbenos a [email protected]. Tramitamos la solicitud mediante (i) la User Deletion API de Google Analytics y (ii) la Data Deletion Request API de Meta, en un plazo máximo de 30 días hábiles desde la recepción de tu petición. Te confirmaremos por correo cuando ambas eliminaciones queden registradas.

Datos ya transmitidos a Anthropic u OpenAI. El contenido público raspado del sitio analizado puede haberse remitido al modelo de lenguaje (LLM) durante el análisis. Si solicitas la supresión, AGLAYA eliminará la copia del scan en sus propios sistemas y solicitará por canal contractual al proveedor (Anthropic u OpenAI) la eliminación anticipada respecto del plazo estándar de 30 días. Te confirmaremos la ejecución por correo. Escríbenos a [email protected] con el dominio auditado y el audit_id recibido por correo.

Conservación de la prueba de consentimiento tras la supresión. Cuando ejerzas tu derecho de supresión, AGLAYA dejará de tratar tus datos para las finalidades indicadas y los eliminará de sus sistemas activos. No obstante, el registro de consentimiento —la entrada inmutable que acredita que diste tu acuerdo en una fecha determinada, bajo una versión concreta del aviso y con una base jurídica específica— se conservará de forma minimizada durante el plazo de prescripción de las acciones derivadas de la Ley 21.719, como prueba ante la Agencia de Protección de Datos en caso de reclamación. Esta conservación se apoya en la obligación legal de accountability (Art. 12 Ley 21.719; equivalente al Art. 17.3.b/e RGPD): el responsable debe poder demostrar el cumplimiento normativo incluso después de que el titular haya ejercido sus derechos. La entrada conservada se limita al sello criptográfico (hash de la ficha), la fecha del consentimiento y el identificador mínimo necesario para vincularla a una reclamación concreta; no incluye datos adicionales de navegación o comportamiento.

6. Derecho a reclamar ante la Agencia de Protección de Datos

Si consideras que el tratamiento de tus datos infringe la Ley 21.719, tienes derecho a presentar una reclamación ante la Agencia de Protección de Datos Personales, autoridad de control creada por el artículo 30 de la misma ley.

La Agencia estará operativa desde la entrada en vigor plena de la ley (diciembre de 2026). Cuando esté activa, podrás dirigirte a ella directamente si estimas que AGLAYA no ha atendido adecuadamente tu solicitud de derechos o ha infringido la normativa.

Te recomendamos ejercer primero tus derechos ante AGLAYA directamente, para que podamos resolverlo con la mayor rapidez posible.

7. Transferencias internacionales de datos

Algunos de los destinatarios indicados en el apartado 3 se encuentran fuera de Chile. Las transferencias se realizan bajo las bases previstas en el artículo 27 de la Ley 21.719:

Proveedor País Finalidad Base de transferencia (Art. 27)
Railway EE.UU. Hosting del backend y almacenamiento operativo Ejecución del contrato de servicio (Art. 27 g)
Resend EE.UU. Envío del informe de auditoría por correo Ejecución del contrato de servicio (Art. 27 g)
Cloudflare EE.UU. CDN, WAF, protección anti-bot (Turnstile) Ejecución del contrato de servicio (Art. 27 g)
Netlify, Inc. EE.UU. Alojamiento y entrega del frontend estático (páginas del sitio) Ejecución del contrato de servicio (Art. 27 g)
Lemon Squeezy EE.UU. Procesamiento del pago Ejecución del contrato de servicio (Art. 27 g)
Google LLC EE.UU. Analítica de uso (GA4) Consentimiento explícito del titular (Art. 27, en relación con Art. 12)
Meta Platforms Ireland Ltd. Irlanda (UE) — con tratamiento posterior por Meta Platforms, Inc. (EE.UU.) Medición de campañas publicitarias y atribución de conversiones (Pixel + Conversions API) Consentimiento explícito del titular (Art. 27, en relación con Art. 12). Irlanda es país con nivel adecuado de protección (RGPD, Art. 27 a); las transferencias posteriores a EE.UU. se rigen por las Cláusulas Contractuales Tipo de Meta y su Adendo de Tratamiento de Datos.
MailerLite Lituania (UE) Comunicaciones de marketing País con nivel adecuado de protección — RGPD (Art. 27 a)
Anthropic PBC EE.UU. Análisis lingüístico automatizado del contenido público del sitio analizado (modelo Claude) Ejecución del contrato de servicio (Art. 27 g). Anthropic suscribe DPA estándar y mantiene retención ≤30 días sin uso de los datos para entrenamiento.
OpenAI, Inc. EE.UU. Análisis lingüístico automatizado del contenido público — respaldo si Anthropic no responde Ejecución del contrato de servicio (Art. 27 g). OpenAI suscribe DPA estándar y retención ≤30 días sin uso de los datos para entrenamiento.
Cal.com, Inc. EE.UU. Agendamiento de la sesión opcional de lectura técnica Ejecución del contrato de servicio (Art. 27 g)

Procesamiento con modelos de lenguaje (LLM). El scanner envía a Anthropic (proveedor principal) o a OpenAI (respaldo) únicamente el texto público raspado del sitio que tú nos has indicado para auditar — es decir, contenido que ya está publicado en internet por la organización auditada. No remitimos a estos proveedores el correo del titular, la dirección IP, ni ningún otro dato personal recogido en los formularios de AGLAYA. Ambos proveedores se han comprometido contractualmente a una retención máxima de 30 días y a no utilizar el contenido recibido para entrenamiento de modelos. Si en algún caso un titular nos solicita la supresión de los datos enviados al LLM, los borraremos en nuestros sistemas y notificaremos al proveedor para que ejecute la eliminación en su entorno.

8. Plazo de conservación

Conservamos los datos durante el tiempo estrictamente necesario para cada finalidad. Los plazos orientativos son:

  • Datos de auditoría y correo electrónico del informe: hasta 12 meses desde la última actividad del caso. Transcurrido ese plazo, se eliminan o anonimizan.
  • Mensajes del formulario de contacto: hasta 24 meses desde la resolución del caso, salvo solicitud de supresión anticipada.
  • Señales de analítica (GA4): según la configuración de retención de Google Analytics, máximo 14 meses para señales de sesión individual. Solo aplica si has dado consentimiento.
  • Señales de Meta Pixel y Conversions API: hasta 24 meses desde el último evento atribuible, conforme a la política de retención de Meta. Los identificadores de navegador (cookies _fbp, _fbc) se eliminan a los 90 días desde la última visita. Solo aplica si has dado consentimiento.
  • Logs técnicos y operativos: 90 días desde su generación.
  • Contenido enviado a modelos de lenguaje (Anthropic, OpenAI): ≤30 días en el proveedor del LLM, conforme a su política contractual. AGLAYA no conserva en sus sistemas una copia separada del prompt enviado al proveedor — el contenido raspado se reutiliza directamente desde la propia memoria del scan, que sigue la política de retención del primer punto de esta lista.
  • Agendamientos en Cal.com: conforme a la política de Cal.com para reservas confirmadas; AGLAYA elimina el registro local del booking 12 meses después de la fecha de la sesión.
  • Registros de pago: según las obligaciones legales aplicables al procesador de pagos, mínimo 5 años por normativa contable.

9. Origen de los datos

Todos los datos personales que tratamos provienen directamente del propio titular, a través de los formularios del servicio (scanner, continuar, contacto) o de señales técnicas generadas de forma automática al interactuar con el sitio (identificadores de sesión, dirección IP, agente de usuario).

No adquirimos datos de terceros ni cruzamos datos del servicio con bases de datos externas de personas.

10. Retirada del consentimiento

Cuando el tratamiento se basa en el consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento realizado antes de dicha retirada.

  • Para analítica (GA4) y publicidad (Meta Pixel): puedes aceptar o rechazar desde el banner que aparece en tu primera visita. Para cambiar tu decisión en cualquier momento, usa el enlace «Gestionar cookies» disponible en el pie de cada página del sitio: limpia tu decisión, vuelve a mostrar el banner y revoca de inmediato el consentimiento en ambos proveedores.
  • Para comunicaciones de marketing: puedes darte de baja en cualquier momento a través del enlace de cancelación incluido en cada correo que enviemos.
  • Para el resto de tratamientos basados en consentimiento: escríbenos a [email protected] indicando el tratamiento concreto del que deseas retirarte.

11. Tratamiento automatizado y elaboración de perfiles

El scanner de AGLAYA realiza un análisis técnico automatizado de la superficie pública de la URL proporcionada. Este análisis detecta señales visibles de riesgo regulatorio (formularios, rastreadores, políticas) y genera un diagnóstico técnico preliminar.

Este proceso no produce decisiones con efectos jurídicos sobre el titular ni efectos igualmente significativos sobre su persona. El informe resultante es un diagnóstico técnico orientativo, no una certificación de cumplimiento ni una calificación legal vinculante.

No realizamos elaboración de perfiles de personas físicas ni utilizamos los datos del servicio para decisiones individuales automatizadas de ningún tipo.

12. Cookies y tecnologías de rastreo

Este sitio utiliza las siguientes cookies y mecanismos de almacenamiento local. Las cookies de analítica y publicidad solo se activan con tu consentimiento explícito (Consent Mode v2 de Google y modo de consentimiento de Meta Pixel). Las cookies de seguridad son necesarias para el funcionamiento del servicio. Adicionalmente, utilizamos claves de sessionStorage de primera parte (aglaya_prefill_url, aglaya_prefill_source, aglaya_utm) que viven únicamente mientras la pestaña permanece abierta y sirven para preservar el contexto de tu visita entre páginas del propio sitio. No se transmiten a terceros y se borran al cerrar la pestaña o al consumirse la información en el siguiente paso del proceso.

Nombre Tipo Proveedor Finalidad Retención
analytics_consent Primera parte AGLAYA Almacena la decisión de consentimiento de analítica del usuario Persistente (localStorage)
_ga Analítica Google Analytics Distingue usuarios únicos para medir el uso del sitio 2 años
_ga_Z01H3PF60Z Analítica Google Analytics Estado y persistencia de sesión de GA4 2 años
_fbp Publicidad Meta Platforms Identifica de forma anónima al navegador para medir y atribuir el rendimiento de anuncios de Meta. Solo se emite tras consentimiento explícito. 90 días
_fbc Publicidad Meta Platforms Almacena el identificador de clic en anuncio (fbclid) para atribuir conversiones a la campaña de origen. Solo se emite tras consentimiento explícito y solo si has llegado al sitio desde un anuncio de Meta. 90 días
__cf_bm Seguridad Cloudflare Gestión de bots y verificación de tráfico legítimo (Turnstile) 30 minutos
cf_clearance Seguridad Cloudflare Verificación de seguridad de CDN; se emite solo si el navegador supera un desafío 30 min – 24 h

Las cookies de Cloudflare (__cf_bm, cf_clearance) son técnicamente necesarias para proteger el servicio de bots y ataques. No requieren consentimiento previo. Las cookies de Google Analytics (_ga, _ga_Z01H3PF60Z) y de Meta (_fbp, _fbc) solo se activan si aceptas las cookies de analítica y publicidad. Puedes gestionar tu decisión en cualquier momento desde el enlace «Gestionar cookies» en el pie de página.

13. Cambios en esta política

Si actualizamos esta política, publicaremos la nueva versión en esta misma URL con la fecha de entrada en vigor actualizada. Cuando los cambios sean materiales —es decir, afecten a los datos tratados, las finalidades o los derechos de los titulares— lo comunicaremos por correo electrónico a quienes hayan facilitado su dirección en el servicio.

El historial de versiones está disponible previa solicitud a [email protected].

CONTACTO

¿Preguntas sobre tus datos?

Si tienes cualquier duda sobre esta política o quieres ejercer alguno de tus derechos, escríbenos a [email protected] o usa el formulario. Respondemos en un plazo máximo de 30 días hábiles.

Contactar con AGLAYA Iniciar verificación gratuita
AGLAYA

Instalaciones digitales soberanas: te construimos sistemas que posees y corren sin nosotros —no que alquilas para siempre—. La Agenc·IA Incómoda.

Ley 21.719

Auditoría gratuita Adecuación Consentimiento Plugin WP Informe de ejemplo

AGLAYA

Quiénes somos Blog Contacto

Legal

Privacidad Términos Reembolsos Gestionar cookies
Engineered by AGLAYA Diagnóstico técnico · no constituye asesoría legal ni certificación de cumplimiento