LEGAL · LEY 21.719
Política de tratamiento de datos personales
Este documento cumple el deber de información y transparencia establecido en el
artículo 14 ter de la Ley N.º 21.719 sobre Protección de la Vida Privada y de los
Datos Personales de la República de Chile. Describe quién trata los datos, con qué
finalidad, en qué base y qué derechos corresponden al titular.
Versión: 1.5
Vigente desde: 13 de junio de 2026
Derechos y privacidad: [email protected]
1. Identidad del responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de
auditoria-ley21719.cl es AGLAYA, equipo
operativo de carácter internacional sin sede legal registrada en una jurisdicción única.
AGLAYA actúa como responsable en los términos del artículo 1.° bis, letra c) de la
Ley 21.719, por cuanto el sitio está dirigido exclusivamente a residentes en Chile y
ofrece servicios de diagnóstico regulatorio relativos a la normativa chilena.
No existe en esta fecha representante legal con domicilio en Chile ni encargado de
prevención de infracciones designado. Los canales operativos para el ejercicio
de derechos y cualquier comunicación relativa al tratamiento de datos son los
correos electrónicos indicados en el apartado 2.
2. Contacto para el ejercicio de derechos
Para ejercer cualquier derecho sobre tus datos, plantear dudas sobre esta política
o solicitar aclaraciones, puedes contactar con AGLAYA por los siguientes medios:
Responderemos a todas las solicitudes en un plazo máximo de 30 días hábiles desde
su recepción. Si la complejidad o el volumen lo requieren, informaremos de la
prórroga antes de que venza ese plazo.
3. Datos tratados, finalidades y base de licitud
La siguiente tabla describe los datos personales que podemos tratar, la finalidad
de cada tratamiento, su base de licitud conforme a la Ley 21.719 y los destinatarios
a quienes pueden comunicarse.
| Dato |
Finalidad |
Base de licitud |
Destinatarios |
| URL o dominio público enviado al scanner |
Análisis técnico automatizado de la superficie pública del sitio |
Ejecución del servicio solicitado (Art. 13) |
Infraestructura propia (Railway, EE.UU.) |
Texto público raspado del sitio analizado (HTML de políticas, T&C, banners, formularios visibles, etiquetas script) |
Evaluación lingüística automatizada de criterios de cumplimiento Ley 21.719 mediante modelo de lenguaje (LLM). El LLM lee el contenido público del sitio analizado para identificar la presencia o ausencia de cláusulas exigidas. No se le envían datos personales del titular que solicitó la auditoría. |
Ejecución del servicio solicitado (Art. 13) |
Anthropic PBC (EE.UU.) — proveedor principal del modelo Claude. Retención por el proveedor: ≤30 días. No se utilizan los datos para entrenamiento de modelos. OpenAI Inc. (EE.UU.) — usado solo como respaldo si Anthropic no responde; misma política de retención y mismo compromiso de no entrenamiento. |
| Correo electrónico (formulario «continuar») |
Entregar el informe de auditoría y gestionar el estado del pedido |
Ejecución del servicio solicitado (Art. 13) |
Railway (almacenamiento), Resend (envío, EE.UU.) |
| Correo electrónico y nombre (agendamiento de sesión técnica) |
Coordinar la sesión opcional de lectura técnica del informe |
Consentimiento (Art. 12) — la sesión se solicita activamente por el titular |
Cal.com Inc. (EE.UU.) — plataforma de agendamiento. Railway (registro del evento). |
| Nombre y mensaje (formulario de contacto) |
Responder la consulta o incidencia planteada |
Interés legítimo — responder a la solicitud del titular (Art. 13 d) |
Railway (almacenamiento, EE.UU.) |
| Correo electrónico (suscripción a comunicaciones) |
Enviar actualizaciones del servicio y comunicaciones comerciales |
Consentimiento (Art. 12) |
MailerLite (Lituania / UE) |
| Identificadores técnicos (audit_id, dirección IP, agente de usuario) |
Operar el servicio, prevenir abuso y entrega técnica del resultado |
Interés legítimo — operación del servicio (Art. 13 d) |
Cloudflare (CDN/seguridad, EE.UU.), Railway (EE.UU.), Netlify, Inc. (EE.UU.) — alojamiento del frontend estático |
| Señales de analítica de uso (GA4) |
Medir el uso del sitio para mejora del servicio |
Consentimiento (Art. 12) |
Google LLC (EE.UU.) — solo tras consentimiento explícito |
| Señales de actividad web (Meta Pixel y Conversions API) |
Medir el rendimiento de campañas publicitarias, atribuir conversiones y optimizar el alcance de los anuncios |
Consentimiento (Art. 12) |
Meta Platforms Ireland Ltd. (Irlanda) — solo tras consentimiento explícito |
Identificadores de campaña (parámetros UTM, fbclid, slug de la landing de origen) |
Atribuir cada solicitud de auditoría a la fuente publicitaria que originó la visita y medir el rendimiento de las campañas. No se utilizan para ningún otro fin. |
Interés legítimo — medición del rendimiento publicitario (Art. 13 d), informado en el formulario «continuar» |
Railway (almacenamiento operativo, EE.UU.) |
| Datos de pago y facturación |
Procesar la compra y renovación de la licencia del plugin Consent Ledger |
Ejecución del contrato (Art. 13 a) |
Lemon Squeezy (EE.UU.) — AGLAYA no accede a datos de tarjeta |
La URL pública analizada por el scanner es, en la mayoría de casos, un dominio
corporativo y no un dato personal. En los supuestos en que pueda identificar a una
persona natural, recibe el mismo tratamiento que el resto de datos de esta tabla.
Coincidencias avanzadas automáticas (Advanced Matching).
Cuando aceptas las cookies de publicidad y, posteriormente, nos facilitas tu
correo electrónico en el formulario «continuar», el píxel de Meta hashea ese
correo con SHA-256 en tu propio navegador y envía únicamente el hash a
Meta. Nunca remitimos tu correo en claro a Meta. El hash sirve para que Meta
pueda atribuir tu visita a la campaña publicitaria correcta y deduplicar
eventos del navegador con los eventos enviados desde nuestro servidor a la
API de Conversiones. Esta funcionalidad se desactiva por completo si
rechazas las cookies de publicidad o si revocas el consentimiento desde
«Gestionar cookies».
Plugin Consent Ledger — datos técnicos y soberanía.
Si adquieres nuestro plugin de WordPress, el software instalado en tu sitio se comunica con dos
servicios transmitiendo únicamente datos técnicos (sin datos personales): (a) Lemon Squeezy, para
validar la licencia, enviando la clave de licencia y el dominio del sitio; y (b) el servidor de
actualizaciones de AGLAYA, enviando el dominio y la versión instalada, para ofrecer actualizaciones.
Existe un modo de funcionamiento 100% offline que desactiva ambas llamadas. Los datos de
consentimiento que el plugin registra —las personas que consienten en tu propio sitio— se almacenan
en la base de datos de tu instalación y no se transmiten a AGLAYA en ningún momento.
4. Medidas de seguridad aplicadas
AGLAYA aplica las siguientes medidas técnicas y organizativas para proteger los
datos personales tratados en el servicio:
- Tráfico cifrado mediante HTTPS/TLS en todos los endpoints públicos.
- Control de acceso a datos por necesidad operativa estricta.
- Limitación de tasa de peticiones (rate limiting) en todos los
formularios y endpoints de la API, implementada en capa de servidor.
- Protección anti-bot mediante Cloudflare Turnstile en todos los formularios.
- Firewall de aplicaciones web (WAF) y protección DDoS vía Cloudflare.
- No se almacenan contraseñas ni datos de tarjeta en sistemas propios.
- Rotación periódica de credenciales de producción y ausencia de secretos en repositorio.
Ningún sistema conectado a internet ofrece garantía absoluta. En caso de
incidente que afecte a datos personales, AGLAYA notificará a los titulares
afectados en los plazos y formas que establezca la normativa aplicable.
5. Derechos de los titulares
Conforme a los artículos 4.° a 9.° de la Ley 21.719, los titulares de datos
tienen los siguientes derechos, ejercibles en todo momento:
-
Acceso (Art. 4.°): conocer qué datos trata AGLAYA sobre ti,
con qué finalidad y en qué condiciones.
-
Rectificación (Art. 5.°): solicitar la corrección de datos
inexactos, incompletos o desactualizados.
-
Supresión (Art. 6.°): solicitar la eliminación de los datos
cuando ya no sean necesarios para la finalidad para la que fueron recogidos,
o cuando se retire el consentimiento y no exista otra base de licitud.
-
Oposición (Art. 7.°): oponerte al tratamiento de tus datos
en determinadas circunstancias, en particular cuando la base sea el interés
legítimo del responsable.
-
Portabilidad (Art. 8.°): recibir en formato estructurado y
de uso común los datos que nos hayas facilitado directamente, y transmitirlos
a otro responsable cuando sea técnicamente posible.
-
Bloqueo temporal (Art. 9.°): solicitar la suspensión del
tratamiento mientras se resuelve una impugnación sobre la exactitud de los
datos o la licitud del tratamiento.
Para ejercer cualquiera de estos derechos, escríbenos a
[email protected] indicando el derecho que
deseas ejercer y los datos suficientes para identificarte como titular.
Datos ya transmitidos a Google o Meta. Si has dado tu
consentimiento y, posteriormente, deseas que eliminemos eventos ya enviados
a Google Analytics o a Meta (Pixel / Conversions API), escríbenos a
[email protected]. Tramitamos la
solicitud mediante (i) la User Deletion API de Google Analytics y
(ii) la Data Deletion Request API de Meta, en un plazo máximo de
30 días hábiles desde la recepción de tu petición. Te confirmaremos por
correo cuando ambas eliminaciones queden registradas.
Datos ya transmitidos a Anthropic u OpenAI. El contenido
público raspado del sitio analizado puede haberse remitido al modelo de
lenguaje (LLM) durante el análisis. Si solicitas la supresión, AGLAYA
eliminará la copia del scan en sus propios sistemas y solicitará por canal
contractual al proveedor (Anthropic u OpenAI) la eliminación anticipada
respecto del plazo estándar de 30 días. Te confirmaremos la ejecución por
correo. Escríbenos a
[email protected] con el dominio
auditado y el audit_id recibido por correo.
Conservación de la prueba de consentimiento tras la supresión.
Cuando ejerzas tu derecho de supresión, AGLAYA dejará de tratar tus datos
para las finalidades indicadas y los eliminará de sus sistemas activos.
No obstante, el registro de consentimiento —la entrada inmutable
que acredita que diste tu acuerdo en una fecha determinada, bajo una versión
concreta del aviso y con una base jurídica específica— se conservará de
forma minimizada durante el plazo de prescripción de las acciones derivadas
de la Ley 21.719, como prueba ante la Agencia de Protección de Datos en
caso de reclamación. Esta conservación se apoya en la obligación legal
de accountability (Art. 12 Ley 21.719; equivalente al Art. 17.3.b/e RGPD):
el responsable debe poder demostrar el cumplimiento normativo incluso
después de que el titular haya ejercido sus derechos. La entrada conservada
se limita al sello criptográfico (hash de la ficha), la fecha del
consentimiento y el identificador mínimo necesario para vincularla a una
reclamación concreta; no incluye datos adicionales de navegación o
comportamiento.
6. Derecho a reclamar ante la Agencia de Protección de Datos
Si consideras que el tratamiento de tus datos infringe la Ley 21.719, tienes
derecho a presentar una reclamación ante la
Agencia de Protección de Datos Personales, autoridad de control
creada por el artículo 30 de la misma ley.
La Agencia estará operativa desde la entrada en vigor plena de la ley (diciembre
de 2026). Cuando esté activa, podrás dirigirte a ella directamente si estimas
que AGLAYA no ha atendido adecuadamente tu solicitud de derechos o ha infringido
la normativa.
Te recomendamos ejercer primero tus derechos ante AGLAYA directamente, para
que podamos resolverlo con la mayor rapidez posible.
7. Transferencias internacionales de datos
Algunos de los destinatarios indicados en el apartado 3 se encuentran fuera de
Chile. Las transferencias se realizan bajo las bases previstas en el artículo 27
de la Ley 21.719:
| Proveedor |
País |
Finalidad |
Base de transferencia (Art. 27) |
| Railway |
EE.UU. |
Hosting del backend y almacenamiento operativo |
Ejecución del contrato de servicio (Art. 27 g) |
| Resend |
EE.UU. |
Envío del informe de auditoría por correo |
Ejecución del contrato de servicio (Art. 27 g) |
| Cloudflare |
EE.UU. |
CDN, WAF, protección anti-bot (Turnstile) |
Ejecución del contrato de servicio (Art. 27 g) |
| Netlify, Inc. |
EE.UU. |
Alojamiento y entrega del frontend estático (páginas del sitio) |
Ejecución del contrato de servicio (Art. 27 g) |
| Lemon Squeezy |
EE.UU. |
Procesamiento del pago |
Ejecución del contrato de servicio (Art. 27 g) |
| Google LLC |
EE.UU. |
Analítica de uso (GA4) |
Consentimiento explícito del titular (Art. 27, en relación con Art. 12) |
| Meta Platforms Ireland Ltd. |
Irlanda (UE) — con tratamiento posterior por Meta Platforms, Inc. (EE.UU.) |
Medición de campañas publicitarias y atribución de conversiones (Pixel + Conversions API) |
Consentimiento explícito del titular (Art. 27, en relación con Art. 12). Irlanda es país con nivel adecuado de protección (RGPD, Art. 27 a); las transferencias posteriores a EE.UU. se rigen por las Cláusulas Contractuales Tipo de Meta y su Adendo de Tratamiento de Datos. |
| MailerLite |
Lituania (UE) |
Comunicaciones de marketing |
País con nivel adecuado de protección — RGPD (Art. 27 a) |
| Anthropic PBC |
EE.UU. |
Análisis lingüístico automatizado del contenido público del sitio analizado (modelo Claude) |
Ejecución del contrato de servicio (Art. 27 g). Anthropic suscribe DPA estándar y mantiene retención ≤30 días sin uso de los datos para entrenamiento. |
| OpenAI, Inc. |
EE.UU. |
Análisis lingüístico automatizado del contenido público — respaldo si Anthropic no responde |
Ejecución del contrato de servicio (Art. 27 g). OpenAI suscribe DPA estándar y retención ≤30 días sin uso de los datos para entrenamiento. |
| Cal.com, Inc. |
EE.UU. |
Agendamiento de la sesión opcional de lectura técnica |
Ejecución del contrato de servicio (Art. 27 g) |
Procesamiento con modelos de lenguaje (LLM).
El scanner envía a Anthropic (proveedor principal) o a OpenAI (respaldo)
únicamente el texto público raspado del sitio que tú nos has
indicado para auditar — es decir, contenido que ya está publicado
en internet por la organización auditada. No remitimos a estos
proveedores el correo del titular, la dirección IP, ni ningún otro
dato personal recogido en los formularios de AGLAYA. Ambos
proveedores se han comprometido contractualmente a una retención
máxima de 30 días y a no utilizar el contenido recibido para
entrenamiento de modelos. Si en algún caso un titular nos solicita
la supresión de los datos enviados al LLM, los borraremos en
nuestros sistemas y notificaremos al proveedor para que ejecute la
eliminación en su entorno.
8. Plazo de conservación
Conservamos los datos durante el tiempo estrictamente necesario para cada
finalidad. Los plazos orientativos son:
-
Datos de auditoría y correo electrónico del informe:
hasta 12 meses desde la última actividad del caso. Transcurrido ese plazo,
se eliminan o anonimizan.
-
Mensajes del formulario de contacto:
hasta 24 meses desde la resolución del caso, salvo solicitud de supresión
anticipada.
-
Señales de analítica (GA4):
según la configuración de retención de Google Analytics, máximo 14 meses
para señales de sesión individual. Solo aplica si has dado consentimiento.
-
Señales de Meta Pixel y Conversions API:
hasta 24 meses desde el último evento atribuible, conforme a la política
de retención de Meta. Los identificadores de navegador (cookies
_fbp, _fbc) se eliminan a los 90 días desde la
última visita. Solo aplica si has dado consentimiento.
-
Logs técnicos y operativos:
90 días desde su generación.
-
Contenido enviado a modelos de lenguaje (Anthropic, OpenAI):
≤30 días en el proveedor del LLM, conforme a su política contractual.
AGLAYA no conserva en sus sistemas una copia separada del prompt
enviado al proveedor — el contenido raspado se reutiliza
directamente desde la propia memoria del scan, que sigue la
política de retención del primer punto de esta lista.
-
Agendamientos en Cal.com:
conforme a la política de Cal.com para reservas confirmadas;
AGLAYA elimina el registro local del booking 12 meses después
de la fecha de la sesión.
-
Registros de pago:
según las obligaciones legales aplicables al procesador de pagos, mínimo
5 años por normativa contable.
9. Origen de los datos
Todos los datos personales que tratamos provienen directamente del propio titular,
a través de los formularios del servicio (scanner, continuar, contacto) o de
señales técnicas generadas de forma automática al interactuar con el sitio
(identificadores de sesión, dirección IP, agente de usuario).
No adquirimos datos de terceros ni cruzamos datos del servicio con bases de datos
externas de personas.
10. Retirada del consentimiento
Cuando el tratamiento se basa en el consentimiento, puedes retirarlo en cualquier
momento sin que ello afecte a la licitud del tratamiento realizado antes de dicha
retirada.
-
Para analítica (GA4) y publicidad (Meta Pixel): puedes
aceptar o rechazar desde el banner que aparece en tu primera visita. Para
cambiar tu decisión en cualquier momento, usa el enlace
«Gestionar cookies» disponible en el pie de cada página del sitio:
limpia tu decisión, vuelve a mostrar el banner y revoca de inmediato el
consentimiento en ambos proveedores.
-
Para comunicaciones de marketing: puedes darte de baja en
cualquier momento a través del enlace de cancelación incluido en cada correo
que enviemos.
-
Para el resto de tratamientos basados en consentimiento:
escríbenos a [email protected] indicando
el tratamiento concreto del que deseas retirarte.
11. Tratamiento automatizado y elaboración de perfiles
El scanner de AGLAYA realiza un análisis técnico automatizado
de la superficie pública de la URL proporcionada. Este análisis detecta señales
visibles de riesgo regulatorio (formularios, rastreadores, políticas) y genera
un diagnóstico técnico preliminar.
Este proceso no produce decisiones con efectos jurídicos sobre
el titular ni efectos igualmente significativos sobre su persona. El informe
resultante es un diagnóstico técnico orientativo, no una certificación de
cumplimiento ni una calificación legal vinculante.
No realizamos elaboración de perfiles de personas físicas ni utilizamos los
datos del servicio para decisiones individuales automatizadas de ningún tipo.
12. Cookies y tecnologías de rastreo
Este sitio utiliza las siguientes cookies y mecanismos de almacenamiento local.
Las cookies de analítica y publicidad solo se activan con tu
consentimiento explícito (Consent Mode v2 de Google y modo de
consentimiento de Meta Pixel). Las cookies de seguridad son necesarias para
el funcionamiento del servicio. Adicionalmente, utilizamos claves de
sessionStorage de primera parte (aglaya_prefill_url,
aglaya_prefill_source, aglaya_utm) que viven
únicamente mientras la pestaña permanece abierta y sirven para preservar
el contexto de tu visita entre páginas del propio sitio. No se transmiten
a terceros y se borran al cerrar la pestaña o al consumirse la información
en el siguiente paso del proceso.
| Nombre |
Tipo |
Proveedor |
Finalidad |
Retención |
analytics_consent |
Primera parte |
AGLAYA |
Almacena la decisión de consentimiento de analítica del usuario |
Persistente (localStorage) |
_ga |
Analítica |
Google Analytics |
Distingue usuarios únicos para medir el uso del sitio |
2 años |
_ga_Z01H3PF60Z |
Analítica |
Google Analytics |
Estado y persistencia de sesión de GA4 |
2 años |
_fbp |
Publicidad |
Meta Platforms |
Identifica de forma anónima al navegador para medir y atribuir el rendimiento de anuncios de Meta. Solo se emite tras consentimiento explícito. |
90 días |
_fbc |
Publicidad |
Meta Platforms |
Almacena el identificador de clic en anuncio (fbclid) para atribuir conversiones a la campaña de origen. Solo se emite tras consentimiento explícito y solo si has llegado al sitio desde un anuncio de Meta. |
90 días |
__cf_bm |
Seguridad |
Cloudflare |
Gestión de bots y verificación de tráfico legítimo (Turnstile) |
30 minutos |
cf_clearance |
Seguridad |
Cloudflare |
Verificación de seguridad de CDN; se emite solo si el navegador supera un desafío |
30 min – 24 h |
Las cookies de Cloudflare (__cf_bm, cf_clearance) son
técnicamente necesarias para proteger el servicio de bots y ataques. No requieren
consentimiento previo. Las cookies de Google Analytics (_ga,
_ga_Z01H3PF60Z) y de Meta (_fbp, _fbc)
solo se activan si aceptas las cookies de analítica y publicidad. Puedes
gestionar tu decisión en cualquier momento desde el enlace
«Gestionar cookies» en el pie de página.
13. Cambios en esta política
Si actualizamos esta política, publicaremos la nueva versión en esta misma URL
con la fecha de entrada en vigor actualizada. Cuando los cambios sean materiales
—es decir, afecten a los datos tratados, las finalidades o los derechos de los
titulares— lo comunicaremos por correo electrónico a quienes hayan facilitado
su dirección en el servicio.
El historial de versiones está disponible previa solicitud a
[email protected].
CONTACTO
Si tienes cualquier duda sobre esta política o quieres ejercer alguno de tus derechos,
escríbenos a [email protected] o usa el formulario.
Respondemos en un plazo máximo de 30 días hábiles.