CRMaker (crmaker.cl) respeta tu privacidad y se compromete con la protección de tus datos personales. Esta política explica que datos recopilamos, como los usamos, por cuanto tiempo los guardamos y que derechos tienes sobre ellos, conforme a la Ley 19.628 sobre Protección de la Vida Privada y la Ley 21.719 sobre Protección de Datos Personales de Chile.
Responsable del Tratamiento
El responsable del tratamiento de datos personales recopilados a traves de crmaker.cl y de los servicios contratados es:
Marco Legal Aplicable
Esta política se rige por la legislación chilena vigente en materia de protección de datos personales:
| Normativa | Alcance |
|---|---|
| Ley 19.628 Protección de la Vida Privada | Regula el tratamiento de datos personales en registros publicos y privados. Define derechos ARCO (acceso, rectificación, cancelación, oposición). |
| Ley 21.719 Protección de Datos Personales | Moderniza la regulación chilena: crea la Agencia de Protección de Datos, amplia derechos (portabilidad, olvido), obliga a tener bases legitimadoras, sanciona infracciones. |
| Ley 21.096 | Reforma constitucional que eleva la protección de datos personales a rango de derecho constitucional (art. 19 N° 4 Constitución). |
| Ley 19.799 | Sobre documentos electrónicos, firma electrónica y servicios de certificación. Da validez legal a las notificaciones por correo. |
| Código Civil | Art. 1545 (fuerza obligatoria), 1546 (buena fe), 2314 y ss. (responsabilidad extracontractual). |
Cuando prestamos servicios a clientes internacionales o procesamos datos que cruzan fronteras, consideramos también estandares equivalentes reconocidos (GDPR europeo como referencia de buenas prácticas).
Datos que Recopilamos
a) Datos de visitantes de crmaker.cl
- Dirección IP y tipo de navegador (logs técnicos)
- Páginas visitadas, tiempo de permanencia y origen (Google Analytics, si está activo)
- Cookies técnicas y de medición (ver Artículo 12)
b) Datos de clientes que contratan servicios
- Identificación: Nombre o razon social, RUT, dirección, teléfono, email
- Contacto: Nombre y correo de la persona que representa al Cliente
- Facturación: Datos tributarios (giro, domicilio comercial)
- Pagos: Solo datos necesarios para conciliación (no guardamos números de tarjeta; Transbank y Flow procesan los pagos)
- Comunicaciones: Correos, mensajes WhatsApp, archivos adjuntos compartidos durante el proyecto
c) Datos de usuarios finales en servicios contratados
Cuando el Cliente usa nuestros CRM, sitios web o automatizaciones, el Cliente carga datos de sus propios usuarios finales (sus clientes, pacientes, contactos). El Cliente es el responsable legal de esos datos; CRMaker actua como encargado del tratamiento. Ver Artículo 07.
Principio de minimización: Solo recopilamos los datos necesarios para la finalidad contratada. No solicitamos información adicional por curiosidad ni para fines no declarados.
Finalidad del Tratamiento
Tratamos tus datos personales exclusivamente para las siguientes finalidades:
- Prestación del servicio contratado (desarrollo web, CRM, Google Ads, SEO, etc.).
- Comunicación comercial y soporte: responder consultas, enviar cotizaciones, coordinar reuniones, brindar soporte técnico.
- Facturación y cumplimiento tributario: emitir boletas/facturas electrónicas conforme normativa SII.
- Mejora del servicio: análisis estadistico agregado (anonimo) sobre uso de crmaker.cl.
- Obligaciones legales: responder requerimientos de autoridades competentes (tribunales, SII, Agencia de Protección de Datos).
- Marketing directo propio: enviar novedades o contenido relevante a clientes actuales (con opción clara de darse de baja en cada envio).
No usamos tus datos para: venderlos a terceros, perfilamiento automatizado con consecuencias juridicas, publicidad de terceros, ni para fines distintos a los declarados.
Base Legitimadora del Tratamiento
Conforme a la Ley 21.719, todo tratamiento de datos debe contar con una base legitimadora. Las que aplicamos son:
| Base | Cuando aplica |
|---|---|
| Ejecución de contrato | Todos los datos necesarios para prestar el servicio contratado (desarrollo, CRM, Ads, SEO). |
| Cumplimiento de obligación legal | Facturación electrónica, retenciones tributarias, respuesta a requerimientos judiciales. |
| Interes legitimo | Seguridad de nuestros sistemas (logs, detección de fraude), prevención de abuso, mejora agregada del servicio. |
| Consentimiento | Envio de newsletter, cookies no esenciales, uso de testimonios con nombre y foto, uso del portafolio con mención del cliente. |
Cuando el tratamiento se basa en el consentimiento, el titular puede retirarlo en cualquier momento, sin afectar la legalidad del tratamiento previo.
Datos Sensibles
Son datos sensibles (categoría reforzada): datos de salud, vida sexual, origen etnico o racial, opiniones políticas, convicciones religiosas o filosoficas, afiliación sindical, biometricos y geneticos.
Nuestra política general
- En crmaker.cl (sitio web y formularios de contacto) NO solicitamos datos sensibles. Por favor, no los envies por ahi.
- En servicios como CRM Clinico donde los datos de salud son inherentes al producto, aplicamos medidas reforzadas: cifrado, 2FA, logs de auditoria, acceso segregado por rol, alojamiento en Chile.
- En estos casos, el Cliente (centro de salud) es el responsable legal de obtener los consentimientos informados de los pacientes y cumplir con la normativa sanitaria y la Ley 20.584 (derechos de pacientes).
Importante: Nunca envies datos sensibles (historial clinico, diagnósticos, datos bancarios, credenciales) por correo electrónico, WhatsApp ni formularios publicos. Si necesitas compartirlos en el contexto de un servicio, avisanos y habilitaremos un canal seguro (carga cifrada en el sistema, enlace temporal con clave).
CRMaker como Encargado del Tratamiento
Cuando prestamos servicios SaaS (CRM, CRM Clinico, hosting gestionado, automatizaciones), el Cliente es el responsable del tratamiento y CRMaker actua como encargado del tratamiento de los datos que el Cliente carga en los sistemas.
En calidad de encargado, CRMaker:
- Trata los datos únicamente conforme a las instrucciones del Cliente
- Aplica medidas de seguridad técnicas y organizativas razonables
- No accede a los datos del Cliente salvo para soporte técnico solicitado
- Notifica al Cliente cualquier incidente de seguridad que afecte sus datos
- Asiste al Cliente en el cumplimiento de solicitudes ARCO de sus usuarios finales
- Al terminar el servicio, devuelve o elimina los datos según instrucción del Cliente
- Obliga a sus propios proveedores (subencargados) a garantías equivalentes
Esta relación queda formalizada en las cotizaciones particulares y en los Términos y Condiciones, artículo 09.
Transferencias y Proveedores (Subencargados)
Para prestar nuestros servicios usamos proveedores tecnológicos (subencargados) que pueden tratar datos personales en nuestro nombre o por cuenta del Cliente:
| Proveedor | Uso | Ubicación |
|---|---|---|
| Google (Analytics, Ads, Workspace, Cloud) | Analítica, publicidad, correo corporativo, alojamiento | EE.UU. / Chile |
| Microsoft 365 / Azure | Productividad, alojamiento | EE.UU. / Chile |
| Meta (Facebook/Instagram Ads) | Campañas publicitarias (futuro) | EE.UU. / Europa |
| Cloudflare / AWS / otros | CDN, hosting, base de datos | Global |
| Transbank y Flow | Procesamiento de pagos | Chile |
| OpenAI, Anthropic, otros LLM | Chatbots e IA (cuando aplique — ver Política de IA) | EE.UU. principalmente |
| Proveedores de hosting local | Alojamiento web compartido/dedicado | Chile |
Transferencias internacionales
Algunos proveedores operan fuera de Chile. En estos casos:
- Seleccionamos proveedores con estandares reconocidos de protección de datos (GDPR, SOC2, ISO 27001).
- Priorizamos opciones con infraestructura en Chile o America Latina cuando están disponibles.
- En el caso del CRM Clinico, exigimos alojamiento preferente en Chile para cumplir con normativa sanitaria.
Almacenamiento y Medidas de Seguridad
Aplicamos medidas de seguridad razonables y proporcionales al riesgo:
Medidas técnicas
- Cifrado en transito: HTTPS/TLS 1.2+ en todas las comunicaciones web.
- Cifrado en reposo: bases de datos y backups cifrados en servicios sensibles (CRM Clinico, datos bancarios).
- Autenticación: contrasenas con hash seguro (bcrypt/argon2), opción de doble factor (2FA).
- Logs de auditoria: registros de acceso y acciones críticas en sistemas sensibles.
- Backups periódicos con retención y pruebas de restauración.
- Actualizaciones de seguridad regulares en servidores y software.
Medidas organizativas
- Acceso a datos solo por personal autorizado y solo cuando es necesario para el soporte
- Compromiso de confidencialidad con colaboradores y proveedores
- Política interna de contrasenas seguras y separación de ambientes (desarrollo/producción)
- Principio de mínimo privilegio
Ningun sistema es 100% invulnerable. Ningun prestador serio puede prometer seguridad absoluta. Lo que sí prometemos es diligencia razonable, actualización constante y transparencia si algo ocurre (ver Artículo 14).
Plazos de Retención
Conservamos los datos personales solo durante el tiempo necesario para cumplir la finalidad o las obligaciones legales:
| Tipo de dato | Plazo de retención |
|---|---|
| Datos de contacto para cotizar (formulario) | 12 meses desde la última interacción, si no se concreta contratación |
| Datos de clientes activos | Mientras dure la relación contractual + 6 años (obligaciones tributarias) |
| Facturas, boletas y documentos tributarios | 6 años (art. 17 Código Tributario) |
| Datos del Cliente en sistemas SaaS | Durante la suscripción + 90 días post-cancelación para descarga |
| Comunicaciones por email | Hasta 3 años tras el termino del servicio |
| Logs técnicos y de seguridad | De 6 a 12 meses, salvo incidente |
| Cookies analíticas (Google Analytics) | 14 meses por defecto |
Transcurridos los plazos, los datos se eliminan de forma segura o se anonimizan para estadisticas agregadas. El Cliente puede solicitar la eliminación anticipada cuando no existan obligaciones legales que requieran conservarlos (ver Artículo 11).
Derechos del Titular (ARCO y derechos reforzados)
Como titular de datos personales, tienes los siguientes derechos conforme a la Ley 19.628 y Ley 21.719:
Acceso
Saber que datos tuyos tenemos, de donde los obtuvimos, con que finalidad y a quien los hemos comunicado.
Rectificación
Corregir datos inexactos o incompletos que tengamos sobre ti.
Cancelación / Supresión
Solicitar la eliminación de tus datos cuando ya no sean necesarios o retires tu consentimiento.
Oposición
Oponerte a un tratamiento específico, salvo que exista base legal que lo justifique igualmente.
Portabilidad
Recibir tus datos en formato estructurado (JSON, CSV, Excel) para transferirlos a otro proveedor.
Olvido
Que eliminemos datos publicados o indexados cuando se cumplan las condiciones legales.
Limitación
Restringir el tratamiento mientras se verifica su exactitud o legalidad.
No decisión automatizada
No ser objeto de decisiones basadas únicamente en tratamiento automatizado (incluido IA) con efectos juridicos sobre ti.
Cómo ejercer tus derechos
Envia un correo a con asunto "Ejercicio de derechos de datos personales" indicando:
- Tu nombre completo y una forma de verificar tu identidad (evita enviar copia del carnet por correo; usaremos otra validación)
- Que derecho quieres ejercer (acceso, rectificación, etc.)
- Detalles suficientes para ubicar tus datos
Respondemos en un plazo máximo de 20 días habiles. En casos complejos puede extenderse hasta 30 días habiles con aviso previo.
Si no quedas conforme con nuestra respuesta, puedes recurrir a la Agencia de Protección de Datos (organismo chileno creado por la Ley 21.719) cuando entre en operación, o a los Tribunales de Justicia.
Menores de Edad
crmaker.cl está dirigido a empresas y profesionales mayores de edad. No solicitamos ni recopilamos datos de menores de 14 años a traves de nuestros canales publicos. Si un Cliente utiliza nuestros sistemas (por ejemplo, un centro terapeutico que atiende adolescentes), el Cliente es responsable de obtener los consentimientos de padres o tutores conforme a la Ley 19.628 y demas normativa aplicable.
Incidentes de Seguridad (Brechas)
En caso de una brecha de seguridad que afecte datos personales:
- Evaluación inmediata del alcance, causa y riesgo para los titulares.
- Contención del incidente y medidas correctivas.
- Notificación al Cliente afectado sin demora (dentro de 72 horas en casos relevantes).
- Notificación a la autoridad competente (Agencia de Protección de Datos cuando entre en operación) cuando la gravedad lo requiera.
- Notificación a los titulares cuando exista alto riesgo para sus derechos, con información sobre el incidente y recomendaciones.
- Registro interno del incidente para auditoria y mejora continua.
Modificaciones a esta Política
- Podemos actualizar esta política para reflejar cambios legales, tecnológicos o de servicios.
- Publicaremos la nueva versión en esta misma URL indicando la fecha de última actualización.
- Si los cambios son sustanciales, notificaremos a los clientes activos por correo con 30 días de anticipación.
- El uso continuado de los servicios tras la entrada en vigencia de los cambios implica la aceptación de la política actualizada.
Contacto y Ejercicio de Derechos
Para cualquier consulta, reclamo, ejercicio de derechos ARCO o incidente relacionado con tus datos personales:
- Correo electrónico:
- Asunto sugerido: "Consulta / Ejercicio de derechos de datos personales"
- Plazo de respuesta: 20 días habiles (extensible a 30 en casos complejos, con aviso)
Documentos relacionados:
- Términos y Condiciones Generales — rige la prestación de servicios.
- Política de Uso de IA y Chatbots — tratamiento de datos en servicios con inteligencia artificial.
⚠️ Nota: Esta política es un documento vivo y refleja nuestras prácticas actuales. Se recomienda revisarla periodicamente. Si operas un negocio regulado (salud, finanzas, educación), recomendamos complementar con asesoria legal especializada.