Política de privacidad y tratamiento de datos personales

1. Marco legal

La presente política se rige por:

• Ley N° 19.628 sobre Protección de la Vida Privada y su reglamento (Decreto 12/2014), normativa actualmente vigente.
• Ley N° 21.719 sobre Protección de Datos Personales, publicada en el Diario Oficial el 13 de diciembre de 2024, con entrada en vigencia diferida (24 meses contados desde su publicación, salvo norma transitoria distinta). Bodex se está adecuando proactivamente a sus exigencias.
• Constitución Política de la República, artículo 19 N° 4 (derecho al respeto y protección de la vida privada y a la protección de los datos personales).
• Ley N° 19.496 sobre Protección de los Derechos de los Consumidores, en lo aplicable a usuarios finales personas naturales.
• Demás normativa nacional aplicable, incluidos pronunciamientos del Consejo para la Transparencia y, en su momento, de la Agencia de Protección de Datos Personales prevista en la Ley 21.719.

2. Responsable del tratamiento

El responsable del tratamiento de los datos personales recopilados a través de la Plataforma es Bodex SpA , RUT [RAI: ingresar RUT comercial], con domicilio comercial en [RAI: dirección legal en Chile]. Para todos los efectos de esta política, el correo de contacto en materia de datos personales es[email protected] .

En el marco de la Ley 21.719, Bodex se está preparando para designar formalmente un Delegado de Protección de Datos (DPO). Hasta entonces, las consultas, ejercicio de derechos y reclamos en materia de privacidad pueden dirigirse al correo indicado.

3. Roles: responsable y encargado

Bodex actúa en dos calidades distintas que conviene precisar:

• Como responsable del tratamiento respecto de los datos de identificación, contacto, autenticación, facturación y uso de los Usuarios Autorizados que se registran en la Plataforma.
• Como encargado del tratamiento respecto de los datos que el Cliente carga en la Plataforma sobre terceros (proveedores, contactos, números de teléfono de operarios o usuarios bot). En esta calidad, Bodex actúa por cuenta del Cliente, quien es el responsable legal frente a los titulares de esos datos. El Cliente declara contar con base legal suficiente (consentimiento, ejecución de contrato u otra) para cargar dichos datos en la Plataforma.

4. Datos personales que tratamos

Se distinguen las siguientes categorías de datos:

No tratamos categorías especiales de datos (origen racial, opiniones políticas, datos de salud, biométricos u orientación sexual). Si el Cliente ingresa dicha información de manera incidental en campos libres, será de su exclusiva responsabilidad.

No tratamos deliberadamente datos personales de niños, niñas y adolescentes (menores de 14 años). La Plataforma está dirigida a empresas agrícolas y a sus trabajadores adultos.

5. Finalidades y base de licitud

Cada categoría de datos se trata para fines específicos y con una base legal expresa:

• Prestación del Servicio (ejecución del contrato): registrar movimientos, calcular inventarios, generar reportes, enviar notificaciones operativas.
• Gestión administrativa y tributaria (cumplimiento de obligación legal): emisión de facturas, contabilidad, retención de registros tributarios conforme al Código Tributario.
• Seguridad de la información (interés legítimo): prevención de fraude, detección de accesos no autorizados, registros de auditoría, copias de respaldo.
• Comunicaciones de servicio (ejecución del contrato): notificaciones de cambios de plan, mantenciones, alertas críticas y cambios legales relevantes.
• Comunicaciones comerciales (consentimiento expreso): novedades, ofertas, anuncios. El Cliente puede activarlas o desactivarlas en cualquier momento desde el panel Configuración → Notificaciones y los correos masivos siempre incluyen mecanismo de baja.
• Mejora del Servicio (interés legítimo): análisis agregados y estadísticos. No se realizan perfiles automatizados con efectos jurídicos sobre los titulares.

6. Encargados (sub-procesadores)

Para prestar el Servicio, Bodex utiliza terceros encargados de tratamiento debidamente seleccionados. Los principales son:

Bodex revisa razonablemente las políticas de privacidad y seguridad de sus encargados y, en lo aplicable, ha suscrito o se acoge a las cláusulas estándar de protección de datos que estos publican. La lista se actualizará periódicamente; el Cliente puede solicitar la versión vigente al correo de contacto.

7. Transferencias internacionales

Algunos encargados procesan datos fuera del territorio chileno. Bodex selecciona preferentemente proveedores ubicados en jurisdicciones con un nivel de protección adecuado (por ejemplo, países de la Unión Europea sujetos al Reglamento General de Protección de Datos) o que cuenten con compromisos contractuales de seguridad equivalentes.

Una vez en vigor la Ley 21.719 y los reglamentos que dicte la Agencia de Protección de Datos chilena sobre transferencias internacionales, Bodex adoptará oportunamente los mecanismos que dicha autoridad exija (cláusulas contractuales tipo, evaluaciones de impacto, certificaciones u otros).

8. Plazos de conservación

Los plazos se aplican a partir del momento en que el dato pierde su finalidad activa o termina el contrato:

• Datos de operación (movimientos, inventario, libro de campo): mientras la cuenta esté activa. Tras el término, hasta 30 días para que el Cliente exporte y luego eliminación en hasta 90 días.
• Datos tributarios y contables: los plazos exigidos por el Código Tributario (regla general: 6 años).
• Registros de auditoría y seguridad: 180 días (configurable; configurado actualmente en ese plazo).
• Registros de inicio de sesión: 90 días.
• Códigos de recuperación y verificación: 24 horas.
• Mensajes procesados del bot (deduplicación): 60 días.
• Acciones administrativas (super_admin): 180 días.
• Copias de respaldo: rotación periódica; los datos eliminados desaparecen de los respaldos en el siguiente ciclo de rotación, no superior a 90 días salvo casos excepcionales.

9. Derechos del titular

Conforme a la legislación chilena, el titular de los datos personales tiene derecho a:

• Acceso: conocer si Bodex trata sus datos y, de ser así, qué datos y con qué finalidad.
• Rectificación: solicitar la corrección de datos inexactos o incompletos.
• Cancelación (supresión): solicitar la eliminación de datos cuando ya no sean necesarios o se haya retirado el consentimiento, sin perjuicio de los plazos legales de conservación.
• Oposición: oponerse a tratamientos con base en interés legítimo o a comunicaciones comerciales.
• Portabilidad (Ley 21.719): recibir los datos en un formato estructurado y de uso común. Actualmente disponible mediante la función Exportar mis datos del panel de configuración.
• Bloqueo (Ley 21.719): suspender temporalmente el tratamiento mientras se resuelve una controversia o se ejerce otro derecho.
• No ser objeto de decisiones automatizadas con efectos jurídicos: Bodex no toma este tipo de decisiones.
• Reclamo ante la autoridad: el Consejo para la Transparencia (Ley 19.628) y, una vez en operación, la Agencia de Protección de Datos Personales (Ley 21.719).

Procedimiento: el titular puede ejercer estos derechos enviando un correo a[email protected], identificándose y precisando su solicitud.

Plazos de respuesta:

• Régimen vigente (Ley 19.628): Bodex acusará recibo dentro de dos (2) días hábiles desde la solicitud y se pronunciará sobre el fondo dentro de los dos (2) días hábiles siguientes (artículo 12 y siguientes de la Ley 19.628). Si la solicitud requiere búsqueda compleja de antecedentes, Bodex podrá ampliar fundadamente el plazo, comunicándolo previamente al titular.
• Régimen futuro (Ley 21.719, en vigor a partir de diciembre de 2026): el plazo máximo de respuesta será de 30 días corridos, prorrogable por otros 15 días en casos complejos debidamente justificados, conforme a las disposiciones que dicte la Agencia de Protección de Datos Personales.

La respuesta y la atención del ejercicio son gratuitas, salvo que la solicitud sea manifiestamente infundada o excesiva, en cuyo caso podrá cobrarse un costo razonable o denegarse motivadamente.

Cuando los datos solicitados correspondan a información cargada por un Cliente (rol de encargado), Bodex derivará la solicitud al Cliente responsable y colaborará en el plazo legal.

10. Medidas de seguridad

Bodex aplica medidas técnicas y organizativas razonables y proporcionales al riesgo, en particular:

• Cifrado en tránsito mediante TLS 1.2+ (HTTPS) para todas las comunicaciones.
• Contraseñas almacenadas con hashing bcrypt y políticas mínimas de robustez (longitud, mayúsculas, números y caracteres especiales).
• Autenticación de doble factor (2FA TOTP) disponible para todos los usuarios.
• Aislamiento por empresa a nivel de base de datos (Row-Level Security en PostgreSQL).
• Auditoría de cambios sobre tablas críticas y registro de acciones administrativas.
• Limitación de tasa de solicitudes (rate limiting) para mitigar ataques automatizados.
• Control de acceso por roles (super administrador, administrador, supervisor, bodeguero).
• Copias de seguridad periódicas y planes de restauración probados.
• Acceso restringido del personal de Bodex al estrictamente necesario para el soporte y mantenimiento.
• Servidor productivo en infraestructura ISO 27001 y sometida a la legislación europea de protección de datos.

Bodex revisa periódicamente sus medidas y se compromete a mejorarlas conforme evolucione la mejor práctica del sector.

11. Notificación de brechas de seguridad

Frente a una vulneración de seguridad que afecte datos personales con riesgo razonable de daño a los titulares, Bodex notificará a los clientes afectados sin dilación injustificada, en un plazo objetivo no superior a 72 horas desde tomar conocimiento del incidente, informando al menos: naturaleza de la brecha, datos afectados, medidas adoptadas y recomendaciones para mitigar consecuencias. En lo aplicable, Bodex cumplirá con las obligaciones de notificación que la Ley 21.719 establezca al entrar en vigor.

12. Cookies y tecnologías similares

Bodex utiliza exclusivamente cookies técnicas o estrictamente necesarias para el funcionamiento del Servicio:

• Cookies de sesión generadas por NextAuth para mantener al usuario autenticado.
• Cookies CSRF para proteger las acciones del panel contra falsificación de petición.
• Preferencias de interfaz almacenadas en localStorage (tema, secciones colapsadas, filtros), no enviadas al servidor.

No utilizamos cookies de publicidad, perfilado de terceros ni redes de seguimiento. No usamos Google Analytics, Facebook Pixel ni servicios equivalentes. Por esta razón, conforme a la normativa actual chilena, no es exigible un banner de consentimiento; aun así informamos su uso por transparencia.

El usuario puede bloquear o eliminar cookies desde la configuración de su navegador; ello puede impedir el funcionamiento del Servicio.

13. Datos personales presentes en el bot de WhatsApp

Los mensajes enviados por los usuarios al bot de WhatsApp son procesados para extraer la operación (producto, cantidad, bodega, etc.). Estos mensajes se guardan en registros internos para fines de auditoría, depuración y mejora del bot. Bodex no comparte el contenido de estos mensajes con terceros distintos de los encargados listados en la cláusula 6, y solo en la medida estrictamente necesaria para procesarlos.

14. Datos meteorológicos y de geolocalización

Para auto-rellenar las columnas de temperatura, humedad y viento del libro de campo, Bodex envía la comuna declarada por el Cliente (no coordenadas precisas del dispositivo) a la API pública de Open-Meteo, junto con la fecha y la hora del movimiento. Open-Meteo no recibe datos que permitan identificar a personas naturales.

15. Menores de edad

La Plataforma está dirigida a empresas y a sus trabajadores adultos. Si Bodex toma conocimiento de que se han recolectado datos personales de menores de 14 años sin autorización del titular o representante legal, procederá a su eliminación sin demora.

16. Cambios a esta política

Bodex podrá actualizar esta política para reflejar cambios legales, operativos o de seguridad. Las modificaciones sustantivas se comunicarán al correo registrado del Cliente con al menos 15 días corridos de anticipación. La continuidad en el uso del Servicio implica conocimiento y aceptación de los términos vigentes.

17. Contacto y reclamos

Para consultas, ejercicio de derechos y reclamos en materia de privacidad:[email protected] .

El titular conserva siempre la facultad de presentar reclamo directamente ante la autoridad chilena competente.