Versión: 1.0Vigencia: desde 18 abril 2026Cumple: Ley N° 21.719 (Chile) — anticipado a vigencia 1 dic 2026
En Passus SpA tratamos los datos personales de quienes interactúan con
claude.passus.cl con el mismo rigor
técnico y legal con el que asesoramos a nuestros clientes. Esta política describe
qué datos recolectamos, para qué, con quién los compartimos, cuánto tiempo los
conservamos y cómo puedes ejercer tus derechos, en cumplimiento de la
Ley N° 21.719 sobre Protección de Datos Personales de Chile.
Principio rector: solo recolectamos lo estrictamente necesario
(principio de proporcionalidad, Art. 3°c Ley 21.719). Todo dato que no sea indispensable
para prestarte el servicio, simplemente no te lo pedimos.
§ 01Responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
Según el servicio que utilices, tratamos las siguientes categorías de datos:
2.1 Diagnóstico de Cumplimiento Ley 21.719
Identificación: nombre y apellido, rol (DPO, Legal, TI, Gerencia u otro).
Contacto: correo electrónico corporativo.
Organización: nombre de la empresa y tamaño (rangos de cantidad de empleados).
Respuestas al diagnóstico: tus respuestas a 10 preguntas sobre el estado de cumplimiento de tu organización. Estas respuestas pueden ser consideradas datos personales en la medida en que permiten perfilar tu rol y conocimiento.
2.2 Formulario "Pide tu agente"
Nombre, empresa, correo, área de interés y descripción libre.
2.3 Chat ARIA
Contenido de la conversación (mensajes que escribas en el chat). Nunca pediremos información sensible.
Si decides dejar tus datos para ser contactado: nombre y correo.
2.4 Datos técnicos (todos los visitantes)
Dirección IP (seudonimizada mediante hash antes de ser almacenada), tipo de navegador, sistema operativo, páginas visitadas y fecha/hora de la visita. Se usan solo con fines de seguridad y estadística agregada.
Datos que NO recolectamos: RUT, dirección particular, teléfono, datos
financieros, datos sensibles (salud, origen, creencias, biométricos). Si algún formulario
los pide en el futuro, esta política se actualizará antes de su activación.
§ 03Finalidades del tratamiento
Cada dato tiene una finalidad acotada y vinculada directamente con el servicio:
Dato
Finalidad exclusiva
Nombre, rol, empresa, tamaño
Personalizar el informe de diagnóstico y contextualizar las recomendaciones.
Correo electrónico
Enviarte el informe en PDF y, si así lo autorizaste, comunicaciones comerciales.
Respuestas del diagnóstico
Procesarlas mediante IA (Anthropic Claude) para generar el informe personalizado.
Contenido del chat ARIA
Responder tus consultas en tiempo real y, si aceptas, derivarte a un asesor comercial.
Datos técnicos
Prevención de fraude, seguridad, métricas agregadas de uso.
No realizamos perfilamiento con efecto jurídico, decisiones automatizadas que te afecten, ni venta de datos a terceros.
§ 04Base de legitimación
La base legal que habilita cada tratamiento es:
Consentimiento del titular (Art. 12° Ley 21.719) — para el diagnóstico, el chat ARIA, el formulario de contacto y las comunicaciones comerciales. Recogemos tu consentimiento de forma libre, específica, informada e inequívoca, mediante casillas de verificación explícitas antes de cada recolección.
Interés legítimo — para el tratamiento de datos técnicos de seguridad (logs, IP seudonimizada), siempre que no prevalezcan tus derechos fundamentales.
Cumplimiento de obligación legal — para conservar registros de consentimiento por el plazo que exija la normativa.
Puedes retirar tu consentimiento en cualquier momento, sin afectar la licitud
del tratamiento realizado antes de la retirada. Instrucciones en la sección 9.
§ 05Destinatarios y subencargados del tratamiento
Para operar el servicio nos apoyamos en proveedores tecnológicos (subencargados del
tratamiento, Art. 15° bis Ley 21.719). Con cada uno firmamos cláusulas de confidencialidad
y seguridad. Ellos no pueden usar tus datos para finalidades propias.
Proveedor
País
Para qué
Dato
Supabase Inc.
EE.UU. / UE
Base de datos gestionada (PostgreSQL) y almacenamiento de informes.
Todos los datos de los formularios.
Vercel Inc.
EE.UU. (edge global)
Hosting, entrega del sitio y ejecución de funciones serverless.
Datos técnicos (IP, user-agent).
Anthropic PBC
EE.UU.
Procesamiento con IA (modelo Claude) de tus respuestas para generar el informe y de tus mensajes al chat ARIA.
Respuestas del diagnóstico, mensajes del chat.
Make.com (Celonis)
UE / EE.UU.
Automatización del envío del informe PDF por correo electrónico desde passus.cl.
Nombre, correo, link al PDF.
Anthropic declara una política de Zero Data Retention a 30 días para datos
de la API y no usa tus respuestas para entrenar modelos bajo el acuerdo
comercial que tenemos.
§ 06Transferencias internacionales
Algunos de nuestros subencargados (Anthropic, Vercel, Supabase) procesan datos fuera de
Chile. Para que estas transferencias sean lícitas conforme al Art. 27 y siguientes de la
Ley 21.719, nos apoyamos en:
Consentimiento explícito y específico del titular para la transferencia internacional con fines de procesamiento por IA, recabado mediante casilla separada antes de usar el servicio.
Cláusulas contractuales con cada proveedor que exigen estándares de seguridad equivalentes a los de la ley chilena.
Evaluación de impacto cuando la categoría o volumen de datos lo amerite.
Importante: si no aceptas la transferencia internacional a Anthropic,
no podemos procesar tu diagnóstico con IA. En ese caso, puedes contactarnos
directamente en info@passus.cl y un
consultor humano te atenderá.
§ 07Plazo de conservación
Tipo de dato
Plazo
Base
Diagnóstico Ley 21.719 (respuestas + informe)
90 días desde su generación
Finalidad agotada tras entregar el informe. Proceso automatizado de eliminación física.
Formulario "Pide tu agente"
Hasta 12 meses desde el último contacto
Gestión del lead comercial.
Chat ARIA (conversaciones sin datos de contacto)
30 días
Mejora del servicio; anonimización posterior.
Lead capturado por ARIA (con nombre/correo)
Hasta 12 meses
Seguimiento comercial.
Logs de consentimiento
5 años
Obligación legal de demostrar el consentimiento.
Logs técnicos (IP seudonimizada, seguridad)
12 meses
Seguridad e investigación de incidentes.
Cumplido el plazo, ejecutamos una eliminación física definitiva
(no seudonimización, no archivado) mediante tarea programada automática.
§ 08Tus derechos (ARCO+)
Como titular de los datos, la Ley 21.719 te reconoce los siguientes derechos, ejercibles
gratuitamente y con respuesta en un plazo máximo de 72 horas hábiles:
A · Art. 11
Acceso
Saber qué datos tuyos tenemos y cómo los tratamos.
R · Art. 11
Rectificación
Corregir datos inexactos o incompletos.
C · Art. 11
Cancelación / Supresión
Eliminar tus datos (eliminación física).
O · Art. 12
Oposición
Oponerte al tratamiento por motivos legítimos.
+ · Art. 13
Portabilidad
Recibir tus datos en formato estructurado (.json).
+ · Art. 11 bis
Bloqueo temporal
Suspender el tratamiento mientras se resuelve una disputa.
§ 09Cómo ejercer tus derechos
Tienes dos canales equivalentes:
Formulario web (recomendado):
visita claude.passus.cl/arco, indica qué derecho
quieres ejercer e identifícate con tu correo. Respondemos en menos de 72 horas hábiles.
Correo electrónico:
escribe a __EMAIL_DPO__
indicando el derecho que ejerces y acompañando copia de tu cédula de identidad
(o método equivalente de identificación).
Respuesta gratuita en todos los casos. Si no quedas conforme con nuestra
respuesta, puedes acudir a la Agencia de Protección de Datos (sección 13).
§ 10Medidas de seguridad
Aplicamos medidas técnicas y organizativas apropiadas al riesgo
(Art. 14° Ley 21.719):
Cifrado en tránsito: TLS 1.3 obligatorio en todo el sitio.
Cifrado en reposo: AES-256 en la base de datos (Supabase) y en el almacenamiento de PDFs.
Control de acceso: Row Level Security (RLS) activo en todas las tablas con datos personales; principio de mínimo privilegio en cuentas internas.
Seudonimización: las direcciones IP se almacenan como hash SHA-256 con salt, no en claro.
Logs sanitizados: nunca registramos contenido de respuestas, mensajes o datos personales en logs operacionales.
Revisión de dependencias: escaneo continuo de vulnerabilidades (CVE) y parches de seguridad dentro de ventana definida.
Protocolo de brechas: ante un incidente de seguridad notificamos a la Agencia y, si corresponde, a los titulares afectados dentro de 72 horas (Art. 36°).
§ 11Menores de edad
Nuestros servicios están dirigidos a profesionales y organizaciones, no a
menores de 14 años. No recolectamos conscientemente datos de menores. Si detectamos que
un menor ha proporcionado datos, procederemos a su eliminación inmediata.
§ 12Cookies y tecnologías similares
claude.passus.cl no utiliza cookies de marketing, publicidad ni analítica de
terceros. Usamos exclusivamente cookies técnicas estrictamente necesarias
para el funcionamiento del sitio (sesión, preferencias), que están exentas de consentimiento
previo según la normativa vigente.
Si en el futuro incorporamos analítica (p. ej. Plausible o similar privacy-first),
actualizaremos esta política y solicitaremos tu consentimiento previo.
§ 13Reclamaciones ante la Agencia
Sin perjuicio de los canales internos, tienes derecho a presentar un reclamo directamente
ante la Agencia de Protección de Datos Personales de Chile, organismo
autónomo creado por la Ley 21.719 competente para supervisar el cumplimiento.
Para más información sobre el procedimiento, consulta el sitio oficial del organismo
(se publicará el canal definitivo al entrar en vigor la ley el 1 de diciembre de 2026).
§ 14Cambios a esta política
Esta política puede actualizarse para reflejar cambios legales, tecnológicos o de servicio.
Mantenemos un historial público de versiones. Si los cambios son
sustanciales y afectan a tus derechos o al tratamiento, te lo notificaremos por correo
electrónico y solicitaremos tu consentimiento nuevamente cuando corresponda.
Versión 1.0 · 18 abril 2026 · publicación inicial.
§ 15Contacto DPO
Para cualquier consulta sobre privacidad, protección de datos o ejercicio de derechos: