Política de Privacidad

2. Responsable del Tratamiento

El responsable del tratamiento de los datos personales recopilados directamente a través de la Plataforma es:

Cuando un Usuario utiliza la Plataforma para atender a sus propios clientes (Clientes Finales), el Usuario actúa como responsable del tratamiento de los datos de sus Clientes Finales, y Brainglab actúa como encargado del tratamiento, procesando los datos exclusivamente según las instrucciones del Usuario y para la prestación del servicio contratado.

3. Datos Personales que Recopilamos

Recopilamos diferentes categorías de datos personales según el tipo de interacción con la Plataforma:

3.1. Datos de Usuarios (Propietarios de Cuenta)

• Datos de identificación: Nombre completo, correo electrónico, número de teléfono (opcional).
• Datos de la empresa: Nombre de la empresa, sector o industria, sitio web.
• Datos de cuenta: Credenciales de acceso (contraseña almacenada con hash criptográfico), fecha de registro, plan contratado.
• Datos de facturación: Información necesaria para el procesamiento de pagos (gestionada por proveedores de pago certificados PCI-DSS). Brainglab no almacena datos de tarjetas de crédito o débito.
• Datos de uso: Registros de actividad en la Plataforma, configuraciones de bots, preferencias de usuario.

3.2. Datos de Clientes Finales

• Datos de conversación: Mensajes intercambiados con los Agentes de IA, incluyendo texto, fecha y hora.
• Datos de contacto: Número de teléfono (en el caso de WhatsApp), nombre de perfil.
• Datos proporcionados voluntariamente: Cualquier información que el Cliente Final comparta durante la conversación con el Agente de IA (nombre, email, dirección, preferencias, etc.).
• Metadatos: Tipo de canal (web, WhatsApp), información del dispositivo, dirección IP (anonimizada cuando sea posible).

3.3. Datos de Visitantes del Sitio Web

• Datos de navegación: Dirección IP, tipo de navegador, sistema operativo, páginas visitadas, tiempo de permanencia.
• Cookies y tecnologías similares: Según se detalla en la sección 11 de esta Política.

4. Finalidades del Tratamiento

Los datos personales se tratan para las siguientes finalidades:

4.1. Finalidades Principales (necesarias para la prestación del servicio)

• Crear y gestionar cuentas de usuario en la Plataforma.
• Proveer los servicios contratados, incluyendo la operación de Agentes de IA para atención al cliente.
• Procesar y gestionar las conversaciones entre Agentes de IA y Clientes Finales.
• Procesar pagos y gestionar la facturación.
• Proporcionar soporte técnico y asistencia al Usuario.
• Enviar notificaciones relacionadas con el servicio (actualizaciones, mantenimiento, alertas de seguridad).
• Cumplir con obligaciones legales, regulatorias y fiscales.

4.2. Finalidades Secundarias (con consentimiento del titular)

• Enviar comunicaciones comerciales, promociones y novedades sobre la Plataforma.
• Realizar análisis estadísticos y de uso agregados para mejorar los servicios.
• Mejorar los algoritmos de inteligencia artificial mediante datos anonimizados y agregados.
• Personalizar la experiencia del usuario en la Plataforma.

El Usuario puede retirar su consentimiento para las finalidades secundarias en cualquier momento, sin que ello afecte la prestación del servicio principal.

5. Base Legal del Tratamiento

El tratamiento de datos personales se fundamenta en las siguientes bases legales, según corresponda:

6. Compartir Datos con Terceros

Brainglab no vende, alquila ni comercializa datos personales. Los datos podrán ser compartidos únicamente en los siguientes supuestos:

• Proveedores de servicios: Empresas que nos asisten en la operación de la Plataforma (hosting, procesamiento de pagos, proveedores de IA, servicios de mensajería como WhatsApp Business API), quienes actúan como encargados del tratamiento bajo acuerdos de confidencialidad y protección de datos.
• Proveedores de infraestructura cloud: Los datos se almacenan en servidores de proveedores de nube que cumplen con estándares internacionales de seguridad (ISO 27001, SOC 2).
• Proveedores de IA: Para el procesamiento de lenguaje natural, los datos de conversación se procesan a través de APIs de proveedores de IA bajo acuerdos de protección de datos que prohíben su uso para entrenamiento de modelos propios del proveedor.
• Requerimientos legales: Cuando sea necesario para cumplir con obligaciones legales, requerimientos de autoridades competentes, resoluciones judiciales o para proteger los derechos, propiedad o seguridad de Brainglab, sus usuarios o terceros.
• Transacciones corporativas: En caso de fusión, adquisición, reorganización o venta de activos, los datos podrán ser transferidos al sucesor, previa notificación a los titulares.

7. Transferencias Internacionales de Datos

Dado que la Plataforma opera a nivel internacional y utiliza proveedores de servicios ubicados en diferentes jurisdicciones, los datos personales podrán ser transferidos y procesados fuera de Chile, incluyendo Estados Unidos y países de la Unión Europea.

Para garantizar la protección de los datos en transferencias internacionales, Brainglab implementa las siguientes salvaguardas:

• Cláusulas Contractuales Tipo (SCCs): Conforme a las decisiones de la Comisión Europea, para transferencias desde la UE a países sin decisión de adecuación.
• Data Privacy Framework (DPF): Para transferencias a Estados Unidos, verificación de que los proveedores estén certificados bajo el EU-U.S. Data Privacy Framework cuando aplique.
• Acuerdos de procesamiento de datos (DPA): Todos los proveedores que procesan datos personales firman acuerdos que garantizan un nivel de protección equivalente al requerido por la normativa aplicable.
• Evaluaciones de impacto: Se realizan evaluaciones de impacto sobre transferencias (TIA) cuando sea requerido por la normativa aplicable.

En cumplimiento de la Ley N° 19.628 de Chile, las transferencias internacionales se realizarán únicamente a países que proporcionan un nivel adecuado de protección o cuando existan garantías contractuales suficientes.

8. Conservación de Datos

Los datos personales se conservarán durante los siguientes plazos:

Transcurridos los plazos indicados, los datos serán eliminados de forma segura o anonimizados de manera irreversible, salvo que exista una obligación legal que requiera su conservación por un período mayor.

9. Medidas de Seguridad

Brainglab implementa medidas técnicas y organizativas apropiadas para proteger los datos personales, incluyendo:

9.1. Medidas Técnicas

• Cifrado en tránsito: Todas las comunicaciones utilizan TLS 1.2+ (HTTPS).
• Cifrado en reposo: Datos almacenados cifrados con algoritmos AES-256.
• Hash de contraseñas: Las contraseñas se almacenan utilizando algoritmos de hash criptográfico con salt (bcrypt).
• Control de acceso: Autenticación basada en tokens JWT con expiración configurada.
• Infraestructura segura: Servidores alojados en proveedores cloud certificados (ISO 27001, SOC 2).
• Firewalls y protección DDoS: Implementación de capas de protección contra ataques informáticos.

9.2. Medidas Organizativas

• Acceso restringido a datos personales al personal estrictamente necesario, bajo principio de mínimo privilegio.
• Acuerdos de confidencialidad con todos los empleados y proveedores que acceden a datos personales.
• Políticas internas de seguridad de la información y gestión de incidentes.
• Copias de seguridad periódicas con procedimientos de recuperación ante desastres.

10. Derechos del Titular de los Datos

Los titulares de datos personales pueden ejercer los siguientes derechos, según la normativa aplicable a su jurisdicción:

10.1. Derechos según Legislación Chilena (Ley N° 19.628)

• Derecho de acceso: Solicitar información sobre los datos personales almacenados y su tratamiento.
• Derecho de rectificación: Solicitar la corrección de datos inexactos o incompletos.
• Derecho de cancelación (eliminación): Solicitar la eliminación de datos cuando hayan dejado de ser necesarios para la finalidad para la cual fueron recopilados.
• Derecho de bloqueo: Solicitar la suspensión temporal del tratamiento de datos.

10.2. Derechos adicionales según GDPR (Residentes de la UE)

• Derecho a la portabilidad: Recibir los datos personales en un formato estructurado, de uso común y lectura mecánica (Art. 20 GDPR).
• Derecho de oposición: Oponerse al tratamiento de datos basado en interés legítimo (Art. 21 GDPR).
• Derecho a la limitación del tratamiento: Solicitar la restricción del tratamiento en determinadas circunstancias (Art. 18 GDPR).
• Derecho a no ser objeto de decisiones automatizadas: Derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos significativos (Art. 22 GDPR).
• Derecho a presentar reclamación: Derecho a presentar reclamación ante la autoridad de control competente de su Estado miembro.

10.3. Derechos según CCPA (Residentes de California, EE.UU.)

• Derecho a saber: Conocer qué datos personales se recopilan, utilizan, comparten o venden.
• Derecho a eliminar: Solicitar la eliminación de datos personales recopilados.
• Derecho a optar por no participar: Derecho a optar por no participar en la venta de datos personales. Nota: Brainglab no vende datos personales.
• Derecho a la no discriminación: Derecho a no recibir un trato discriminatorio por ejercer derechos de privacidad.

10.4. Derechos según Legislación Latinoamericana

• Brasil (LGPD): Derechos de acceso, rectificación, anonimización, eliminación, portabilidad, información sobre compartición y revocación del consentimiento (Art. 18 LGPD).
• Argentina (Ley 25.326): Derechos de acceso, rectificación, supresión y confidencialidad.
• Colombia (Ley 1581/2012): Derechos de acceso, actualización, rectificación, supresión, revocación del consentimiento y presentación de quejas ante la SIC.
• México (LFPDPPP): Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).

10.5. Cómo Ejercer sus Derechos

Para ejercer cualquiera de estos derechos, envíe una solicitud a contacto@brainglab.com indicando:

• Nombre completo y datos de identificación.
• Descripción clara del derecho que desea ejercer.
• Dirección de correo electrónico asociada a su cuenta (si aplica).
• Cualquier información adicional que facilite la localización de sus datos.

Brainglab responderá a su solicitud dentro de los plazos establecidos por la legislación aplicable: 15 días hábiles (Chile), 30 días (GDPR), 45 días (CCPA).

11. Cookies y Tecnologías de Seguimiento

La Plataforma utiliza cookies y tecnologías similares para los siguientes fines:

11.1. Cookies Estrictamente Necesarias

Esenciales para el funcionamiento de la Plataforma. No requieren consentimiento. Incluyen cookies de sesión, autenticación y seguridad.

11.2. Cookies de Rendimiento y Analíticas

Utilizadas para recopilar información sobre cómo los visitantes usan la Plataforma (páginas más visitadas, tiempo de permanencia, errores). Estos datos se recopilan de forma agregada y anónima.

11.3. Cookies de Funcionalidad

Permiten recordar las preferencias del Usuario (idioma, tema visual, configuraciones de la interfaz).

El Usuario puede gestionar sus preferencias de cookies a través de la configuración de su navegador. La desactivación de cookies no esenciales puede afectar la funcionalidad de la Plataforma.

Para residentes de la Unión Europea, las cookies no esenciales solo se activarán tras obtener consentimiento previo e informado, conforme a la Directiva 2002/58/CE (ePrivacy) y el GDPR.

12. Menores de Edad

La Plataforma no está dirigida a menores de 18 años. No recopilamos intencionalmente datos personales de menores de edad.

Si tomamos conocimiento de que hemos recopilado datos de un menor sin el consentimiento verificable de su padre, madre o tutor legal, procederemos a eliminar dichos datos de manera inmediata.

En el caso de Clientes Finales que interactúan con Agentes de IA, el Usuario (como responsable del tratamiento) debe implementar mecanismos adecuados para evitar la recopilación de datos de menores sin el consentimiento parental requerido por la normativa aplicable, incluyendo COPPA (EE.UU.) para menores de 13 años y el Art. 8 GDPR para menores de 16 años (o la edad establecida por cada Estado miembro de la UE).

13. Inteligencia Artificial y Datos Personales

Dado que la Plataforma utiliza tecnologías de inteligencia artificial, es importante informar sobre el tratamiento de datos en este contexto:

• Procesamiento de conversaciones: Los mensajes de los Clientes Finales son procesados por modelos de IA para generar respuestas. Este procesamiento es necesario para la prestación del servicio y se realiza bajo el principio de minimización de datos.
• No entrenamiento con datos del usuario: Brainglab no utiliza los datos de conversaciones individuales para entrenar modelos de IA propietarios. Los proveedores de IA con los que trabajamos están contractualmente obligados a no utilizar los datos procesados a través de nuestra API para mejorar sus propios modelos.
• Datos anonimizados: Brainglab podrá utilizar datos completamente anonimizados y agregados (que no permiten identificar a ninguna persona natural) para analizar patrones de uso, mejorar la calidad del servicio y optimizar algoritmos.
• Decisiones automatizadas: Los Agentes de IA proporcionan respuestas automatizadas a consultas de Clientes Finales. Estas respuestas no constituyen decisiones con efectos jurídicos significativos. Los Usuarios son responsables de garantizar la intervención humana cuando sea necesario.
• Evaluación de impacto (DPIA): Brainglab realiza evaluaciones de impacto sobre la protección de datos cuando el tratamiento mediante IA pueda entrañar un alto riesgo para los derechos y libertades de las personas, conforme al Art. 35 del GDPR.

14. Enlaces y Servicios de Terceros

La Plataforma puede contener enlaces a sitios web o servicios de terceros. Brainglab no es responsable de las prácticas de privacidad de dichos servicios de terceros.

Los principales servicios de terceros que pueden procesar datos en conexión con la Plataforma incluyen:

• Proveedores de IA/NLP: Para el procesamiento de lenguaje natural de los Agentes de IA.
• WhatsApp Business API: A través de proveedores autorizados, para la integración del canal de mensajería. Sujeto a la Política de Privacidad de Meta Platforms.
• Proveedores de hosting y cloud: Para el almacenamiento y procesamiento de datos.
• Servicios de pago: Para el procesamiento seguro de transacciones financieras.

Recomendamos revisar las políticas de privacidad de cada servicio de tercero antes de proporcionar datos personales.

15. Notificación de Brechas de Seguridad

En caso de una brecha de seguridad que afecte datos personales, Brainglab se compromete a:

• Notificación a autoridades: Notificar a la autoridad de control competente dentro de las 72 horas siguientes a tomar conocimiento de la brecha, conforme al Art. 33 del GDPR, cuando la brecha constituya un riesgo para los derechos y libertades de las personas.
• Notificación a titulares: Comunicar la brecha a los titulares afectados sin dilación indebida cuando la brecha entrañe un alto riesgo para sus derechos y libertades, conforme al Art. 34 del GDPR.
• Notificación a Usuarios: Informar a los Usuarios cuyas cuentas o datos de Clientes Finales puedan haberse visto afectados, para que puedan cumplir con sus propias obligaciones de notificación como responsables del tratamiento.
• Documentación: Mantener un registro documentado de todas las brechas de seguridad, su naturaleza, efectos y medidas correctivas adoptadas.
• Medidas inmediatas: Implementar las medidas técnicas y organizativas necesarias para contener la brecha y minimizar su impacto.

16. Modificaciones a esta Política

Brainglab se reserva el derecho de actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, en la legislación aplicable o en las funcionalidades de la Plataforma.

Las modificaciones se comunicarán mediante publicación en la Plataforma y/o por correo electrónico. La fecha de última actualización se indicará al final de este documento.

Las modificaciones que afecten significativamente el tratamiento de datos personales requerirán aceptación expresa cuando así lo exija la normativa aplicable, particularmente el GDPR y la legislación de protección al consumidor chilena.

17. Normativa Aplicable

Esta Política de Privacidad ha sido elaborada en cumplimiento de las siguientes normativas:

Chile

• Ley N° 19.628 sobre Protección de la Vida Privada.
• Ley N° 19.496 sobre Protección de los Derechos de los Consumidores.
• Ley N° 20.285 sobre Acceso a la Información Pública.
• Artículo 19 N° 4 de la Constitución Política (protección de datos personales).

Unión Europea

• Reglamento General de Protección de Datos (GDPR — Reglamento UE 2016/679).
• Directiva 2002/58/CE sobre privacidad y comunicaciones electrónicas (ePrivacy).

Estados Unidos

• California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA).
• Children's Online Privacy Protection Act (COPPA).
• CAN-SPAM Act (comunicaciones comerciales por email).

Latinoamérica

• Brasil: Lei Geral de Proteção de Dados (LGPD — Ley N° 13.709/2018).
• Argentina: Ley N° 25.326 de Protección de Datos Personales.
• Colombia: Ley 1581 de 2012 y Decreto 1377 de 2013.
• México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
• Perú: Ley N° 29733 de Protección de Datos Personales.

18. Contacto y Delegado de Protección de Datos

Para cualquier consulta, solicitud de ejercicio de derechos o reclamación relacionada con esta Política de Privacidad, puede contactarnos a través de:

Correo electrónico: contacto@brainglab.com

Sitio web: brainglab.com

Plataforma: sesionai.com

Si considera que el tratamiento de sus datos personales no es adecuado o que no se han respetado sus derechos, tiene derecho a presentar una reclamación ante la autoridad de control competente de su jurisdicción.