Política de Privacidad — QuéLicitar
Versión: 3.0
Vigente desde: 14 de mayo de 2026
Aplicable al sitio y plataforma: https://quelicitar.cl
1. Responsable del tratamiento
| Campo | Dato |
|---|---|
| Marca | QuéLicitar |
| Domicilio | Chillán, Chile |
| Correo contacto | hola@quelicitar.cl |
| Delegado de Protección de Datos (DPO) | dpo@quelicitar.cl |
QuéLicitar actúa como responsable del tratamiento de los datos personales descritos en esta Política, conforme a la Ley 21.719 de Protección de Datos Personales de Chile ("la Ley"), publicada el 13 de diciembre de 2024 y plenamente exigible a partir de diciembre de 2026.
2. Alcance y destinatarios
Esta Política aplica a toda persona natural ("titular", "tú", "usuario") que interactúe con quelicitar.cl en cualquiera de estos roles: visitante del sitio público, cliente registrado, miembro invitado a una organización, proveedor de datos de contacto público (Mercado Público) o receptor de comunicaciones comerciales.
Cuando los titulares sean residentes de la Unión Europea se aplica también el Reglamento General de Protección de Datos (RGPD); para residentes de Brasil, la LGPD.
3. Datos personales que tratamos
| Categoría | Ejemplos |
|---|---|
| Identificación | Nombre, apellido, email, RUT (cifrado en reposo con AES-256), teléfono |
| Autenticación | Hash de contraseña (argon2id), factores MFA (TOTP/WebAuthn), historial de sesiones |
| Navegación | IP, user-agent, cookies estrictamente necesarias y, con tu consentimiento, funcionales/analíticas/marketing |
| Datos estructurados de empresa | Campos tipados que tú confirmas (giros, certificados con vigencias, experiencia, equipo, catálogo). NO conservamos los archivos originales. |
| Datos de facturación | Razón social, RUT empresarial, dirección tributaria, medio de pago (tokenizado por Flow.cl) |
| Uso de IA | Hash de prompts, respuestas generadas, tokens consumidos, costo asociado |
| Datos públicos | Información obtenida desde Mercado Público (datos de organismos compradores, no de personas naturales salvo contactos publicados por el propio organismo) |
3.1 Documentos subidos para extracción (procesamiento efímero)
Cuando subes un documento (balance, certificado tributario, F22, escritura, antecedentes) para que nuestra IA extraiga los datos clave, el archivo no se almacena en nuestros servidores:
- El binario va a un archivo temporal en memoria.
- La IA extrae los campos relevantes (número de documento, vigencias, emisor).
- El archivo se elimina inmediatamente del filesystem, antes de que termine la respuesta.
- Solo conservamos los datos estructurados que tú confirmas, más el hash SHA-256 del archivo (para auditoría de "el cliente sí entregó esta evidencia") y la cantidad de bytes recibidos.
Esto es privacidad por diseño (Art. 14 ter Ley 21.719) y minimización de datos (Art. 3). Si necesitas conservar el archivo original (caso excepcional: catálogo de productos, adjunto a propuesta), te ofrecemos un flujo separado con consentimiento explícito y retención configurable.
3.2 Datos de proveedores adjudicados publicados por el Estado
El portal Mercado Público publica por mandato legal (Ley 19.886) el nombre y RUT del proveedor adjudicado en cada licitación. Cuando ese proveedor es una persona natural, esos datos son datos personales bajo la Ley 21.719.
Nuestra política:
- No mostramos el nombre ni RUT del proveedor adjudicado cuando este es persona natural. En su lugar enlazamos a la ficha oficial en Mercado Público para que quien necesite verificar el dato lo consulte directamente en la fuente primaria.
- Nuestra base para indexar y procesar internamente esa información (motor de búsqueda, alertas competitivas) es el interés legítimo equilibrado con el interés público de transparencia que el propio Estado materializa al publicarla (Art. 12 f).
- Si eres persona natural adjudicada y prefieres que tu información tampoco aparezca de forma indirecta en estadísticas o análisis competitivos internos, puedes ejercer tu derecho de oposición en
/legal/opt-out/.
No tratamos datos sensibles (salud, origen racial, afiliación sindical, vida sexual) ni datos de niños, niñas o adolescentes. Si detectamos que un titular es menor de edad, bloqueamos la cuenta y contactamos a su representante legal.
4. Finalidades y bases de licitud
Cada tratamiento tiene una base de licitud determinada conforme al Art. 12 de la Ley 21.719:
| Finalidad | Base de licitud | Conservación |
|---|---|---|
| Prestar el servicio SaaS contratado | Ejecución de contrato (Art. 12 b) | Mientras esté activa la cuenta |
| Facturación y cumplimiento tributario (SII) | Obligación legal (Art. 12 c) | 7 años |
| Seguridad, antifraude, registros de acceso | Interés legítimo (Art. 12 f) | 12 meses |
| Comunicaciones comerciales (newsletter, novedades) | Consentimiento (Art. 12 a) | Hasta revocación |
| Procesamiento IA (Google Gemini) | Consentimiento granular (Art. 12 a) | Embeddings purgados ≤24h tras revocación |
| Cookies funcionales / analíticas / marketing | Consentimiento (Art. 12 a) | Según panel de preferencias |
| Atención de solicitudes ARCOP+ | Obligación legal (Art. 12 c) | 5 años post-resolución |
| Extracción efímera de documentos | Ejecución de contrato (Art. 12 b) | El archivo: 0 segundos. Los campos extraídos: mientras dure la cuenta |
5. Encargados de tratamiento (sub-procesadores)
Los siguientes proveedores procesan tus datos por cuenta de QuéLicitar, bajo contrato con obligaciones de confidencialidad, seguridad y finalidad limitada, conforme al Art. 15 de la Ley 21.719:
| Encargado | País | Finalidad | Garantías |
|---|---|---|---|
| Google LLC | Estados Unidos | Modelos Gemini (IA) | Cláusulas contractuales tipo, DPA firmado |
| Cloudflare Inc. | Estados Unidos / UE | Almacenamiento R2, CDN, WAF | Cláusulas contractuales tipo, DPA firmado |
| Acumbamail S.L. | España (UE) | Envío de correo transaccional | Adecuación UE + RGPD |
| Flow.cl (GetNet Chile S.A.) | Chile | Procesamiento de pagos | Ley 19.628 / 21.719 aplicable directamente |
| Hostinger Operations UAB | Lituania (UE) | Hosting infraestructura | Adecuación UE + RGPD |
El listado vigente está publicado en /legal/subprocesadores/ y se actualiza con al menos 15 días de antelación a cualquier alta o reemplazo.
6. Transferencias internacionales
Las transferencias fuera de Chile se amparan en:
- Países con nivel adecuado de protección (UE para Acumbamail / Hostinger).
- Cláusulas contractuales tipo aprobadas, para Estados Unidos (Google, Cloudflare).
- Consentimiento expreso para el uso de IA generativa, revocable en
/mi-cuenta/consents/.
7. Derechos ARCOP+ del titular
Como titular puedes ejercer gratuitamente los siguientes derechos (Arts. 4 y 16 a 22 de la Ley 21.719):
- Acceso — saber qué datos tuyos tenemos.
- Rectificación — corregir datos inexactos o desactualizados.
- Cancelación / Supresión — solicitar el borrado de tus datos.
- Oposición — oponerte a un tratamiento específico.
- Portabilidad — recibir tus datos en formato estructurado interoperable.
- Bloqueo — suspender temporalmente el tratamiento.
¿Cómo los ejerces?
- Entra a
/mi-cuenta/datos/y elige el derecho que quieres ejercer. - Alternativamente, escribe a dpo@quelicitar.cl adjuntando copia de tu cédula de identidad (para acreditar titularidad).
- QuéLicitar debe responder en un plazo máximo de 30 días hábiles desde la recepción (Art. 20 de la Ley 21.719), prorrogable por 30 días adicionales avisando al titular la causa y el nuevo plazo.
- La respuesta se entrega por el mismo canal, firmada por el DPO, indicando si la solicitud fue acogida, denegada (y fundamento) o remitida a un tercero.
Reclamo ante la autoridad
Si no respondemos dentro del plazo, o no estás conforme con nuestra respuesta, puedes reclamar ante la Agencia de Protección de Datos Personales (APDP) una vez que se encuentre formalmente constituida conforme al Art. 30 de la Ley 21.719. Mientras tanto, la autoridad competente es el Consejo para la Transparencia.
8. Plazos de conservación y supresión
| Dato | Plazo |
|---|---|
| Cuenta activa | Mientras dure la relación contractual |
| Cuenta con supresión solicitada | 30 días de gracia revocable, luego anonimización irreversible |
| Backups cifrados | 90 días de rotación |
| AIUsageLog (trazas de IA) | 24 meses con PII anonimizada |
| Registros contables / facturas | 7 años (obligación SII) |
| Logs de seguridad y auditoría | 12 meses |
| Solicitudes ARCOP+ resueltas | 5 años post-resolución |
| Archivos subidos para extracción | 0 segundos (se eliminan inmediatamente) |
9. Medidas de seguridad
- TLS 1.3 en tránsito; cifrado en reposo AES-256; RUTs cifrados con
django-cryptography-django5. - MFA obligatorio para roles privilegiados (Owner, Admin, DPO, Auditor).
- Escaneo antivirus (ClamAV) de todos los archivos cargados (en su procesamiento efímero o persistente).
- Auditoría inmutable (
AuditEntry) de toda acción sensible, incluido el log estructurado de cada extracción efímera. - Segregación multi-tenant con
TenantScopedManager. - Evaluación de riesgos y Evaluación de Impacto en Protección de Datos (EIPD) antes de incorporar nuevas tecnologías o flujos con impacto alto, conforme al Art. 15 ter de la Ley.
10. Notificación de brechas
Ante una brecha de seguridad con riesgo para los derechos del titular, notificaremos a la Agencia en un plazo máximo de 72 horas desde el conocimiento, y a los titulares afectados "sin dilación injustificada" (Art. 14 quáter de la Ley 21.719). Mantenemos un registro interno de incidentes disponible para la autoridad.
11. Cookies
El uso de cookies no estrictamente necesarias requiere tu consentimiento explícito a través del banner mostrado en tu primera visita. Puedes revisar y modificar tus preferencias en cualquier momento en /preferencias-cookies/.
12. Cambios a esta política
Los cambios materiales se notifican por email con 30 días de antelación y, si afectan finalidades basadas en consentimiento, requieren un consentimiento nuevo. El historial de versiones está disponible en /legal/politica-privacidad/v1/, /v2/, /v3/, etc.
13. Contacto
- Correo general: hola@quelicitar.cl
- Delegado de Protección de Datos (DPO): dpo@quelicitar.cl
- Domicilio: Chillán, Chile
- Autoridad de control: Agencia de Protección de Datos Personales (APDP), Chile.