Política de privacidad — tarjetea.me
Versión: 1.0.0 Vigente desde: 2026-05-26 Estado: Borrador inicial pendiente de revisión legal externa.
Este documento describe cómo tarjetea.me recoge, trata y protege datos personales conforme a la Ley 21.719 de Chile sobre protección de datos personales, con referencias técnicas a GDPR, UK-GDPR y LGPD (Brasil) cuando corresponda por residencia de la infraestructura.
1. Responsable y canal de derechos
Responsable del tratamiento: tarjetea.me (Chile).
Canal oficial para ejercicio de derechos y consultas: privacidad@tarjetea.me.
Plazos de respuesta:
| Etapa | Plazo |
|---|---|
| Acuse de recepción | ≤ 5 días hábiles |
| Resolución | ≤ 15 días corridos |
| Prórroga máxima | 15 días corridos adicionales, con notificación al solicitante |
2. Datos que tratamos
2.1 Datos del suscriptor (titular de cuenta)
- Identidad y autenticación: nombre, correo electrónico, contraseña (almacenada con bcrypt), MFA TOTP y códigos de recuperación (cifrados en reposo).
- Identidades federadas si el suscriptor accede con un proveedor externo: identificador del proveedor, correo y nombre tal como los entrega el proveedor.
- Perfil profesional publicable: nombre completo, cargo, empresa, correo profesional, teléfono, WhatsApp, dirección, sitio web, imagen de avatar y logotipo, rubro, biografía, texto destacado, enlaces de redes sociales.
- Cuenta y suscripción: plan vigente, fechas, referencias del proveedor de pago, beneficios y activaciones.
- Configuración del perfil: visibilidad pública, redirecciones, diseños guardados.
2.2 Datos de terceros visitantes
Personas distintas del suscriptor pueden enviar mensajes a un perfil mediante los formularios públicos (contacto, leads, notas de oficina, reclamos). En ese caso podemos recoger nombre, correo electrónico, teléfono y el mensaje enviado. Estos datos se tratan según se describe en la sección 4.
2.3 Datos técnicos y de trazabilidad
- Eventos de navegación pseudonimizados: tipo de evento, perfil consultado, hash de IP, hash de user-agent, referer.
- Intentos de autenticación: correo, IP, user-agent, resultado.
- Auditoría administrativa: acciones de administradores sobre datos personales.
2.4 Datos que no recogemos
- Datos bancarios del suscriptor o de terceros. Tarjetea.me no almacena ni publica datos financieros (cuenta corriente, RUT financiero, datos de transferencia).
- Datos sensibles de categorías especiales (salud, origen étnico, opiniones políticas u otros) salvo que el suscriptor los publique voluntariamente como contenido libre, en cuyo caso es responsabilidad del suscriptor evaluar la legalidad y conveniencia.
- Evaluaciones públicas de terceros sobre el suscriptor.
3. Finalidades y bases jurídicas
| Tratamiento | Finalidad | Base jurídica |
|---|---|---|
| Cuenta y perfil | Operar el servicio | Ejecución de contrato + DPA aceptado |
| Publicación del perfil | Permitir contactabilidad | Ejecución de contrato + consentimiento de visibilidad pública |
| Mensajes recibidos por el suscriptor (leads, notas, reclamos) | Hacer llegar el mensaje al destinatario | Consentimiento del visitante + interés legítimo del receptor |
| Comunicaciones transaccionales al suscriptor | Avisos de cuenta, pagos y consentimientos | Ejecución de contrato y obligación legal |
| Recordatorios de consentimiento al suscriptor | Mantener bases jurídicas vigentes | Ejecución de contrato |
| Auditoría y seguridad | Detectar abuso, cumplir obligaciones legales | Interés legítimo y obligación legal |
| Marketing dirigido | Comunicaciones promocionales | Consentimiento separado, revocable |
| Analítica avanzada | Mejoras del producto | Consentimiento separado, revocable |
4. Datos de terceros visitantes — tratamiento especial
Tarjetea.me no almacena de forma permanente el contenido de los mensajes que un visitante envía a un suscriptor. El flujo es:
- El visitante completa un formulario y otorga su consentimiento expreso para que tarjetea.me reenvíe el mensaje al suscriptor.
- El mensaje se almacena cifrado en una tabla transitoria por un máximo de 30 días corridos.
- Tarjetea.me envía el mensaje por correo al suscriptor receptor. Esa copia por correo es el respaldo legal único que conserva el suscriptor.
- Una vez enviado el correo con éxito, el registro original se elimina en un plazo máximo de 24 horas.
- Si el envío no logra completarse en 30 días, el registro se elimina igualmente y se contabiliza como fallo agregado.
Tarjetea.me conserva únicamente contadores agregados de cuántos mensajes recibió cada perfil por período. No conservamos nombre, correo, teléfono ni texto del mensaje del visitante.
El visitante puede ejercer sus derechos sobre el mensaje enviado mediante privacidad@tarjetea.me. Dada la ventana de 30 días, la solicitud debe presentarse dentro de ese plazo.
5. Retención
| Conjunto | Plazo |
|---|---|
| Mensajes de terceros (transitorio) | ≤ 30 días |
| Contadores agregados | Indefinido (sin PII) |
| Eventos pseudonimizados | 18 meses |
| Intentos de autenticación | 12 meses |
| Consentimientos | Mientras dure la relación + 5 años. Tras supresión se conserva sólo el hash del correo, tipo, versión, sha256, fecha y hash de IP como prueba legal |
| Auditoría de datos personales | 24 meses |
| Logs aplicativos | 90 días |
| Backups | 30 días |
6. Derechos del titular
El titular puede ejercer los siguientes derechos a través de privacidad@tarjetea.me o en /derechos:
- Acceso y portabilidad: obtener una copia estructurada de los datos asociados a su cuenta.
- Rectificación: corregir datos inexactos.
- Oposición y bloqueo: pausar el tratamiento sin eliminar la cuenta.
- Supresión: eliminar la cuenta y los datos asociados, aplicando hard delete cuando sea seguro o anonimización irreversible cuando exista una obligación legal de conservación.
- Revocación de consentimientos no necesarios para la ejecución del contrato (marketing, analítica avanzada).
7. Seguridad
- Cifrado en tránsito obligatorio (HTTPS y HSTS).
- Cifrado en reposo para credenciales sensibles (secretos MFA, recovery codes) y para datos transitorios de terceros.
- Control de acceso por rol; el acceso administrativo a datos personales queda registrado.
- Auditoría de inserción, modificación y eliminación sobre tablas con datos personales.
- Protección contra abuso en formularios públicos (anti-bot y rate limit).
- Respaldo cifrado con retención limitada.
- Personal de tarjetea.me no toma capturas de datos productivos para soporte.
8. Subprocesadores y transferencia internacional
Tarjetea.me utiliza infraestructura ubicada en Reino Unido, Estados Unidos y Brasil. Los proveedores actuales incluyen DigitalOcean y Hostinger para hosting, y servicios auxiliares de correo y mitigación anti-bot. El listado actualizado está disponible en la página /subprocesadores con su ubicación, garantías aplicadas y fecha de actualización.
Para las transferencias internacionales se aplican garantías equivalentes (cláusulas contractuales tipo, cifrado en tránsito y reposo, controles de acceso).
9. Cookies y similares
Tarjetea.me utiliza cookies estrictamente necesarias para el funcionamiento del Servicio (sesión, CSRF). Cualquier uso de cookies adicionales para analítica avanzada o marketing requiere consentimiento separado.
10. Menores
El Servicio no está dirigido a personas menores de 14 años. Si tarjetea.me detecta una cuenta perteneciente a un menor sin autorización del representante legal, procederá a su eliminación.
11. Incidentes de seguridad
Ante una vulneración que afecte datos personales, tarjetea.me activará su protocolo interno. Cuando corresponda, notificará a la Agencia de Protección de Datos Personales y a los titulares afectados en los plazos exigidos por la Ley 21.719.
12. Cambios en esta política
Esta política puede actualizarse. Cada versión queda registrada con su sha256 y el suscriptor recibirá una solicitud de nueva aceptación cuando aplique. Transcurridos 30 días sin aceptación, el perfil quedará despublicado.
13. Contacto
Cualquier pregunta o ejercicio de derechos: privacidad@tarjetea.me.