POLÍTICA INTEGRAL DE PRIVACIDAD Y PROTECCIÓN DE DATOS

LO QUE BUSCABAS

DECLARACIÓN DE PRINCIPIOS Y ALCANCE

Creativos Spa, comercialmente denominada «Lo Que Buscabas», RUT 77.297.954-7, en su calidad de Responsable del Tratamiento de Datos Personales, establece mediante la presente Política Integral de Privacidad y Protección de Datos los lineamientos, procedimientos y garantías que rigen el tratamiento de datos personales en cumplimiento estricto de la Ley N° 19.628 sobre Protección de la Vida Privada, la Ley N° 21.096 de Protección al Consumidor, las normativas tributarias chilenas, los estándares internacionales de seguridad de la información y las directrices específicas de entidades financieras y tecnológicas con las que mantenemos relaciones comerciales.

BASE LEGAL Y FUNDAMENTACIÓN DEL TRATAMIENTO

El tratamiento de datos personales se sustenta en las siguientes bases jurídicas: (i) ejecución de contrato de compraventa electrónica; (ii) consentimiento libre, informado, específico e inequívoco del titular; (iii) cumplimiento de obligaciones legales ante el Servicio de Impuestos Internos, SERNAC y otras autoridades competentes; (iv) interés legítimo para mejorar nuestros servicios y prevenir fraudes; y (v) protección de intereses vitales del titular u otras personas. Cada finalidad de tratamiento cuenta con base jurídica específica y documentada.

CATEGORÍAS DE DATOS PERSONALES TRATADOS

Datos Identificativos y de Contacto

Recopilamos nombre completo, RUT, dirección de correo electrónico verificada, números de contacto telefónico, dirección física de despacho y facturación, y cuando corresponde, fotografía de identificación. La verificación de identidad mediante RUT se realiza mediante servicios de validación oficial para prevenir suplantación de identidad.

Datos Financieros y Transaccionales

Para procesamiento de pagos: tokens de transacción, historial de compras, montos transados, métodos de pago seleccionados. Especificamos que NO almacenamos datos sensibles de medios de pago – estos son procesados directamente por Transbank y otras pasarelas de pago certificadas PCI-DSS Level 1. Mantenemos registros de transacciones según obligación legal del SII por 6 años.

Datos Técnicos y de Navegación

Dirección IP anonimizada, tipo de dispositivo, sistema operativo, patrones de navegación, métricas de interacción con el sitio. Implementamos técnicas de pseudonimización para datos analíticos. Los logs de acceso se retienen por 24 meses máximo con fines de seguridad y auditoría.

Datos para Programas de Fidelización y Reseñas

Para Google Customer Reviews y programas similares: dirección de correo electrónico, número de orden, fecha estimada de entrega, calificaciones y comentarios voluntarios. La participación requiere consentimiento explícito y separable.

FINALIDADES ESPECÍFICAS DEL TRATAMIENTO

Finalidades Contractuales Esenciales

Ejecución del proceso de compraventa electrónica incluyendo: verificación de identidad mediante RUT, procesamiento de pago a través de pasarelas certificadas, gestión logística con empresas de despacho, emisión de documentos tributarios electrónicos, gestión de garantías legales y post-venta, y atención de reclamos y consultas.

Finalidades de Cumplimiento Legal

Cumplimiento de obligaciones contables y tributarias ante el SII; atención de requerimientos de SERNAC; colaboración con investigaciones judiciales mediante orden competente; prevención de blanqueo de capitales y financiamiento al terrorismo; y cumplimiento de normativas sectoriales específicas.

Finalidades de Marketing y Comunicaciones

Envío de comunicaciones comerciales y newsletters únicamente previa obtención de consentimiento explícito mediante opt-in verificable. Implementamos sistemas de doble verificación para suscripciones. Todas las comunicaciones incluyen mecanismo de opt-out inmediato. Para marketing behavioral: utilización de datos pseudonimizados para segmentación, siempre con opción de exclusión mediante cookie banner granular.

Finalidades de Seguridad y Mejora Continua

Análisis de patrones de fraude mediante inteligencia artificial; mejora de experiencia de usuario mediante testing A/B con datos anonimizados; desarrollo de nuevos productos basado en análisis agregados; y mantenimiento de infraestructura tecnológica segura.

TRANSFERENCIAS Y COMUNICACIONES DE DATOS

Cesión a Terceros Proveedores Esenciales

Transferimos datos estrictamente necesarios a: empresas de logística y despacho (datos de contacto y dirección para entrega); pasarelas de pago certificadas (datos transaccionales mínimos necesarios); plataformas tecnológicas de hosting con certificación ISO 27001; y servicios de análisis web con políticas de privacidad alineadas.

Transferencias Internacionales

Para servicios que requieren transferencia transfronteriza (ej: Google Cloud, AWS), implementamos Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y evaluaciones de impacto de privacidad. Los datos se almacenan preferentemente en centros de datos en Latinoamérica, con cifrado end-to-end para transferencias.

Comunicaciones a Autoridades

Solo procedemos a comunicar datos personales a autoridades competentes mediante: requerimiento judicial válido; solicitud del SII en ejercicio de sus facultades fiscalizadoras; requerimiento de SERNAC en procesos de mediación; y obligaciones de reporte de actividades sospechosas ante la UAF.

GARANTÍAS DE SEGURIDAD TÉCNICA Y ORGANIZATIVA

Medidas Técnicas Avanzadas

Implementamos cifrado AES-256 en reposo y TLS 1.3 en tránsito; sistemas de detección y prevención de intrusiones con monitoreo 24/7; segmentación de redes y principio de mínimo privilegio en accesos; tokenización de datos sensibles; backups cifrados en ubicaciones geográficamente dispersas; y certificaciones periódicas de penetración.

Controles Organizativos Estrictos

Políticas de confidencialidad con cláusulas penales para empleados y contratistas; programas de capacitación continua en protección de datos; procedimientos documentados para gestión de incidentes; auditorías internas trimestrales; y designación de Delegado de Protección de Datos con independencia funcional.

Gestión de Incidentes de Seguridad

Procedimiento documentado para notificación de brechas de seguridad que incluye: contención inmediata, evaluación de impacto, notificación a autoridades y afectados dentro de plazos legales, y medidas correctivas. Mantenemos seguro de responsabilidad civil por tratamiento de datos.

DERECHOS DE LOS TITULARES Y PROCEDIMIENTOS

Catálogo Completo de Derechos

Reconocemos y garantizamos el ejercicio de: derecho de acceso a datos tratados y copia en formato legible; rectificación de datos inexactos; cancelación y supresión cuando aplicable; oposición a tratamientos específicos; portabilidad de datos a otros responsables; limitación del tratamiento en casos particulares; no ser objeto de decisiones automatizadas con efectos jurídicos; y revocación de consentimientos.

Procedimiento para Ejercicio de Derechos

Los titulares pueden ejercer sus derechos mediante: (i) solicitud escrita dirigida a privacidad@loquebuscabas.cl; (ii) verificación de identidad mediante RUT y validación de correo electrónico registrado; (iii) respuesta dentro de 10 días hábiles prorrogables por 10 más previa notificación; (iv) gratuidad del procedimiento, excepto solicitudes manifiestamente infundadas o excesivas; (v) notificación de extensión de plazos cuando la complejidad lo requiera.

Mecanismos de Reclamación

Adicionalmente a los canales internos, los titulares pueden presentar reclamaciones ante: SERNAC para matters de consumo; futura Agencia de Protección de Datos Personales una vez entre en vigencia; y tribunales de justicia competentes en el domicilio del consumidor.

POLÍTICA DE RETENCIÓN Y ELIMINACIÓN

Plazos de Conservación Específicos

Datos transaccionales y tributarios: 6 años desde última operación según obligación SII; datos de contacto marketing: hasta revocación de consentimiento o inactividad por 3 años; datos de navegación: 26 meses con anonimización posterior; datos de soporte al cliente: 3 años desde resolución del caso; logs de seguridad: 24 meses con acceso restringido.

Procedimientos de Eliminación

Eliminación segura mediante: sobrescritura múltiple de medios magnéticos; destrucción física de soportes; desidentificación de datos para fines estadísticos; y notificación de eliminación a titulares que lo soliciten. Los backups mantienen datos eliminados por 3 meses adicionales por seguridad.

COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

Clasificación y Finalidades

Cookies técnicas esenciales (sesión de usuario, seguridad, carrito compras); cookies de preferencias (idioma, configuración regional); cookies analíticas (Google Analytics 4 con retención de 14 meses); cookies de publicidad (remarketing con opción de exclusión mediante herramientas de la DDA). No utilizamos cookies de seguimiento cruzado sin consentimiento explícito.

Gestión de Preferencias

Panel de configuración granular que permite aceptar/rechazar por categorías; configuración a nivel de navegador con instrucciones detalladas; y listas de exclusión voluntaria para publicidad comportamental. Las cookies no esenciales se cargan solo después de consentimiento explícito.

PROTECCIÓN ESPECIAL DEL CONSUMIDOR CHILENO

Derechos Específicos Ley 21.096

Garantizamos: información veraz y completa sobre productos y servicios; derecho de retracto dentro de 10 días desde recepción del producto; garantía legal de 3 meses por defectos de fabricación; procedimiento de reclamo documentado con respuesta en 15 días hábiles; y reparación e indemnización por daños conforme a legislación vigente.

Mecanismos de Resolución de Conflictos

Resolución primaria a través de nuestro servicio al cliente; mediación mediante SERNAC para controversias no resueltas; y arbitraje en centros autorizados para casos que aplique. Aceptamos jurisdicción en domicilio del consumidor para acciones judiciales.

CUMPLIMIENTO NORMATIVO ESPECÍFICO

Requisitos Transbank y PCI-DSS

Certificación anual de cumplimiento PCI-DSS; tokenización de datos sensibles; no almacenamiento de PAN, CVV o pistas magnéticas; segregación de redes de procesamiento de pagos; y auditorías trimestrales de vulnerabilidades. Reporte inmediato de incidentes de seguridad a Transbank.

Estándares Google Customer Reviews

Consentimiento explícito para participación en programa; transparencia en uso de reseñas; procedimiento para eliminación de reseñas que contengan datos personales; y cumplimiento de políticas de contenido de Google.

Adecuación a Estándares Internacionales

Mapeo de cumplimiento RGPD para usuarios europeos; mecanismos CCPA para residentes de California; y cláusulas contractuales para transferencias internacionales. Realizamos evaluaciones de impacto de privacidad para nuevos tratamientos de datos.

MODIFICACIONES A LA POLÍTICA Y NOTIFICACIONES

Procedimiento de Actualización

Revisión semestral de la política; notificación de cambios sustanciales con 30 días de anticipación mediante: correo electrónico a direcciones registradas, banner destacado en sitio web, y actualización de fecha de versión. Los cambios que expandan finalidades de tratamiento requieren consentimiento renovado.

Versiones y Histórico

Mantenemos histórico de versiones anteriores disponible para titulares bajo solicitud. La versión vigente se publica en https://loquebuscabas.cl/politica-privacidad con fecha de última actualización.

INFORMACIÓN DE CONTACTO Y SUPERVISIÓN

Delegado de Protección de Datos

Contacto: privacidad@loquebuscabas.cl
Horario atención: Lunes a Viernes 09:00 – 18:00 hrs
Plazo máximo respuesta: 10 días hábiles

Autoridades Supervisoras

SERNAC: Bandera 361, Santiago, www.sernac.cl
Servicio de Impuestos Internos: Av. Presidente Bulnes 140, Santiago

Esta política constituye un compromiso vinculante de Creativos Spa con la protección integral de los datos personales y los derechos de sus clientes y usuarios, implementando los más altos estándares técnicos, organizativos y legales en el tratamiento de información personal.