Principios Voluntarios ChileAcceso miembros
Grupo de Trabajo Chile · Principios Voluntarios
NoticiasRecursos

Documento legal

Política de Privacidad

Última actualización: 28 de mayo de 2026 · Vigencia: inmediata

La presente Política de Privacidad describe cómo la Fundación Empresas Indígenas, en su calidad de Secretaría Ejecutiva del Grupo de Trabajo Chile sobre los Principios Voluntarios de Seguridad y Derechos Humanos (en adelante, "la Plataforma"), recopila, utiliza y protege los datos personales de sus miembros y visitantes, en cumplimiento de la Ley N° 19.628 sobre Protección de la Vida Privada, la Ley N° 21.719 de Protección de Datos Personales (vigencia plena 1 de diciembre de 2026), el Convenio 169 de la OIT y los Principios Rectores ONU sobre Empresas y Derechos Humanos.

1. Responsable del tratamiento

  • Razón social: Fundación Empresas Indígenas
  • RUT: [pendiente — actualizar con RUT real]
  • Dirección: Santiago, Chile
  • Rol en la Plataforma: Secretaría Ejecutiva del Grupo de Trabajo Chile
  • Contacto sobre datos personales: contacto@principiosvoluntarios.cl

2. Datos que recopilamos

Recopilamos cuatro categorías de datos:

2.1 Datos de identificación

Nombre completo, correo electrónico, organización a la que pertenece, cargo, pilar al que se adscribe (empresarial, gubernamental o sociedad civil), comité de trabajo. Estos datos se recopilan al momento de la invitación al Grupo y son confirmados por el miembro al activar su cuenta.

2.2 Datos de uso

Sesiones del Grupo a las que asistió, documentos consultados o aportados, publicaciones en el muro interno, comentarios, registros de aprobación de noticias (en caso de roles administrativos).

2.3 Datos técnicos

Dirección IP truncada (con fines de seguridad y rate-limit), tipo de navegador, sistema operativo, fecha y hora del último inicio de sesión. No utilizamos huella digital persistente.

2.4 Datos sensibles (cuando corresponda)

Si el miembro pertenece a un pueblo originario y lo declara voluntariamente, su origen étnico se considera dato sensible bajo la Ley N° 21.719 art. 2 lit. h. Los procesamos únicamente con su consentimiento expreso o cuando exista interés público acorde al Convenio 169 OIT.

3. Base de licitud y finalidades

Tratamos los datos sobre las siguientes bases:

  • Consentimiento del miembro al aceptar la invitación, para gestionar su acceso y participación en el Grupo de Trabajo.
  • Interés legítimo de la Secretaría para coordinar reuniones, distribuir documentos y publicar noticias relevantes para el cumplimiento del mandato del Grupo.
  • Cumplimiento legal cuando autoridades competentes lo requieran (Ministerio Público, INDH, tribunales).
  • Interés público al monitorear noticias sobre los Principios Voluntarios y derechos humanos en industrias extractivas, en línea con la misión del Grupo.

4. Encargados de tratamiento (subprocesadores)

Compartimos datos con los siguientes terceros bajo contratos de confidencialidad:

  • Microsoft Azure (App Service Chile Central, PostgreSQL Brazil South, Blob Storage Chile Central) — infraestructura de cómputo y almacenamiento. Existe Data Processing Agreement (DPA) con cláusulas contractuales tipo para la transferencia internacional a Brasil.
  • Azure OpenAI Service — inferencia para clasificación y resumen automatizado de noticias. No utiliza datos para entrenamiento de modelos.
  • Azure Communication Services — envío de correos transaccionales (magic link de inicio de sesión).
  • GitHub — control de versiones del código fuente (no contiene datos personales de miembros).
  • Autoridades competentes únicamente cuando exista mandato legal expreso (resolución judicial, requerimiento ministerial fundado).

5. Transferencia internacional

La base de datos PostgreSQL se aloja en Azure Brazil South. Esta transferencia se realiza al amparo de las Cláusulas Contractuales Tipo incluidas en el DPA de Microsoft Azure, que garantizan un nivel de protección equivalente al exigido por la Ley N° 21.719.

6. Plazos de retención

  • Cuenta activa: mientras el miembro forme parte del Grupo de Trabajo.
  • Cuenta inactiva o cerrada: 24 meses para cumplir obligaciones legales y de reporte de la Secretaría.
  • Sesiones expiradas y tokens de verificación: 30 días.
  • Logs técnicos: 90 días (Azure App Service default).
  • Datos sensibles de origen étnico: eliminación inmediata bajo solicitud del titular o comunidad referida.

7. Sus derechos (ARCO+)

Como titular de los datos, usted puede ejercer los siguientes derechos:

  • Acceso: conocer qué datos tenemos sobre usted.
  • Rectificación: corregir datos inexactos o desactualizados.
  • Supresión / Cancelación: solicitar eliminación cuando ya no sean necesarios o haya retirado el consentimiento.
  • Oposición: oponerse a tratamientos específicos.
  • Portabilidad: recibir sus datos en formato estructurado (JSON).
  • Bloqueo: suspender temporalmente el tratamiento mientras se resuelve una reclamación.
  • Revisión humana de decisiones que se basen únicamente en tratamientos automatizados (clasificación de noticias por IA).

Las solicitudes se canalizan a contacto@principiosvoluntarios.cl y se responden en un plazo máximo de 30 días corridos (60 días para solicitudes complejas, previa notificación).

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado TLS en todas las conexiones (HSTS preload), cifrado en reposo de la base de datos, autenticación sin contraseña (magic link de un solo uso, 15 minutos de validez), control de acceso por rol, rate-limit por IP y email, registro de actividades administrativas, separación de entornos. Realizamos auditorías de seguridad periódicas siguiendo el marco OWASP Top 10.

9. Notificación de brechas

En caso de detectar una brecha de seguridad que pueda afectar los derechos de los titulares, notificaremos a los afectados y a la Agencia de Protección de Datos Personales (cuando esté operativa bajo la Ley N° 21.719) en un plazo no superior a 72 horas desde su detección.

10. Menores de edad

La Plataforma no está dirigida a personas menores de 18 años. No recopilamos intencionalmente datos de menores. Si detectamos que se ha recogido información de un menor sin autorización de padre o tutor, procederemos a su eliminación inmediata.

11. Modificaciones

Esta política puede actualizarse. Las modificaciones sustantivas serán notificadas a los miembros vía correo electrónico con al menos 30 días de anticipación, salvo que la urgencia legal exija plazos menores.

Documentos relacionados: Términos de Uso · Política de Cookies