POLÍTICA DE PRIVACIDAD DE APOAPSIS SpA

Glosario de Términos

Para facilitar la comprensión de esta Política de Privacidad, es importante aclarar algunos conceptos clave:

• Datos personales: Cualquier información vinculada o referida a una persona natural identificada o identificable, como nombre, RUT, dirección, correo electrónico, entre otros.
• Tratamiento de datos: Cualquier operación o conjunto de operaciones que se realice sobre datos personales, como recolección, registro, organización, estructuración, conservación, adaptación, utilización, comunicación o supresión.
• Responsable del tratamiento: Persona natural o jurídica que decide sobre los fines y medios del tratamiento de datos personales (en este caso, Apoapsis SpA).
• Encargado del tratamiento: Persona natural o jurídica que trata datos personales por cuenta del responsable del tratamiento.
• Titular de datos: Persona natural a quien corresponden los datos personales objeto de tratamiento.
• Consentimiento: Manifestación de voluntad libre, específica, inequívoca e informada del titular para autorizar el tratamiento de sus datos personales.

Introducción y Marco Legal

En Apoapsis SpA valoramos profundamente la privacidad de nuestros clientes y usuarios. Esta Política de Privacidad establece cómo recopilamos, tratamos, protegemos y gestionamos sus datos personales cuando utiliza nuestros servicios de internet hogar, internet empresarial, transporte de datos, datacenter, software empresarial y asesorías en informática y telecomunicaciones.

Esta Política de Privacidad regula exclusivamente el tratamiento de datos personales que Apoapsis SpA realiza como responsable de tratamiento. Es importante aclarar que la presente política NO regula el tratamiento ni establece garantías sobre los datos o contenidos que los clientes almacenan en nuestros servicios (como bases de datos propias de clientes, archivos en servidores virtuales, imágenes de VPS, o cualquier otro contenido alojado por el cliente). La gestión, protección y respaldo de dicha información se rige exclusivamente por los términos contratados específicamente para cada servicio.

Nuestras prácticas de tratamiento de datos personales se rigen por la legislación chilena vigente, particularmente por la Ley 19.628 sobre Protección de la Vida Privada y sus modificaciones introducidas por la Ley 21.719 que Regula la Protección y el Tratamiento de los Datos Personales y Crea la Agencia de Protección de Datos Personales.

Responsable del Tratamiento de Datos

Apoapsis SpA, con domicilio en Chile, es el responsable del tratamiento de los datos personales que nos proporciona.

Para consultas relacionadas con la protección de datos, puede contactarnos a través de:

• Correo electrónico: [email protected]

Registro de Actividades de Tratamiento

En cumplimiento con el artículo 8 de la Ley 21.719, Apoapsis SpA mantiene un registro interno de todas sus actividades de tratamiento de datos personales. Este registro incluye información sobre los responsables, finalidades, categorías de datos tratados, destinatarios, posibles transferencias internacionales, plazos de conservación y medidas de seguridad implementadas. Documentamos de manera sistemática las operaciones realizadas con sus datos y este registro está disponible para la Agencia de Protección de Datos Personales cuando sea legalmente requerido.

Datos Personales que Recopilamos

Recopilamos datos personales cuando son necesarios para prestar nuestros servicios o cuando existe una obligación legal para hacerlo. Los datos que tratamos incluyen:

1. Datos comunes para todos nuestros servicios:

1.1. Información de identificación personal: nombre, RUT/RUN, dirección física, correo electrónico, número de teléfono

1.2. Información de facturación y/o datos bancarios

1.3. Historial de pagos y facturación

1.4. Direcciones IP asignadas o utilizadas por el cliente

1.5. Comunicaciones mantenidas con nuestro servicio de atención al cliente

1.6. Información sobre incidencias técnicas y reportes de problemas

2. Datos específicos según tipo de servicio:

2.1. Para servicios de internet y telecomunicaciones:

2.1.1. Dirección de instalación del servicio

2.1.2. Registros de conexión y tráfico de red

2.1.3. Datos de consumo y uso de servicios

2.2. Para servicios de datacenter:

2.2.1. Datos de autenticación para acceso a plataformas

2.2.2. Registros de acceso físico a instalaciones

2.2.3. Datos de configuración e identificación de servidores y servicios contratados

2.2.4. Métricas de uso de recursos (almacenamiento, procesamiento, ancho de banda)

2.3. Para servicios de asesoría y software empresarial:

2.3.1 Datos sobre infraestructura tecnológica del cliente

2.3.2 Necesidades específicas de servicios y requerimientos técnicos

Mantenemos registros detallados de uso, acceso y otros datos necesarios para cumplir con las normas regulatorias de telecomunicaciones y responder adecuadamente a requerimientos judiciales o de autoridades competentes en el marco de investigaciones relacionadas con cibercrimen y otras materias legales.

Es importante señalar que no recopilamos datos personales sensibles como aquellos que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos relativos a la salud, vida sexual u orientación sexual, conforme a las categorías establecidas en la Ley 21.719.

Finalidades del Tratamiento

Utilizamos sus datos personales para:

1. Gestión de servicios contratados:

1.1. Provisión y administración de los servicios de telecomunicaciones y datacenter

1.2. Instalación, mantenimiento y soporte técnico

1.3. Facturación y gestión de pagos

1.4. Atención al cliente y resolución de incidencias

2. Seguridad y protección:

2.1. Monitoreo y gestión de tráfico de red

2.2. Detección y prevención de actividades fraudulentas

2.3. Protección contra ataques informáticos

2.4. Prevención del uso indebido de nuestros servicios

3. Mejora continua:

3.1. Análisis estadísticos con datos anonimizados

3.2. Estudio de tendencias de uso

3.3. Desarrollo de nuevas soluciones y servicios

3.4. Optimización de la calidad de servicio

4. Cumplimiento normativo:

4.1. Emisión de facturas y documentos tributarios

4.2. Respuesta a requerimientos de autoridades competentes

4.3. Conservación de registros legalmente exigidos

4.4. Cumplimiento de obligaciones regulatorias del sector telecomunicaciones

Base Legal para el Tratamiento

Tratamos sus datos personales bajo las siguientes bases legales:

La ejecución del contrato de prestación de servicios establecido entre usted y Apoapsis SpA constituye nuestra principal base legal. El tratamiento de sus datos es necesario para cumplir con nuestras obligaciones contractuales y proporcionarle los servicios solicitados.

En determinados casos, el tratamiento puede basarse en el cumplimiento de obligaciones legales aplicables a Apoapsis SpA, como la conservación de información para fines tributarios o la atención a requerimientos de autoridades reguladoras del sector de telecomunicaciones.

Cuando sea necesario, solicitaremos su consentimiento expreso para tratamientos específicos no incluidos en las categorías anteriores, especialmente para comunicaciones comerciales o promocionales.

Compartición de Información con Terceros

Apoapsis SpA no vende, alquila ni cede sus datos personales a terceros con fines comerciales. Sin embargo, podemos compartir cierta información en las siguientes circunstancias:

Con proveedores de servicios que nos asisten en nuestras operaciones, como pasarelas de pago, servicios de instalación y mantenimiento, o soporte técnico especializado. Estos proveedores están obligados contractualmente a proteger su información y solo pueden utilizarla para los fines específicos que les encomendamos.

Con autoridades públicas cuando existe una obligación legal de hacerlo, como en respuesta a órdenes judiciales o requerimientos de autoridades reguladoras del sector de telecomunicaciones.

De forma anonimizada y agregada, podemos compartir o publicar estadísticas generales sobre uso de servicios, distribución geográfica de clientes u otros datos que no permitan la identificación individual de nuestros clientes.

Relación con Proveedores de Infraestructura de Datacenter

En relación con nuestro datacenter secundario ubicado en instalaciones de un tercero, es importante destacar que:

• El proveedor de infraestructura actúa exclusivamente como facilitador de espacio físico, energía, refrigeración, conectividad y seguridad física para nuestros equipos.
• Hemos establecido acuerdos contractuales rigurosos que obligan al proveedor a mantener los más altos estándares de seguridad física y ambiental, pero que explícitamente les prohíbe acceder a los datos almacenados en nuestros equipos.
• Todo el hardware utilizado para el almacenamiento y procesamiento de datos es propiedad exclusiva de Apoapsis SpA.
• El personal del proveedor de infraestructura no tiene acceso lógico a nuestros sistemas ni a los datos que contienen.
• Realizamos auditorías periódicas para verificar el cumplimiento de todas estas condiciones.

Esta relación está estructurada para garantizar que, aunque utilicemos instalaciones de un tercero, mantenemos el control exclusivo sobre los equipos y los datos de nuestros clientes, asegurando que todos los procesos de tratamiento de datos personales se realizan exclusivamente por personal autorizado de Apoapsis SpA.

Alcance de servicios y responsabilidades

La presente Política de Privacidad establece nuestro compromiso con la protección de datos personales que tratamos en calidad de responsables. Es esencial distinguir:

• Datos personales tratados por Apoapsis: Son aquellos que recopilamos de nuestros clientes y usuarios para los fines descritos en esta política (contacto, facturación, soporte técnico, etc.). Estos datos están sujetos a todas las medidas de protección, seguridad y respaldo descritas en este documento.
• Datos y contenidos alojados por los clientes: La información que nuestros clientes almacenan en nuestros servicios (bases de datos propias, archivos, configuraciones, imágenes de VPS, etc.) NO está cubierta por las medidas de respaldo automático descritas en esta política. La protección, integridad y respaldo de estos contenidos es responsabilidad del cliente, salvo que haya contratado específicamente servicios adicionales de respaldo con Apoapsis SpA.

Los servicios de respaldo (backup) se contratan por separado y se rigen por términos específicos, incluyendo la frecuencia, duración de retención y procedimientos de recuperación aplicables.

Medidas de Seguridad

Implementamos robustas medidas técnicas y organizativas para proteger sus datos personales, entre las que se incluyen:

Cifrado de datos en reposo y en tránsito utilizando protocolos de encriptación avanzados, específicamente AES-256 para datos en reposo y TLS 1.3 para transmisiones de datos, asegurando así la máxima protección de información sensible. Aplicamos control de acceso basado en roles con autenticación multifactor (MFA) para todos los accesos a sistemas críticos, implementando además prácticas de privilegio mínimo.

Realizamos auditorías periódicas de seguridad siguiendo estándares internacionales, pruebas de penetración por terceros independientes al menos una vez al año, y evaluaciones continuas de vulnerabilidades. Mantenemos procedimientos formales de gestión de incidentes de seguridad con protocolos de respuesta alineados con las mejores prácticas de la industria.

Nuestro personal recibe formación continua en materia de seguridad de la información y protección de datos personales, estableciendo una cultura de seguridad dentro de la organización. Contamos con políticas de escritorio limpio y pantalla limpia, así como controles ambientales en nuestros centros de datos con sistemas de control de acceso físico, vigilancia, detección y extinción de incendios, y sistemas de alimentación ininterrumpida.

Notificación de Incidentes de Seguridad

En caso de una brecha de seguridad que afecte datos personales, Apoapsis SpA se compromete a seguir un protocolo riguroso de notificación:

1. Notificación a la autoridad reguladora:

   • Notificaremos a la Agencia de Protección de Datos Personales sin dilaciones indebidas.
   • Este aviso se realizará a más tardar dentro de las 48 horas después de tener confirmación razonable de que ha ocurrido una brecha de seguridad.
   • Si al momento de la notificación no disponemos de toda la información, proporcionaremos los datos por fases, indicando los motivos del retraso.

2. Comunicación a los titulares afectados:

   • Cuando la violación de seguridad pueda entrañar un alto riesgo para los derechos y libertades de los afectados, comunicaremos a los titulares a la mayor brevedad posible.
   • Esta comunicación se realizará en un plazo máximo de 24 horas desde que tengamos confirmación del alcance de la brecha y determinemos que existe dicho alto riesgo.
   • Si al momento de la notificación no disponemos de toda la información, proporcionaremos los datos por fases, indicando los motivos del retraso.
   • Utilizaremos canales directos como correo electrónico, llamada telefónica o comunicación escrita, según sea más apropiado para garantizar que la información llegue eficazmente a los afectados.

3. Contenido de las notificaciones:

   • Proporcionaremos información clara sobre la naturaleza de la brecha, sus posibles consecuencias, las medidas adoptadas o propuestas para mitigar sus efectos.
   • Ofreceremos recomendaciones específicas sobre cómo los afectados pueden protegerse frente a las posibles consecuencias.
   • Facilitaremos los datos de contacto de nuestro delegado de protección de datos o punto de información donde los afectados puedan obtener más información.

4. Documentación y seguimiento interno:

   • Documentaremos internamente cualquier violación de seguridad, incluyendo los hechos relacionados, sus efectos y las medidas correctivas adoptadas.
   • Mantendremos un registro actualizado de todas las brechas, independientemente de su gravedad, que estará a disposición de la autoridad de control cuando lo solicite.
   • Realizaremos una evaluación posterior para identificar mejoras en nuestros sistemas de seguridad.

5. Determinación del momento de "confirmación razonable":

   5.1. Se considera que Apoapsis SpA tiene "confirmación razonable" de una brecha de seguridad cuando el equipo técnico responsable ha verificado los siguientes elementos:

   5.1.1. Existe evidencia técnica de un acceso no autorizado, exfiltración, alteración o pérdida de datos

   5.1.2. Se ha identificado preliminarmente el tipo de datos potencialmente afectados

   5.1.3. Se ha realizado una primera evaluación para determinar si los datos comprometidos incluyen datos personales

   5.2. El momento exacto de la "confirmación razonable" quedará documentado formalmente mediante un registro interno que incluirá:

   5.2.1. Fecha y hora exacta de la confirmación

   5.2.2. Breve descripción de las evidencias que llevaron a confirmar el incidente

   5.2.3. Identificación del responsable técnico que declara la confirmación

   5.2.4. Firma digital o física del responsable de seguridad o su delegado

   5.3. No se considerará como momento de "confirmación razonable":

   5.3.1. La detección inicial de actividades sospechosas que requieren investigación

   5.3.2. Alertas automáticas de sistemas de monitoreo que no han sido verificadas

   5.3.3. Informes de terceros que no han sido corroborados internamente

   5.4. En caso de incidentes complejos o de gran escala, se podrá establecer diferentes momentos de "confirmación razonable" para distintos conjuntos de datos o sistemas afectados, documentando cada uno separadamente.

Decisiones Automatizadas y Elaboración de Perfiles

Apoapsis SpA actualmente no realiza toma de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre usted o le afecten significativamente.

Si en el futuro implementáramos tales sistemas, le informaríamos previamente, obtendríamos su consentimiento cuando sea legalmente requerido, y estableceríamos mecanismos apropiados para proteger sus derechos, incluyendo la posibilidad de solicitar intervención humana en la toma de decisiones.

Retención de Datos

Conservamos sus datos personales únicamente durante el tiempo necesario para los fines para los que fueron recopilados, incluyendo:

Durante la vigencia de la relación contractual y prestación de servicios. Posteriormente, por el período necesario para atender posibles reclamaciones derivadas del servicio prestado.

Para cumplir con obligaciones legales, como la conservación de documentos tributarios por un mínimo de seis años según la legislación chilena. Los datos de tráfico de comunicaciones se conservan conforme a los plazos establecidos en la normativa de telecomunicaciones.

Una vez transcurridos estos períodos, sus datos serán eliminados o anonimizados de forma segura.

Transferencia Internacional de Datos

Apoapsis SpA procesa y almacena todos los datos personales exclusivamente en territorio chileno. Nuestra infraestructura principal de procesamiento y almacenamiento está distribuida estratégicamente en dos datacenters dentro de Chile, separados geográficamente por más de 2000 kilómetros:

• Datacenter Principal: Ubicado en nuestra sede corporativa, este datacenter es propiedad y está operado íntegramente por Apoapsis SpA. Cuenta con medidas de seguridad conforme a los estándares nacionales e internacionales para la protección de datos personales, incluyendo controles ambientales, sistemas redundantes de energía, mecanismos avanzados de control de acceso físico y monitoreo 24/7.

• Datacenter Secundario: Situado en instalaciones de un tercero pero equipado con hardware propiedad exclusiva de Apoapsis SpA. Este datacenter complementario también cumple con todas las normativas chilenas de protección de datos y mantiene los mismos niveles de seguridad que nuestro datacenter principal. Todo el equipamiento es propiedad de Apoapsis SpA y está gestionado exclusivamente por nuestro personal autorizado.

Adicionalmente, para garantizar la máxima resiliencia de sus datos ante eventos catastróficos, mantenemos respaldos cifrados en centros de datos internacionales ubicados estratégicamente en los siguientes países:

• Brasil: para redundancia regional dentro de América Latina
• Suiza: para diversificación continental en Europa
• Japón: para diversificación global en la región Asia-Pacífico

Es importante destacar que los datos JAMÁS salen del territorio chileno sin antes ser cifrados mediante el estándar AES-256. Las claves de cifrado, los métodos de desencriptación y cualquier otro elemento necesario para acceder a estos datos se mantienen exclusivamente en Chile y son accesibles únicamente por personal autorizado de Apoapsis SpA mediante sistemas rigurosos de autenticación multifactor. Esto significa que, incluso en el improbable caso de acceso no autorizado a nuestros respaldos internacionales, los datos permanecerían ilegibles e inutilizables.

Los respaldos internacionales funcionan como una medida adicional de seguridad y continuidad de negocio, pero todo el procesamiento, gestión y acceso a los datos se realiza exclusivamente en territorio chileno. Nunca se envían datos desencriptados fuera de Chile ni se procesan datos en el extranjero.

Para todas estas transferencias internacionales de respaldos cifrados, nos aseguramos de cumplir con las condiciones establecidas por la legislación chilena:

• Transferimos respaldos cifrados únicamente a países que han sido reconocidos por la Agencia de Protección de Datos Personales de Chile como proporcionadores de un nivel adecuado de protección
• Implementamos garantías jurídicas como cláusulas contractuales tipo con nuestros proveedores de servicios en la nube
• Aplicamos medidas técnicas y organizativas adicionales para garantizar que los datos respaldados solo puedan ser accesibles y recuperables por personal autorizado de Apoapsis SpA desde Chile

Si en el futuro contemplamos nuevos tipos de tratamiento de datos que pudieran implicar transferencias a otros países, actualizaremos esta política y, cuando sea necesario según la legislación vigente, solicitaremos su consentimiento previo.

Es fundamental destacar que las medidas de respaldo internacionales descritas en esta sección aplican únicamente a las bases de datos propias de Apoapsis SpA que contienen datos personales de nuestros clientes y usuarios. Estas medidas NO aplican automáticamente a los datos, contenidos, bases de datos o imágenes que nuestros clientes almacenan en nuestros servicios de hosting, VPS, o datacenter. El respaldo de dichos contenidos está sujeto exclusivamente a la contratación específica de servicios de respaldo (backup) como prestación adicional y se rige por los términos particulares de dicho servicio. Sin la contratación expresa de servicios de respaldo, Apoapsis SpA no realiza copias de seguridad de los datos o contenidos alojados por los clientes en nuestros servicios.

Cookies y Tecnologías Similares

Nuestros sitios web utilizan diferentes tipos de cookies y tecnologías similares:

• Cookies técnicas o necesarias: Son esenciales para el funcionamiento básico del sitio. Le permiten navegar y utilizar funciones básicas como áreas seguras, carritos de compras o facturación electrónica. Estas cookies no requieren su consentimiento.
• Cookies analíticas: Nos permiten reconocer y contar el número de visitantes, ver cómo se mueven por nuestro sitio y mejorar su funcionamiento. Toda la información es agregada y anónima.
• Cookies de preferencias o funcionalidad: Permiten recordar sus elecciones (como su nombre de usuario, idioma o la región en la que se encuentra) y proporcionar funciones mejoradas y más personales.

Al ingresar a nuestro sitio web, encontrará un banner de cookies que le permitirá aceptar o rechazar cada categoría de cookies no esenciales. Puede cambiar sus preferencias en cualquier momento visitando la sección "Configuración de cookies" en nuestro sitio web.

Derechos de los Titulares de Datos

Como titular de datos personales, usted tiene los siguientes derechos conforme a la Ley 21.719:

Derecho de acceso: Puede solicitar confirmación de si estamos tratando sus datos personales y, en tal caso, obtener una copia de dichos datos y información completa sobre el tratamiento.

Derecho de rectificación: Puede solicitar la corrección de datos personales inexactos o incompletos que mantengamos sobre usted.

Derecho de supresión: Puede solicitar la eliminación de sus datos personales cuando ya no sean necesarios para los fines para los que fueron recopilados, cuando retire su consentimiento, cuando se hayan tratado ilícitamente o cuando deban suprimirse para cumplir con una obligación legal.

Derecho de oposición: Puede oponerse al tratamiento de sus datos personales en determinadas circunstancias previstas por la ley.

Derecho a la portabilidad: Puede solicitar y recibir sus datos en un formato estructurado, de uso común y lectura mecánica, así como solicitar que se transmitan a otro responsable cuando sea técnicamente posible.

Derecho al bloqueo temporal: Puede solicitar la suspensión temporal del tratamiento mientras se resuelve una solicitud de rectificación, supresión u oposición.

Para ejercer estos derechos, puede contactarnos a través de [email protected]. Responderemos a su solicitud en un plazo máximo de 10 días hábiles.

Cambios en la Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas de tratamiento de datos o por modificaciones legislativas. Le notificaremos cualquier cambio material publicando la nueva versión en nuestro sitio web y, cuando sea apropiado, le informaremos por correo electrónico.

Le recomendamos revisar esta política regularmente para estar informado sobre cómo protegemos su información. Puede consultar el historial completo de cambios de esta política en nuestro repositorio público: https://github.com/apoapsiscl/documentos-legales

Contacto

Si tiene preguntas, comentarios o preocupaciones acerca de esta Política de Privacidad o sobre el tratamiento de sus datos personales, puede contactarnos a:

Apoapsis SpA Correo electrónico: [email protected]