Política de Privacidad
Versión: 1.0 Fecha de entrada en vigencia: (por definir) Última actualización: (por definir)
Este documento describe cómo el Sistema Municipal (en adelante, "la Plataforma") trata los datos personales de las personas usuarias, en cumplimiento de la Ley N° 19.628 sobre Protección de la Vida Privada, la Ley N° 21.719 sobre Protección de Datos Personales, la Ley N° 21.180 de Transformación Digital del Estado y demás normativa chilena aplicable.
1. Identificación del responsable
- Responsable del tratamiento: Ilustre Municipalidad de Villa Alemana
- RUT: (por definir)
- Domicilio: (por definir)
- Sitio web institucional: (por definir)
- Correo de contacto del responsable: (por definir)
Delegado de Protección de Datos (DPO)
- Nombre: (por definir)
- Correo: (por definir)
- Canal de consultas y ejercicio de derechos: (por definir)
2. Ámbito de aplicación
Esta política aplica a toda persona que interactúa con la Plataforma, ya sea como:
- Funcionario municipal (director, staff, profesor)
- Vecino o vecina inscrita en talleres, eventos o programas
- Apoderado o apoderada de un menor de edad
- Menor de edad inscrito en actividades municipales
- Visitante del portal público
3. Datos personales que tratamos
3.1 Datos de identificación
Nombre, apellidos, RUT, fecha de nacimiento, género, nacionalidad.
3.2 Datos de contacto
Dirección domiciliaria, teléfono, correo electrónico, comuna.
3.3 Datos de geolocalización
Coordenadas asociadas a la dirección informada, utilizadas para análisis territorial y cobertura de programas. La geocodificación se realiza mediante servicios de terceros (ver sección 8).
3.4 Datos sensibles
- Datos de salud: registrados únicamente en el módulo de Nutrición y solo respecto de personas que se inscriben voluntariamente en dicho programa. Incluyen información antropométrica, hábitos alimentarios y observaciones clínicas del profesional a cargo.
- Datos de niños, niñas y adolescentes (NNA): se tratan con el consentimiento expreso del padre, madre o tutor legal, conforme al interés superior del niño.
3.5 Datos de uso
Registros de inicio de sesión, asistencia a talleres, participación en eventos, mensajes intercambiados con el municipio, dispositivos utilizados.
3.6 Datos generados por el sistema
Identificadores internos, fechas de creación y modificación, autoría de los registros (auditoría).
4. Finalidades del tratamiento
Los datos se tratan para las siguientes finalidades, todas vinculadas al cumplimiento de funciones públicas municipales:
- Gestión de talleres y programas municipales: inscripción, asignación, control de asistencia y emisión de certificados.
- Atención nutricional: agendamiento de citas y seguimiento de pacientes.
- Eventos especiales: inscripción, comunicación logística y entrega de resultados.
- Planificación territorial: análisis agregado de cobertura geográfica de programas (heatmaps, cobertura por sector).
- Comunicación con la ciudadanía: mensajería interna, notificaciones push, avisos masivos relacionados a programas en curso.
- Gestión de menores: vinculación apoderado-pupilo, autorizaciones y credenciales de acceso para menores.
- Cumplimiento de obligaciones legales: transparencia activa, rendición de cuentas, requerimientos de organismos fiscalizadores.
- Seguridad de la información: registros de auditoría, prevención de fraude, respuesta a incidentes.
5. Base de legitimación
El tratamiento de datos personales se ampara en:
- Ejercicio de funciones públicas conferidas al municipio por la Ley N° 18.695 Orgánica Constitucional de Municipalidades.
- Consentimiento expreso del titular o de su representante legal cuando se trate de datos sensibles o de menores.
- Cumplimiento de obligaciones legales del responsable.
- Interés legítimo del responsable para los registros de seguridad y auditoría.
6. Plazos de conservación
| Categoría de datos | Plazo de conservación |
|---|---|
| Datos de inscripción y participación en programas | Mientras dure la relación + 5 años |
| Datos de asistencia | 5 años desde el cierre del taller |
| Datos de salud (Nutrición) | 15 años desde la última atención (Ley 20.584) |
| Datos de menores | Hasta la mayoría de edad + 5 años |
| Mensajes y comunicaciones | 2 años desde el último intercambio |
| Registros de auditoría y logs de acceso | 5 años |
| Datos de cuentas inactivas | Anonimización automática a los 3 años de inactividad |
Una vez cumplido el plazo, los datos son eliminados o anonimizados de manera irreversible, salvo obligación legal de conservarlos por más tiempo.
7. Destinatarios de los datos
Los datos personales no se ceden ni venden a terceros. Pueden ser comunicados a:
- Personal municipal autorizado, conforme al principio de mínimo privilegio.
- Organismos públicos cuando exista obligación legal (Contraloría General de la República, tribunales de justicia, Agencia de Protección de Datos Personales, ANCI en caso de incidentes de ciberseguridad).
- Proveedores tecnológicos que actúan como encargados de tratamiento (sección 8).
8. Proveedores y transferencias internacionales
La Plataforma se apoya en proveedores tecnológicos que pueden tratar datos personales por cuenta del responsable, bajo contrato de tratamiento de datos (DPA):
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Supabase, Inc. | Base de datos, autenticación, almacenamiento | EE.UU. / UE |
| Resend, Inc. | Envío de correos transaccionales | EE.UU. |
| Mapbox, Inc. | Visualización de mapas y geocodificación | EE.UU. |
| Railway Corp. | Hospedaje de la aplicación | EE.UU. |
| OpenStreetMap (Nominatim) | Geocodificación de direcciones | UE |
Las transferencias internacionales se realizan al amparo de cláusulas contractuales tipo y de las garantías exigidas por la Ley 21.719. Las personas titulares pueden solicitar copia de las garantías aplicadas escribiendo al DPO.
9. Derechos de las personas titulares (ARCOP)
Toda persona tiene derecho a:
- Acceso: conocer qué datos suyos tratamos y cómo.
- Rectificación: corregir datos inexactos o incompletos.
- Cancelación / Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios.
- Oposición: oponerse al tratamiento en los casos previstos por la ley.
- Portabilidad: recibir sus datos en un formato estructurado y de uso común.
- Bloqueo temporal: suspender el tratamiento mientras se resuelve una controversia.
- No ser objeto de decisiones automatizadas que produzcan efectos jurídicos sin intervención humana.
Cómo ejercer estos derechos
Enviando una solicitud al correo del DPO (sección 1), acompañando:
- Copia de cédula de identidad o documento equivalente.
- Indicación clara del derecho que se ejerce.
- Datos de contacto para la respuesta.
Plazo de respuesta: 15 días hábiles desde la recepción de la solicitud, prorrogables por otros 15 días en casos complejos, previa comunicación al solicitante.
Si la respuesta no resulta satisfactoria, la persona puede reclamar ante la Agencia de Protección de Datos Personales una vez constituida, o ante los tribunales de justicia.
10. Tratamiento de datos de menores de edad
- La inscripción de un menor en la Plataforma requiere el consentimiento expreso del padre, madre o tutor legal, registrado en el sistema.
- Los menores pueden contar con credenciales de acceso limitadas, gestionadas por su apoderado.
- El apoderado puede en cualquier momento revocar el consentimiento, lo que implica el bloqueo de la cuenta del menor y la eliminación o anonimización de sus datos no esenciales.
- No se realizan tratamientos con fines de marketing ni perfilado comercial sobre menores.
11. Medidas de seguridad
El responsable aplica medidas técnicas y organizativas apropiadas, entre ellas:
- Cifrado de datos en tránsito (TLS 1.2+) y en reposo.
- Control de acceso basado en roles y permisos granulares.
- Autenticación reforzada (MFA) para personal con acceso a datos sensibles.
- Aislamiento lógico por organización (
org_id) y departamento (dept_id) con políticas RLS a nivel de base de datos. - Registros de auditoría inmutables (
created_by,updated_by,deleted_at). - Soft delete: los datos sensibles no se eliminan físicamente sin procedimiento autorizado.
- Respaldos automáticos cifrados con pruebas periódicas de restauración.
- Procedimiento de gestión de incidentes con reporte a la Agencia Nacional de Ciberseguridad (ANCI) en los plazos exigidos por la Ley N° 21.663.
12. Notificación de incidentes
En caso de una vulneración de seguridad que afecte datos personales, el responsable notificará:
- A la autoridad de control dentro de las 72 horas siguientes a la toma de conocimiento.
- A las personas titulares afectadas, cuando el incidente represente un alto riesgo para sus derechos.
13. Cookies y tecnologías similares
La Plataforma utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento de la sesión y la seguridad. No se emplean cookies de marketing, publicidad ni rastreo de terceros sin consentimiento previo.
(por definir)
14. Modificaciones a esta política
Esta política puede actualizarse para reflejar cambios legales, técnicos u operativos. Las modificaciones sustanciales serán comunicadas a las personas usuarias con al menos 15 días de anticipación a través de la Plataforma y, cuando corresponda, por correo electrónico.
El historial de versiones se mantiene público en el repositorio institucional.
15. Legislación aplicable y jurisdicción
Esta política se rige por la legislación de la República de Chile. Cualquier controversia será conocida por los tribunales ordinarios de justicia con asiento en la comuna del responsable.
16. Contacto
- DPO: (por definir) — (por definir)
- Responsable: [correo]
- Formulario web de solicitudes ARCOP: [URL — por implementar]