Contenido
- 1. Quiénes somos
- 2. A quién aplica
- 3. Roles bajo 21.719
- 4. Qué datos tratamos
- 5. Finalidades y bases de licitud
- 6. Período de conservación
- 7. Con quién compartimos
- 8. Transferencias internacionales
- 9. Tus derechos (ARCOP+)
- 10. Seguridad
- 11. Cookies
- 12. Brechas de seguridad
- 13. Menores de edad
- 14. Cambios
- 15. Contacto
Esta Política rige el tratamiento de datos personales que realiza Bandada HC SpA (RUT 78.400.057-5) en todos los servicios prestados bajo la marca Bandada HC: el sitio público bandadahc.com, el hub mi.bandadahc.com, la encuesta de clima y demás diagnósticos, el agente Feedback Coach y los productos que se sumen al catálogo.
Marco legal aplicable: Ley N° 21.719 sobre Protección de Datos Personales (Chile, vigencia plena diciembre 2026, en adecuación desde su publicación), Ley N° 19.628 mientras conviva, y como referencia orientativa el Reglamento (UE) 2016/679 (RGPD).
1. Quiénes somos
| Responsable del tratamiento | Bandada HC SpA · RUT 78.400.057-5 |
|---|---|
| Domicilio | Chile |
| Sitio web | www.bandadahc.com |
| Correo de contacto general | contacto@bandadahc.com |
| Correo de privacidad / ARCOP | privacidad@bandadahc.com |
| Delegada de Protección de Datos (DPO) | Daniela Leiva · dpo@bandadahc.com |
2. A quién aplica
- Visitantes del sitio público bandadahc.com.
- Personas usuarias de los productos (líderes, RRHH, administradores de Bandada HC) que ingresan al hub mi.bandadahc.com y a los productos contratados.
- Respondentes que completan una encuesta (clima, mindset, 360°, cultura, efectividad de equipo, gestión del desempeño, ONA Light) por invitación de su organización.
- Colaboradores cuya información carga el cliente para que sus líderes preparen feedback con el agente Feedback Coach.
3. Roles bajo Ley 21.719
- Responsable. Bandada HC es Responsable respecto de los datos de sus propios usuarios (cuenta, autenticación, uso de la plataforma) y de los datos agregados y anonimizados generados a partir del uso.
- Encargado de tratamiento. Bandada HC actúa como Encargado respecto de los datos que las organizaciones clientes cargan en la plataforma (nóminas, invitados a encuestas, respuestas). El detalle de cada relación se acuerda en el DPA (Data Processing Agreement) entre Bandada HC y la organización cliente.
4. Qué datos tratamos
4.1 Datos de personas usuarias del hub y productos
- Identificadores: nombre completo, correo, RUT opcional, rol declarado.
- Credenciales: hash de contraseña, tokens de sesión.
- Datos contractuales: organización, cargo, productos contratados, registros de facturación.
- Datos de uso: páginas visitadas, sesiones, IP, user-agent.
4.2 Datos de respondentes de encuestas
- Correo electrónico (para validar la invitación única e impedir respuestas duplicadas).
- Respuestas individuales (Likert 1-5, multi-selección, distribución de puntos, texto libre cuando aplique).
- Datos demográficos opcionales si la organización los configura (área, cargo).
4.3 Datos de colaboradores cargados al Feedback Coach
- Identificadores: nombre, RUT, correo cuando se carga.
- Laborales: cargo, departamento, antigüedad, fecha de contratación.
- Demográficos opcionales: edad, género.
- Datos sensibles: perfil DISC y otros instrumentos psicométricos, notas cualitativas del líder, contenido de los mensajes que el líder escribe sobre el colaborador. Estos datos se tratan con cuidado reforzado y solo el líder los ve.
- Datos derivados: diagnósticos y planes generados por el agente.
4.4 Datos técnicos
- Logs de acceso, errores y rate limiting (rotación de 12 meses).
- Cookies y almacenamiento local (ver §11).
5. Finalidades y bases de licitud
| # | Finalidad | Datos | Base de licitud |
|---|---|---|---|
| F1 | Crear y mantener tu cuenta | Identificadores y credenciales | Ejecución de contrato |
| F2 | Procesar nómina y habilitar productos contratados | Datos de colaboradores e invitados | Encargo de la organización cliente |
| F3 | Generar diagnósticos e informes | Respuestas, datos del colaborador | Consentimiento del respondente + encargo |
| F4 | Histórico de sesiones del agente | Mensajes y sesiones | Ejecución de contrato + interés legítimo (mejora del servicio) |
| F5 | Soporte y atención de incidencias | Identificadores + contenido del reclamo | Ejecución de contrato |
| F6 | Métricas internas y facturación | Datos de uso seudonimizados | Interés legítimo + obligación legal |
| F7 | Mejoras del producto y analítica | Datos agregados / anonimizados | Interés legítimo |
| F8 | Cumplimiento legal y tributario | Datos contractuales | Obligación legal |
| F9 | Comunicaciones operativas (avisos, manuales) | Correo del usuario | Ejecución de contrato |
| F10 | Comunicaciones promocionales | Correo del usuario | Consentimiento (opt-in independiente) |
No utilizamos los datos cargados por nuestros clientes para entrenar modelos de IA propios ni de terceros.
6. Período de conservación
| Categoría | Plazo principal | Acción al término |
|---|---|---|
| Cuenta de usuario activa | Vigencia del contrato + 12 meses tras última actividad | Anonimización y borrado |
| Respuestas individuales de encuesta | 5 años desde el cierre de la encuesta | Eliminación automática |
| Indicadores agregados / anonimizados | Sin límite | — |
| Mensajes de chat y sesiones del agente | 24 meses desde la última edición | Borrado o anonimización |
| Nómina de colaboradores | Mientras la organización lo solicite; 30 días de gracia al término | Borrado real |
| Datos de facturación | 6 años (exigencia tributaria) | Borrado |
| Logs técnicos y de acceso | 12 meses | Borrado |
| Backups | 12 meses rolling | Sobrescritura |
7. Con quién compartimos datos
Compartimos datos únicamente con los siguientes Encargados, todos vinculados por DPA con cláusulas de confidencialidad y seguridad equivalentes a las exigidas por la Ley 21.719:
| Proveedor | Función | País |
|---|---|---|
| Supabase | Base de datos, autenticación | EE.UU. |
| Vercel | Hosting de aplicaciones, edge runtime, logs | EE.UU. |
| Digital Ocean | Hosting del sitio público | EE.UU. |
| Anthropic, PBC | Procesamiento del modelo de lenguaje (Claude) | EE.UU. |
| Upstash | Rate limiting (Redis) | EE.UU. |
| Google LLC | Backups (Google Workspace / Drive) | EE.UU. |
| GitHub Inc. | Automatización de backup vía GitHub Actions | EE.UU. |
No vendemos datos personales ni los compartimos con terceros para fines de marketing. Podremos comunicar datos a autoridades públicas competentes cuando exista requerimiento legal formal.
8. Transferencias internacionales
Algunos de los Encargados anteriores procesan datos en Estados Unidos u otros países que no han sido declarados de nivel adecuado por la Agencia de Protección de Datos Personales de Chile. Aplicamos como garantías:
- Cláusulas Contractuales Tipo (modelo RGPD u oficial APDP cuando se publique).
- Compromisos contractuales de seguridad y confidencialidad.
- Cifrado en tránsito (TLS) y en reposo.
- Información explícita en esta Política y consentimiento del titular cuando corresponde.
Al usar nuestros servicios, declaras conocer y consentir estas transferencias.
9. Tus derechos (ARCOP+)
Tienes los siguientes derechos sobre tus datos personales:
- Acceso · conocer qué datos tratamos.
- Rectificación · corregir datos inexactos o desactualizados.
- Cancelación o supresión · eliminar tus datos cuando ya no sean necesarios o se retire el consentimiento.
- Oposición · oponerte al tratamiento por motivos legítimos.
- Portabilidad · recibir tus datos en formato estructurado (JSON o CSV).
- Bloqueo · suspender el tratamiento mientras se resuelve una controversia.
- No ser objeto de decisiones automatizadas con efectos jurídicos significativos.
- Revocar el consentimiento previamente otorgado, en cualquier momento, sin afectar la legalidad del tratamiento previo.
Cómo ejercerlos
- Si eres usuario del hub, ingresa a tu cuenta en mi.bandadahc.com y solicítalo desde tu perfil.
- Si eres respondente, colaborador o cualquier otra persona: escribe a privacidad@bandadahc.com indicando tu nombre, RUT y el derecho que quieres ejercer. Adjunta copia de tu cédula o documento equivalente para verificar identidad.
Te responderemos en un plazo máximo de 30 días corridos desde la recepción de la solicitud completa. Si necesitamos más tiempo, lo informaremos justificadamente.
Si no recibes respuesta o no estás conforme, puedes presentar un reclamo ante la Agencia de Protección de Datos Personales (APDP) de Chile.
10. Seguridad
Aplicamos medidas técnicas y organizativas razonables y proporcionadas:
- Autenticación obligatoria; contraseñas almacenadas con algoritmos modernos.
- Cifrado en tránsito (TLS 1.2+) y en reposo (provistos por nuestros Encargados).
- Aislamiento por organización mediante Row-Level Security en la base de datos.
- Control de acceso por rol (usuario, RRHH, administrador, super-admin).
- Backups cifrados con custodia controlada.
- Logs de uso y monitoreo de errores.
- Procedimiento documentado de respuesta a brechas (ver §12).
Ningún sistema es 100% seguro. Si detectamos una vulneración relevante actuaremos conforme a §12.
11. Cookies y tecnologías similares
Utilizamos cookies y almacenamiento local para tres fines, en tres categorías:
11.1 Estrictamente necesarias
Sesión autenticada (Supabase Auth), protección anti-CSRF, almacenamiento de tu preferencia de consentimiento. Se activan sin consentimiento previo (excepción legal): sin ellas la plataforma no funciona.
11.2 Funcionales
Recuerdan tus preferencias de interfaz cuando corresponde. No identifican a la persona.
11.3 Analíticas (opt-in)
Medición agregada del uso del sitio público bandadahc.com para entender qué contenidos sirven y mejorarlo. Solo se activan si las aceptas explícitamente en el banner de cookies. Si las rechazas, no se setea ninguna cookie de analítica.
Proveedor en uso:
| Cookie | Proveedor | Finalidad | Duración |
|---|---|---|---|
_ga | Google Analytics 4 | Distingue navegadores únicos | 2 años |
_ga_NEHDZ8LR5F | Google Analytics 4 | Estado de sesión por property | 2 años |
bandada_consent_v1 | Bandada HC (localStorage) | Recuerda tu decisión sobre cookies | Hasta que la borres |
Aplicamos Google Consent Mode v2: si rechazas las analíticas, el script de Google no setea cookies y solo envía pings agregados sin identificación. La IP es anonimizada por GA4 antes de almacenarse. Google Signals (tracking cross-device basado en cuenta Google) está desactivado.
Puedes optar por no ser medido instalando el complemento de inhabilitación de GA de Google, o usando el modo incógnito de tu navegador.
11.4 Cómo revocar o cambiar tu consentimiento
Puedes
para cambiar tu decisión, o escribirnos a
privacidad@bandadahc.com.
También puedes borrar las cookies _ga* y bandada_consent_v1
desde la configuración de tu navegador.
12. Brechas de seguridad
En caso de brecha que afecte datos personales:
- Contendremos el incidente y evaluaremos su severidad.
- Notificaremos a la Agencia de Protección de Datos Personales en el plazo establecido por la ley o su reglamento (referencia: 72 horas desde la toma de conocimiento).
- Notificaremos a las personas afectadas cuando exista alto riesgo para sus derechos.
- Documentaremos el incidente y las medidas adoptadas.
13. Menores de edad
Nuestros servicios no están destinados a personas menores de 18 años. No solicitamos ni tratamos a sabiendas datos de menores. Si tomas conocimiento de un caso, contáctanos para eliminarlos.
14. Cambios a esta política
Podremos actualizar esta Política para reflejar cambios legales, técnicos o del servicio. Publicaremos la nueva versión en esta misma URL y, si los cambios son sustanciales, lo comunicaremos por correo con al menos 15 días de anticipación a su entrada en vigor.
15. Contacto
| Vía | Dirección |
|---|---|
| Correo de privacidad / ARCOP | privacidad@bandadahc.com |
| DPO | dpo@bandadahc.com |
| Correo general | contacto@bandadahc.com |
| Sitio web | www.bandadahc.com |