Principios Voluntarios ChileAcceso miembros
Grupo de Trabajo Chile · Principios Voluntarios
NoticiasRecursos

Documento legal

Política de Privacidad

Última actualización: 11 de junio de 2026 · Vigencia: inmediata

La presente Política de Privacidad describe cómo la Fundación Empresas Indígenas, en su calidad de Secretaría Ejecutiva del Grupo de Trabajo Chile sobre los Principios Voluntarios de Seguridad y Derechos Humanos (en adelante, "la Plataforma"), recopila, utiliza y protege los datos personales de sus miembros y visitantes, en cumplimiento de la Ley N° 19.628 sobre Protección de la Vida Privada, la Ley N° 21.719 de Protección de Datos Personales (vigencia plena 1 de diciembre de 2026), el Convenio 169 de la OIT y los Principios Rectores ONU sobre Empresas y Derechos Humanos.

1. Responsable del tratamiento

  • Razón social: Fundación Empresas Indígenas
  • RUT: 65.196.809-7
  • Dirección: Santiago, Chile
  • Rol en la Plataforma: Secretaría Ejecutiva del Grupo de Trabajo Chile
  • Contacto sobre datos personales: contacto@principiosvoluntarios.cl
  • Encargado de Protección de Datos (DPO): La Fundación ha evaluado los umbrales establecidos en la Ley N° 21.719 para la designación obligatoria de un DPO. Dado el volumen reducido de titulares tratados (miembros de un Grupo de Trabajo cerrado) y la ausencia de tratamiento a gran escala de categorías especiales de datos, la designación formal no resulta obligatoria en esta etapa. Las funciones de supervisión del cumplimiento son ejercidas por la dirección ejecutiva de la Fundación. Ante cualquier consulta, contáctenos en la dirección indicada arriba.

2. Datos que recopilamos

Recopilamos cuatro categorías de datos:

2.1 Datos de identificación

Nombre completo, correo electrónico, organización a la que pertenece, cargo, pilar al que se adscribe (empresarial, gubernamental o sociedad civil), comité de trabajo. Estos datos se recopilan al momento de la invitación al Grupo y son confirmados por el miembro al activar su cuenta.

2.2 Datos de uso

Sesiones del Grupo a las que asistió, documentos consultados o aportados, publicaciones en el muro interno, comentarios, registros de aprobación de noticias (en caso de roles administrativos).

2.3 Datos técnicos

Dirección IP truncada (con fines de seguridad y rate-limit), tipo de navegador, sistema operativo, fecha y hora del último inicio de sesión. No utilizamos huella digital persistente. Adicionalmente, las acciones administrativas destructivas (eliminación de cuentas o fuentes de noticias) quedan registradas en un log de auditoría interno (audit_log) con la identificación del administrador ejecutante, el identificador del recurso afectado y la marca temporal. Este registro se conserva con fines de trazabilidad e integridad operacional.

2.4 Datos sensibles (cuando corresponda)

Si el miembro pertenece a un pueblo originario y lo declara voluntariamente, su origen étnico se considera dato sensible bajo la Ley N° 21.719 art. 2 lit. h. Los procesamos únicamente con su consentimiento expreso o cuando exista interés público acorde al Convenio 169 OIT.

3. Base de licitud y finalidades

Tratamos los datos sobre las siguientes bases:

  • Consentimiento del miembro al aceptar la invitación, para gestionar su acceso y participación en el Grupo de Trabajo.
  • Interés legítimo de la Secretaría para coordinar reuniones, distribuir documentos, publicar noticias relevantes y reportar la participación del Grupo de Trabajo Chile ante la Iniciativa Voluntary Principles (VPI), en cumplimiento del mandato del Grupo.
  • Cumplimiento legal cuando autoridades competentes lo requieran (Ministerio Público, INDH, tribunales).
  • Interés público al monitorear noticias sobre los Principios Voluntarios y derechos humanos en industrias extractivas, en línea con la misión del Grupo.

4. Encargados de tratamiento y receptores de datos

Compartimos o transferimos datos a los siguientes terceros:

  • Iniciativa Voluntary Principles (VPI) — Secretaría Internacional (voluntaryprinciples.org) — receptor de datos en calidad de coordinador de la red global. Se comparten nombre, organización, pilar y rol de los miembros del Grupo de Trabajo Chile como parte del reporte anual de participación y de la coordinación entre grupos nacionales. Base de licitud: interés legítimo vinculado al mandato del Grupo. Contacto internacional: voluntaryprinciples.org/contact.
  • Microsoft Azure (App Service Chile Central, PostgreSQL Brazil South, Blob Storage Chile Central) — infraestructura de cómputo y almacenamiento. Existe Data Processing Agreement (DPA) con cláusulas contractuales tipo para la transferencia internacional a Brasil.
  • Microsoft Entra ID — proveedor de autenticación OAuth opcional. Cuando el miembro elige iniciar sesión con su cuenta Microsoft, se transfiere a Microsoft el acto de autenticación; Microsoft devuelve a la Plataforma únicamente el nombre, email verificado e identificador de cuenta. No se transfieren datos de uso ni de contenido de la Plataforma.
  • Google LLC — proveedor de autenticación OAuth opcional. Cuando el miembro elige iniciar sesión con su cuenta Google, se transfiere a Google el acto de autenticación; Google devuelve a la Plataforma únicamente el nombre, email verificado e identificador de cuenta. Google LLC está sujeta al marco EU-US Data Privacy Framework. No se transfieren datos de uso ni de contenido de la Plataforma.
  • Azure OpenAI Service — inferencia para clasificación y resumen automatizado de noticias. No utiliza datos para entrenamiento de modelos.
  • Azure Communication Services — envío de correos transaccionales (magic link de inicio de sesión).
  • GitHub — control de versiones del código fuente (no contiene datos personales de miembros).
  • Autoridades competentes únicamente cuando exista mandato legal expreso (resolución judicial, requerimiento ministerial fundado).

5. Transferencia internacional

La base de datos PostgreSQL se aloja en Azure Brazil South. Esta transferencia se realiza al amparo de las Cláusulas Contractuales Tipo incluidas en el DPA de Microsoft Azure, que garantizan un nivel de protección equivalente al exigido por la Ley N° 21.719.

6. Plazos de retención

  • Cuenta activa: mientras el miembro forme parte del Grupo de Trabajo.
  • Cuenta inactiva o cerrada: la eliminación solicitada por el titular (derecho de supresión) o ejecutada por la Secretaría implica un borrado definitivo e inmediato de todos los datos de identificación, sesiones activas y tokens de verificación. No se mantiene copia de retención post-cierre, salvo que una obligación legal expresa lo exija en un caso concreto.
  • Sesiones expiradas y tokens de verificación: 30 días.
  • Logs técnicos: 90 días (Azure App Service default).
  • Datos sensibles de origen étnico: eliminación inmediata bajo solicitud del titular o comunidad referida.

7. Sus derechos (ARCO+)

Como titular de los datos, usted puede ejercer los siguientes derechos:

  • Acceso: conocer qué datos tenemos sobre usted.
  • Rectificación: corregir datos inexactos o desactualizados.
  • Supresión / Cancelación: solicitar eliminación cuando ya no sean necesarios o haya retirado el consentimiento.
  • Oposición: oponerse a tratamientos específicos.
  • Portabilidad: recibir sus datos en formato estructurado (JSON).
  • Bloqueo: suspender temporalmente el tratamiento mientras se resuelve una reclamación.
  • Revisión humana de decisiones que se basen únicamente en tratamientos automatizados (clasificación de noticias por IA).

Las solicitudes se canalizan a contacto@principiosvoluntarios.cl y se responden en un plazo máximo de 30 días corridos (60 días para solicitudes complejas, previa notificación).

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado TLS en todas las conexiones (HSTS preload), cifrado en reposo de la base de datos, autenticación sin contraseña mediante magic link de un solo uso (15 minutos de validez) o mediante proveedores OAuth de confianza (Google, Microsoft), control de acceso por rol, rate-limit por IP y email, registro de actividades administrativas, separación de entornos. Realizamos auditorías de seguridad periódicas siguiendo el marco OWASP Top 10.

9. Notificación de brechas

En caso de detectar una brecha de seguridad que pueda afectar los derechos de los titulares, notificaremos a los afectados y a la Agencia de Protección de Datos Personales (cuando esté operativa bajo la Ley N° 21.719) en un plazo no superior a 72 horas desde su detección.

10. Menores de edad

La Plataforma no está dirigida a personas menores de 18 años. No recopilamos intencionalmente datos de menores. Si detectamos que se ha recogido información de un menor sin autorización de padre o tutor, procederemos a su eliminación inmediata.

11. Modificaciones

Esta política puede actualizarse. Las modificaciones sustantivas serán notificadas a los miembros vía correo electrónico con al menos 30 días de anticipación, salvo que la urgencia legal exija plazos menores.

Documentos relacionados: Términos de Uso · Política de Cookies