1. Quiénes somos y alcance de esta política
Esta Política de Privacidad describe cómo TECSOFT E.I.R.L., RUT 76.514.939-8, domiciliada en Concepción, Chile, operadora de la plataforma Gemleaf ("Gemleaf", "nosotros"), trata los datos personales en relación con: (a) el sitio web gemleaf.cloud y sus subdominios; (b) la plataforma Gemleaf y sus aplicaciones web y móviles; y (c) las comunicaciones comerciales y de soporte.
Contacto para materias de privacidad: contacto@gemleaf.cloud (asunto "Protección de datos"). Este canal opera como punto único para solicitudes de titulares, autoridades y clientes; si la normativa nos exige designar un Delegado de Protección de Datos, sus datos se informarán en esta sección.
2. Nuestro doble rol: responsable y encargado
Gemleaf es una plataforma empresarial donde nuestros clientes (organizaciones) gestionan sus propios procesos y datos. Por eso actuamos en dos roles distintos, y es importante distinguirlos porque determinan ante quién se ejercen los derechos:
| Categoría de datos | Rol de Gemleaf | Responsable del tratamiento |
|---|---|---|
| Datos de cuenta, facturación, soporte y navegación web (datos de los administradores, usuarios y visitantes en su relación con Gemleaf) | Responsable (controlador) | Gemleaf |
| Contenido del Cliente: datos que cada organización y sus usuarios ingresan en formularios, flujos y registros (p. ej., datos de trabajadores, proveedores o clientes finales de nuestro cliente) | Encargado (procesador) | El Cliente (la organización que contrató Gemleaf) |
Si usted es titular de datos contenidos en formularios o registros de una organización que usa Gemleaf (por ejemplo, un trabajador que completa formularios), el responsable de esos datos es dicha organización: dirija a ella sus solicitudes de derechos. Gemleaf asistirá al Cliente en la respuesta, conforme a sus instrucciones y al contrato de encargo. Las secciones 3, 4, 10 y 11 aplican a los datos de los que Gemleaf es responsable; la sección 5 describe nuestro tratamiento como encargado.
3. Datos que tratamos como responsable
- Identificación y contacto: nombre, correo electrónico, teléfono, organización y cargo, entregados al crear una cuenta, solicitar una demo o contactarnos.
- Credenciales y seguridad: identificadores de usuario, contraseñas (almacenadas con hash), tokens de sesión y de conectores autorizados.
- Facturación: razón social, RUT, domicilio, datos de facturación y registros de pago. No almacenamos números completos de tarjetas.
- Uso del servicio y registros técnicos (logs): direcciones IP, identificadores de dispositivo y navegador, fechas y horas de acceso, acciones realizadas en la plataforma, registros de auditoría.
- Soporte y comunicaciones: contenido de tickets, correos y, en su caso, mensajes por los canales de emergencia acordados.
- Cookies y analítica web: según la sección 12.
4. Finalidades y bases de licitud
| Finalidad | Base de licitud |
|---|---|
| Crear y administrar cuentas, prestar el servicio, dar soporte y operar conectores autorizados | Ejecución del contrato |
| Facturación, cobranza y registros contables y tributarios | Ejecución del contrato y cumplimiento de obligaciones legales |
| Seguridad de la plataforma: prevención de fraude y abuso, registros de auditoría, gestión de incidentes | Interés legítimo en proteger el servicio y a nuestros clientes |
| Mejora del producto a partir de métricas de uso agregadas o anonimizadas | Interés legítimo |
| Comunicaciones comerciales sobre Gemleaf (novedades, funcionalidades) | Consentimiento, revocable en cualquier momento desde el mismo correo o escribiéndonos |
| Cumplimiento de requerimientos de autoridad competente | Obligación legal |
No tomamos decisiones automatizadas con efectos jurídicos significativos sobre las personas basadas únicamente en el tratamiento automatizado de sus datos.
5. Contenido del Cliente: tratamiento por encargo
Respecto del Contenido del Cliente, Gemleaf actúa exclusivamente siguiendo las instrucciones del Cliente documentadas en los Términos y Condiciones o en el contrato particular, que operan como contrato de encargo de tratamiento. En este rol:
- Tratamos los datos únicamente para alojar, procesar, respaldar y mostrar el contenido en la prestación del servicio. No los usamos para fines propios.
- No vendemos, cedemos ni compartimos el Contenido del Cliente con terceros, salvo los subencargados de la sección 7 o requerimiento de autoridad competente.
- El personal de Gemleaf accede solo cuando es estrictamente necesario para soporte u operación, bajo deber de confidencialidad, o con autorización expresa del Cliente.
- A la terminación del servicio aplican la portabilidad (30 días para exportación), el borrado seguro y la certificación de destrucción descritos en los Términos.
- Para clientes que requieran un acuerdo de tratamiento de datos (DPA) específico, incluyendo cumplimiento RGPD, está disponible a solicitud en contacto@gemleaf.cloud.
6. Funcionalidades de inteligencia artificial
Las funcionalidades de IA de Gemleaf (creación asistida de formularios y flujos, analítica conversacional) pueden procesar datos mediante modelos de terceros, actualmente de Anthropic (Claude) y Google. Este procesamiento ocurre en tiempo real para responder a la solicitud del usuario y bajo los siguientes compromisos:
- Los datos de nuestros clientes no se utilizan para entrenar modelos de IA, ni por Gemleaf ni por sus proveedores, conforme a los términos comerciales contratados con dichos proveedores.
- La conexión opcional de Gemleaf con asistentes externos vía Model Context Protocol (MCP) usa autenticación OAuth 2.1 con PKCE, permisos granulares por herramienta y tokens revocables por el usuario; las credenciales de Gemleaf nunca se comparten con el asistente. El detalle técnico consta en nuestra Ficha de Seguridad MCP, disponible a solicitud.
- Las salidas de IA son material de apoyo y pueden contener errores; su revisión es responsabilidad del usuario.
7. Subencargados, destinatarios y transferencias internacionales
Para operar el servicio utilizamos proveedores que pueden tratar datos por nuestra cuenta ("subencargados"). Los seleccionamos exigiendo estándares de seguridad compatibles con esta política y suscribimos con ellos términos de protección de datos:
| Proveedor | Servicio | Ubicación | Certificaciones / marco |
|---|---|---|---|
| DigitalOcean | Infraestructura cloud y almacenamiento | Estados Unidos | ISO/IEC 27001, SOC 2 Type II, marco RGPD |
| Anthropic | Modelos de IA (Claude) y conector MCP | Estados Unidos | Sin entrenamiento con datos de clientes; DPA disponible; retención acotada |
| Modelos de IA y servicios asociados | Estados Unidos | Términos empresariales sin uso para entrenamiento | |
| Procesador de pagos por habilitarse | Procesamiento de pagos de la modalidad autoservicio (p. ej., Stripe u otro que se informe en la Plataforma) | Según proveedor (p. ej., Estados Unidos) | Certificación PCI-DSS; actúa como responsable independiente respecto de los datos de pago que recibe directamente |
Cuando se habilite la modalidad de pago en línea, los datos del medio de pago (p. ej., número de tarjeta) serán entregados por el usuario directamente al procesador de pagos a través de sus formularios seguros; Gemleaf no los recibe ni almacena, y solo conserva referencias tokenizadas y el estado de las transacciones. Esta sección se actualizará con el proveedor definitivo antes de su puesta en operación.
En consecuencia, ciertos datos se transfieren internacionalmente, principalmente a Estados Unidos. Adoptamos salvaguardas para que estas transferencias ofrezcan un nivel adecuado de protección, utilizando los mecanismos reconocidos por la normativa aplicable según corresponda: compromisos contractuales de protección de datos con cada proveedor, cláusulas contractuales tipo (incluidas las SCC de la Comisión Europea para datos sujetos al RGPD), decisiones o calificaciones de adecuación cuando existan, y las modalidades, autorizaciones o normas técnicas que establezca la Agencia de Protección de Datos Personales de Chile conforme a la Ley 21.719. Nos comprometemos a adecuar nuestros mecanismos de transferencia a las instrucciones generales que dicha Agencia dicte. Mantendremos esta sección actualizada si incorporamos o reemplazamos subencargados; los clientes con contrato particular o DPA serán notificados de cambios relevantes con antelación razonable, pudiendo objetar fundadamente la incorporación de un nuevo subencargado.
Además de los subencargados, podremos comunicar datos a asesores profesionales bajo confidencialidad y a autoridades competentes cuando exista obligación legal.
8. Plazos de conservación
| Categoría | Plazo |
|---|---|
| Datos de cuenta y perfil | Vigencia de la cuenta y hasta 12 meses tras su cierre, salvo solicitud de supresión anticipada |
| Documentos de facturación y registros contables | 6 años, conforme a la normativa tributaria chilena |
| Contenido del Cliente | Vigencia del servicio + 30 días para exportación; luego borrado seguro, incluyendo respaldos según ciclo técnico de rotación |
| Registros técnicos y de auditoría (logs) | Hasta 12 meses, salvo investigación de incidentes en curso u obligación legal |
| Comunicaciones de soporte | Hasta 24 meses desde el cierre del caso |
Vencidos los plazos, los datos se eliminan o anonimizan de forma segura.
9. Medidas de seguridad
Aplicamos medidas técnicas y organizativas alineadas con el estándar de la industria: cifrado TLS en todas las comunicaciones, almacenamiento de contraseñas con hash, control de acceso por roles y principio de mínimo privilegio, autenticación OAuth 2.1 con PKCE en conectores, registros de auditoría, respaldos periódicos, segregación de ambientes, y alojamiento en infraestructura de nuestro proveedor cloud, DigitalOcean, certificada conforme a ISO/IEC 27001 y SOC 2 Type II. La documentación técnica detallada, de carácter confidencial, está disponible para clientes a solicitud.
Ninguna medida de seguridad garantiza protección absoluta; nuestra obligación en esta materia es de medios. Ante un incidente de seguridad que comprometa datos personales, lo notificaremos al Cliente afectado dentro de las 72 horas siguientes a su detección, indicando la naturaleza del incidente, la información afectada y las medidas adoptadas, y realizaremos las comunicaciones a la autoridad que la ley exija.
10. Sus derechos
Respecto de los datos de los que Gemleaf es responsable, usted puede ejercer en cualquier momento los derechos que le reconoce la ley chilena (Ley 19.628 y, desde su entrada en vigencia, la Ley 21.719) y, cuando resulte aplicable, el RGPD:
- Acceso: conocer si tratamos sus datos, cuáles, con qué finalidad y a quién se comunican.
- Rectificación: corregir datos inexactos, desactualizados o incompletos.
- Supresión (cancelación): solicitar la eliminación de sus datos cuando carezcan de fundamento o estén caducos.
- Oposición: oponerse a tratamientos basados en interés legítimo y, siempre, a comunicaciones comerciales.
- Portabilidad: recibir sus datos en un formato estructurado y de uso común.
- Bloqueo / limitación del tratamiento mientras se resuelve una solicitud de rectificación u oposición.
- Revocar el consentimiento otorgado, sin efecto retroactivo.
- Decisiones automatizadas: no estar sujeto a decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos significativos, y a impugnarlas solicitando intervención humana, expresar su punto de vista y obtener una explicación de la decisión.
Para residentes de jurisdicciones con leyes de privacidad propias (p. ej., estados de EE.UU. como California bajo CCPA/CPRA), reconocemos además los derechos que dichas leyes otorguen cuando resulten aplicables, incluyendo el derecho a no ser discriminado por ejercerlos. Gemleaf no vende ni "comparte" datos personales en los términos definidos por dichas leyes.
Para ejercerlos, escriba a contacto@gemleaf.cloud con el asunto "Protección de datos", indicando el derecho que ejerce y antecedentes que permitan verificar su identidad. Responderemos dentro de los plazos legales aplicables. Si usted es titular de datos contenidos en el Contenido de un Cliente, canalizaremos su solicitud al responsable correspondiente (ver sección 2).
Si considera que el tratamiento infringe la normativa, puede reclamar ante la autoridad de control competente: en Chile, la Agencia de Protección de Datos Personales (operativa conforme a la Ley 21.719); en el Espacio Económico Europeo, la autoridad de control de su país de residencia.
11. Menores de edad
La Plataforma es un servicio empresarial no dirigido a menores de 18 años, y no recabamos conscientemente datos de menores como responsables. Si un Cliente requiere tratar datos de menores dentro de su Contenido (por ejemplo, en procesos internos legítimos), actúa como responsable de dicho tratamiento y debe contar con la base de licitud que la normativa exija. Si detectamos cuentas de menores, las eliminaremos.
12. Cookies y tecnologías similares
El sitio y la plataforma usan cookies y almacenamiento local para: (a) esenciales — autenticación, seguridad de sesión y funcionamiento del servicio; (b) preferencias — recordar opciones como el tema claro/oscuro; y (c) analítica — métricas de uso agregadas para mejorar el producto. Las esenciales no pueden desactivarse sin afectar el servicio; las demás pueden gestionarse desde la configuración de su navegador. En las jurisdicciones donde la ley exige consentimiento previo para cookies no esenciales (p. ej., el Espacio Económico Europeo y el Reino Unido), estas solo se activarán tras obtenerlo mediante el banner de preferencias correspondiente. No utilizamos cookies de publicidad de terceros.
13. Marco normativo aplicable
Esta política se rige por la legislación chilena de protección de datos: la Ley N° 19.628 sobre Protección de la Vida Privada y, a partir de su entrada en vigencia el 1 de diciembre de 2026, la Ley N° 21.719, a cuyo estándar esta política ya se encuentra adaptada (bases de licitud, derechos de los titulares, deberes de seguridad e información, y régimen de transferencias internacionales). Para usuarios o clientes del Espacio Económico Europeo, esta política se interpreta de forma compatible con el Reglamento (UE) 2016/679 (RGPD); el DPA correspondiente está disponible a solicitud. Para usuarios de Estados Unidos, atendemos los derechos de las leyes estatales de privacidad que resulten aplicables (p. ej., CCPA/CPRA), actuando respecto del Contenido del Cliente como "service provider"/"processor" en los términos de dichas leyes. Para otras jurisdicciones, aplicaremos las normas imperativas locales que correspondan.
Cuando Gemleaf ofrezca activamente sus servicios en el Espacio Económico Europeo sin contar con establecimiento en él, designará un representante conforme al artículo 27 del RGPD e informará sus datos de contacto en esta política. En materia de seguridad de la información, observamos además el marco chileno de ciberseguridad (Ley 21.663) en lo que resulte aplicable a nuestra operación.
Referencias normativas dinámicas: toda referencia en esta política a leyes o reglamentos se entiende hecha a sus textos vigentes, incluyendo sus modificaciones futuras y las normas que los reemplacen o complementen (como las instrucciones y normas técnicas de la Agencia de Protección de Datos Personales). Adecuaremos nuestras prácticas y esta política a dichos cambios dentro de los plazos que la normativa establezca.
14. Integraciones con Google y Uso Limitado (Google API Services)
Cuando un usuario conecta voluntariamente su cuenta de Google para utilizar el nodo de Google Sheets dentro de un flujo de trabajo, Gemleaf solicita su consentimiento para los siguientes permisos (scopes):
| Permiso (scope) | Para qué se usa |
|---|---|
| .../auth/spreadsheets | Leer y escribir filas en las hojas de cálculo de Google que el usuario indique dentro de un flujo (por ejemplo, agregar una fila con los datos de un formulario enviado). |
| .../auth/userinfo.email y openid | Identificar la cuenta de Google conectada y mostrarla en las integraciones del usuario. |
Solo accedemos a las hojas de cálculo necesarias para ejecutar las acciones que el usuario configura. No leemos, copiamos ni indexamos el resto de su Google Drive. El acceso puede revocarse en cualquier momento desde Gemleaf (eliminando la integración) o desde la configuración de seguridad de la cuenta de Google; al revocarlo, dejamos de acceder a los datos de Google y eliminamos los tokens correspondientes.
Uso Limitado (Limited Use). El uso y la transferencia por parte de Gemleaf de la información recibida de las APIs de Google se ajustan a la Política de Datos de Usuario de los Servicios de API de Google, incluidos sus requisitos de Uso Limitado. En particular: (a) no utilizamos los datos obtenidos de las APIs de Google para publicidad; (b) no los vendemos; (c) no los transferimos a terceros salvo para operar o mejorar la funcionalidad solicitada por el usuario, por motivos de seguridad, para cumplir la ley o con su consentimiento explícito; y (d) no permitimos que personas los lean, salvo que el usuario lo consienta expresamente, sea necesario por seguridad (p. ej., investigar abusos) o lo exija la ley.
Los tokens de acceso de estas integraciones se almacenan cifrados en reposo y se asocian únicamente al usuario que las autorizó, con controles de acceso que impiden que un usuario acceda a las integraciones de otro (ver sección 9).
15. Cambios a esta política
Podremos actualizar esta política para reflejar cambios normativos, técnicos o del servicio. Publicaremos la versión vigente en esta página indicando su fecha de actualización y, ante cambios sustanciales, notificaremos a los clientes por correo electrónico o aviso en la plataforma con al menos treinta (30) días de anticipación. Las versiones anteriores estarán disponibles a solicitud.
Responsable del tratamiento: TECSOFT E.I.R.L., RUT 76.514.939-8, Concepción, Chile · contacto@gemleaf.cloud.