Política de Privacidad

Última actualización: 28 de Noviembre 2025

En TOTOMENU SpA (en adelante, "TOTOMENU", "nosotros" o "la Compañía"), responsable de la plataforma Parlamento AI, nos tomamos en serio la protección de tus datos personales. Esta Política de Privacidad describe qué información recopilamos de los usuarios (en adelante, "tú" o "Usuario"), cómo la utilizamos, con quién la compartimos y tus derechos en relación con dicha información.

1. Información que Recopilamos

Al registrarte o utilizar Parlamento AI, podemos recopilar varios tipos de datos personales, incluyendo:

• Datos de contacto: nombre, correo electrónico, nombre de la empresa (si aplica).
• Autenticación passwordless: No almacenamos contraseñas. La autenticación se realiza mediante códigos temporales enviados a tu correo electrónico, lo que elimina el riesgo de robo de contraseñas y mejora significativamente la seguridad de tu cuenta.
• Preferencias y configuración: palabras clave para alertas, intereses legislativos, idioma preferido y otros ajustes personalizados.
• Datos de uso: Los chats con la IA son efímeros por defecto (no se almacenan en la base de datos). Solo registramos logs agregados de utilización para métricas del servicio, incluyendo:
  • Cantidad de mensajes enviados al chat (no el contenido)
  • Consultas realizadas y secciones visitadas
  • Transcripciones consultadas
  • Direcciones IP, tipo de navegador y dispositivo
  • Timestamps de actividad
• Datos de pago: nuestro proveedor de pagos puede recopilar los datos necesarios para procesar las transacciones. No almacenamos directamente los datos completos de tu tarjeta de crédito/débito.

2. Cómo Usamos tus Datos

Utilizamos tus datos personales para las siguientes finalidades:

• Proveer y mejorar el Servicio: permitir el acceso a las transcripciones en tiempo real, alertas y funcionalidades de búsqueda, así como mejorar continuamente la experiencia de usuario.
• Procesar pagos y suscripciones: gestionar los cobros mensuales o puntuales y tramitar facturación.
• Atender consultas o solicitudes: responder dudas, comentarios o incidencias reportadas a través de nuestro correo electrónico u otros canales de soporte.
• Analítica y estadísticas: evaluar métricas de uso para mejorar funcionalidades y rendimiento, siempre de forma agregada y anónima cuando sea posible.
• Seguridad y prevención de fraudes: monitorear actividades sospechosas o infracciones a nuestros Términos y Condiciones.

3. Uso de Terceros y Transferencia de Datos

Parlamento AI se integra con diversos proveedores externos para brindar algunas funcionalidades. Por ejemplo:

• Procesador de pagos: Utilizamos un proveedor externo que actúa como "Merchant of Record" para procesar los pagos. Los datos de facturación y transacciones se comparten según sus propias Políticas de Privacidad.
• Servicios de IA (LLMs): El contenido de tus alertas configuradas en lenguaje natural puede ser transmitido a proveedores externos como OpenAI, Anthropic, Google o Mistral para generar las detecciones de temas relevantes en las transcripciones parlamentarias. Trabajamos exclusivamente con proveedores certificados bajo RGPD o que mantienen cláusulas contractuales estándar (SCC) para transferencias internacionales. Estos proveedores no utilizan tus datos para entrenar sus modelos de IA. Esos proveedores podrían almacenar temporalmente ciertos datos, bajo sus propias políticas de privacidad.
• Servicios de hosting y almacenamiento: Nuestros servidores están alojados en Scaleway (París, Francia), proveedor certificado ISO/IEC 27001, 27017 y 27018, con cumplimiento completo del RGPD. Toda la infraestructura (servidores, base de datos PostgreSQL y almacenamiento S3) se encuentra en la región PAR-1, sin réplicas fuera de Europa. Scaleway mantiene estándares de seguridad de nivel empresarial incluyendo certificación Tier III+ y auditorías periódicas de terceros.

Al usar nuestro Servicio, aceptas que tus datos puedan ser compartidos con dichos terceros para los fines descritos. Nos esforzamos por que dichos terceros apliquen medidas de protección adecuadas y cumplan con las normativas de privacidad correspondientes.

4. Base Legal para el Tratamiento de Datos

Dependiendo de tu jurisdicción, nos amparamos en diferentes bases legales para procesar tus datos:

• Consentimiento: cuando voluntariamente nos proporcionas información personal y aceptas esta Política de Privacidad.
• Ejecución de un contrato: para brindar el Servicio que has contratado (suscripciones, alertas, etc.).
• Intereses legítimos: mejorar la plataforma, prevenir fraudes o garantizar la seguridad, siempre que tus derechos y libertades fundamentales no se vean afectados.

5. Conservación de Datos

Mantendremos tus datos personales mientras sea necesario para cumplir con los fines descritos en esta Política, o mientras mantengas una cuenta activa con nosotros. Además, podríamos conservar cierta información por un período adicional cuando así lo requieran nuestras obligaciones legales, resolución de disputas o cumplimiento de contratos.

Los backups automáticos de la base de datos se retienen por 7 días. Los backups manuales se conservan de forma redundante según nuestras políticas de continuidad operacional.

6. Derechos del Usuario

Dependiendo de la jurisdicción, puedes tener los siguientes derechos sobre tus datos:

• Acceso: solicitar confirmación de si estamos tratando tus datos y, en caso afirmativo, obtener una copia.
• Rectificación: solicitar la corrección de información inexacta o incompleta.
• Supresión: pedir que borremos tus datos personales cuando ya no sean necesarios o cuando retires tu consentimiento (salvo excepciones legales).
• Oposición o limitación: objetar el tratamiento de tus datos o requerir que limitemos su uso.
• Portabilidad: en ciertos casos, solicitar que tus datos personales se transmitan a otra entidad.

Canal para Ejercicio de Derechos ARSOP

Para ejercer tus derechos de Acceso, Rectificación, Supresión, Oposición y Portabilidad (ARSOP), hemos habilitado un canal específico y dedicado:

Para consultas generales sobre privacidad, puedes contactarnos en contacto | @ | parlamento.ai.

6.1 Plazos de Respuesta

En cumplimiento de la Ley 21.719 de Protección de Datos Personales, nos comprometemos a responder las solicitudes de ejercicio de derechos dentro de los siguientes plazos:

• Plazo estándar: 15 días hábiles contados desde la recepción de tu solicitud.
• Casos complejos: Hasta 30 días hábiles cuando la solicitud requiera análisis adicional o involucre grandes volúmenes de datos. Te notificaremos la extensión dentro de los primeros 15 días.
• Identificación: Para procesar tu solicitud, podemos requerir verificación de identidad mediante documento oficial (RUT, pasaporte u otro).

Si tu solicitud es rechazada, recibirás una respuesta fundamentada explicando los motivos legales. Tienes derecho a presentar reclamo ante la Agencia de Protección de Datos Personales si consideras que tus derechos no han sido respetados.

6.2 Delegado de Protección de Datos (DPO)

Hemos designado a Antoine Le Baux como nuestro Delegado de Protección de Datos (DPO). Sus responsabilidades incluyen:

• Supervisar el cumplimiento de la Ley 21.719 y esta política
• Garantizar la protección de datos personales en toda la plataforma
• Evaluar impacto de privacidad en cambios técnicos o nuevas funcionalidades
• Gestionar solicitudes de ejercicio de derechos de titulares
• Coordinar respuesta ante incidentes de seguridad
• Mantener registros de tratamiento y cumplimiento
• Servir como punto de contacto con la Agencia de Protección de Datos

Contacto DPO: [email protected]
Solicitudes ARSOP: [email protected]

6.3 Gobernanza y Trazabilidad

TOTOMENU ha implementado un sistema de gobernanza de datos que asegura trazabilidad completa del tratamiento de datos personales:

• Responsable del Tratamiento: TOTOMENU SpA (RUT 78.033.706-0) es el responsable legal del tratamiento de datos personales en Parlamento AI.
• Acceso administrativo limitado: Solo el equipo técnico estrictamente necesario tiene acceso a infraestructura y base de datos. Todo personal con acceso firma acuerdos de confidencialidad (NDA) que prohíben compartir datos o información que impacte a clientes o a la empresa. Todo acceso está protegido con 2FA y autenticación SSH mediante claves públicas.
• Trazabilidad técnica: Logs estructurados mediante PM2 registran todas las operaciones críticas con timestamp, usuario y tipo de operación.
• Auditoría interna: Revisión trimestral de accesos, registros de tratamiento y cumplimiento de medidas de seguridad.
• Documentación: Políticas internas, procedimientos de respuesta a incidentes y registros de cumplimiento disponibles para fiscalización por autoridad competente.
• Evaluaciones de impacto: Antes de implementar nuevas funcionalidades que involucren datos personales, realizamos evaluaciones de impacto de privacidad (PIA).

7. Medidas de Seguridad

Nos esforzamos por proteger tu información personal mediante medidas técnicas y organizativas adecuadas, incluyendo:

• Cifrado TLS 1.3 para todas las comunicaciones web (HTTPS)
• Conexiones cifradas TLS a base de datos PostgreSQL
• Autenticación de dos factores (2FA) para acceso administrativo a infraestructura
• Autenticación SSH mediante claves públicas para servidores (sin contraseñas)
• Backups automáticos diarios con retención de 7 días
• Backups manuales redundantes para recuperación ante desastres
• Grupos de seguridad (firewalls) configurados para acceso restringido
• Acceso administrativo limitado exclusivamente a los dos cofundadores
• Cifrado a nivel de disco proporcionado por Scaleway para base de datos
• Monitoreo de procesos mediante PM2 con logs estructurados

Sin embargo, ninguna transmisión o almacenamiento de datos es completamente seguro, por lo que no podemos garantizar la protección absoluta de la información.

8. Transferencias Internacionales de Datos

Debido a la naturaleza global de los servicios y los proveedores (por ejemplo, LLMs o sistemas de hosting), es posible que tus datos se transfieran y almacenen fuera del país en el que te encuentres.

Residencia de datos: Todos nuestros datos están alojados exclusivamente en Europa (Scaleway París, región PAR-1). No existe réplica de datos fuera de Europa.

Proveedores de IA: Los servicios de procesamiento de lenguaje natural (OpenAI, Anthropic, Google, Mistral) pueden procesar temporalmente tus configuraciones de alertas. Trabajamos exclusivamente con proveedores que:

• Están certificados bajo RGPD, o
• Mantienen cláusulas contractuales estándar (SCC) aprobadas por la Comisión Europea, o
• Cuentan con mecanismos de protección equivalentes

En todos los casos, procuramos garantizar que existan salvaguardas adecuadas conforme a las normativas de protección de datos aplicables.

9. Cookies y Tecnologías Similares

Parlamento AI puede utilizar cookies y tecnologías similares para mejorar la experiencia del Usuario, recordar preferencias y analizar tendencias. Puedes configurar tu navegador para rechazar cookies, aunque esto podría afectar el correcto funcionamiento de la plataforma.

10. Privacidad de Menores

Nuestros servicios no están dirigidos a menores de edad. Si tienes motivos para creer que hemos recopilado datos de un menor sin el consentimiento apropiado, por favor notifícanos para proceder a su eliminación.

11. Cambios en Esta Política

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en la ley o en nuestras prácticas de tratamiento de datos. Te avisaremos a través de la plataforma o por correo electrónico (si fuera necesario) cuando se realicen modificaciones importantes. Tu uso continuado del servicio después de la publicación de dichos cambios constituirá tu aceptación de los mismos.

12. Registros de Cumplimiento

12.1 Registro de Actividades de Tratamiento

En cumplimiento de la Ley 21.719, TOTOMENU mantiene un Registro de Actividades de Tratamiento de Datos Personales que documenta:

• Finalidades del tratamiento de datos personales
• Categorías de datos recopilados y titulares
• Destinatarios de los datos (proveedores de IA, procesadores de pago, etc.)
• Transferencias internacionales y sus garantías
• Plazos de conservación aplicables
• Medidas de seguridad implementadas

Este registro está disponible para revisión por parte de la Agencia de Protección de Datos Personales en ejercicio de sus funciones de fiscalización.

12.2 Registro de Incidentes de Seguridad

Mantenemos un Registro de Incidentes de Seguridad donde documentamos cualquier brecha de seguridad, acceso no autorizado o pérdida de datos personales, incluyendo:

• Fecha y hora de detección del incidente
• Naturaleza y alcance de la brecha
• Datos personales afectados y número de titulares involucrados
• Medidas correctivas implementadas
• Notificaciones realizadas (a titulares y autoridad)

12.3 Notificación de Brechas de Seguridad

En caso de una brecha de seguridad que afecte datos personales, nos comprometemos a:

• Notificar a la Agencia de Protección de Datos: dentro de las 72 horas de conocido el incidente, indicando naturaleza, datos afectados y medidas adoptadas.
• Notificar a los titulares afectados: cuando el incidente represente un riesgo elevado para sus derechos y libertades, en un plazo razonable y mediante comunicación directa.
• Documentar el incidente: en nuestro registro interno con toda la información relevante para auditorías futuras.

Contacto para notificaciones de seguridad: [email protected]

13. Contacto

Si tienes dudas o comentarios acerca de esta Política de Privacidad, no dudes en contactarnos:

• Ejercicio de derechos ARSOP: [email protected]
• Consultas generales: [email protected]
• Notificaciones de seguridad: [email protected]
• Dirección: Bustos 2549, Providencia, Santiago, Chile

TOTOMENU SpA
RUT: 78.033.706-0
Domicilio: Bustos 2549, Providencia, Santiago, Chile

Delegado de Protección de Datos (DPO): Antoine Le Baux
Contacto DPO: [email protected]
Solicitudes ARSOP: [email protected]