Documento legal · Ley 21.719

Política de Privacidad

Vigente desde: 2026-05-09 · Última actualización: 2026-05-09

Resumen ejecutivo (TL;DR): NormaCode procesa el mínimo de datos personales necesarios para entregarte el servicio. No usamos cookies de tracking, no compartimos tus datos con terceros, no vendemos tu información. Los datos los puedes ver, exportar o borrar en cualquier momento (Arts. 7° y 9° Ley 21.719). Email único para captura: /arco.

1. Identificación del responsable

El responsable del tratamiento de datos personales es NormaCode, marca operada por su fundador Matías Navarro Ortiz (Evaluador Energético CEV, Res. Ex. N°266/2025 MINVU). Contacto: [email protected].

Sitio web: https://normacode.cl. Hosting backend: Cloud Run (Google Cloud, región southamerica-west1, Santiago). Hosting frontend: Cloudflare Pages.

2. Marco normativo aplicable

Ley N° 21.719 (publicada 13-dic-2024, vigencia obligatoria 1-dic-2026) — protección de datos personales en Chile.
Ley N° 19.628 sobre vida privada (régimen vigente hasta 1-dic-2026).
Ley N° 19.496 protección de derechos del consumidor.
RGPD (Reglamento UE 2016/679) — aplicado por buenas prácticas, aunque NormaCode opera en Chile.

3. Datos personales que tratamos

Tipo	Cuándo se captura	Finalidad	Base de licitud
Email	Registro beta · Voto roadmap · Suscripción alertas normativas · Form cobertura-país	Comunicación funcional + alertas normativas + lead nurturing	Consentimiento explícito (checkbox)
Nombre + RUT	Activación cuenta Pro o Enterprise	Facturación + cumplimiento tributario SII	Ejecución contrato
Datos de proyecto (cubicación, materialidad, comuna)	Uso del calculador térmico	Generación memoria PDF firmable	Ejecución contrato
Metadata de verificación (código `NC-XXXXXXXXXXXX`, hash SHA-256, nombre proyecto, zona térmica, cumplimiento OGUC, fecha) — públicos via /v/{code}	Emisión de memoria PDF (`POST /api/v1/verify/register`)	Verificación pública de integridad y autoría (FES Art. 3 Ley 19.799)	Interés legítimo (transparencia) + ejecución contrato
Identificador interno del emisor (Firebase UID) — PRIVADO, jamás expuesto en el endpoint público	Emisión de memoria PDF (trazabilidad interna)	Auditoría + atribución forense	Interés legítimo + obligación legal (Art. 16 Ley 21.719: minimización)
IP + User-Agent (hash SHA-256[:16])	Cualquier interacción con backend	Seguridad + audit forense + anti-flood	Interés legítimo
session_id (UUID anónimo localStorage)	Visita a páginas públicas	Analytics privacy-first (sin cookies, sin terceros)	Interés legítimo

4. Datos que NO tratamos

NO usamos cookies de tracking.
NO usamos pixels de Facebook, Google Ads, ni similares.
NO usamos herramientas de fingerprinting digital.
NO compartimos datos con terceros para marketing.
NO vendemos tu información.
NO transferimos datos personales fuera de Chile salvo Google Cloud Run (proveedor infraestructura, región Santiago).

5. Derechos del titular (ARCO+)

Conforme a Ley 21.719, todo titular de datos puede ejercer en cualquier momento:

Art. 6° — Acceso: solicitar copia de tus datos personales que tratamos.
Art. 7° — Rectificación: solicitar corrección de datos inexactos.
Art. 8° — Cancelación / supresión: solicitar borrado total de tus datos.
Art. 9° — Oposición: oponerte a tratamientos específicos.
Art. 9° — Portabilidad: solicitar exportación en formato estructurado (CSV/JSON).
Bonus — Limitación: solicitar pausa temporal del tratamiento.

NormaCode implementa estos derechos vía endpoints públicos verificables. Ejercer derechos ARCO en /arco. Tiempo máximo de respuesta: 5 días hábiles.

6. Plazo de conservación

Email lead capture (sin cuenta): 24 meses desde último contacto, luego anonimización.
Cuenta activa: durante toda la vigencia + 5 años después por obligación tributaria SII.
Logs IP/UA hasheados: 90 días auto-cleanup vía Firestore TTL.
Cuenta cancelada: borrado total a los 30 días salvo retención obligatoria SII.
Registros de verificación pública (nc_verifications/{code} en Firestore): 5 años en línea (plazo prescripción Art. 2515 Código Civil), para sostener el valor probatorio de la FES Art. 3 Ley 19.799 frente a terceros que escaneen el QR del PDF.

7. Seguridad técnica

Encriptación en tránsito (HTTPS TLS 1.3) en todas las páginas.
Hash SHA-256 de IP y User-Agent (no PII reversible) para audit.
Backend Cloud Run con autenticación JWT + Firebase.
Acceso a base de datos restringido por roles (admin / superuser / user).
Audit log de cambios en datos sensibles.
Backups encriptados Firestore (Google Cloud).
Whitelist explícita en endpoint público de verificación (GET /api/v1/verify/{code}): el servicio aplica filtro a nivel de código (verification_service.py:get_verification) que solo retorna campos públicos predefinidos. El identificador interno del emisor (generated_by_uid) y cualquier dato sensible nunca llegan al cliente. Cumplimiento Art. 16 Ley 21.719 (principio de minimización).

8. Cesiones a terceros

NormaCode utiliza los siguientes encargados de tratamiento (DPA suscritos):

Google Cloud (Cloud Run + Firestore) — hosting backend, región Santiago Chile.
Cloudflare Pages — hosting frontend estático.
Firebase Auth — autenticación de usuarios.
Flow.cl — pasarela de pagos chilena (cuando aplica plan Pro/Enterprise).
OpenFactura (futuro) — facturación electrónica SII.

Ninguno de estos encargados accede a datos personales más allá de lo necesario para su función contratada. No se realiza marketing dirigido a través de terceros.

9. Modificaciones

Cualquier modificación material a esta Política se notificará vía email a usuarios con cuenta y se publicará en https://normacode.cl/privacidad con 15 días de antelación. El historial de versiones está en commit fechado del repositorio público (compromiso build-in-public).

10. Reclamos

Si consideras que tus derechos no han sido respetados, puedes:

Contactarnos a [email protected] (respuesta ≤5 días hábiles).
A partir del 1-dic-2026, presentar reclamo ante la Agencia de Protección de Datos Personales (Ley 21.719 Art. 30).
Acudir al SERNAC bajo Ley 19.496 protección consumidor.

Compromiso build-in-public: esta Política está en código abierto en el repositorio privado del producto. Cualquier cambio queda registrado con commit fechado. Si encuentras una imprecisión o una redacción confusa, escribimos directo: [email protected].