Política de Privacidad

Comercial Ventisquero SpA · Última actualización: 4 de mayo de 2026

Documento en revisión legal

Borrador pendiente de revisión legal final. La versión definitiva estará disponible en breve.

1. Responsable del tratamiento

Comercial Ventisquero SpA, Concepción, Chile. Email: hola@timbra.cl

2. Datos que recopilamos

Datos que tú proporcionas:

Dato	Finalidad	Base legal
Nombre, email	Cuenta de usuario	Ejecución del contrato
Contraseña	Autenticación (bcrypt hash, nunca texto plano)	Ejecución del contrato
RUT del representante legal	Autenticación ante el SII	Contrato + consentimiento
Clave tributaria SII	Consulta RCV, emisión de DTEs	Consentimiento explícito
PIN certificado (manual)	Firma de DTEs. NO se almacena — se descarta tras firmar	Consentimiento
PIN certificado (automático)	Firma automática. Se almacena cifrado AES-256. Opt-in explícito, revocable.	Consentimiento explícito
Certificado .p12	Firma electrónica. Cifrado AES-256. Eliminable por el usuario.	Consentimiento
Datos empresa	RUT, razón social, giro, dirección	Ejecución del contrato

Datos del SII: RCV, detalle de documentos, estado de DTEs, folios (CAFs), datos de contribuyentes. Son propiedad del contribuyente; el SII es la fuente autoritativa.

Datos automáticos: IP, User-Agent, timestamps y acciones en la plataforma — para seguridad, auditoría y trazabilidad tributaria.

Datos que NO recopilamos: tarjetas de crédito, datos biométricos, datos de salud, datos de menores, historial de navegación externo.

3. Finalidad del tratamiento

Proveer el servicio contratado.
Autenticarte ante el SII.
Seguridad y auditoría (requerido por normativa tributaria).
Comunicaciones del servicio (transaccionales).
Soporte técnico.
Mejora del servicio (análisis agregado y anonimizado).

NO usamos tus datos para: publicidad de terceros, venta de datos, perfilamiento comercial ni marketing no solicitado.

4. Base legal del tratamiento

Base	Aplicación
Ejecución del contrato	Dashboard, emisión, consulta SII
Consentimiento explícito	Credenciales SII (revocable eliminando las credenciales en cualquier momento)
Interés legítimo	Seguridad, prevención de fraude, mejora del servicio con datos anonimizados
Obligación legal	Auditoría de DTEs emitidos (Ley tributaria chilena)

5. Cómo protegemos tus datos

Cifrado

Credenciales SII: AES-256-GCM, envelope encryption, DEK única por registro. PIN manual: NO se almacena, se descarta tras firmar. PIN automático: AES-256-GCM, opt-in explícito, revocable. Contraseña: bcrypt cost factor 12 (irreversible). Datos en tránsito: HTTPS (TLS 1.3). Datos en reposo: base de datos con conexiones SSL/TLS.

Control de acceso

Multi-tenancy aislada (verificado con tests automatizados cross-tenant). Roles de acceso (propietario/contador). Rate limiting y bloqueo tras intentos fallidos.

Auditoría

Log inmutable de emisión (usuario, IP, timestamp). Escaneo automático de vulnerabilidades en cada despliegue (Bandit, pip-audit, gitleaks).

Infraestructura

Servidores: Hetzner (UE), ISO 27001. Base de datos: PostgreSQL con SSL. Storage: Cloudflare R2 con cifrado en reposo. Backups: cada 6 horas, cifrados, 30 días de retención.

6. Terceros con acceso a datos

Tercero	Datos	Para qué
SII (Chile)	RUT, credenciales, DTEs	Emisión y consulta RCV
Resend	Email, nombre	Emails transaccionales
Procesador de pagos	Datos de pago (no almacenados por Timbra)	Cobro de suscripción
Cloudflare	IP, headers HTTP	CDN y seguridad
Hetzner	Datos cifrados en reposo	Hosting de servidores

NO compartimos datos con: anunciantes, brokers de datos, terceros comerciales.

7. Transferencia internacional de datos

Los servidores principales están en la Unión Europea (Hetzner, Alemania), con protección GDPR reconocida por la legislación chilena. El servicio de email (Resend) y CDN (Cloudflare) pueden procesar datos en Estados Unidos bajo cláusulas contractuales estándar.

8. Retención de datos

Dato	Período de retención
Cuenta (email, nombre)	Activa + 90 días post-cancelación
Credenciales SII	Activa. Eliminación inmediata al revocar.
PIN automático	Mientras la autorización esté activa. Eliminación inmediata al revocar.
Certificado .p12	Eliminable por el usuario en cualquier momento.
RCV / DTEs	Activa + 90 días post-cancelación
Log de auditoría	6 años (obligación tributaria legal)
Backups	30 días (rotación automática)

9. Tus derechos

Según la Ley 19.628 y la Ley 21.719 tienes derecho a:

Acceso: Copia de todos tus datos (plazo: 15 días hábiles).
Rectificación: Corrección de datos inexactos.
Supresión: Eliminación de tus datos (el log de auditoría se retiene 6 años por obligación legal).
Oposición: Al tratamiento basado en interés legítimo.
Portabilidad: Copia de tus datos en JSON/CSV (plazo: 15 días hábiles).
Revocación: Eliminar credenciales SII en cualquier momento desde la configuración.

Ejerce tus derechos escribiendo a hola@timbra.cl con tu nombre y email registrado.

10. Cookies

Usamos: sesión de autenticación (esencial), empresa seleccionada (esencial), preferencias de UI (funcional).

NO usamos: cookies de analytics (Google Analytics, Mixpanel), publicidad (Google Ads, Facebook Pixel) ni tracking de terceros.

11. Brechas de seguridad

En caso de brecha de seguridad que afecte datos personales, notificaremos a los usuarios afectados dentro de 72 horas y a la Agencia de Protección de Datos Personales según lo exige la Ley 21.719.

12. Menores de edad

Timbra no está dirigido a menores de 18 años. No recopilamos intencionalmente datos de menores.

13. Cambios a esta política

Esta política se publica actualizada en timbra.cl/privacidad. Los cambios sustanciales se notifican con 30 días de anticipación por email.

14. Contacto

Para consultas sobre privacidad o ejercicio de derechos: hola@timbra.cl — Comercial Ventisquero SpA, Concepción, Chile.

15. Legislación aplicable

Esta política se rige por la Ley 19.628 y la Ley 21.719 de la República de Chile. Cualquier disputa será sometida a los tribunales de Concepción.

Contacto: hola@timbra.cl

← Volver al inicio