Alcance
Esta política describe cómo Notta (operado por Emisso SpA, RUT 78.434.693-5) recolecta, usa, almacena y protege datos personales bajo la Ley 21.719 de Datos Personales de Chile, vigente desde el 1 de diciembre de 2026.
Aplica a usuarios del servicio Notta (interfaz web, API REST, CLI, MCP). Las obligaciones de la Ley 21.719 aplican a todas las empresas, incluidas las MIPYME, desde su entrada en vigencia el 1 de diciembre de 2026; para las empresas de menor tamaño, durante los primeros 12 meses la Agencia podrá aplicar amonestación en lugar de multa, lo que difiere la sanción pecuniaria pero no las obligaciones. En Notta cumplimos la normativa desde el día uno.
Datos recolectados
De ti (usuario administrador):
- Email + contraseña (almacenada con hashing seguro gestionado por Supabase Auth; nunca accedemos a tu contraseña en claro).
- RUT, razón social, dirección y giro de tu organización.
- Certificado digital .p12 (cifrado AES-256-GCM, envelope encryption con KEK/DEK por organización).
- CAFs y DTEs emitidos (con datos del receptor).
- Audit log de cada acción (con actor y hash chain SHA-256).
De receptores (cuando emites un DTE):
- RUT, razón social, dirección + giro del receptor.
- Detalle de los ítems facturados (descripción, montos).
Base legal del tratamiento
Tratamos tus datos bajo las siguientes bases legales reconocidas por la Ley 21.719:
- Ejecución de contrato: firmar y enviar DTEs al SII en tu nombre, mantener tu cuenta operativa.
- Obligación legal: retener documentos tributarios por 6 años (Código Tributario) + mantener audit trail para fiscalización SII.
- Interés legítimo: seguridad del servicio, prevención de fraude, mejora del producto.
- Consentimiento: emails de marketing (opt-in expreso desde
/app/settings). Puedes retirar tu consentimiento en cualquier momento, sin que ello afecte la licitud del tratamiento realizado previamente (Art. 14 ter k).
Uso de los datos
Usamos tus datos exclusivamente para:
- Prestar el servicio (firmar DTEs, sincronizar con SII, calcular F29 propuesto).
- Procesar pagos vía MercadoPago.
- Enviar notificaciones operacionales (folios bajos, certificado por vencer, DTE rechazado).
- Cumplir obligaciones legales (retención SII 6 años).
- Soporte técnico (cuando contactes a contacto@tryemisso.com).
No vendemos ni rentamos tus datos a terceros. Ni siquiera consideramos hacerlo.
Retención
DTEs + audit log: 6 años desde la emisión, por requerimiento del SII (Código Tributario Art. 17). Aplica incluso si cierras tu cuenta.
Datos de cuenta (email, org, certificado): mientras tu cuenta esté activa + 30 días posteriores al cierre, para permitir reactivación accidental.
Logs operacionales (request logs, métricas): 90 días desde captura, para diagnóstico de incidentes.
Compartir con terceros
Compartimos datos con los siguientes encargados de tratamiento, todos contractualmente obligados a la confidencialidad:
- Supabase: infraestructura de base de datos + autenticación. Sirviendo desde us-east-1.
- Vercel: hosting del frontend + funciones serverless. Sirviendo desde us-east-1 (Estados Unidos).
- MercadoPago: procesamiento de pagos. Recibe email + razón social + montos, no recibe certificado ni DTEs.
- Resend: envío de emails transaccionales (notificaciones).
Además, los DTE firmados se transmiten al Servicio de Impuestos Internos (SII) como destinatario tributario por mandato legal; el SII no es un encargado de tratamiento de Notta.
Transferencia internacional
Algunos proveedores almacenan datos fuera de Chile (Supabase + Vercel — us-east-1; Resend — us-east-1). La Ley 21.719 permite transferencia a países con nivel adecuado de protección bajo contratos modelo. Mantenemos los contratos requeridos con cada encargado.
Si esto te preocupa, podemos discutir una región Chile-residente para tu organización en el plan Pro — contacta a contacto@tryemisso.com.
Derechos ARCOP
Tienes los siguientes derechos sobre tus datos personales bajo la Ley 21.719:
- Acceso: conocer qué datos tenemos sobre ti.
- Rectificación: corregir datos inexactos.
- Cancelación: eliminar tus datos (sujeto al plazo SII de 6 años para DTEs).
- Oposición: oponerte a tratamientos basados en interés legítimo.
- Portabilidad: recibir tus datos en formato JSON/XML estructurado.
- Bloqueo: solicitar la suspensión temporal del tratamiento mientras se resuelve una solicitud de rectificación o supresión. Atendemos las solicitudes de bloqueo dentro de 2 días hábiles (Art. 8 ter).
Para ejercer cualquiera escribe a contacto@tryemisso.com. Respondemos dentro de 30 días corridos, prorrogables una sola vez por 30 días corridos adicionales cuando la complejidad lo justifique (Art. 11). El ejercicio de estos derechos es gratuito (Art. 10).
Seguridad
Medidas técnicas + organizativas que aplicamos:
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256-GCM para certificados y claves tributarias, envelope encryption con KEK/DEK por organización; llave maestra gestionada fuera de la base de datos).
- RLS (Row-Level Security) en Postgres: cada org sólo ve sus propios datos. Defense-in-depth en cada repo.
- Audit log con hash chain SHA-256 — cualquier alteración de una fila pasada es detectable.
- API keys almacenadas sólo como hash SHA-256. Headers de seguridad HTTP (CSP, HSTS).
- Acceso de staff bajo privilegio mínimo, con revisión periódica de accesos.
- Rotación de llaves soportada por diseño (envelope encryption).
- Evaluaciones de seguridad de terceros planificadas antes de la disponibilidad general. Canal de reporte responsable de vulnerabilidades: contacto@tryemisso.com.
Notificación de brechas
Si detectamos una brecha de seguridad que comprometa tus datos personales, te notificaremos por email sin dilaciones indebidas tras tomar conocimiento de la brecha, y notificaremos a la Agencia de Protección de Datos Personales cuando corresponda (Ley 21.719, Art. 14 sexies).
El email incluirá: alcance de la brecha, datos afectados, acciones tomadas, recomendaciones para el usuario.
Menores de edad
Notta es un servicio B2B y no está dirigido a menores de 18 años. No recolectamos datos de menores conscientemente. Si descubres que un menor entregó datos, contáctanos y los eliminaremos.
Contacto + DPO
Para consultas de privacidad o ejercer derechos ARCOP:
- Encargado de Protección de Datos (DPO): contacto@tryemisso.com
- Soporte general: contacto@tryemisso.com
- Seguridad / divulgación responsable: contacto@tryemisso.com
Si no estás conforme con nuestra respuesta, puedes presentar un reclamo ante la Agencia de Protección de Datos.