Legal

Política de privacidad

Vigente desde
2026-05-20
Última actualización
2026-06-24
Versión
1.2
1.

Alcance

Esta política describe cómo Notta (operado por Emisso SpA, RUT 78.434.693-5) recolecta, usa, almacena y protege datos personales bajo la Ley 21.719 de Datos Personales de Chile, vigente desde el 1 de diciembre de 2026.

Aplica a usuarios del servicio Notta (interfaz web, API REST, CLI, MCP). Las obligaciones de la Ley 21.719 aplican a todas las empresas, incluidas las MIPYME, desde su entrada en vigencia el 1 de diciembre de 2026; para las empresas de menor tamaño, durante los primeros 12 meses la Agencia podrá aplicar amonestación en lugar de multa, lo que difiere la sanción pecuniaria pero no las obligaciones. En Notta cumplimos la normativa desde el día uno.

2.

Datos recolectados

De ti (usuario administrador):

  • Email + contraseña (almacenada con hashing seguro gestionado por Supabase Auth; nunca accedemos a tu contraseña en claro).
  • RUT, razón social, dirección y giro de tu organización.
  • Certificado digital .p12 (cifrado AES-256-GCM, envelope encryption con KEK/DEK por organización).
  • CAFs y DTEs emitidos (con datos del receptor).
  • Audit log de cada acción (con actor y hash chain SHA-256).

De receptores (cuando emites un DTE):

  • RUT, razón social, dirección + giro del receptor.
  • Detalle de los ítems facturados (descripción, montos).
4.

Uso de los datos

Usamos tus datos exclusivamente para:

  • Prestar el servicio (firmar DTEs, sincronizar con SII, calcular F29 propuesto).
  • Procesar pagos vía MercadoPago.
  • Enviar notificaciones operacionales (folios bajos, certificado por vencer, DTE rechazado).
  • Cumplir obligaciones legales (retención SII 6 años).
  • Soporte técnico (cuando contactes a contacto@tryemisso.com).

No vendemos ni rentamos tus datos a terceros. Ni siquiera consideramos hacerlo.

5.

Retención

DTEs + audit log: 6 años desde la emisión, por requerimiento del SII (Código Tributario Art. 17). Aplica incluso si cierras tu cuenta.

Datos de cuenta (email, org, certificado): mientras tu cuenta esté activa + 30 días posteriores al cierre, para permitir reactivación accidental.

Logs operacionales (request logs, métricas): 90 días desde captura, para diagnóstico de incidentes.

6.

Compartir con terceros

Compartimos datos con los siguientes encargados de tratamiento, todos contractualmente obligados a la confidencialidad:

  • Supabase: infraestructura de base de datos + autenticación. Sirviendo desde us-east-1.
  • Vercel: hosting del frontend + funciones serverless. Sirviendo desde us-east-1 (Estados Unidos).
  • MercadoPago: procesamiento de pagos. Recibe email + razón social + montos, no recibe certificado ni DTEs.
  • Resend: envío de emails transaccionales (notificaciones).

Además, los DTE firmados se transmiten al Servicio de Impuestos Internos (SII) como destinatario tributario por mandato legal; el SII no es un encargado de tratamiento de Notta.

7.

Transferencia internacional

Algunos proveedores almacenan datos fuera de Chile (Supabase + Vercel — us-east-1; Resend — us-east-1). La Ley 21.719 permite transferencia a países con nivel adecuado de protección bajo contratos modelo. Mantenemos los contratos requeridos con cada encargado.

Si esto te preocupa, podemos discutir una región Chile-residente para tu organización en el plan Pro — contacta a contacto@tryemisso.com.

8.

Derechos ARCOP

Tienes los siguientes derechos sobre tus datos personales bajo la Ley 21.719:

  • Acceso: conocer qué datos tenemos sobre ti.
  • Rectificación: corregir datos inexactos.
  • Cancelación: eliminar tus datos (sujeto al plazo SII de 6 años para DTEs).
  • Oposición: oponerte a tratamientos basados en interés legítimo.
  • Portabilidad: recibir tus datos en formato JSON/XML estructurado.
  • Bloqueo: solicitar la suspensión temporal del tratamiento mientras se resuelve una solicitud de rectificación o supresión. Atendemos las solicitudes de bloqueo dentro de 2 días hábiles (Art. 8 ter).

Para ejercer cualquiera escribe a contacto@tryemisso.com. Respondemos dentro de 30 días corridos, prorrogables una sola vez por 30 días corridos adicionales cuando la complejidad lo justifique (Art. 11). El ejercicio de estos derechos es gratuito (Art. 10).

9.

Seguridad

Medidas técnicas + organizativas que aplicamos:

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256-GCM para certificados y claves tributarias, envelope encryption con KEK/DEK por organización; llave maestra gestionada fuera de la base de datos).
  • RLS (Row-Level Security) en Postgres: cada org sólo ve sus propios datos. Defense-in-depth en cada repo.
  • Audit log con hash chain SHA-256 — cualquier alteración de una fila pasada es detectable.
  • API keys almacenadas sólo como hash SHA-256. Headers de seguridad HTTP (CSP, HSTS).
  • Acceso de staff bajo privilegio mínimo, con revisión periódica de accesos.
  • Rotación de llaves soportada por diseño (envelope encryption).
  • Evaluaciones de seguridad de terceros planificadas antes de la disponibilidad general. Canal de reporte responsable de vulnerabilidades: contacto@tryemisso.com.
10.

Notificación de brechas

Si detectamos una brecha de seguridad que comprometa tus datos personales, te notificaremos por email sin dilaciones indebidas tras tomar conocimiento de la brecha, y notificaremos a la Agencia de Protección de Datos Personales cuando corresponda (Ley 21.719, Art. 14 sexies).

El email incluirá: alcance de la brecha, datos afectados, acciones tomadas, recomendaciones para el usuario.

11.

Cookies + analytics

Usamos cookies estrictamente necesarias para el funcionamiento del servicio (sesión, CSRF, preferencias). No usamos cookies de tracking publicitario.

Para métricas anonimizadas usamos Vercel Web Analytics — sin cookies, sin datos de sesión, agregación a nivel de país/dispositivo.

12.

Menores de edad

Notta es un servicio B2B y no está dirigido a menores de 18 años. No recolectamos datos de menores conscientemente. Si descubres que un menor entregó datos, contáctanos y los eliminaremos.

13.

Contacto + DPO

Para consultas de privacidad o ejercer derechos ARCOP:

Si no estás conforme con nuestra respuesta, puedes presentar un reclamo ante la Agencia de Protección de Datos.