Política de Privacidad

1. Responsable del tratamiento

LINDGREN SPA, RUT 77.729.478-4, domiciliada en Arlegui 263, Oficina 601, Viña del Mar, Chile, es responsable del tratamiento de los datos personales recopilados a través de la plataforma despacha.app.

Correo de contacto: hola@despacha.app

2. Datos que recopilamos

2.1. Datos del operador (usuario registrado):

• Correo electrónico
• Razón social y RUT de la empresa
• Giro comercial
• Dirección, comuna y ciudad de la empresa
• Preferencias de personalización (logo, colores, prefijo)

2.2. Datos de envíos (ingresados manualmente por el operador):

• Nombre del destinatario
• Dirección de entrega
• Teléfono del destinatario
• Correo electrónico del destinatario (opcional)
• Instrucciones de entrega
• Número de orden de compra o referencia

2.3. Datos de entrega (generados por la plataforma y repartidores):

• Coordenadas GPS de la ubicación de entrega
• Fotografía de la entrega
• RUT o identificación del receptor
• Tipo de entrega (cliente directo, familiar, conserjería, vecino)
• Fecha y hora de cada cambio de estado del envío

2.4. Datos de navegación y uso:

• Dirección IP
• Tipo de navegador y dispositivo
• Páginas visitadas dentro de la plataforma
• Datos recopilados por Google Analytics (G-K8D1BXM9L3)

2.5. Datos de locales de retiro en tienda (pickup): nombre del local, dirección, comuna y ciudad. Ingresados voluntariamente por el operador para habilitar la modalidad de retiro y mostrados al cliente final en las notificaciones de seguimiento.

2.6. Datos de cuentas de organización y tiendas hijas:

• Correo electrónico del administrador de organización
• Datos de las tiendas hijas vinculadas (nombre, correo, identificador de cuenta)
• Métricas de consumo por tienda hija (número de envíos y etiquetas generadas)
• Registro de invitaciones enviadas y aceptadas

2.7. Datos recibidos mediante integraciones: cuando el operador conecta su cuenta con WooCommerce, Shopify, Jumpseller, TiendaNube o usa la API REST, la plataforma puede recibir automáticamente nombre completo, dirección de entrega, teléfono, correo electrónico, número de pedido e instrucciones adicionales del cliente final. Estos datos se tratan exclusivamente para la creación del envío y el tracking al cliente final.

2.8. Datos de autenticación de integraciones: tokens OAuth (Jumpseller, TiendaNube), identificadores de webhook (Shopify, Jumpseller, TiendaNube) y API keys del operador. Ninguno de estos datos es dato personal de clientes finales.

3. Finalidad del tratamiento

Utilizamos los datos personales para:

• Proveer y operar el servicio de gestión logística
• Generar etiquetas de envío y tracking en tiempo real
• Importar automáticamente pedidos desde plataformas integradas o vía API REST
• Gestionar la modalidad de retiro en tienda, incluyendo notificaciones al cliente final
• Permitir al administrador de organización visualizar consolidadamente los envíos y métricas de las tiendas hijas
• Enviar notificaciones de tracking al cliente final por correo electrónico
• Emitir facturas electrónicas conforme a la normativa tributaria
• Enviar comunicaciones transaccionales (confirmaciones, avisos de cobro)
• Enviar comunicaciones comerciales sobre el servicio (pueden ser desactivadas)
• Mejorar la plataforma y cumplir con obligaciones legales

4. Base legal del tratamiento

El tratamiento de datos se fundamenta en:

• La ejecución del contrato de servicio entre despacha. y el operador
• El consentimiento del operador al crear su cuenta y aceptar estos términos
• El interés legítimo de despacha. en la mejora del servicio
• El cumplimiento de obligaciones legales y tributarias
• Respecto de los datos de clientes finales recibidos vía integraciones: la instrucción del operador en su calidad de responsable del tratamiento

5. Compartición de datos con terceros

despacha. comparte datos exclusivamente con los siguientes proveedores de servicios:

• Supabase Inc. (EE.UU.) — almacenamiento de base de datos y autenticación
• Vercel Inc. (EE.UU.) — hosting de la plataforma web
• Google LLC (EE.UU.) — Google Maps API y Google Analytics
• Resend Inc. (EE.UU.) — envío de correos transaccionales y notificaciones de tracking
• Flow SpA (Chile) — procesamiento de pagos y suscripciones
• Wasabil (Chile) — emisión de facturas electrónicas
• Crisp IM SARL (Francia) — chat de soporte (planes Growth y Pro); puede procesar correo y datos de sesión del operador
• Shopify Inc. (Canadá) — cuando el operador activa la integración, despacha. recibe datos de pedidos vía webhooks
• Automattic Inc. / WooCommerce (EE.UU.) — la integración opera mediante plugin en el servidor del operador; despacha. recibe datos de pedidos transmitidos por el propio servidor del operador
• Jumpseller (Chile) — cuando el operador activa la integración OAuth 2.0, despacha. recibe datos de pedidos vía webhooks
• Nuvemshop S.A. / TiendaNube (Argentina) — cuando el operador activa la integración OAuth 2.0, despacha. recibe datos de pedidos vía webhooks

despacha. NO vende, alquila ni comercializa datos personales con terceros para fines de marketing o publicidad.

6. Transferencia internacional de datos

Algunos proveedores se encuentran en Estados Unidos, Canadá y Francia. Estas transferencias se realizan con las garantías adecuadas conforme a la legislación chilena vigente y en cumplimiento con los estándares internacionales de protección de datos.

7. Seguridad de los datos

despacha. implementa las siguientes medidas de seguridad:

• Cifrado de datos en tránsito (HTTPS/TLS)
• Autenticación segura mediante Supabase Auth
• Acceso restringido a bases de datos con políticas Row Level Security (RLS)
• Verificación de webhooks mediante firmas HMAC-SHA256
• Almacenamiento seguro de tokens OAuth y API keys
• Backups automáticos de la base de datos
• Infraestructura alojada en proveedores con certificación SOC 2

7.1. Brecha de seguridad y notificación. En caso de brecha de seguridad que haya comprometido datos personales bajo su custodia, LINDGREN SPA: (a) adoptará medidas inmediatas para contener e investigar el incidente; (b) notificará a los operadores afectados en un plazo máximo de 72 horas hábiles desde la verificación del incidente; y (c) cumplirá con las obligaciones de notificación ante la autoridad competente.

7.2. Limitación por causas externas. despacha. no será responsable por brechas causadas por: vulnerabilidades en los sistemas propios del operador; incidentes en proveedores de infraestructura terceros; divulgación de credenciales por parte del operador; o ataques de phishing u otras técnicas dirigidas contra el operador.

7.3. Registros de auditoría. despacha. mantiene registros internos de acceso y actividad por un período mínimo de 6 meses, no compartidos con terceros salvo por mandato judicial o requerimiento de autoridad competente.

7.4. Obligación de notificación del operador. El operador tiene la obligación de notificar a despacha. en un plazo máximo de 24 horas si toma conocimiento de cualquier incidente que pueda haber comprometido sus credenciales. La notificación debe enviarse a hola@despacha.app.

8. Conservación de datos

• Datos de cuenta del operador: mientras la cuenta permanezca activa y hasta 6 meses después de su cancelación
• Datos de envíos, fotografías y GPS: mínimo 12 meses desde la fecha de cada envío
• Datos recibidos vía integraciones (webhooks, API): mínimo 12 meses
• Tokens OAuth y credenciales de integración: mientras la integración permanezca activa
• Datos de facturación: según normativa tributaria chilena (mínimo 6 años)
• Datos de navegación y analytics: según las políticas de retención de Google Analytics
• Registros de auditoría y actividad: mínimo 6 meses

9. Derechos del titular de datos

Conforme a la Ley 19.628 y la Ley 21.719, el titular tiene derecho a: Acceder, Rectificar, Eliminar, Oponerse, Portabilidad y Bloqueo de sus datos. Para ejercerlos, enviar un correo a hola@despacha.app. La solicitud será respondida gratuitamente en un plazo máximo de 15 días hábiles.

9.1. Sin perjuicio de lo anterior, el titular tiene derecho a reclamar ante la Agencia de Protección de Datos Personales (conforme a la Ley 21.719) o ante el SERNAC.

Nota para clientes finales: Si usted es cliente final de una tienda que usa despacha. y desea ejercer derechos sobre sus datos, diríjase en primer lugar a la tienda que realizó el envío, ya que ésta actúa como responsable del tratamiento.

10. Cookies y tecnologías de seguimiento

10.1. despacha.app utiliza cookies técnicas necesarias para el funcionamiento de la plataforma (sesión de usuario, preferencias de idioma).

10.2. Se utilizan cookies de análisis de terceros (Google Analytics) para comprender el uso del sitio y mejorar la experiencia.

10.3. El widget de tracking embebible puede utilizar cookies de sesión para el funcionamiento del seguimiento.

10.4. El chat de soporte (Crisp), disponible en planes Growth y Pro, puede utilizar cookies propias para identificar la sesión de soporte.

10.5. El usuario puede configurar su navegador para bloquear o eliminar cookies, aunque esto podría afectar el funcionamiento de la plataforma.

11. Datos de clientes finales

11.1. Los datos de destinatarios (clientes finales de las tiendas) son ingresados por el operador —manualmente, mediante carga masiva o via integración— y tratados bajo responsabilidad del operador.

11.2. despacha. actúa como encargado del tratamiento respecto de estos datos, procesándolos exclusivamente para la creación del envío, generación de etiquetas, tracking y notificación al cliente final.

11.3. El operador es responsable de contar con la base legal necesaria para compartir los datos de sus clientes finales con despacha.

11.4. despacha. utiliza el correo electrónico del cliente final exclusivamente para enviar notificaciones de tracking. En ningún caso se usará para comunicaciones comerciales propias de despacha.

11.5. El operador es el único responsable de informar a sus clientes finales, en su propia política de privacidad, que sus datos serán tratados por despacha. como parte del proceso logístico.

11.6. El operador es el único responsable de contar con una política de privacidad propia, obtener los consentimientos necesarios, responder directamente ante sus clientes finales y mantener la seguridad de sus propias credenciales de acceso.

11.7. El operador se obliga a indemnizar a LINDGREN SPA frente a cualquier reclamación, multa o daño derivado del incumplimiento de sus obligaciones en materia de protección de datos de clientes finales.

12. Integraciones con plataformas de terceros y API

12.1. Al activar una integración, el operador asume la calidad de responsable del tratamiento de los datos personales de sus clientes finales transmitidos a despacha., y despacha. actúa exclusivamente como encargado del tratamiento por instrucción del operador.

12.2. El operador es responsable de: (a) contar con base legal suficiente para la transferencia de datos; (b) haber incluido en su política de privacidad información sobre el uso de proveedores logísticos; y (c) responder directamente ante sus clientes finales por el ejercicio de sus derechos.

12.3. Los datos recibidos vía webhooks o API REST son tratados con las mismas medidas de seguridad, plazos de conservación y garantías descritos en esta Política.

12.4. Tokens OAuth (Jumpseller y TiendaNube): despacha. almacena de forma segura los tokens OAuth necesarios para mantener activas las integraciones. El operador puede revocar el acceso en cualquier momento desde su cuenta de Jumpseller o TiendaNube según corresponda.

12.5. API key: La API key es tratada con medidas de seguridad equivalentes a una contraseña. despacha. no la comparte con terceros. En caso de sospecha de compromiso, contactar a hola@despacha.app.

13. Cuentas de organización y visibilidad de datos

13.1. Cuando una tienda opera como tienda hija, el administrador de la organización tiene acceso de solo lectura a los datos de envíos creados por ella, incluyendo nombre del destinatario, dirección de entrega, estado del envío y métricas de consumo de etiquetas.

13.2. Las tiendas hijas son informadas de esta visibilidad mediante un aviso visible en su panel de control desde el momento de su vinculación.

13.3. El administrador de organización actúa como corresponsable del tratamiento respecto de los datos de envíos de las tiendas hijas a los que accede. Al contratar un plan de organización, el administrador declara contar con la base legal necesaria y se compromete a no utilizar dichos datos para fines distintos a la gestión logística.

13.4. Cuando una tienda hija se desvincula, el administrador pierde el acceso a los nuevos datos de dicha tienda. Los datos históricos anteriores a la desvinculación se conservan conforme a los plazos de la sección 8.

13.5. Los datos de locales de retiro en tienda son visibles al cliente final únicamente a través de las notificaciones de seguimiento y la página de tracking.

13.6. Obligaciones del administrador como corresponsable. El administrador se obliga a: (a) acceder a los datos exclusivamente para fines de gestión logística; (b) no extraer, copiar ni distribuir los datos de las tiendas hijas a terceros no autorizados; (c) informar a las tiendas hijas sobre el alcance del acceso; y (d) cumplir con cualquier requerimiento de autoridad competente relacionado con el tratamiento de dichos datos.

13.7. Si despacha. detecta indicios fundados de que el administrador está accediendo a datos de sus tiendas hijas en contravención a las obligaciones anteriores, podrá suspender preventivamente el acceso consolidado del administrador hasta la resolución de la investigación.

14. Responsabilidad de despacha. en materia de privacidad

14.1. LINDGREN SPA adopta medidas razonables conforme a estándares de la industria SaaS para proteger los datos personales bajo su custodia. Sin embargo, ningún sistema de seguridad es infalible.

14.2. En ningún caso la responsabilidad total y agregada de LINDGREN SPA en materia de protección de datos excederá el monto efectivamente pagado por el operador durante los 12 meses anteriores al incidente. Esta limitación es aplicable en la máxima medida permitida por la legislación chilena vigente.

14.3. despacha. no es responsable por: (a) el tratamiento que el operador realice de los datos de sus propios clientes fuera de la plataforma; (b) la seguridad de los sistemas propios del operador; (c) el contenido, exactitud o legalidad de los datos ingresados por el operador; o (d) el incumplimiento del operador de sus propias obligaciones en materia de privacidad.

14.4. El operador declara y garantiza que toda la información personal de clientes finales que ingrese o transmita a despacha. ha sido obtenida lícitamente y con la base legal correspondiente.

14.5. Decisiones automatizadas. despacha. no toma decisiones automatizadas con efectos jurídicos significativos sobre personas naturales. Algunas funciones (como la programación automática de correos de tracking) implican automatización técnica, pero no constituyen perfilado ni decisiones automatizadas en sentido jurídico.

15. Menores de edad

despacha. no recopila intencionalmente datos de menores de 18 años. La plataforma está dirigida exclusivamente a empresas y personas mayores de edad.

16. Modificaciones a esta política

despacha. se reserva el derecho de modificar esta Política de Privacidad. Los cambios serán comunicados por correo electrónico a los usuarios registrados con al menos 15 días de anticipación. El uso continuado de la plataforma tras la entrada en vigencia de los cambios constituye aceptación de la nueva política.

17. Ley aplicable

Esta Política de Privacidad se rige por la legislación de la República de Chile, en particular la Ley 19.628 y la Ley 21.719 sobre Protección de Datos Personales. Cualquier controversia será sometida a los tribunales ordinarios de justicia de Viña del Mar, Chile.

18. Contacto

Para consultas o ejercicio de derechos sobre datos personales: hola@despacha.app

LINDGREN SPA
RUT 77.729.478-4
Arlegui 263, Oficina 601
Viña del Mar, Chile