Política de Privacidad
Esta política describe cómo RVRSE recopila, usa y protege tus datos personales. El anonimato por diseño es un principio fundamental de nuestra plataforma.
1. Responsable del Tratamiento
RVRSE SpA (en constitución), con domicilio en Santiago de Chile, es el responsable del tratamiento de los datos personales de los usuarios de la Plataforma, en los términos de la Ley N° 19.628 (Protección de la Vida Privada), vigente, y la Ley N° 21.719 (Protección de Datos Personales), cuya vigencia efectiva es el 1 de diciembre de 2026, para la cual RVRSE se prepara desde hoy en aplicación del principio de responsabilidad proactiva (accountability).
Delegado de Protección de Datos (DPO): dpo@rvrse.cl
2. Datos Personales que Recopilamos
RVRSE recopila únicamente los datos necesarios para prestar el servicio y cumplir con las obligaciones legales aplicables (principio de minimización, artículo 14 d Ley N° 21.719):
2.1 Datos de registro:
- Correo electrónico (identificador de cuenta)
- Número de teléfono (para verificación OTP)
- Contraseña (almacenada con hash, no en texto claro)
2.2 Datos KYC (solo para vendedores):
- Documento de identidad (RUT/cédula de identidad): número almacenado en hash, no en texto claro
- Datos biométricos procesados por Veriff OÜ (eliminados por Veriff en 30 días)
- Resultado del proceso KYC (aprobado/rechazado, timestamp, nivel de riesgo) — retenido 6 años por RVRSE
2.3 Datos bancarios y financieros (solo para vendedores):
- Número de cuenta bancaria o CBU/CLABE para retiros (almacenado en hash para comparaciones de detección de fraude; la versión para retiro está cifrada)
2.4 Datos de transacciones:
- Historial de compras y ventas (con pseudónimos, no datos identificativos de la contraparte)
- Montos, fechas, estados de transacción
- Registros de disputas y resoluciones
2.5 Datos técnicos de sesión:
- Dirección IP
- User agent (navegador y sistema operativo)
- Huella digital del dispositivo (hash no reversible)
- Timestamps de sesiones
2.6 Datos de aceptación de T&C:
- Registro de aceptación (user_id, timestamp, versión del documento, IP, acción realizada)
2.7 Datos de perfil voluntarios:
- Cuestionario de estilo (solo vendedores Premium que eligen completarlo)
- Bio escrita por el usuario (solo vendedores Premium)
3. Base Legal para el Tratamiento
Cada tratamiento de datos se sustenta en una de las siguientes bases legales (artículo 13, Ley N° 21.719; artículos 4 y 9, Ley N° 19.628):
| Dato | Base legal |
|---|---|
| Datos de registro | Consentimiento (Art. 13 a Ley 21.719) |
| Datos KYC biométricos | Consentimiento explícito para datos sensibles (Art. 16 ter Ley 21.719) |
| Resultado KYC retenido por AML | Obligación legal (Ley 19.913, UAF) |
| Datos de transacciones y disputas | Cumplimiento contractual (Art. 13 b Ley 21.719) |
| Registros de aceptación de T&C | Obligación legal (Ley 19.496 Art. 12 A; Ley 21.719 Art. 14) |
| Datos técnicos de sesión y AML | Obligación legal + Interés legítimo (Art. 13 f Ley 21.719) |
| Datos de perfil voluntarios | Consentimiento explícito vía T&C del usuario |
| Notificación al vendedor en disputas | Cumplimiento contractual (Art. 13 b Ley 21.719; Art. 2116 CC) |
4. KYC — Tratamiento de Datos Biométricos
Proveedor KYC: Veriff OÜ
Narva mnt 7a, 10117 Tallin, Estonia — Registro N° 12932944
Veriff actúa como encargado del tratamiento bajo instrucciones de RVRSE. Los datos biométricos (imágenes de documentos y selfies) son utilizados exclusivamente para la verificación de identidad y la detección de fraude.
Eliminación de biometría cruda: dentro de los 30 días calendario siguientes a la finalización del proceso KYC, conforme a la condición contractual expresa pactada con RVRSE. Veriff no utiliza estos datos para entrenamiento de modelos de inteligencia artificial propios sin consentimiento adicional.
4.4 El resultado del KYC (sin biometría cruda) es retenido por RVRSE durante el tiempo exigido por la normativa AML/KYC (mínimo 6 años desde la verificación, Ley N° 19.913), con extensión indefinida ante la existencia de un Reporte de Operación Sospechosa (ROS) hasta la resolución definitiva del procedimiento.
4.5 La transferencia de datos de Chile (RVRSE) hacia Estonia (Veriff) está amparada en los mecanismos de transferencia internacional previstos en el Título IV de la Ley N° 21.719, mediante las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914), que constituyen garantía suficiente de protección equivalente para los datos de titulares chilenos.
5. Plazos de Retención de Datos
| Categoría de dato | Plazo de retención |
|---|---|
| Datos de registro (cuenta activa) | Duración de la cuenta |
| Datos de registro (cuenta cancelada) | 5 años (Art. 2515 CC) |
| Datos biométricos (en poder de Veriff) | 30 días desde la verificación |
| Resultado KYC (en poder de RVRSE) | Mínimo 6 años (Ley 19.913 / UAF) |
| Registros de aceptación de T&C | Mínimo 5 años (Art. 2515 CC) |
| Historial de transacciones | 6 años (Ley 19.913 / plazos AML) |
| Registros de disputas | 5 años (Art. 2515 CC) |
| Registros de operaciones sospechosas | 6 años mínimo, extendible ante ROS |
| Datos técnicos de sesión (logs) | 12 meses |
| Datos de perfil voluntario (vendedor) | Hasta cancelación de cuenta o revocación |
6. Anonimato y Seudonimización — Identidad Double-Blind
6.1 RVRSE opera con una arquitectura de identidad pseudónima por diseño: las partes de cada transacción se identifican mutuamente únicamente mediante los alias COMP-XXXX (compradores) y VEND-XXXX (vendedores). Los datos identificativos reales de cada parte son desconocidos para la contraparte.
6.2 Esta arquitectura es compatible con el principio de pseudonimización establecido en el artículo 2 de la Ley N° 21.719 y constituye una medida de privacidad por diseño (privacy by design).
6.3 En ninguna circunstancia RVRSE revela a la contraparte en una transacción el nombre real, correo, teléfono, domicilio, datos bancarios, RUT/DNI o cualquier otro dato identificativo de la otra parte, salvo mandato legal expreso de autoridad competente.
7. Comunicación de Datos a Terceros
7.1 RVRSE no comercializa los datos personales de sus usuarios con terceros.
7.2 RVRSE puede compartir datos con terceros en los siguientes casos y únicamente en la medida estrictamente necesaria:
- Encargados del tratamiento: Veriff OÜ (KYC), proveedores de infraestructura cloud (bajo acuerdos DPA), pasarelas de pago autorizadas. Todos bajo obligaciones contractuales equivalentes a estas políticas.
- Autoridades competentes: UAF (Ley N° 19.913), SERNAC, Ministerio Público, o cualquier otra autoridad pública que lo requiera mediante mandato legal o judicial.
- Contraparte en disputas: Únicamente el identificador pseudónimo (COMP-XXXX u ORDEN_ID) y la categoría estandarizada del motivo de disputa. Nunca datos identificativos reales.
8. Derechos de los Titulares (Derechos ARCO+)
Conforme a la Ley N° 21.719 y la Ley N° 19.628, el usuario tiene los siguientes derechos sobre sus datos personales:
- Acceso: Conocer qué datos personales trata RVRSE sobre el usuario.
- Rectificación: Corregir datos inexactos o incompletos.
- Cancelación/Supresión: Solicitar la eliminación de datos cuando ya no sean necesarios para la finalidad para la que fueron recabados, salvo que exista obligación legal de conservarlos.
- Oposición: Oponerse al tratamiento de datos en los casos previstos por ley.
- Portabilidad: Recibir los datos en formato estructurado, legible por máquina e interoperable.
- Olvido: Solicitar la supresión de datos en los casos previstos por la Ley N° 21.719.
Para ejercer estos derechos, el usuario debe enviar una solicitud escrita a dpo@rvrse.cl, identificándose adecuadamente. RVRSE responderá dentro del plazo establecido por la ley.
Excepción: RVRSE no podrá suprimir datos cuya conservación sea obligatoria por mandato legal (datos KYC por plazos AML, registros de operaciones sospechosas, registros de aceptación de T&C).
10. Seguridad de los Datos
10.1 RVRSE implementa medidas técnicas y organizativas para garantizar la seguridad, integridad y confidencialidad de los datos personales, incluyendo: cifrado en tránsito (TLS), cifrado en reposo (AES-256) para datos sensibles, control de acceso basado en roles, y registros de auditoría inmutables.
10.2 En caso de brecha de seguridad que afecte datos personales de los usuarios, RVRSE notificará a los afectados y a la autoridad competente dentro de los plazos establecidos por la Ley N° 21.719 (artículo 49): 72 horas para la notificación a la autoridad; sin demora indebida para la notificación a los titulares cuando la brecha suponga un alto riesgo para sus derechos.
11. Menores de Edad
11.1 La Plataforma RVRSE está estrictamente prohibida para menores de 18 años. RVRSE no recopila conscientemente datos de menores. Si RVRSE detecta que un usuario es menor de edad, su cuenta será cancelada y sus datos eliminados de forma inmediata.
11.2 Los representantes legales de menores que crean que sus datos han sido recopilados sin autorización pueden solicitar su eliminación inmediata a través de dpo@rvrse.cl.
12. Modificaciones a la Política de Privacidad
12.1 RVRSE puede modificar esta Política de Privacidad para reflejar cambios legales, operacionales o de servicios. Las modificaciones materiales serán notificadas a los usuarios con al menos 15 días de anticipación a su entrada en vigor.
12.2 Si las modificaciones requieren un nuevo consentimiento (por ejemplo, para un tratamiento nuevo no previsto en la versión anterior), RVRSE solicitará dicho consentimiento de forma expresa antes de aplicar el nuevo tratamiento.
13. Ley Aplicable y Autoridad de Control
13.1 Esta Política de Privacidad se rige por la ley de la República de Chile, en particular la Ley N° 19.628 y la Ley N° 21.719.
13.2 El usuario tiene derecho a presentar reclamaciones ante el SERNAC (www.sernac.cl) y, a partir de la entrada en plena operación de la Agencia Nacional de Protección de Datos (ANDP), ante dicha autoridad.
13.3 El Consejo para la Transparencia (CPLT) actúa como autoridad de control transitoria en materia de protección de datos personales mientras la ANDP no esté plenamente operativa.
14. Contacto — Delegado de Protección de Datos
Para consultas sobre el tratamiento de datos personales o para ejercer sus derechos ARCO+:
DPO — RVRSE: dpo@rvrse.cl
RVRSE responderá a su solicitud en el plazo establecido por la legislación chilena aplicable.