Saltar al contenido principal

Política de Tratamiento de Datos

Para clientes que contratan el servicio SurGira

Última actualización: abril 2026

Cuando contratas SurGira para operar tu sistema de atención por WhatsApp, tratamos datos personales de tus propios clientes finales.

Esta política explica cómo usamos, almacenamos y protegemos esos datos y qué hacemos para ayudarte a cumplir la Ley 19.628 y la Ley 21.719 sobre Protección de Datos Personales.

1. Alcance y Roles

Responsable del tratamiento: tu empresa (el Cliente que contrata SurGira). Tú defines qué servicios prestas, qué mensajes envías y qué información pides a tus clientes.

Encargado del tratamiento: SurGira SpA — RUT 78.395.266-1. Nosotros operamos la infraestructura de atención (bot, automatizaciones, panel, base de datos) siguiendo tus instrucciones.

Esta política aplica a los datos que pasan por el sistema implementado por SurGira: WhatsApp Business API, Portal de Chat SurGira, automatizaciones internas, base de datos gestionada y panel SurGira.

Nota sobre roles: En la Política de Privacidad, SurGira actúa como Responsable del tratamiento de los datos recopilados a través de surgira.com. En esta Política, SurGira actúa como Encargado del tratamiento de los datos de tus clientes finales, que se procesan en tu sistema de atención. Tu empresa es el Responsable de esos datos.

2. Datos que Tratamos

2.1. De tus clientes finales (canal WhatsApp y otros conectados)

Dependiendo de cómo uses el sistema, podemos procesar:

Identificación básica

  • Nombre o alias (si se recoge)
  • Número de WhatsApp / teléfono
  • Correo electrónico (si se solicita en el flujo)

Datos de contacto y contexto comercial

  • Empresa, sucursal o ciudad (si se solicita)
  • Tipo de servicio o producto de interés
  • Motivo de contacto o categoría de consulta

Contenido de conversación

  • Mensajes de texto enviados y recibidos
  • Notas internas que escriba tu equipo en Portal de Chat SurGira
  • Respuestas del bot y del equipo humano
  • Archivos adjuntos (imágenes, audio, documentos) relacionados con la atención

Datos operativos

  • Fecha y hora de cada mensaje
  • Estado de la conversación (abierta, en espera, cerrada)
  • Canal de origen (WhatsApp, web, otro)
  • Agente asignado y cambios de estado

Datos de agenda o pedidos (si aplican)

  • Fecha/hora y tipo de cita
  • Servicio asociado a la cita
  • Estado del pedido o caso (en revisión, finalizado, etc.)

No necesitamos ni pedimos, por defecto, datos sensibles (salud, religión, orientación, menores, etc.). Si tu negocio opera en un rubro sensible, esa particularidad deberá quedar expresamente regulada en el contrato y en tus propias políticas hacia tus clientes.

3. Para Qué Usamos los Datos

Actuamos como encargado, usando los datos solo para las finalidades que tú defines al contratar el servicio. En términos generales:

Prestar el servicio de atención

  • Recibir mensajes por WhatsApp u otros canales conectados
  • Ejecutar el flujo del bot, clasificar motivos y rutas
  • Derivar casos al equipo humano en Portal de Chat SurGira

Ejecutar automatizaciones

  • Enviar recordatorios, mensajes de seguimiento o encuestas según tus reglas
  • Actualizar estados de pedidos, citas u otros registros

Registrar y mejorar la operación

  • Guardar el historial de conversaciones para trazabilidad
  • Calcular métricas operativas (volumen, tiempos, motivos frecuentes)
  • Detectar errores del sistema y corregirlos

Uso de IA en tu sistema

Podemos usar modelos de inteligencia artificial de proveedores reconocidos de la industria para tareas como:

  • Clasificar mensajes por intención o tema
  • Sugerir respuestas a tu equipo
  • Resumir conversaciones para reportes

En estos casos:

  • Usamos los modelos vía API empresarial, no en chats públicos
  • Configuramos los servicios para no usar los datos con fines de entrenamiento público
  • Buscamos reducir o anonimizar los datos cuando es posible
  • Las decisiones comerciales finales las toma tu equipo, no la IA

Auditorías de Calidad: Cuando el Cliente solicita una auditoría como servicio pagado, SurGira accede a datos operativos (conversaciones, métricas, tiempos) exclusivamente para evaluar la calidad de la atención. Este acceso nunca se realiza de forma unilateral. Requisito: mínimo 30 días activo en la plataforma.

IA en la plataforma: El bot inteligente utiliza IA para clasificar intenciones y responder a los clientes del Cliente. Los mensajes procesados se tratan con los mismos estándares de privacidad que el resto de los datos.

4. Dónde se Almacenan los Datos

La arquitectura estándar de SurGira usa la siguiente infraestructura (puede variar si se acuerda algo distinto contigo):

4.1. Mensajes y conversaciones

  • WhatsApp Business API (Meta): Punto de entrada de los mensajes. Meta procesa datos como responsable de la plataforma, bajo sus propios términos.
  • Portal de Chat SurGira (bandeja de atención): Plataforma propia de SurGira. Almacena conversaciones, notas internas, etiquetas y asignaciones de agentes.

4.2. Base de datos operativa

Base de datos gestionada: Usada como base principal para registro estructurado de mensajes, eventos, estados, métricas, configuración del sistema y paneles internos.

En proyectos específicos podemos, de común acuerdo, conectar una base gestionada por el Cliente o conectar otros servicios de datos (CRM, ERP, e-commerce, etc.).

No usamos Google Sheets ni Notion como base de datos principal del canal de WhatsApp. Se pueden utilizar solo como apoyo (importación/exportación, reportes ligeros).

4.3. Analítica y logs

  • Servicios de analítica web (por ejemplo, Google Analytics) con IP anonimizada
  • Logs técnicos en la infraestructura gestionada de SurGira (errores, performance, auditoría de flujos)

5. Quién Tiene Acceso

Aplicamos el principio de mínimo privilegio:

  • Personal técnico y de soporte de SurGira: solo en la medida necesaria para implementar o corregir el sistema, investigar incidencias y realizar tareas de mantención.
  • Tu equipo interno: agentes que atienden en Portal de Chat SurGira, personas con acceso al panel SurGira, a la base de datos o a sistemas integrados (CRM, e-commerce, etc.).
  • Proveedores externos: Meta (WhatsApp), proveedores de infraestructura, proveedores de IA, servicios de agenda y otros integrados. Todos ellos actúan como responsables o encargados de tratamiento según sus propios términos y contratos.

SurGira no vende datos personales, ni los usa para fines propios de marketing dirigidos a tus clientes finales.

6. Derechos de los Titulares de Datos

Tus clientes finales tienen los derechos reconocidos por la Ley 19.628 y la Ley 21.719 sobre Protección de Datos Personales:

  • Acceso a sus datos
  • Rectificación de datos inexactos
  • Cancelación o eliminación, salvo que exista una obligación legal de conservación, una relación contractual vigente o una necesidad legítima de defensa jurídica
  • Oposición a ciertos tratamientos
  • Portabilidad — solicitar una copia de sus datos en formato estructurado y de uso común (CSV, JSON), conforme al art. 9 de la Ley 21.719
  • No ser objeto de decisiones automatizadas que produzcan efectos jurídicos o significativos, sin intervención humana

Como Responsable, tú decides cómo recibir y contestar esas solicitudes (por ejemplo, correo corporativo o formulario).

SurGira te apoyará como Encargado cuando sea necesario, por ejemplo: extrayendo datos desde la base operativa, eliminando registros, o ajustando configuraciones del sistema.

Si un titular contacta directamente a SurGira por datos procesados en tu sistema, derivaremos la solicitud hacia ti y colaboraremos en la respuesta.

7. Medidas de Seguridad

A nivel de infraestructura y software, aplicamos, entre otras, las siguientes medidas:

  • Cifrado TLS 1.2 o superior en tránsito para paneles y APIs expuestas
  • Bases de datos gestionadas con cifrado en reposo y backups automáticos
  • Infraestructura gestionada con acceso restringido, autenticación robusta y actualizaciones periódicas
  • Segmentación de entornos (producción / pruebas) cuando corresponde
  • Políticas de contraseña robustas y, cuando sea posible, autenticación en dos pasos
  • Accesos por rol en Portal de Chat SurGira, paneles y otros sistemas
  • Monitoreo básico de disponibilidad y alertas ante fallas críticas

En caso de incidente de seguridad que afecte de forma relevante a tus datos o a los de tus clientes, te informaremos dentro de las 72 horas siguientes a que SurGira tome conocimiento del incidente, indicando: qué ocurrió, qué datos podrían estar afectados, qué medidas ya tomamos y qué acciones sugerimos.

8. Plazos de Conservación y Eliminación

Los plazos exactos se pueden ajustar en el contrato con cada Cliente, pero en general:

  • Conversaciones y registros operativos: se mantienen mientras el sistema esté activo y sean necesarios para trazabilidad de atención, con un horizonte típico de 12–24 meses en entornos productivos.
  • Logs técnicos de sistema: plazos cortos (por ejemplo, hasta 30 días), salvo que se requiera conservarlos para investigar un incidente.
  • Datos en backups: copias automáticas con retención limitada (por ejemplo, 7–30 días), tras lo cual los datos se sobrescriben.

Al terminar la relación contractual, podemos: desactivar accesos al sistema, eliminar datos de producción tras un plazo acordado, o mantener solo aquellos que deban conservarse por obligación legal o para defensa de eventuales acciones.

Si lo solicitas y estás al día en tus pagos, podremos entregarte un respaldo de tus datos en formatos estándar (CSV, JSON) antes de la eliminación.

9. Subencargados y Transferencias

SurGira puede trabajar con subencargados de tratamiento, como:

  • Proveedores de infraestructura y hosting
  • Servicios de base de datos gestionada
  • Herramientas de IA y analítica
  • Soluciones de correo transaccional

En todos los casos:

  • Procuramos que exista un contrato o términos que regulen el tratamiento de datos
  • Elegimos proveedores con estándares de seguridad adecuados
  • Limitamos los datos enviados a lo estrictamente necesario para cumplir la finalidad

Algunos de estos servicios pueden estar ubicados fuera de Chile. El uso de estos proveedores implica transferencias internacionales de datos bajo las salvaguardas contractuales y técnicas aplicables.

10. Cambios en Esta Política

Podemos actualizar esta Política de Tratamiento de Datos cuando:

  • Cambiemos de proveedores clave (por ejemplo, otra base de datos o bandeja de atención)
  • Incorporemos nuevas funcionalidades relevantes
  • Sea necesario por cambios legales

Cuando los cambios sean importantes, te lo informaremos por correo o a través de los canales de comunicación acordados, indicando la nueva fecha de actualización.

La versión vigente estará siempre disponible en nuestro sitio web en la sección legal correspondiente.

Contacto de Privacidad

Encargado del Tratamiento: SurGira SpA — RUT 78.395.266-1

Email de privacidad: privacidad@surgira.com

Domicilio: Andrés de Alcázar 356, Oficina 603, Edificio Alcázar, Rancagua, Región de O'Higgins, Chile

Para consultas generales: soporte@surgira.com