Documento legal · Privacy-first

Política de Cookies y Almacenamiento Local

Vigente desde: 2026-05-09 · Última actualización: 2026-06-12

Resumen ejecutivo (TL;DR): NormaCode NO usa cookies de tracking. Solo usamos localStorage técnico necesario para que el producto funcione (mantener tu sesión, recordar votos del roadmap, evitar duplicados). Sin Google Analytics, sin Facebook Pixel, sin terceros. Sin fingerprinting digital.

1. ¿Qué son cookies y qué es localStorage?

Las cookies son pequeños archivos que un sitio web guarda en tu navegador. El localStorage es un almacenamiento técnico moderno que vive en tu propio dispositivo y nunca se transmite automáticamente al servidor con cada request (a diferencia de las cookies). NormaCode prefiere localStorage por privacidad.

2. Lo que NormaCode NO hace

❌ NO usa cookies de tracking publicitario.
❌ NO carga Google Analytics, GA4, Facebook Pixel, ni similares.
❌ NO usa fingerprinting digital.
❌ NO comparte datos con redes publicitarias.
⚠️ Microsoft Clarity (análisis de UX opt-in) carga cookies de Microsoft SOLO si aceptas "telemetría anónima" en el banner de cookies. Detalle en §7 abajo.

3. Almacenamiento técnico que SÍ usamos (localStorage)

Clave	Propósito	Vida útil
`nc_session_id`	UUID anónimo para analytics privacy-first (no PII)	Persistente hasta limpiar navegador
`nc_roadmap_votes`	Lista de features que ya votaste (evita duplicados UX)	Persistente
`nc_token` / `climalab_token`	Token JWT autenticación (solo si tienes cuenta)	Hasta logout o expiración JWT
`nc_onboarding_v3_completed`	Flag para no mostrarte el onboarding 5-pasos otra vez	Persistente
`nc_analytics_queue`	Queue de eventos analytics si la red falla (max 50, FIFO)	Hasta flush exitoso
`nc_anon_id`	Identificador aleatorio anónimo para la telemetría first-party del funnel (no PII; el servidor solo guarda su hash SHA-256 irreversible). Ver §6.	Persistente hasta limpiar navegador
`nc_first_touch` / `nc_last_touch` / `nc_first_referrer`	Atribución de marketing (UTM de la primera y última visita + referrer). Solo se escribe si llegas con parámetros UTM. Sin PII.	Persistente
`nc_cookies_consent` (+ `_ts` / `_version`)	Recuerda tu elección en el banner ("Solo esenciales" / "Aceptar telemetría anónima") para no volver a preguntarte.	Persistente hasta resetear el banner

4. Cookies HTTP que NormaCode SÍ utiliza

Solo cookies estrictamente técnicas, sin alternativa viable:

Cookie	Origen	Propósito	Tipo
`__cf_bm` / `cf_clearance`	Cloudflare	Protección anti-bot + CDN	Estrictamente necesaria
Cookies Firebase Auth (si aplica)	Google Firebase	Sesión autenticada	Estrictamente necesaria

4.bis Microsoft Clarity (analítica UX opcional, opt-in Ley 21.719)

Pase 60.15 (2026-06-17): NormaCode activó Microsoft Clarity para análisis de UX (heatmaps + grabaciones de sesión anonimizadas) solo bajo consentimiento expreso del usuario. El script no se carga si elegiste "Solo esenciales" en el banner de cookies. Cumple Art. 12 letra a) Ley 21.719 (consentimiento previo, libre, específico, informado).

Cuando aceptas "telemetría anónima" en el banner, se activa Microsoft Clarity, una herramienta de análisis de UX que graba clicks, scrolls y trayectorias de pantalla con todos los campos sensibles enmascarados por defecto (contraseñas, emails, datos PII en formularios). Clarity carga las siguientes cookies/identificadores:

Cookie	Dominio	Propósito	Vida útil
`_clck`	normacode.cl (first-party)	ID de usuario Clarity (heatmap aggregation)	1 año
`_clsk`	normacode.cl (first-party)	ID de sesión Clarity (recordings linking)	1 día
`CLID`	www.clarity.ms (third-party)	Identificador persistente Clarity (cross-domain)	1 año
`ANONCHK`	c.bing.com (third-party)	Verificación de sesión anónima Microsoft	10 min
`MR`	c.bing.com	Indicador de refresh del MUID	7 días
`MUID`	bing.com / clarity.ms	ID anónimo Microsoft compartido entre servicios	1 año
`SM`	c.bing.com	Sincronización MUID entre dominios Microsoft	Sesión

Datos que Clarity captura: clicks, scrolls, movimientos del mouse, tipeos enmascarados, navegación entre páginas, viewport, país (sin IP plaintext — Clarity trunca IP por defecto), referrer. NO captura: contraseñas, contenido de inputs sensibles, datos de tarjetas de crédito (mascarado automático), formularios marcados con data-clarity-mask.

Cómo opt-out: abre el banner de cookies (resetea localStorage nc_cookies_consent desde DevTools) y elige "Solo esenciales". Clarity dejará de cargarse en tu próxima visita. Alternativa: bloquear *.clarity.ms y *.bing.com en tu navegador / adblock.

Microsoft Privacy Statement: www.microsoft.com/privacy/privacystatement. Información sobre cómo Microsoft procesa los datos capturados por Clarity.

Estas cookies son esenciales para que el sitio funcione (protección DDoS, sesión segura). No requieren consentimiento bajo Ley 21.719 al ser cookies estrictamente técnicas.

5. Cómo gestionar tu privacidad

Puedes borrar localStorage en cualquier momento desde DevTools del navegador (F12 → Application → Local Storage).
Borrar localStorage solo afecta tu próxima visita (te volverá a aparecer onboarding, votos roadmap se resetean).
Bloquear cookies de Cloudflare puede romper el acceso al sitio (es defensa anti-DDoS).
Para ejercer derechos ARCO sobre datos almacenados en backend, ir a /arco.

6. Tracking analytics + telemetría first-party (privacy-first)

NormaCode no usa Google Analytics (apagado a propósito). En su lugar opera telemetría propia first-party sin terceros, alojada en Cloud Run + Firestore (Google Cloud, región Santiago):

Capturamos: tipo de evento (vista de página, click de CTA, progreso de formulario), página, referrer, e identificador anónimo de localStorage (nc_session_id / nc_anon_id).
NO capturamos: nombre, email, teléfono, IP en plaintext, User-Agent en plaintext.
IP, User-Agent y anon_id se hashean SHA-256 truncado a 16 chars server-side (no PII reversible).
Sin cookies, sin pixels de terceros, sin fingerprinting.
Auto-cleanup 90 días vía Firestore TTL.

Esto cumple con Ley 21.719 (vigente 1-dic-2026) sin requerir consentimiento explícito por ser interés legítimo (mejora del servicio + seguridad), pero respetamos tu opción de no participar. Detalle de la base de licitud y retención en /privacidad §3.1.

7. Cómo opt-out de la telemetría

Tienes dos formas, ambas funcionales hoy y respetadas en todo el sitio:

Banner de cookies: elige "Solo esenciales". Desactiva por completo el envío de telemetría first-party (se guarda tu elección en nc_cookies_consent).
Do Not Track: si activas la señal "No rastrear" (Do Not Track) en tu navegador, la telemetría queda desactivada automáticamente.

En cualquiera de los dos casos seguimos usando únicamente el almacenamiento técnico esencial (sesión, anti-duplicados). Sin captura de PII en ningún escenario.

8. Modificaciones

Cualquier cambio a esta Política se publicará en https://normacode.cl/cookies con commit fechado.

9. Contacto

contacto@normacode.cl · Respuesta ≤5 días hábiles.