Documento legal · Ley 21.719

Política de Privacidad

Vigente desde: 2026-05-09 · Última actualización: 2026-06-12

Resumen ejecutivo (TL;DR): NormaCode procesa el mínimo de datos personales necesarios para entregarte el servicio. No usamos cookies de tracking, no compartimos tus datos con terceros para marketing ni los vendemos. Sí usamos encargados de infraestructura (Google Cloud, Sentry) bajo cláusulas de tratamiento — ver §4. Los datos los puedes ver, exportar o borrar en cualquier momento (Arts. 7° y 9° Ley 21.719). Email único para captura: /arco.

1. Identificación del responsable

El responsable del tratamiento de datos personales es NormaCode, marca operada por su fundador Matías Navarro Ortiz (Evaluador Energético CEV, Res. Ex. N°266/2025 MINVU). Contacto: contacto@normacode.cl.

Sitio web: https://normacode.cl. Hosting backend: Cloud Run (Google Cloud, región southamerica-west1, Santiago). Hosting frontend: Cloudflare Pages.

2. Marco normativo aplicable

Ley N° 21.719 (publicada 13-dic-2024, vigencia obligatoria 1-dic-2026) — protección de datos personales en Chile.
Ley N° 19.628 sobre vida privada (régimen vigente hasta 1-dic-2026).
Ley N° 19.496 protección de derechos del consumidor.
RGPD (Reglamento UE 2016/679) — aplicado por buenas prácticas, aunque NormaCode opera en Chile.

3. Datos personales que tratamos

Tipo	Cuándo se captura	Finalidad	Base de licitud
Email	Registro beta · Voto roadmap · Suscripción alertas normativas · Form cobertura-país	Comunicación funcional + alertas normativas + lead nurturing	Consentimiento explícito (checkbox)
Nombre + RUT	Activación cuenta Pro o Enterprise	Facturación + cumplimiento tributario SII	Ejecución contrato
Datos de proyecto (cubicación, materialidad, comuna)	Uso del calculador térmico	Generación memoria PDF firmable	Ejecución contrato
Metadata de verificación (código `NC-XXXXXXXXXXXX`, hash SHA-256, nombre proyecto, zona térmica, cumplimiento OGUC, fecha) — públicos via /v/{code}	Emisión de memoria PDF (`POST /api/v1/verify/register`)	Verificación pública de integridad y autoría (FES Art. 2 letra f Ley 19.799)	Interés legítimo (transparencia) + ejecución contrato
Identificador interno del emisor (Firebase UID) — PRIVADO, jamás expuesto en el endpoint público	Emisión de memoria PDF (trazabilidad interna)	Auditoría + atribución forense	Interés legítimo + obligación legal (Art. 16 Ley 21.719: minimización)
IP + User-Agent (hash SHA-256[:16])	Cualquier interacción con backend	Seguridad + audit forense + anti-flood	Interés legítimo
session_id (UUID anónimo localStorage)	Visita a páginas públicas	Analytics privacy-first (sin cookies, sin terceros)	Interés legítimo
Eventos de navegación agregados (vista de página, click de CTA, progreso de formulario) ligados a un identificador aleatorio `anon_id` (localStorage, hasheado SHA-256 server-side)	Telemetría first-party del funnel (sin cookies, sin terceros)	Medición agregada para mejorar el servicio (sin PII) — ver §3.1	Interés legítimo (datos anonimizados)

3.1 Telemetría first-party anónima

Tras apagar Google Analytics (privacy-first), NormaCode opera una telemetría propia, first-party y anónima para entender cómo se usa el sitio y mejorar el producto. No reemplaza ni reintroduce a Google: los eventos se envían a nuestro propio backend (Cloud Run + Firestore, región Santiago).

Qué se recoge: eventos de navegación agregados — vistas de página (lp_view), clicks de CTA y progreso de formulario (inicio / abandono / envío). Cada evento incluye la ruta y un identificador aleatorio anon_id generado en tu navegador.
Qué NO se recoge: sin PII (sin nombre, email ni teléfono), sin IP persistida en claro, sin cookies y sin fingerprinting. El anon_id es aleatorio y el servidor lo guarda hasheado (SHA-256[:16]), de forma irreversible: no permite reidentificarte.
Base de licitud: interés legítimo (mejora del servicio sobre datos anonimizados, Art. 13 Ley 21.719), por tratarse de datos que no permiten identificar a una persona.
Retención: 90 días, con borrado automático vía Firestore TTL.
Cómo desactivarla: respetamos la señal Do Not Track de tu navegador y la elección "Solo esenciales" del banner de cookies — en cualquiera de los dos casos la telemetría queda completamente desactivada.

4. Datos que NO tratamos

NO usamos cookies de tracking publicitario.
NO usamos pixels de Facebook, Google Ads, ni similares.
NO usamos herramientas de fingerprinting digital.
NO compartimos datos con terceros para marketing.
NO vendemos tu información.
Encargados de infraestructura (no marketing): backend en Google Cloud Run (Santiago, Chile); generación y almacenamiento de PDFs en Firebase Storage/Firestore (Google Cloud, Estados Unidos); monitoreo de errores en Sentry (Frankfurt, Unión Europea). Estas transferencias internacionales se amparan en las cláusulas contractuales de tratamiento de datos de cada proveedor (Arts. 27-28 Ley 21.719). Detalle de encargados en /cookies.

4.bis Análisis de UX con Microsoft Clarity (opcional, opt-in)

Pase 60.15 (2026-06-17): NormaCode activó Microsoft Clarity para análisis de UX (heatmaps + grabaciones de sesión anonimizadas) solo bajo consentimiento expreso. Cumple Art. 12 letra a) Ley 21.719 (consentimiento previo, libre, específico, informado).

Si aceptas "telemetría anónima" en el banner de cookies, NormaCode usa Microsoft Clarity y Microsoft Advertising para capturar cómo interactúas con el sitio mediante métricas de comportamiento, mapas de calor (heatmaps) y reproducción de sesión (anonimizada) para mejorar y comercializar nuestros productos y servicios. Estos datos se capturan mediante cookies propias y de terceros, así como otras tecnologías de seguimiento, para determinar la popularidad del producto y la actividad en línea. Adicionalmente, usamos esta información para optimización del sitio, prevención de fraude/seguridad y publicidad. Para más información sobre cómo Microsoft recopila y usa tus datos, visita la Declaración de Privacidad de Microsoft.

Microsoft Clarity está registrado en NormaCode como encargado de tratamiento PA-010 (ver /cookies §4.bis para la lista completa de cookies que Clarity carga y mecanismo de opt-out).

Cómo opt-out: elegir "Solo esenciales" en el banner de cookies al ingresar al sitio. Si previamente aceptaste, puedes resetear borrando nc_cookies_consent de localStorage o volviendo a abrir el banner.

5. Derechos del titular (ARCO+)

Conforme a Ley 21.719, todo titular de datos puede ejercer en cualquier momento:

Art. 6° — Acceso: solicitar copia de tus datos personales que tratamos.
Art. 7° — Rectificación: solicitar corrección de datos inexactos.
Art. 8° — Cancelación / supresión: solicitar borrado total de tus datos.
Art. 9° — Oposición: oponerte a tratamientos específicos.
Art. 9° — Portabilidad: solicitar exportación en formato estructurado (CSV/JSON).
Bonus — Limitación: solicitar pausa temporal del tratamiento.

NormaCode implementa estos derechos vía endpoints públicos verificables. Ejercer derechos ARCO en /arco. Tiempo máximo legal de respuesta: 30 días corridos (Art. 17 Ley 21.719). Nuestra meta operacional es responder antes en la mayoría de los casos.

6. Plazo de conservación

Email lead capture (sin cuenta): 24 meses desde último contacto, luego anonimización.
Cuenta activa: durante toda la vigencia + 5 años después por obligación tributaria SII.
Logs IP/UA hasheados: 90 días auto-cleanup vía Firestore TTL.
Cuenta cancelada: borrado total a los 30 días salvo retención obligatoria SII.
Registros de verificación pública (nc_verifications/{code} en Firestore): 5 años en línea (plazo prescripción Art. 2515 Código Civil), para sostener el valor probatorio de la FES Art. 2 letra f Ley 19.799 frente a terceros que escaneen el QR del PDF.

7. Seguridad técnica

Encriptación en tránsito (HTTPS TLS 1.3) en todas las páginas.
Hash SHA-256 de IP y User-Agent (no PII reversible) para audit.
Backend Cloud Run con autenticación JWT + Firebase.
Acceso a base de datos restringido por roles (admin / superuser / user).
Audit log de cambios en datos sensibles.
Backups encriptados Firestore (Google Cloud).
Whitelist explícita en endpoint público de verificación (GET /api/v1/verify/{code}): el servicio aplica filtro a nivel de código (verification_service.py:get_verification) que solo retorna campos públicos predefinidos. El identificador interno del emisor (generated_by_uid) y cualquier dato sensible nunca llegan al cliente. Cumplimiento Art. 16 Ley 21.719 (principio de minimización).

8. Cesiones a terceros

NormaCode utiliza los siguientes encargados de tratamiento (DPA suscritos):

Google Cloud (Cloud Run + Firestore) — hosting backend, región Santiago Chile.
Cloudflare Pages — hosting frontend estático.
Firebase Auth — autenticación de usuarios.
Flow.cl — pasarela de pagos chilena (cuando aplica plan Pro/Enterprise).
OpenFactura (futuro) — facturación electrónica SII.

Ninguno de estos encargados accede a datos personales más allá de lo necesario para su función contratada. No se realiza marketing dirigido a través de terceros.

9. Modificaciones

Cualquier modificación material a esta Política se notificará vía email a usuarios con cuenta y se publicará en https://normacode.cl/privacidad con 15 días de antelación. El historial de versiones está en commit fechado del repositorio público (compromiso build-in-public).

10. Reclamos

Si consideras que tus derechos no han sido respetados, puedes:

Contactarnos a contacto@normacode.cl (respuesta ≤5 días hábiles).
A partir del 1-dic-2026, presentar reclamo ante la Agencia de Protección de Datos Personales (Ley 21.719 Art. 30).
Acudir al SERNAC bajo Ley 19.496 protección consumidor.

Compromiso build-in-public: esta Política está en código abierto en el repositorio privado del producto. Cualquier cambio queda registrado con commit fechado. Si encuentras una imprecisión o una redacción confusa, escribimos directo: contacto@normacode.cl.