Saltar al contenido principal

Política de Privacidad

Última actualización: 29 de abril de 2026

Responsable: SurGira SpA — RUT 78.395.266-1

Domicilio: Andrés de Alcázar 356, Oficina 603, Edificio Alcázar, Rancagua, Región de O'Higgins, Chile

Contacto general: contacto@surgira.com

Privacidad: privacidad@surgira.com

WhatsApp: +56 9 6245 2516

En SurGira tomamos en serio la privacidad de las personas que visitan nuestro sitio y de quienes se ponen en contacto con nosotros para conocer el servicio de atención al cliente por WhatsApp.

Esta política explica qué datos recopilamos desde la web, para qué los usamos, con quién los compartimos y qué derechos tienes según la Ley N° 19.628 sobre protección de la vida privada y la Ley 21.719 sobre Protección de Datos Personales (promulgada en diciembre de 2024, con entrada en vigencia gradual).

SurGira actúa como Responsable del Tratamiento de los datos personales que ingreses a través de nuestro sitio web y formularios de contacto.

1. Responsable del Tratamiento

Razón social: SurGira SpA — RUT 78.395.266-1

Domicilio: Andrés de Alcázar 356, Oficina 603, Edificio Alcázar, Rancagua, Región de O'Higgins, Chile

Correo de contacto general: contacto@surgira.com

Correo de privacidad: privacidad@surgira.com

WhatsApp: +56 9 6245 2516

2. Datos que Recopilamos desde la Web

Solo recopilamos los datos necesarios para poder responderte, ofrecerte una propuesta y mejorar nuestros servicios.

2.1. Formularios del sitio

a) Formulario de Contacto

  • Nombre
  • Correo electrónico
  • Número de WhatsApp
  • Nombre de la empresa
  • Rubro del negocio
  • Servicio de interés (demo, auditoría, integración)
  • Comentarios (opcional)

Finalidad: Coordinar una demostración del producto, responder consultas comerciales y evaluar la factibilidad del servicio para tu negocio.

Base legal: Tu consentimiento, otorgado al enviar el formulario (art. 4 Ley 19.628).

b) Datos adicionales futuros

SurGira podrá recopilar datos adicionales en el futuro con el fin de mejorar los servicios ofrecidos. En tal caso, se informará al usuario sobre los nuevos datos recopilados, su finalidad y tratamiento antes de su recolección, respetando siempre los principios de esta política.

2.2. Navegación en el sitio (logs y analítica)

Nuestro sitio web y plataforma utilizan tecnologías de desarrollo web modernas y bases de datos gestionadas con estándares de seguridad de la industria. Los proveedores de IA, hosting, bases de datos y otros servicios de terceros pueden evolucionar en el tiempo para mejorar el servicio, manteniendo siempre los mismos estándares de protección de datos.

Podemos recopilar:

  • Dirección IP (parcial o truncada, según configuración de analítica)
  • Información del navegador y dispositivo (user-agent)
  • Páginas visitadas y tiempo de permanencia
  • Eventos de interacción (clics en botones de agenda, envío de formularios, etc.)

Finalidad: Obtener métricas agregadas de uso del sitio y detectar errores técnicos para mejorar la experiencia de usuario.

Base legal: Tu consentimiento, cuando aceptas cookies analíticas en el banner correspondiente, o interés legítimo para cookies estrictamente necesarias.

3. Uso de Inteligencia Artificial

SurGira utiliza modelos de inteligencia artificial como herramienta de apoyo para la preparación de propuestas, comunicaciones y la mejora continua de sus servicios.

3.1. Herramientas utilizadas

SurGira utiliza modelos de inteligencia artificial de proveedores reconocidos de la industria, siempre bajo contratos de tratamiento de datos y canales API orientados a empresas. Las herramientas y proveedores específicos pueden evolucionar en el tiempo para mejorar la calidad del servicio.

3.2. Para qué usamos la IA (incluida en el plan, sin costos adicionales de tokens)

  • En la plataforma: El bot inteligente utiliza IA para clasificar intenciones, responder preguntas frecuentes y asistir en la atención al cliente de tu negocio. Los mensajes procesados por IA se tratan con los mismos estándares de privacidad que el resto de los datos.
  • Internamente: Analizar información de formularios de contacto, generar propuestas comerciales y sugerir mejoras en flujos de atención.

3.3. Cómo protegemos tus datos en estos procesos

  • Usamos los modelos vía API, no a través de chats públicos.
  • Configuramos los servicios para no utilizar los datos con fines de entrenamiento público, según las opciones disponibles de cada proveedor.
  • Anonimizamos o reducimos los datos enviados cuando es posible (por ejemplo, evitando incluir RUT completo o datos sensibles en las prompts).
  • Los textos generados por IA son revisados internamente antes de enviarse como propuesta formal.
  • No usamos IA para tomar decisiones automatizadas con efectos jurídicos sobre ti; su rol es de asistencia y redacción, no de decisión final.
  • SurGira no es responsable del tratamiento que los proveedores de IA realicen fuera de los términos contratados entre SurGira y dichos proveedores. Si un proveedor incumple sus propios términos de servicio respecto al uso de datos, la responsabilidad recae en dicho proveedor.

3.4. Uso de datos en auditorías de calidad

Cuando un cliente contrata el servicio de Auditoría de Calidad, SurGira accede a los datos operativos del sistema del cliente (conversaciones, métricas, tiempos de respuesta) exclusivamente para evaluar la calidad de la atención. Este acceso se realiza solo cuando el cliente lo solicita como servicio pagado, nunca de forma unilateral. Requisito: mínimo 30 días activo en la plataforma para contar con datos representativos. Los resultados se entregan al administrador o dueño de la empresa contratante.

4. Cookies y Tecnologías Similares

Nuestro sitio puede utilizar:

  • Cookies esenciales: necesarias para el funcionamiento básico (sesiones, protección contra abusos, preferencias de idioma).
  • Cookies de preferencia: recuerdan tu decisión sobre cookies y algunos ajustes del sitio.
  • Cookies analíticas: herramientas como Google Analytics 4 u otra analítica equivalente, que miden el uso del sitio con IP anonimizada.

Cuando ingresas al sitio, verás un banner de cookies donde puedes aceptar, rechazar o configurar qué tipos de cookies quieres permitir. También puedes borrar o bloquear cookies desde la configuración de tu navegador.

5. Integraciones con Servicios de Terceros (OAuth y APIs externas)

Cuando un usuario de la plataforma SurGira (administrador de un tenant o profesional miembro del equipo) decide conectar servicios externos para potenciar el flujo de atención y agendamiento, otorga permisos limitados via OAuth 2.0 a SurGira. Estas integraciones son opcionales, requieren consentimiento explícito del usuario en cada caso y pueden revocarse en cualquier momento desde el panel SurGira o desde la página de permisos del proveedor externo.

A continuación detallamos las integraciones disponibles y cómo se usan los datos de cada una.

5.1. Acceso a Google Calendar (Google API Services)

Si conectas tu cuenta de Google Calendar a SurGira (opcional, miembro del equipo), nos otorgas permisos limitados para sincronizar las citas que se gestionan en SurGira con tu calendario externo. Específicamente solicitamos los siguientes scopes:

  • openid: scope estándar OpenID Connect para emitir un id_token que verifica tu identidad de Google de forma segura.
  • email: para obtener la dirección de correo de tu cuenta Google y mostrarla en el panel SurGira como referencia visual del usuario conectado.
  • https://www.googleapis.com/auth/calendar.events: para crear, actualizar y cancelar eventos en tu calendario cuando se agenda, reagenda o cancela una cita en SurGira (vía WhatsApp o panel web).
  • https://www.googleapis.com/auth/calendar.readonly: para leer eventos existentes y evitar superposición de horarios al verificar disponibilidad.
  • https://www.googleapis.com/auth/calendar.freebusy: para calcular slots de disponibilidad de forma eficiente cuando un paciente consulta horarios disponibles vía WhatsApp.

Cómo usamos estos datos:

  • Push SurGira → Google Calendar (escritura): cuando se agenda, reagenda o cancela una cita en SurGira (vía WhatsApp o panel web), creamos/actualizamos/eliminamos el evento equivalente en tu Google Calendar. Esta dirección es completamente bajo tu control desde el panel SurGira.
  • Lectura de Google Calendar → SurGira: leemos eventos existentes de tu calendario para dos finalidades específicas y limitadas: (a) detectar conflictos de horario antes de confirmar una nueva cita, y (b) importar a SurGira citas que hayas creado directo en Google Calendar (fuera de SurGira) para mantener tu agenda en el panel consistente con la realidad de tu calendario externo.
  • No usamos los datos del calendario para entrenar modelos de IA, perfilar usuarios, ni publicidad.
  • No vendemos ni compartimos los datos de tu calendario con terceros.
  • Los tokens OAuth se almacenan encriptados con pgp_sym (AES-256) en nuestra base de datos.
  • Podes revocar el acceso en cualquier momento desde el panel SurGira (Integraciones → Google Calendar → Desconectar) o desde Permisos de tu cuenta Google. Al revocar, dejamos de leer y escribir en tu calendario inmediatamente.

SurGira cumple con la Google API Services User Data Policy, incluyendo los Limited Use requirements: el acceso a datos de Google Calendar se limita estrictamente a las funcionalidades declaradas en el consentimiento (sincronización de citas y detección de conflictos de horario).

5.2. Acceso a Microsoft Outlook (Microsoft Graph API)

Si conectas tu cuenta de Microsoft (Outlook personal, Outlook 365 o Microsoft Exchange) a SurGira, nos otorgas permisos limitados para sincronizar citas con tu calendario externo. Específicamente solicitamos los siguientes scopes vía Microsoft Graph API:

  • https://graph.microsoft.com/Calendars.ReadWrite: para crear, leer, actualizar y cancelar eventos en tu calendario Outlook cuando se agenda, reagenda o cancela una cita en SurGira.
  • https://graph.microsoft.com/User.Read: para identificar la cuenta conectada (correo electrónico) y mostrarla en el panel SurGira como referencia visual del usuario conectado.
  • offline_access: para mantener la sincronización sin requerir un nuevo inicio de sesión cada hora (refresh tokens).

Cómo usamos estos datos:

  • Push SurGira → Outlook (escritura): cuando se agenda, reagenda o cancela una cita en SurGira, creamos/actualizamos/eliminamos el evento equivalente en tu calendario Outlook.
  • Lectura de Outlook → SurGira: leemos eventos existentes para detectar conflictos de horario y para importar citas que hayas creado directo en Outlook (fuera de SurGira) y mantener tu agenda consistente.
  • No usamos los datos del calendario para entrenar modelos de IA, perfilar usuarios, ni publicidad.
  • No vendemos ni compartimos los datos de tu calendario con terceros.
  • Los tokens OAuth se almacenan encriptados con pgp_sym (AES-256) en nuestra base de datos.
  • Podes revocar el acceso en cualquier momento desde el panel SurGira (Integraciones → Outlook → Desconectar) o desde Aplicaciones con acceso en Microsoft. Al revocar, dejamos de leer y escribir en tu calendario inmediatamente.

SurGira cumple con los Microsoft APIs Terms of Use y los Microsoft Identity Platform terms, incluyendo el principio de uso mínimo necesario.

5.3. Uso de WhatsApp Business Cloud API (Meta Platforms)

SurGira utiliza la WhatsApp Business Cloud API provista por Meta Platforms Inc. para enviar y recibir mensajes con los clientes de los tenants. Al activar este canal, el tenant reconoce y acepta el procesamiento detallado a continuación.

Datos procesados vía WhatsApp Business:

  • Contenido de mensajes enviados y recibidos en conversaciones con tus clientes.
  • Números de teléfono de tus clientes y contactos.
  • Metadatos de mensajería: timestamps, status de entrega, IDs de conversación, ID de plantillas (HSM).
  • Eventos de webhook: cambios de status, respuestas a botones interactivos, media adjunta (imágenes, audio, documentos).

Cómo procesamos estos datos:

  • Los mensajes se enrutan a través de un bot conversacional que puede usar modelos de IA (ver sección 3) para clasificación de intención, redacción de respuestas y resumen. Las APIs de IA operan bajo contratos de procesamiento de datos; los mensajes no se utilizan para entrenar modelos de IA externos.
  • Mensajes y media (imágenes, audio, documentos) se almacenan en Supabase (PostgreSQL) encriptados en tránsito (TLS 1.2+) y en reposo (AES-256).
  • Las plantillas de mensaje (HSM) y el contenido enviado siguen las WhatsApp Business Messaging Policy y los WhatsApp Commerce Policy.

Plazos de retención específicos para datos operativos y de mensajería:

SurGira aplica una política de retención por niveles (retention_tier) basada en la severidad del evento:

  • Mensajes activos: durante la vigencia de la suscripción del tenant.
  • Eventos operativos rutinarios (tier cenizas, severity info): hasta 72 horas. Cubre logs operativos no críticos, latencias, eventos de health-check.
  • Eventos relevantes (tier bronce, severity warning): hasta 30 días. Cubre advertencias de degradación, fallos transitorios.
  • Eventos críticos / incidentes (tier plata, severity error / critical): hasta 180 días con export previo. Cubre fallos de envío (DLQ), errores de integración, incidentes de seguridad.
  • Logs técnicos de seguridad y accesos: hasta 30 días salvo investigación en curso.

No compartimos el contenido de mensajes con terceros distintos a los procesadores explícitos (Meta Platforms, OpenAI, Supabase) bajo contratos de tratamiento de datos.

SurGira cumple con los Meta Platform Terms, los WhatsApp Business Solution Terms y la WhatsApp Business Data Sharing Addendum. Podes solicitar la baja de tu cuenta y la eliminación de los datos asociados desde tu panel SurGira o escribiendo a privacidad@surgira.com.

5.4. Otras integraciones de terceros (futuras)

SurGira podrá ofrecer integraciones adicionales con plataformas como Instagram Direct, Telegram, sistemas de CRM (HubSpot, Salesforce, Pipedrive), tiendas online (Shopify, WooCommerce) y herramientas de automatización (Zapier, Make). Estas integraciones se activan únicamente bajo autorización explícita del usuario desde el panel de Integraciones, y cada una solicitará los permisos mínimos necesarios para su funcionalidad declarada.

Cuando una integración se active en producción, esta Política de Privacidad será actualizada para detallar los scopes solicitados, datos accedidos y obligaciones aplicables del proveedor correspondiente. Podes desconectar cualquier integración en cualquier momento desde el mismo panel.

6. Destinatarios y Transferencias de Datos

Tus datos pueden almacenarse o procesarse en las siguientes infraestructuras:

  • Supabase (PostgreSQL gestionado): almacenamiento de formularios, datos operativos y métricas.
  • Vercel: hosting de la plataforma web.
  • Resend: correo transaccional para confirmaciones, invitaciones y notificaciones de seguridad.
  • Plataformas de analítica web (como Google Analytics 4), con IP anonimizada.
  • Meta Platforms Inc. (WhatsApp Business Cloud API): mensajería vía WhatsApp.
  • Google LLC (Google Calendar API): sincronización opcional de calendario por usuario que la habilite.
  • Microsoft Corporation (Microsoft Graph API): sincronización opcional de calendario por usuario que la habilite.
  • Proveedores de modelos de IA (ej. OpenAI): procesamiento de mensajes vía API empresarial bajo contrato.

No vendemos tus datos personales a terceros. Solo compartimos información con proveedores que actúan como encargados de tratamiento, bajo contrato de confidencialidad y siguiendo nuestras instrucciones, o cuando exista una obligación legal de hacerlo.

7. Plazos de Conservación

  • Leads comerciales y formularios de contacto: hasta 18 meses desde el último contacto efectivo, para seguimiento y análisis de interés.
  • Correos y comunicaciones asociadas a propuestas: hasta 5 años si se concreta una relación comercial, por razones contables y de respaldo contractual.
  • Registros de navegación y analítica agregada: entre 12 y 24 meses, según configuración de la herramienta de analítica.
  • Logs técnicos de seguridad (accesos, errores): hasta 30 días, salvo que se requiera conservarlos por investigación de incidentes.
  • Mensajes y datos operativos de WhatsApp Business: durante la vigencia de la suscripción + plazos detallados en sección 5.3.
  • Tokens OAuth de Google/Outlook: mientras la integración esté activa. Al desconectar, los tokens se invalidan inmediatamente y se marcan como inactivos en nuestra base de datos.

Después de esos plazos, los datos se eliminan o se anonimizan para que no sea posible identificarte.

8. Derechos de las Personas (ARCOP)

Como titular de los datos personales, puedes ejercer los siguientes derechos (ARCOP):

  • Acceso: saber qué datos tuyos tratamos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Cancelación/Eliminación: solicitar que borremos tus datos, salvo que exista una obligación legal de conservación, una relación contractual vigente o una necesidad legítima de defensa jurídica.
  • Oposición: oponerte a ciertos tratamientos (por ejemplo, recibir comunicaciones comerciales).
  • Portabilidad: solicitar una copia de tus datos en un formato estructurado y de uso común (CSV, JSON) para transferirlos a otro prestador, conforme al art. 9 de la Ley 21.719.

Adicionalmente, tienes derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de tus datos que produzcan efectos jurídicos o significativos sobre ti. En SurGira, la IA asiste y sugiere, pero las decisiones finales son tomadas por personas.

Para ejercer estos derechos:

  • Envía un correo a privacidad@surgira.com con el asunto "Ejercicio de derechos ARCOP".
  • Indica claramente qué derecho quieres ejercer y proporciona la información necesaria para encontrarte en nuestros registros.
  • Podemos solicitar un medio razonable de verificación de identidad (por ejemplo, copia de tu cédula borrosa parcialmente).
  • Responderemos en un plazo máximo de 15 días hábiles, conforme a la Ley 21.719.

9. Cancelación y Eliminación de Datos

Si cancelas tu cuenta de SurGira como cliente (tenant), se aplica el siguiente proceso:

  • Día 0: Tu cuenta se suspende. El bot deja de responder. Recibes un email de confirmación.
  • 45 días: Tienes 45 días para exportar todos tus datos (conversaciones, contactos, métricas, documentos).
  • Día 45: Se ejecuta la eliminación definitiva e irreversible de todos tus datos operativos.

Datos que se conservan por ley: Los registros de facturación se retienen por 5 años según requisitos del SII (Servicio de Impuestos Internos de Chile).

10. Exportación de Datos (Portabilidad)

Como titular de una cuenta, puedes exportar tus datos en cualquier momento:

  • Conversaciones y mensajes (CSV, JSON)
  • Contactos (CSV, JSON)
  • FAQs y base de conocimiento (CSV, JSON)
  • Métricas y reportes (CSV, JSON)
  • Documentos subidos (formato original)
  • Configuración del sistema (JSON)

Tus datos son tuyos. SurGira no vende, comparte ni usa tus datos para entrenar modelos de IA.

11. Medidas de Seguridad

Aplicamos medidas técnicas y organizativas proporcionales al riesgo de los datos tratados, tales como:

  • Cifrado TLS 1.2 o superior en tránsito para las comunicaciones con el sitio.
  • Base de datos Supabase y backups cifrados (AES-256).
  • Cifrado simétrico vía pgp_sym (AES-256) para tokens OAuth y credenciales de servicios externos.
  • Acceso a la infraestructura de administración restringido mediante autenticación robusta y lista blanca de IPs.
  • Política de mínimo privilegio, separando roles de acceso.
  • Actualizaciones periódicas de seguridad en el sistema operativo y servicios críticos.
  • Monitoreo y alertas de intentos de acceso no autorizado.
  • Backups diarios con retención limitada para recuperación ante desastres.

Si llegara a producirse un incidente de seguridad que afecte de forma relevante tus datos, te notificaremos dentro de las 72 horas siguientes a que SurGira tome conocimiento del incidente, indicando qué ocurrió, qué datos podrían estar afectados, qué medidas adoptamos y qué pasos te recomendamos.

12. Cambios en esta Política

Podemos actualizar esta Política de Privacidad para reflejar cambios en:

  • La normativa aplicable en Chile
  • Las tecnologías que utilizamos (por ejemplo, incorporación de nuevos proveedores de IA o infraestructura)
  • Nuestros procesos internos de captación y atención de leads
  • Nuevas integraciones de terceros (Google, Microsoft, Meta, etc.)

Cuando los cambios sean sustantivos, avisaremos por correo a los contactos registrados o mediante un aviso visible en el sitio, indicando la nueva fecha de actualización. La versión vigente estará siempre disponible en esta misma URL.

Contacto de Privacidad

Responsable del Tratamiento: SurGira SpA — RUT 78.395.266-1

Email de privacidad: privacidad@surgira.com

Domicilio: Andrés de Alcázar 356, Oficina 603, Edificio Alcázar, Rancagua, Región de O'Higgins, Chile

Para consultas generales: contacto@surgira.com