Esta política describe cómo se tratan los datos personales al usar el sitio web y el servicio en línea denominado comercialmente CajaCurso (en adelante, el «Servicio»), operado por Caja de Curso, RUT 18.667.449-9 (en adelante, «nosotros», «el responsable» o «el operador»), salvo que en tu caso exista un contrato o aviso que indique otro responsable del tratamiento.
1. Ámbito y aceptación
Al registrarte, iniciar sesión o usar el Servicio, declaras haber leído esta política. Si no estás de acuerdo, debes dejar de usar el Servicio. Esta política complementa los Términos del Servicio.
El Servicio está pensado principalmente para uso en Chile. Si accedes desde el extranjero, aplican también las condiciones del proveedor de infraestructura y de integraciones descritas más abajo.
2. Marco legal
En Chile la protección de la vida privada y de los datos personales se rige por la Ley N.º 19.628 sobre protección de la vida privada y por la Ley N.º 21.719, que actualiza el régimen de protección de datos personales y crea la Agencia de Protección de Datos Personales (APDP). Aunque la aplicación plena de la Ley N.º 21.719 está prevista para el 1 de diciembre de 2026, hemos redactado esta política conforme a sus principios y exigencias, y nos comprometemos a adecuar prácticas y documentación conforme a la normativa aplicable en cada momento.
Actuamos como responsable del tratamiento de los datos que decidimos tratar para operar el Servicio (definimos los fines y los medios). Los principios que guían nuestro tratamiento son: licitud y lealtad, finalidad (usar el dato solo para el fin informado), proporcionalidad y minimización (tratar solo los datos necesarios), calidad (datos exactos y actualizados), transparencia, seguridad, confidencialidad y responsabilidad (accountability demostrable).
Esta política tiene fines informativos y no sustituye asesoría legal. Para derechos específicos o reclamaciones, utiliza los canales de contacto indicados al final.
3. Datos personales que podemos tratar
Según cómo uses el Servicio, podemos tratar, entre otros, las siguientes categorías:
- Datos de cuenta: dirección de correo electrónico, nombre o identificador de perfil, contraseña (almacenada de forma resumida o cifrada, no en texto plano), identificador técnico de sesión y, si eliges «Iniciar sesión con Google», identificador asociado a tu cuenta de Google según lo que Google comparta con nosotros en el flujo OAuth.
- Datos que ingresas sobre el curso: por ejemplo colegio, nivel, año, nombre del tesorero o tesorera, saldos, actividades, rifas, gastos y demás información de gestión que cargues.
- Datos de alumnos y apoderados: nombres, números de lista, género registrado (opcional) en el sistema (si se consigna), datos de contacto de apoderados (correo, teléfono, nombre) y cualquier observación que registres en el Servicio.
- Datos de pagos y tesorería: montos, fechas, forma de pago, mes asociado, comprobantes o referencias, identificadores de archivos si subes comprobantes, y metadatos necesarios para la trazabilidad interna del curso. Si el curso activa cobros en línea con Mercado Pago, podrán tratarse también identificadores y estados devueltos por ese proveedor (p. ej. referencias de pago o preferencia de checkout) para conciliar el cobro con el registro en el Servicio.
- Invitaciones y equipo del curso: correos de personas invitadas a colaborar, roles, permisos y registro de aceptación de invitaciones cuando corresponda.
- Enlaces compartidos: si generas enlaces de solo lectura u otros mecanismos públicos limitados, podemos registrar tokens o identificadores técnicos asociados a esos enlaces, intentos de acceso razonablemente limitados por dirección IP, y —en el caso del enlace de resumen del curso— un código de acceso que la tesorería comunica por un canal distinto del enlace, almacenado solo de forma resumida (hash), no el código en texto plano. El enlace de resumen del curso puede caducar automáticamente (p. ej. a las 24 horas desde su creación). El enlace asociado a un alumno concreto está pensado para que quien disponga del enlace vea información limitada a ese alumno; si el curso configura comprobantes en la nube, puede exigirse además un PIN para ver ciertos archivos, según la configuración del curso.
- Teléfono y bot de WhatsApp del tesorero: si activas el asistente de WhatsApp, tratamos el número de teléfono del tesorero o tesorera (en formato internacional), un código de verificación de un solo uso (OTP) con su fecha de expiración para confirmar que controlas ese número, y los mensajes que envías al bot (texto e imágenes o PDF de comprobantes). Estos mensajes se procesan a través de la API de WhatsApp Cloud de Meta.
- Lectura automática con inteligencia artificial (OCR): cuando importas una cartola bancaria para conciliar pagos, o cuando reenvías un comprobante al bot de WhatsApp, el texto, imagen o PDF del documento se remite a un proveedor de inteligencia artificial (OpenAI) para extraer datos como monto, fecha, nombre del emisor y receptor, banco y número de operación. Es una lectura asistida: solo propone los datos, que tú revisas y confirmas antes de registrar; no adoptamos decisiones con efectos sobre ti de forma automatizada. Guardamos el resultado de esa lectura y registros técnicos del procesamiento.
- Datos de contacto y correo: para enviar correos (invitaciones, comprobantes, restablecimiento de contraseña y —si consientes— novedades del producto) usamos un proveedor de envío de correo (Resend). Tratamos tu dirección de correo, el estado de entrega y apertura de esos mensajes (entregado, abierto, rebotado, reclamado), y propiedades de contacto asociadas a tu cuenta para segmentar comunicaciones (por ejemplo, estado de tu plan, fecha hasta la que está vigente, número de cursos y días de inactividad). Si escribes a nuestras casillas, también tratamos los correos entrantes que nos envías.
- Datos de analítica y medición (sujetos a tu consentimiento): si aceptas las cookies de analítica y marketing en el banner de consentimiento, se cargan herramientas de Google (Google Analytics 4 y Google Tag Manager) y de Meta (Meta Pixel) que pueden tratar identificadores de dispositivo o navegador, páginas visitadas y eventos de uso. Si rechazas, estas herramientas no se cargan. Ver la sección de cookies.
- Datos técnicos: dirección IP, tipo de navegador, registros de diagnóstico y seguridad, y cookies o almacenamiento local estrictamente necesarios para mantener la sesión y la operación del Servicio.
- Ubicación aproximada: al crear tu cuenta (y, para cuentas anteriores, la primera vez que inicias sesión) guardamos una ubicación aproximada a nivel de país, región y ciudad derivada de tu dirección IP por nuestra plataforma de alojamiento. No conservamos tu dirección IP asociada a esta ubicación ni usamos el GPS o la ubicación precisa de tu dispositivo, y no te pedimos ese permiso en el navegador. Este dato se registra una sola vez y lo utilizamos con fines de seguridad, prevención de abusos y estadísticas sobre el origen de las cuentas.
Quién ve qué (apoderados y personas sin cuenta)
El Servicio permite a la tesorería del curso compartir información sin que el destinatario tenga usuario propio en la plataforma. En términos de privacidad importa distinguir:
- Enlace por alumno (apoderado): muestra datos del alumno vinculado a ese enlace (p. ej. pagos y estado frente a actividades), no el detalle financiero de otros alumnos. Quien reciba el enlace debe tratarlo como información sensible: cualquiera con el enlace puede consultar lo que el Servicio exponga en esa vista.
- Enlace de resumen del curso: tras introducir el código de acceso que entrega la tesorería, la vista puede incluir totales o agregados del curso (p. ej. ingresos, gastos o saldos por concepto), según la funcionalidad vigente. Está orientado a transparencia colectiva, no a sustituir el detalle privado del enlace por alumno.
Los comprobantes (p. ej. archivos en Google Drive del titular del curso) dependen de la cuenta Google que vincule la tesorería y de los permisos que conceda allí; el operador del Servicio no reemplaza a Google en el tratamiento de esos archivos.
Los cobros en línea gestionados mediante Mercado Pago los procesa Mercado Pago como proveedor de pagos; el dinero de las cuotas escolares abonadas por esa vía ingresa en la cuenta de Mercado Pago que el curso haya conectado como vendedor, no en una cuenta bancaria del operador del Servicio en sustitución del curso. El Servicio puede registrar el vínculo entre el cobro y el registro contable del curso para fines de tesorería escolar.
Si la tesorería utiliza funciones de exportación (p. ej. archivos descargables con listados o movimientos), esos archivos pueden contener datos personales del curso: su custodia y cualquier envío fuera del Servicio son responsabilidad de quien actúe en nombre del curso, sin perjuicio de los derechos de los titulares frente al responsable del tratamiento que corresponda en cada caso.
4. Finalidades del tratamiento
Tratamos los datos personales para:
- Prestar el Servicio: crear y administrar cuentas, cursos, permisos y funcionalidades ofrecidas.
- Autenticar usuarios, proteger la seguridad de las cuentas y prevenir abusos o usos no autorizados.
- Permitir integraciones que tú actives, como el envío de correos transaccionales (p. ej. invitaciones) y la conexión opcional con Google para iniciar sesión y/o almacenar comprobantes en Google Drive bajo tu cuenta, según los permisos que concedas en Google.
- Posibilitar enlaces compartidos y, cuando corresponda, cobros en línea, de forma coherente con la configuración del curso y la normativa aplicable al tratamiento de datos personales en ese contexto.
- Cumplir obligaciones legales que nos resulten aplicables y atender requerimientos legítimos.
- Mejorar la estabilidad y el rendimiento del Servicio (p. ej. datos agregados o estadísticos que no te identifiquen de forma directa).
5. Base de licitud por finalidad
Cada tratamiento se apoya en al menos una base de licitud de la Ley N.º 21.719. A continuación indicamos, por finalidad, los datos y la base que la fundamenta:
- Prestar y administrar el Servicio (crear cuenta, gestionar cursos, alumnos, permisos, actividades, rifas, gastos y saldos): datos de cuenta, del curso, de alumnos y apoderados. Base: ejecución del contrato de uso del Servicio.
- Autenticación, seguridad y prevención de abusos (mantener sesión, verificar el número de WhatsApp por OTP, registrar accesos): datos de cuenta, técnicos, IP, ubicación aproximada por IP y logs. Base: ejecución del contrato e interés legítimo en la seguridad de la plataforma.
- Cobros en línea de cuotas y de la suscripción (checkout con Mercado Pago, conciliación con el registro del curso): identificadores y estados de pago. Base: ejecución del contrato y, en lo que corresponda, cumplimiento de obligaciones legales (por ejemplo, respaldo contable/tributario).
- Correos transaccionales (invitaciones, comprobantes, restablecer contraseña) y su seguimiento de entrega: correo y estado del mensaje. Base: ejecución del contrato.
- Lectura automática con IA (OCR) de las cartolas bancarias que importas y de los comprobantes que envías por el bot de WhatsApp: documento y datos extraídos, para proponerte el registro que revisas y confirmas. Base: ejecución del contrato (procesar el registro que solicitaste).
- Envío de comprobantes por WhatsApp a apoderados: teléfono y documento del comprobante. Base: ejecución del contrato con el curso; el tesorero debe contar con la autorización del destinatario.
- Correos de producto y novedades (marketing) y las propiedades de contacto para segmentarlos: correo y estado de la cuenta. Base: consentimiento explícito y separado (opt-in), revocable en cualquier momento.
- Analítica de comportamiento y marketing en el sitio (Google Analytics 4, Google Tag Manager, Meta Pixel): identificadores y eventos de uso. Base: consentimiento otorgado en el banner de cookies.
- Cumplimiento de obligaciones legales y atención de requerimientos legítimos de autoridad. Base: obligación legal.
6. Datos de niños, niñas y adolescentes (NNA)
El Servicio se usa en un contexto escolar y puede tratar datos de estudiantes que sean menores de edad. La Ley N.º 21.719 otorga a los NNA una protección reforzada, y asumimos ese estándar como responsable del tratamiento; no delegamos íntegramente la responsabilidad en el tesorero.
- Qué datos de menores tratamos: nombre del alumno o alumna, número de lista y, de forma opcional, el sexo o género registrado, junto con la información de tesorería asociada (pagos, estado frente a actividades). No solicitamos ni tratamos, de forma deliberada, datos sensibles de menores.
- Finalidad: exclusivamente la gestión de la tesorería del curso (llevar el registro de aportes, actividades y saldos). No los usamos con fines de marketing ni de perfilado.
- Base de licitud: ejecución del encargo de gestión del curso; el tratamiento de datos de un menor requiere la autorización de quien ejerce su representación legal (madre, padre o tutor), salvo las excepciones que la ley contemple.
- Interés superior del NNA y minimización: tratamos estos datos atendiendo al interés superior del niño, niña o adolescente y limitándolos al mínimo necesario para la finalidad indicada.
El tesorero o tesorera que carga estos datos debe contar con las autorizaciones que correspondan según las políticas del colegio o curso; sin perjuicio de ello, cualquier apoderado o representante puede ejercer los derechos del menor o plantear inquietudes por los canales indicados al final, y atenderemos esas solicitudes con el estándar reforzado que exige la ley.
7. Encargados del tratamiento y subproveedores
Para operar el Servicio recurrimos a proveedores que tratan datos por nuestra cuenta (encargados) o que actúan como responsables independientes en su propio ámbito. Con quienes tratan datos en nuestro nombre suscribimos un contrato de encargo que exige niveles adecuados de confidencialidad y seguridad. La mayoría de estos proveedores se encuentran en Estados Unidos (ver la sección de transferencias internacionales). Los principales son:
- Vercel (EE. UU.): alojamiento y ejecución de la aplicación.
- Prisma Postgres (Prisma Data Platform; Washington, D. C., Estados Unidos — región Este): almacenamiento de la base de datos PostgreSQL del Servicio.
- Google LLC (EE. UU.): inicio de sesión con Google (OAuth) y almacenamiento opcional de comprobantes en Google Drive (permiso
drive.file) bajo la cuenta que vincule el curso, según los permisos que otorgues en tu cuenta Google. - Mercado Pago (Mercado Libre): procesamiento de los cobros en línea de cuotas y de la suscripción. El tratamiento propio del flujo de pago (tarjetas y datos del pagador que recabe) se rige por sus términos; intercambiamos con ellos la información mínima para iniciar el checkout y registrar el resultado.
- Resend (EE. UU.): envío de correos transaccionales y —previo consentimiento— de marketing, recepción de correos entrantes hacia nuestras casillas, y seguimiento de entrega y apertura de los mensajes.
- Meta Platforms (EE. UU.): API de WhatsApp Cloud para el envío de comprobantes en PDF y el bot de tesorería (tratando teléfonos y mensajes), y Meta Pixel para analítica y publicidad (solo si aceptas las cookies).
- Google (Analytics 4 y Tag Manager) (EE. UU.): analítica y medición de uso del sitio, solo si aceptas las cookies de analítica.
- OpenAI (EE. UU.): lectura automática con IA (OCR) de las cartolas bancarias que importas y de las imágenes o PDF de comprobantes que envías por el bot de WhatsApp, para extraer los datos del pago que luego revisas y confirmas.
El listado de proveedores puede variar a medida que evoluciona el Servicio; mantendremos esta sección actualizada.
8. Transferencias internacionales
Para operar el Servicio, algunos datos se procesan fuera de Chile, principalmente en Estados Unidos, donde se ubican nuestro proveedor de alojamiento (Vercel), la base de datos, Google, Resend, Meta y OpenAI, entre otros. Esos países pueden tener una legislación de protección de datos distinta a la chilena.
Para estas transferencias adoptamos garantías y resguardos contractuales con los proveedores (incluidas cláusulas de confidencialidad y seguridad en los contratos de encargo) y trataremos de ajustarnos a los requisitos adicionales que la Ley N.º 21.719 establezca para la transferencia internacional a medida que entren en aplicación.
9. Conservación, cierre de cuenta y eliminación de datos
Conservamos los datos mientras mantengas la cuenta activa y sea necesario para prestar el Servicio, y respaldamos la información según políticas de copia de seguridad razonables.
Puedes cerrar y eliminar tu cuenta desde la propia aplicación, mediante la opción de eliminación de cuenta (autoservicio). Al hacerlo:
- Eliminamos o anonimizamos de forma irreversible los datos personales que te identifican, como tu correo, nombre, teléfono de WhatsApp, los tokens de conexión con Google y Mercado Pago y el resumen (hash) de tu contraseña. Este proceso de disociación / anonimización deja los datos sin posibilidad de asociarlos a una persona identificada o identificable.
- Solo conservamos datos disociados o agregados (por ejemplo, estadísticas de uso sin identificar a nadie). Conforme al procedimiento de disociación de la Ley N.º 19.628 y a la anonimización de la Ley N.º 21.719, esos datos dejan de ser datos personales.
- Retenemos únicamente lo estrictamente exigido por una obligación legal (por ejemplo, respaldos asociados a cobros para fines contables o tributarios) por un plazo acotado de 6 años, tras el cual también se elimina o anonimiza.
- Como la cuenta del tesorero o tesorera contiene datos de terceros del curso (apoderados y alumnos, algunos de ellos menores de edad), su eliminación afecta también a esos datos, que se eliminan o anonimizan con el mismo criterio. A los datos de NNA les aplicamos la protección reforzada descrita en la sección de datos de niños, niñas y adolescentes.
Si prefieres no usar el autoservicio, también puedes solicitar la eliminación por el canal de contacto indicado más abajo.
10. Seguridad y notificación de brechas
Aplicamos medidas técnicas y organizativas razonables para proteger los datos frente a accesos no autorizados, pérdida o alteración (por ejemplo, cifrado de credenciales y de tokens de terceros, control de acceso por curso y conexiones cifradas). Ningún sistema es 100 % seguro; si detectas un incidente, notifícalo de inmediato al correo de contacto indicado abajo.
Ante una vulneración de seguridad de datos personales, nos comprometemos a notificarla a la Agencia de Protección de Datos Personales (APDP) dentro de las 72 horas siguientes a que tomemos conocimiento del incidente, y a comunicar a los titulares afectados cuando la brecha implique un riesgo alto para sus derechos, en los términos que exija la normativa vigente.
11. Tus derechos
Como titular de datos personales, la ley chilena te reconoce los siguientes derechos:
- Acceso: saber qué datos tuyos tratamos y obtener una copia.
- Rectificación: corregir datos inexactos, desactualizados o incompletos.
- Cancelación o supresión: pedir que eliminemos tus datos cuando proceda.
- Oposición: oponerte a un tratamiento en los casos que la ley permite.
- Portabilidad: recibir tus datos en un formato estructurado y de uso común, o solicitar su traspaso cuando sea técnicamente posible.
- No ser objeto de decisiones automatizadas: a que no se adopten decisiones que te afecten significativamente basadas únicamente en un tratamiento automatizado, sin intervención humana.
Para ejercer cualquiera de estos derechos o formular consultas sobre esta política, escríbenos al correo indicado a continuación. Podremos pedirte información razonable para verificar tu identidad (por ejemplo, confirmar el control del correo asociado a la cuenta) antes de atender la solicitud, para no revelar datos a terceros. Responderemos dentro de un plazo de 30 días corridos.
Si consideras que no hemos atendido correctamente tu solicitud, podrás reclamar ante la Agencia de Protección de Datos Personales (APDP), una vez que se encuentre en funcionamiento conforme a la Ley N.º 21.719.
Correo de contacto para privacidad:
Si el reclamo corresponde a datos que un curso ingresó sobre ti como apoderado, apoderada o alumno, también puedes contactar directamente a la tesorería o administración del curso; en todo caso, atenderemos las solicitudes que nos dirijas como responsable del tratamiento.
12. Cookies y tecnologías similares
Distinguimos dos tipos de cookies y tecnologías equivalentes (como el almacenamiento local):
- Estrictamente necesarias: imprescindibles para que el Servicio funcione (por ejemplo, mantener tu sesión iniciada y la seguridad). Se usan siempre y no requieren tu consentimiento, porque sin ellas el Servicio no puede prestarse.
- De analítica y marketing: nos ayudan a medir el uso del sitio y a la publicidad. Corresponden a Google Analytics 4 y Google Tag Manager (Google) y a Meta Pixel (Meta). Solo se cargan si prestas tu consentimiento.
Cuando visitas el sitio te mostramos un banner de consentimiento con las opciones «Aceptar todo», «Rechazar todo» y «Personalizar». Al elegir «Personalizar» se abre un panel donde puedes consentir por categoría: las cookies necesarias están siempre activas y no se pueden desactivar, mientras que las de analítica (Google Analytics / Tag Manager) y marketing (Meta Pixel) vienen desmarcadas por defecto y solo se cargan si las activas y guardas tu selección (también puedes «Aceptar solo las necesarias»). Mientras no elijas, esas herramientas no se cargan ni se envían datos a esos terceros con esos fines.
Puedes cambiar tu elección en cualquier momento desde el propio banner o el enlace de configuración de cookies del sitio, y también gestionar o borrar cookies desde la configuración de tu navegador. Al aceptar cookies de analítica y marketing, ten presente que Google y Meta actúan como destinatarios de esos datos según sus propias políticas de privacidad.
13. Comunicaciones de marketing
Los correos de producto y novedades (por ejemplo, sugerencias para crear tu curso o anuncios de funciones) son opcionales y se envían solo si has dado tu consentimiento (opt-in); no forman parte del servicio por defecto. Puedes revocar ese consentimiento en cualquier momento con el enlace para desuscribirte al pie de esos correos. La baja no afecta los mensajes transaccionales necesarios para operar el Servicio (comprobantes, invitaciones al curso, restablecer contraseña, avisos sobre tu suscripción, etc.), que se seguirán enviando mientras mantengas la cuenta.
14. Delegado de protección de datos y evaluaciones de impacto
En atención a la escala del Servicio y a que tratamos datos de niños, niñas y adolescentes, evaluamos de forma continua la conveniencia de designar un delegado de protección de datos y de realizar evaluaciones de impacto en protección de datos (EIPD) para los tratamientos que puedan implicar un riesgo mayor, conforme a la Ley N.º 21.719. Actualizaremos esta política si designamos un delegado.
15. Cambios
Podemos actualizar esta política para reflejar cambios legales o del Servicio. Publicaremos la versión vigente en esta misma URL e indicaremos la fecha de actualización. El uso continuado del Servicio tras cambios relevantes puede implicar la aceptación de la nueva política, salvo que la ley exija un procedimiento distinto.
16. Contacto
Responsable del tratamiento: Caja de Curso, RUT 18.667.449-9, con domicilio en Chile. Puedes contactar al responsable y ejercer tus derechos por el correo indicado en la sección «Tus derechos»; el domicilio y demás datos de identificación se facilitan cuando lo requiera el titular o la Agencia de Protección de Datos Personales (APDP).
Consultas sobre privacidad: utiliza el correo indicado en la sección «Tus derechos» cuando esté configurado, o los datos de contacto que publique el operador en el sitio oficial del Servicio.