Política de Privacidad

Vigente desde: 27 de marzo de 2026

1. Responsable del tratamiento

Bandaidly es un servicio operado por Core Stack SpA, con domicilio en Santiago, Chile. Correo de contacto: privacy@bandaidly.handup.mobi.

2. Datos que recopilamos

Recopilamos los siguientes datos personales:

  • Datos de cuenta: nombre, apellido, correo electrónico, contraseña (almacenada como hash bcrypt, nunca en texto plano).
  • Datos de Gmail (con tu autorización explícita): cuando autorizas acceso a tu cuenta Gmail mediante OAuth 2.0, accedemos en modo solo lectura (gmail.readonly) a los correos que contengan documentos tributarios electrónicos (DTE) como facturas en formato XML y PDF. No accedemos a ningún otro tipo de correo ni contenido.
  • Datos tributarios: información extraída de los DTE procesados (RUT emisor/receptor, razón social, montos, folios, fecha de emisión).
  • Datos técnicos: dirección IP, user agent, timestamps de acceso, logs de auditoría.

3. Cómo usamos los datos

Utilizamos tus datos exclusivamente para:

  • Autenticarte y gestionar tu cuenta en la plataforma.
  • Leer correos de tu Gmail que contengan DTEs (facturas electrónicas, notas de crédito, notas de débito).
  • Extraer y almacenar la información tributaria de los documentos para su visualización.
  • Mostrarte un dashboard con tus documentos tributarios procesados.
  • Generar reportes y exportaciones de datos tributarios para tu farmacia.

4. Uso de datos de Google — Cumplimiento de Limited Use

El uso que Bandaidly hace de la información recibida de las APIs de Google se adhiere a la Política de Datos de Usuario de los Servicios API de Google, incluyendo los requisitos de Uso Limitado (Limited Use).

Específicamente, Bandaidly:

  • Limita el uso de datos exclusivamente a proporcionar y mejorar las funcionalidades visibles para el usuario en la interfaz de la aplicación (procesamiento y visualización de DTEs).
  • No transfiere datos de Google a terceros, excepto cuando sea necesario para proporcionar o mejorar funcionalidades visibles al usuario, por razones de seguridad (investigar abuso), para cumplir con leyes aplicables, o en caso de fusión/adquisición con consentimiento previo del usuario.
  • No permite que personas lean datos de usuario, a menos que: el usuario haya dado consentimiento afirmativo para ver contenido específico, sea necesario por razones de seguridad, sea requerido por ley, o los datos estén agregados y se usen para operaciones internas conforme a la legislación de privacidad aplicable.

5. Lo que NO hacemos con tus datos

Bandaidly explícitamente NO:

  • Vende, alquila ni transfiere tus datos personales o datos de Google a terceros.
  • Utiliza datos de Google para publicidad, retargeting, anuncios personalizados ni los comparte con plataformas publicitarias.
  • Comparte datos con data brokers o revendedores de información.
  • Utiliza datos para evaluación crediticia, préstamos o decisiones financieras.
  • Utiliza datos para vigilancia, monitoreo o seguimiento de personas.
  • Envía, elimina ni modifica correos en tu cuenta Gmail.
  • Accede a contenido de correos que no contengan documentos tributarios.

6. Acceso a Gmail — Detalle técnico

Bandaidly solicita el permiso de solo lectura (gmail.readonly) sobre tu cuenta Gmail a través de OAuth 2.0 de Google. Esto significa que:

  • Solo leemos correos; nunca enviamos, eliminamos ni modificamos tus mensajes.
  • Procesamos selectivamente: solo correos que contengan archivos adjuntos XML o PDF correspondientes a DTEs del SII de Chile.
  • Tokens cifrados: los tokens de acceso (refresh tokens) se almacenan cifrados con AES-256-GCM en nuestra base de datos.
  • Revocación inmediata: puedes desconectar tu cuenta Gmail en cualquier momento desde tu panel en Bandaidly o desde la configuración de permisos de tu cuenta Google.
  • Historial limitado: el procesamiento de correos abarca un máximo de 6 meses desde la fecha de conexión.

7. Almacenamiento y seguridad de datos

Implementamos las siguientes medidas de seguridad:

  • Cifrado en tránsito: todas las comunicaciones usan TLS/HTTPS.
  • Cifrado de tokens: los tokens OAuth de Gmail se cifran con AES-256-GCM antes de almacenarse.
  • Hashing de contraseñas: las contraseñas se hashean con bcrypt (factor de costo 12).
  • Sesiones seguras: tokens de sesión de 256 bits, almacenando solo el hash SHA-256.
  • Aislamiento de datos: cada farmacia (tenant) tiene sus datos completamente aislados mediante Row Level Security (RLS) en PostgreSQL.
  • Base de datos de DTEs: los documentos procesados se almacenan en MongoDB con conexión TLS.
  • Auditoría: todas las acciones relevantes se registran en logs de auditoría.

8. Compartición de datos con terceros

No compartimos tus datos personales ni datos obtenidos de Google con ningún tercero, excepto en los siguientes casos limitados:

  • Proveedores de infraestructura: utilizamos servidores para alojar el servicio. Los datos se almacenan cifrados y los proveedores no tienen acceso al contenido.
  • Requerimiento legal: cuando sea exigido por ley, orden judicial o autoridad competente chilena.
  • Protección de seguridad: para investigar, prevenir o actuar ante actividades ilegales, fraude o amenazas a la seguridad.

9. Retención y eliminación de datos

  • Datos de cuenta: se conservan mientras tu cuenta esté activa.
  • Tokens de Gmail: al desconectar una cuenta Gmail, los tokens se eliminan inmediatamente de nuestra base de datos.
  • DTEs procesados: se conservan como registro tributario. Puedes solicitar su eliminación.
  • Logs de auditoría: se conservan por 12 meses y luego se eliminan automáticamente.
  • Eliminación completa: puedes solicitar la eliminación total de tus datos contactándonos a privacy@bandaidly.handup.mobi. Procesaremos tu solicitud en un plazo máximo de 30 días.

10. Tus derechos

De acuerdo con la legislación chilena (Ley 19.628 sobre Protección de la Vida Privada), tienes derecho a:

  • Acceso: solicitar una copia de tus datos personales almacenados.
  • Rectificación: corregir datos inexactos o incompletos.
  • Eliminación: solicitar la eliminación de tus datos personales.
  • Revocación: revocar el acceso a tu cuenta Gmail en cualquier momento.
  • Portabilidad: exportar tus datos tributarios procesados.
  • Oposición: oponerte al procesamiento de tus datos.

Para ejercer cualquiera de estos derechos, contacta a privacy@bandaidly.handup.mobi. Responderemos en un plazo máximo de 15 días hábiles.

11. Menores de edad

Bandaidly no está dirigido a menores de 18 años. No recopilamos intencionalmente datos de menores. Si eres padre o tutor y crees que tu hijo ha proporcionado datos personales, contáctanos para eliminarlos. Bandaidly no utiliza Google Sign-In ni APIs de Google para recopilar datos de menores de edad.

12. Cambios a esta política

Podemos actualizar esta política periódicamente. Los cambios significativos se notificarán a los usuarios registrados por correo electrónico y se publicarán en esta página con la fecha de vigencia actualizada. El uso continuado del servicio después de la notificación implica aceptación de los cambios. No implementaremos nuevos usos de datos sin informarte previamente.

13. Contacto

Para cualquier consulta sobre esta política de privacidad o el tratamiento de tus datos: