SST Chile SpA es el responsable del tratamiento de los datos personales recopilados a través de su plataforma.

Representante Legal y Responsable de Protección de Datos: Mauricio Loy Decebal-Cuza RUT: 13.435.477-1 Domicilio: Las Lavándulas 11245, Las Condes, Santiago, RM Correo electrónico: contacto@ssayer.com

El responsable de protección de datos supervisa el cumplimiento de las políticas de protección de datos, gestiona el ejercicio de derechos de los titulares, y actúa como punto de contacto con la Agencia de Protección de Datos Personales (ANPD).

SoothSayer recopila y trata las siguientes categorías de datos personales:

a) Datos de Identificación:

• Rol Único Tributario (RUT)

• Nombre completo o razón social

• Dirección de correo electrónico

b) Datos Tributarios, Contables y Financieros:

• Información de obligaciones económicas y tributarias

• Perfil tributario del contribuyente

• Declaraciones mensuales y anuales de impuestos (Formularios 22 y 29)

• Dirección Regional del SII bajo la cual efectúa declaraciones

• Procesos de fiscalización abiertos con el SII

• Anotaciones tributarias

• Notificaciones recibidas del SII

• Ingresos declarados y estimados

• Renta tributable y/o pérdidas de arrastre

• Agregados y/o deducciones a nivel de renta líquida imponible

• Capital propio tributario y registro de rentas empresariales

• Comportamiento de pago

• Existencia de multas, giros o liquidaciones de impuestos

c) Documentos Voluntarios:

• Documentos de carácter contable, financiero o legal que el usuario suba voluntariamente a su perfil

Los datos personales son obtenidos exclusivamente desde las siguientes fuentes:

a) Información proporcionada directamente por el usuario al registrarse en la plataforma (nombre, RUT, correo electrónico).

b) Página personal del titular en el sitio web del Servicio de Impuestos Internos (www.sii.cl), a la cual SoothSayer accede mediante el RUT y clave del titular, en virtud de la autorización expresa otorgada por el usuario al aceptar los Términos y Condiciones, y conforme a las medidas de manejo seguro de credenciales y datos descritas en el presente documento.

c) Documentos que el propio usuario cargue voluntariamente a su perfil en la plataforma.

d) Información de acceso público obtenida de bases de datos del SII, Banco Central, Ministerio de Hacienda, Dirección del Trabajo, Tribunales de Justicia, y mediante solicitudes de transparencia conforme a la Ley N° 20.285. Esta información es general, anonimizada y no permite identificación de titulares específicos.

SoothSayer no extrae, procesa ni trata información de fuentes distintas a las señaladas.

SoothSayer no recopila, procesa, almacena ni trata los siguientes datos personales de carácter sensible, según la definición establecida en la normativa aplicable. En particular, quedan expresamente excluidos del tratamiento:

• Origen étnico o racial

• Afiliación política, sindical o gremial

• Situación socioeconómica personal no derivada de información tributaria oficial

• Convicciones ideológicas o filosóficas

• Creencias religiosas

• Datos relativos a la salud, al perfil biológico humano o datos biométricos

• Información relativa a la vida sexual, orientación sexual o identidad de género

Los datos personales recopilados se utilizan exclusivamente para las siguientes finalidades:

a) Elaboración de estimación de probabilidad de contingencia en materia tributaria, considerando probabilidad de fiscalización, probabilidad de objeción, probabilidad de litigio, y probabilidad de obtención de sentencias favorables o desfavorables.

b) Estimación de la exposición esperada del titular en materia tributaria, expresada en unidades de fomento.

c) Realización de proyecciones y análisis de tendencias relacionados con las probabilidades de contingencia y niveles de exposición del titular.

d) Almacenamiento de consultas históricas para mejora continua de modelos predictivos y algoritmos. Estas consultas se seudonimizan de manera irreversible, eliminando identificadores directos desde la fecha de cada consulta, eliminando RUT, nombre y razón social, conservando únicamente datos agregados que no permiten identificación del titular.

e) Comunicación con el usuario sobre su cuenta, servicios contratados, y actualizaciones de la plataforma.

El tratamiento de datos personales se realiza con base en:

a) Consentimiento libre, informado y específico del titular, otorgado al aceptar los Términos y Condiciones y al proporcionar sus credenciales de acceso al SII.

b) Ejecución del contrato de servicios entre SoothSayer y el usuario.

c) Cumplimiento de obligaciones legales aplicables a SoothSayer.

SoothSayer implementa las siguientes medidas de seguridad para proteger los datos personales:

a) Infraestructura y Arquitectura:

• Hosting en infraestructura de clase empresarial (Northflank)

• Bases de datos gestionadas con alta disponibilidad (MongoDB, PostgreSQL)

• Almacenamiento seguro en la nube (AWS S3)

• Caché distribuido (Redis)

• Gestión de identidad y acceso (Keycloak)

• Servicios de mensajería y eventos (AWS SQS, EventBridge)

b) Encriptación:

• Todas las comunicaciones están protegidas mediante HTTPS/TLS

• Credenciales de usuario encriptadas con algoritmos seguros

• Gestión de claves mediante arquitectura zero-trust (AWS KMS)

• Datos tributarios almacenados con encriptación en reposo

• Comunicación entre servicios internos mediante acceso privado con políticas de ciclo de vida

c) Control de Acceso:

• Sistema de autenticación y autorización basado en roles (Keycloak)

• Control de acceso basado en tokens de sesión: solo el usuario autenticado puede acceder a sus propios datos

• Acceso a sistemas de producción mediante red privada virtual corporativa (VPN)

• Acceso del equipo técnico requiere aprobación previa del responsable de protección de datos

• Credenciales de acceso temporal con vigencia limitada

• Registro auditable de todos los accesos a datos de producción

d) Trazabilidad y Auditoría:

• Toda extracción desde el SII se registra con: URL de origen, timestamp, formularios consultados

• Todas las acciones en cada consulta quedarán registradas

• Logs del sistema con registro de: usuario, timestamp, actividad realizada

• Conservación de registros por 7 años

• Logs disponibles para auditoría cuando corresponda

• Sistema de monitoreo centralizado en proceso de implementación (DataDog, CloudWatch)

e) Almacenamiento y Eliminación:

• Datos personales (RUT, nombre, email) almacenados en base de datos con acceso protegido

• Datos tributarios con encriptación en reposo

• Documentos del usuario en S3 privado con políticas de ciclo de vida

• Eliminación automática de datos temporales según políticas configuradas

• Capacidad de eliminación completa de cuenta por el usuario desde la plataforma

f) Políticas de Acceso Interno:

• Acceso restringido exclusivamente a equipo técnico autorizado (3 ingenieros + CTO)

• Acceso solo para actividades de depuración de errores y soporte técnico

• Aprobación previa requerida del responsable de protección de datos

• Cada solicitud de acceso documentada con justificación

• Prohibida descarga de datos personales fuera de sistemas de producción

Los datos personales se almacenan en servidores ubicados en centros de datos en Estados Unidos, operando en infraestructura de nivel empresarial con certificaciones de seguridad internacionales.

Los proveedores de infraestructura cumplen o prometen cumplir con estándares internacionales de seguridad y privacidad dentro de este año, incluyendo certificaciones como SOC 2, ISO 27001, y otras certificaciones relevantes según corresponda.

a) Datos de cuenta activa: Se conservan mientras la cuenta del usuario permanezca activa.

b) Datos de consultas: Se conservan por un período de 3 años desde la fecha de cada consulta, expirado el cual se anonimizan de manera irreversible. La anonimización elimina permanentemente el RUT, nombre y razón social, conservando únicamente datos agregados y estadísticos que no permiten la identificación del titular.

c) Datos tras ejercicio del derecho de supresión: Se eliminan de manera completa y definitiva dentro de un plazo máximo de 7 días hábiles desde la solicitud.

d) Logs y registros de auditoría: Se conservan por un período de 7 años para cumplir con requisitos de auditoría y trazabilidad.

a) Empresas relacionadas: Los datos personales y los resultados históricos de consultas pueden ser compartidos con empresas relacionadas con SoothSayer en los términos del artículo 146 de la Ley Nº 18.046, exclusivamente para las finalidades declaradas en esta política. El usuario otorga autorización expresa para esta cesión al aceptar los Términos y Condiciones.

b) Proveedores de servicios: SoothSayer utiliza proveedores de infraestructura y servicios (hosting, bases de datos, almacenamiento en la nube) que pueden tener acceso técnico a los datos en su rol de procesadores de datos. Estos proveedores están sujetos a obligaciones contractuales de confidencialidad y seguridad.

c) Autoridades: SoothSayer puede divulgar datos personales cuando sea requerido por ley o por orden judicial, o cuando sea necesario para proteger los derechos, propiedad o seguridad de SoothSayer, sus usuarios, o el público.

SoothSayer no vende, alquila ni comercializa datos personales a terceros para fines de marketing u otros no relacionados con los servicios prestados.

El titular de datos personales tiene los siguientes derechos, los cuales puede ejercer gratuitamente:

a) Derecho de Acceso: Solicitar y obtener confirmación sobre qué datos personales están siendo tratados, accediendo a los mismos a través de su perfil en la plataforma o solicitándolo mediante formulario o correo electrónico.

b) Derecho de Rectificación: Solicitar la rectificación de datos inexactos, desactualizados o incompletos. Dado que los datos provienen del SII, este derecho requiere respaldo de rectificación ante el SII.

c) Derecho de Revocación: Revocar la autorización para el tratamiento de datos, lo cual producirá la anonimización inmediata de los datos (o eliminación si se ejerce junto con derecho de supresión).

d) Derecho de Oposición: Oponerse al tratamiento de datos, lo cual producirá la anonimización inmediata (o eliminación si se ejerce junto con derecho de supresión).

e) Derecho de Supresión: Solicitar la eliminación completa y definitiva de los datos personales. Este derecho puede ejercerse mediante la opción "Eliminar mi cuenta" en la plataforma (eliminación inmediata) o mediante formulario/correo electrónico (procesado en 7 días hábiles).

f) Derecho de Bloqueo: Solicitar la suspensión temporal del tratamiento de datos. El ejercicio de este derecho produce el bloqueo de acceso y requiere autorización expresa del titular para levantar el bloqueo.

g) Derecho de Portabilidad: Recibir una copia de los datos en formato estructurado (JSON o CSV). Este derecho puede ejercerse mediante descarga directa desde la plataforma o solicitando transmisión a otra plataforma (requiere autorización del responsable de protección de datos).

Los derechos pueden ejercerse mediante:

a) Formulario de ejercicio de derechos disponible en el sitio web de SoothSayer.

b) Correo electrónico a contacto@ssayer.com

c) Opciones disponibles directamente en el perfil de usuario en la plataforma (para derechos de acceso, descarga de datos, y eliminación de cuenta).

Plazo de respuesta: SoothSayer se compromete a responder las solicitudes en un plazo máximo de 7 días hábiles desde su recepción. Las acciones ejercidas directamente desde la plataforma (eliminación de cuenta, descarga de datos) son inmediatas.

En caso de incidente de seguridad que pueda afectar los datos personales del titular, SoothSayer notificará al usuario dentro del plazo de 72 horas desde el conocimiento del incidente, informando:

• Naturaleza del incidente

• Datos potencialmente afectados

• Medidas adoptadas para mitigar el riesgo

• Recomendaciones para el usuario

SoothSayer notificará también a la Agencia de Protección de Datos Personales (APDP) cuando corresponda conforme a la legislación aplicable.

SoothSayer utiliza cookies y tecnologías similares para:

a) Mantener la sesión del usuario autenticado b) Recordar preferencias del usuario c) Analizar el uso de la plataforma para mejorar la experiencia del usuario d) Fines de seguridad (prevención de fraude, detección de actividad anómala)

El usuario puede configurar su navegador para rechazar cookies, aunque esto puede afectar la funcionalidad de la plataforma.

Los servicios de SoothSayer no están dirigidos a menores de 18 años. SoothSayer no recopila intencionalmente datos personales de menores de edad. Si SoothSayer toma conocimiento de que ha recopilado datos de un menor de edad sin consentimiento parental, eliminará dichos datos de manera inmediata.

Los datos personales se almacenan en servidores ubicados en Estados Unidos. El usuario, al aceptar los Términos y Condiciones y esta Política de Privacidad, consiente expresamente la transferencia internacional de sus datos personales a Estados Unidos para los fines descritos en esta política.

Los proveedores de infraestructura en Estados Unidos implementan medidas de seguridad conformes a estándares internacionales y están sujetos a obligaciones contractuales de protección de datos.

SoothSayer se reserva el derecho de modificar esta Política de Privacidad cuando sea necesario para reflejar cambios en las prácticas de tratamiento de datos o en la legislación aplicable. En caso de modificaciones sustanciales, el usuario será notificado por correo electrónico con al menos 15 días de anticipación a la entrada en vigor de la nueva política.

La versión actualizada de esta política estará siempre disponible en el sitio web de SoothSayer y mostrará la fecha de última actualización.

Para cualquier consulta, solicitud o reclamo relacionado con la protección de datos personales, el usuario puede contactar a:

SoothSayer Technologies Chile 
Responsable de Protección de Datos: Mauricio Loy Decebal-Cuza 
Correo electrónico: contacto@ssayer.com 
Domicilio: Las Lavándulas 11245, Las Condes, Santiago, Región Metropolitana

Para consultas o reclamos ante la autoridad de protección de datos contactar a:

Agencia de Protección de Datos Personales (APDP) 
o 
Consejo para la Transparencia 
(https://www.consejotransparencia.cl/proteccion-datos-personales/)

Esta Política de Privacidad se rige por las leyes de la República de Chile, específicamente:

• Ley N° 19.628 sobre Protección de la Vida Privada

• Ley N° 20.575 sobre el Principio de Finalidad en el Tratamiento de Datos Personales

• Ley N° 21.719 sobre Protección de Datos Personales

• Instrucciones y normativas emitidas por la Agencia de Protección de Datos Personales (APDP)