Última actualización: 5 de junio de 2026. Responsable: Comercial Villaseca SpA (77.075.640-5), Cerro El Plomo 5931 of. 1011, Las Condes, Santiago, Chile (7561160) · info@simfour.com. Representante legal: Claudio Villaseca Recasens, Gerente General, RUT 7.127.679-1. Oficial de Cumplimiento y de Protección de Datos: Nicolás Villaseca Soria, RUT 19.686.858-5. Contacto privacidad: info@simfour.com.
Registro de Actividades de Tratamiento (RAT) — SIMFOUR responsable
Actividades donde Comercial Villaseca SpA actúa como responsable del tratamiento. Los datos de tenants de clientes se registran en el MPI de cada organización; SIMFOUR actúa allí como encargado.
| Tratamiento | Titulares | Datos | Finalidad | Base licitud | Destinatarios | Conservación | Transferencias |
|---|---|---|---|---|---|---|---|
| Navegación del sitio web público | Visitantes de www.simfour.com | IP, agente de usuario, páginas visitadas, idioma, cookies técnicas (sesión, CSRF). | Operar el sitio, seguridad, estadísticas agregadas de uso. | Interés legítimo; cumplimiento de medidas de seguridad. | Encargados de hosting (AWS u homólogo), sin cesión comercial. | Logs técnicos: hasta 12 meses salvo incidente de seguridad. | Posible procesamiento en EE. UU. (infraestructura cloud) con cláusulas contractuales. |
| Chat comercial en landing | Personas que solicitan contacto comercial | Nombre, teléfono, correo, empresa, mensajes del chat, identificador de sesión. | Responder consultas, agendar visitas, elaborar presupuestos. | Consentimiento al enviar datos; medidas precontractuales a solicitud del titular. | Personal comercial SIMFOUR; correo transaccional; WhatsApp Meta si el flujo lo usa. | Hasta 24 meses desde último contacto o cierre de oportunidad comercial. | Proveedores de mensajería/correo pueden operar fuera de Chile. |
| Cuentas de acceso a la plataforma SaaS | Usuarios autorizados por organizaciones clientes | Identificación, correo, cargo, credenciales (hash), logs de acceso, preferencias. | Autenticación, autorización, soporte, trazabilidad operativa del servicio. | Ejecución del contrato entre SIMFOUR y el cliente; obligación legal de seguridad. | Cliente responsable; encargados tecnológicos de SIMFOUR bajo contrato. | Vigencia del contrato + plazos legales y de responsabilidad (hasta 5 años típico). | Infraestructura en nube; autenticación corporativa (p. ej. Microsoft) si el cliente la activa. |
| Soporte y comunicaciones operativas del servicio | Usuarios y contactos designados por clientes | Tickets, correos, capturas, metadatos de incidencias. | Resolver incidencias, mantenimiento, avisos del sistema contratado. | Contrato; interés legítimo en calidad del servicio. | Equipo soporte SIMFOUR; herramientas de ticketing/correo contratadas. | Hasta 36 meses desde cierre del ticket o fin de contrato, lo que sea mayor si hay reclamo. | Según proveedores de soporte y correo. |
| Datos tratados como encargado en tenants de clientes | Colaboradores, proveedores, denunciantes y terceros del cliente | Los definidos por el cliente al usar módulos (documentos, riesgo, denuncias, etc.). | Prestación del SaaS según instrucciones del cliente responsable. | Contrato de servicio y anexo encargado (DPA); licitud definida por el cliente. | Solo según instrucciones documentadas del cliente y subencargados autorizados. | Según configuración y política del cliente; SIMFOUR elimina al término del contrato. | Subencargados listados en el DPA; notificación de cambios al cliente. |
Modelo de anexo — Encargado del tratamiento (DPA)
Cláusulas tipo que complementan el contrato de servicio SaaS cuando el cliente es responsable y SIMFOUR trata datos por su cuenta. Incorpórelas al contrato o orden de compra.
Objeto y duración. El Encargado (Comercial Villaseca SpA / SIMFOUR) tratará datos personales por cuenta del Responsable (cliente) exclusivamente para prestar la plataforma SIMFOUR, durante la vigencia del contrato y hasta la devolución o destrucción certificada de los datos.
Instrucciones documentadas. El Encargado solo tratará datos según instrucciones documentadas del Responsable, la configuración del sistema y la ley. Si una instrucción infringe la ley, el Encargado lo comunicará al Responsable.
Confidencialidad. Personal y colaboradores del Encargado con acceso a datos quedan sujetos a confidencialidad contractual y organizativa.
Medidas de seguridad. El Encargado implementa medidas técnicas y organizativas acordes al riesgo: control de acceso, cifrado en tránsito, respaldos, registro de actividad, segregación multi-tenant por empresa.
Subencargados. El Responsable autoriza subencargados necesarios (infraestructura cloud, correo transaccional, mensajería WhatsApp si está activa). El Encargado informará cambios relevantes con antelación razonable.
Asistencia al Responsable. El Encargado asiste al Responsable en solicitudes de derechos de titulares, notificación de brechas cuando sea exigible, y evaluaciones de impacto cuando el tratamiento del cliente lo requiera en la plataforma.
Supresión y devolución. Al término del contrato, el Encargado suprime o devuelve los datos personales del tenant, salvo conservación exigida por ley chilena o bloqueo por reclamo pendiente.
Auditoría. El Responsable puede solicitar información y evidencias razonables de cumplimiento (políticas, certificados de infraestructura, registros de incidentes), con coordinación previa y sin afectar otros clientes.
Procedimiento de atención de derechos (ARCO+)
Flujo interno SIMFOUR para solicitudes de acceso, rectificación, supresión, oposición, portabilidad y bloqueo.
-
1. Recepción
El titular envía solicitud a info@simfour.com indicando: nombre completo, RUT o identificación, correo de contacto, derecho que ejerce (acceso, rectificación, supresión, oposición, portabilidad, bloqueo) y descripción clara del tratamiento concernido. -
2. Verificación de identidad
SIMFOUR puede solicitar antecedentes razonables para confirmar identidad o representación (mandato, poder simple, coincidencia con cuenta registrada). No se atienden solicitudes anónimas salvo que la ley lo permita expresamente. -
3. Rol responsable / encargado
Si los datos son del tenant de un cliente, SIMFOUR redirige al responsable (organización contratante) y coopera técnicamente. Si SIMFOUR es responsable (sitio, chat, cuenta de acceso propia), tramita directamente. -
4. Respuesta
Se responde por escrito al correo del solicitante dentro de los plazos de la Ley 21.719. Puede denegarse total o parcialmente con fundamento legal expreso. -
5. Registro
Toda solicitud y respuesta se registra internamente (fecha, derecho, resultado, responsable interno) para acreditar cumplimiento ante la Agencia de Protección de Datos Personales. -
6. Reclamo
Si el titular no está conforme, puede reclamar ante la Agencia de Protección de Datos Personales de Chile.
Para ejercer derechos: info@simfour.com. Política pública: Política de Privacidad · Términos de uso.
Last updated: 5 June 2026. Controller: Comercial Villaseca SpA (77.075.640-5), Cerro El Plomo 5931 of. 1011, Las Condes, Santiago, Chile (7561160) · info@simfour.com. Legal representative: Claudio Villaseca Recasens, Gerente General, RUT 7.127.679-1. Compliance and Data Protection Officer: Nicolás Villaseca Soria, RUT 19.686.858-5. Privacy contact: info@simfour.com.
Record of Processing Activities (RAT) — SIMFOUR as controller
Activities where Comercial Villaseca SpA acts as controller of processing. Client tenant data is recorded in each organisation's MPI; SIMFOUR acts there as processor.
| Processing | Data subjects | Data | Purpose | Lawful basis | Recipients | Retention | Transfers |
|---|---|---|---|---|---|---|---|
| Public website browsing | Visitors to www.simfour.com | IP, user agent, pages visited, language, technical cookies (session, CSRF). | Operate the site, security, aggregated usage statistics. | Legitimate interest; security compliance measures. | Hosting providers (AWS or equivalent); no commercial disclosure. | Technical logs: up to 12 months unless a security incident applies. | Possible processing in the U.S. (cloud infrastructure) with contractual safeguards. |
| Commercial chat on landing pages | People requesting commercial contact | Name, phone, email, company, chat messages, session identifier. | Answer enquiries, schedule visits, prepare quotes. | Consent when submitting data; pre-contractual measures at the data subject's request. | SIMFOUR sales staff; transactional email; Meta WhatsApp if the flow uses it. | Up to 24 months from last contact or closure of the commercial opportunity. | Messaging/email providers may operate outside Chile. |
| SaaS platform access accounts | Users authorised by client organisations | Identification, email, role, credentials (hash), access logs, preferences. | Authentication, authorisation, support, operational traceability of the service. | Performance of the contract between SIMFOUR and the client; legal security obligations. | Responsible client; SIMFOUR technology processors under contract. | Contract term + legal and liability periods (typically up to 5 years). | Cloud infrastructure; corporate authentication (e.g. Microsoft) if enabled by the client. |
| Service support and operational communications | Users and contacts designated by clients | Tickets, emails, screenshots, incident metadata. | Resolve incidents, maintenance, notices for the contracted system. | Contract; legitimate interest in service quality. | SIMFOUR support team; contracted ticketing/email tools. | Up to 36 months from ticket closure or contract end, longer if a claim is pending. | According to support and email providers. |
| Data processed as processor in client tenants | Employees, suppliers, reporters and third parties of the client | Those defined by the client when using modules (documents, risk, complaints, etc.). | SaaS provision according to the responsible client's instructions. | Service contract and processor annex (DPA); lawfulness defined by the client. | Only per documented client instructions and authorised sub-processors. | Per client configuration and policy; SIMFOUR deletes at contract termination. | Sub-processors listed in the DPA; changes notified to the client. |
Template annex — Data processor (DPA)
Template clauses supplementing the SaaS agreement when the client is controller and SIMFOUR processes data on its behalf. Incorporate them into the contract or purchase order.
Purpose and duration. The Processor (Comercial Villaseca SpA / SIMFOUR) shall process personal data on behalf of the Controller (client) exclusively to provide the SIMFOUR platform, for the contract term and until return or certified destruction of the data.
Documented instructions. The Processor shall only process data per documented instructions from the Controller, system configuration and the law. If an instruction breaches the law, the Processor shall notify the Controller.
Confidentiality. Processor staff and collaborators with access to data are bound by contractual and organisational confidentiality.
Security measures. The Processor implements technical and organisational measures appropriate to the risk: access control, encryption in transit, backups, activity logging, multi-tenant segregation per company.
Sub-processors. The Controller authorises necessary sub-processors (cloud infrastructure, transactional email, WhatsApp messaging if active). The Processor shall inform relevant changes with reasonable notice.
Assistance to the Controller. The Processor assists the Controller with data-subject requests, breach notification when required, and impact assessments when the client's processing on the platform requires them.
Erasure and return. At contract termination, the Processor erases or returns tenant personal data, except retention required by Chilean law or blocking due to a pending claim.
Audit. The Controller may request reasonable information and evidence of compliance (policies, infrastructure certificates, incident records), with prior coordination and without affecting other clients.
Data-subject rights procedure (ARCO+)
SIMFOUR internal workflow for access, rectification, erasure, objection, portability and blocking requests.
-
1. Receipt
The data subject sends a request to info@simfour.com stating: full name, ID, contact email, right exercised (access, rectification, erasure, objection, portability, blocking) and a clear description of the processing concerned. -
2. Identity verification
SIMFOUR may request reasonable evidence to confirm identity or representation (mandate, simple power of attorney, match with a registered account). Anonymous requests are not handled unless expressly permitted by law. -
3. Controller / processor role
If the data belong to a client tenant, SIMFOUR refers to the controller (contracting organisation) and cooperates technically. If SIMFOUR is the controller (site, chat, own access account), it handles the request directly. -
4. Response
A written reply is sent to the requester's email within the time limits of Chilean Law No. 21.719. It may be refused in whole or in part with an express legal basis. -
5. Record
Every request and response is recorded internally (date, right, outcome, internal owner) to demonstrate compliance before Chile's Personal Data Protection Agency. -
6. Complaint
If the data subject is not satisfied, they may lodge a complaint with Chile's Personal Data Protection Agency.
To exercise your rights: info@simfour.com. Public policy: Privacy Policy · Terms of use.
