Política de Privacidad
Cómo recopilamos, usamos y protegemos sus datos personales, conforme a la Ley 19.628, Ley 21.719 y normativa chilena vigente.
Última actualización: 4 de abril de 2026
Sección 1
Responsable y Encargado del Tratamiento
Lynthex desempeña dos roles distintos según el tipo de datos, conforme a la Ley 21.719:
- Como Responsable del Tratamiento, Lynthex SpA determina los fines y medios respecto de (i) los datos de quienes visitan este sitio web, y (ii) los datos de cuenta, contacto y facturación de la persona o empresa que contrata el servicio.
- Como Encargado del Tratamiento, Lynthex SpA trata, por cuenta y según las instrucciones de la empresa-cliente, los datos personales que esta gestiona sobre sus trabajadores, contratistas y demás titulares dentro de la plataforma. En estos casos, la empresa-cliente (el empleador) es el Responsable del Tratamiento; Lynthex actúa como proveedor tecnológico que procesa esos datos en su nombre.
Lynthex SpA es una sociedad constituida conforme a las leyes de la República de Chile. Para consultas sobre esta política o sobre los datos en que Lynthex es Responsable, puede contactarnos a través de:
- Correo electrónico: privacidad@lynthex.cl
- Sitio web: lynthex.com
Si usted es trabajador o contratista de una empresa que utiliza Lynthex y su consulta se refiere a los datos que su empleador gestiona en la plataforma, trasladaremos su solicitud al Responsable correspondiente (su empleador).
Sección 2
Datos que Recopilamos
Dependiendo del uso de la plataforma, podemos recopilar las siguientes categorías de datos personales:
Datos de identificación
Nombre completo, RUT, correo electrónico, número de teléfono, nacionalidad, fecha de nacimiento y género.
Datos laborales
Cargo, departamento, tipo de contrato, fecha de inicio y término, remuneración base, AFP, sistema de salud y datos bancarios para remuneraciones.
Datos de salud ocupacional
Registros de accidentes laborales, seguimientos médicos, evaluaciones de riesgo y análisis seguros de trabajo (AST). Estos constituyen datos sensibles conforme a la Ley 21.719 y reciben protección reforzada.
Datos de uso y técnicos
Dirección IP, tipo de navegador, registros de sesión, logs de seguridad y eventos de auditoría dentro de la plataforma.
Sección 3
Finalidades del Tratamiento
Sus datos personales son tratados con las siguientes finalidades:
- Gestión de recursos humanos: administración de fichas de colaboradores, contratos, documentación laboral y procesos de contratación.
- Firma electrónica simple: gestión de documentos firmados electrónicamente conforme a la Ley 19.799, incluyendo registro de consentimiento, trazabilidad de firma (timestamp, IP, identificación del firmante) e integridad del documento.
- Seguridad y salud en el trabajo: cumplimiento del Decreto 44/2024, gestión de matrices de riesgo, investigación de accidentes, análisis seguros de trabajo (AST) y control de elementos de protección personal (EPP).
- Gestión de contratistas: registro, acreditación y seguimiento documental de empresas contratistas y sus trabajadores.
- Reportes e inteligencia artificial: generación de reportes analíticos asistidos por IA (servicios de Google Cloud) para apoyar la toma de decisiones en materia de prevención de riesgos y gestión de personal.
- Seguridad de la plataforma: detección y prevención de accesos no autorizados, auditoría de eventos de seguridad y protección contra uso indebido.
- Comunicaciones: envío de notificaciones relacionadas con el servicio (documentos por firmar, vencimientos, alertas de seguridad).
Sección 4
Base Legal del Tratamiento
El tratamiento de datos se sustenta en las siguientes bases legales conforme a la Ley 21.719:
- Consentimiento del titular: para el tratamiento general de datos personales y datos sensibles de salud ocupacional, mediante consentimiento expreso y específico.
- Ejecución de contrato: cuando el tratamiento sea necesario para la prestación del servicio SaaS contratado.
- Cumplimiento de obligación legal: para dar cumplimiento al Decreto 44/2024, Código del Trabajo, Ley 16.744 sobre accidentes del trabajo y enfermedades profesionales, y demás normativa laboral aplicable.
- Interés legítimo: para la seguridad de la plataforma, prevención de fraude y mejora del servicio, siempre que no prevalezcan los derechos del titular.
Sección 5
Derechos ARCO-POL
Conforme a la legislación vigente, usted tiene derecho a:
- Acceso: conocer qué datos personales suyos están siendo tratados.
- Rectificación: solicitar la corrección de datos inexactos o incompletos.
- Cancelación/Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad que motivó su tratamiento.
- Oposición: oponerse al tratamiento de sus datos en determinadas circunstancias.
- Portabilidad: recibir sus datos en un formato estructurado, de uso común y lectura mecánica.
- Limitación: solicitar la restricción temporal del tratamiento de sus datos.
A quién dirigir su solicitud: si usted contrató directamente el servicio o visita este sitio, ejerza sus derechos ante Lynthex. Si usted es trabajador o contratista y su solicitud se refiere a los datos que gestiona su empleador en la plataforma, el Responsable es su empleador: diríjala a él. Como Encargado, Lynthex asistirá a su empleador para atenderla.
Para ejercer cualquiera de estos derechos, envíe su solicitud a privacidad@lynthex.cl indicando su nombre completo, RUT y el derecho que desea ejercer. Responderemos dentro de 30 días hábiles. El ejercicio de estos derechos es gratuito.
Sección 6
Transferencia de Datos
Para la prestación del servicio, sus datos pueden ser procesados por los siguientes proveedores:
- Google Cloud Platform / Firebase: infraestructura de almacenamiento, autenticación y base de datos. Servidores ubicados en Estados Unidos. Google cuenta con cláusulas contractuales tipo aprobadas y certificaciones de seguridad internacionales (SOC 2, ISO 27001).
- Proveedor SMTP: envío de notificaciones por correo electrónico del servicio.
- Sentry: monitoreo de errores para garantizar la estabilidad de la plataforma.
- Upstash: servicio de rate limiting para protección contra ataques de fuerza bruta.
Todas las transferencias internacionales se realizan con las garantías exigidas por la Ley 21.719, incluyendo cláusulas contractuales tipo y la verificación de que los países de destino cuenten con niveles adecuados de protección de datos.
Sección 7
Medidas de Seguridad
Implementamos medidas técnicas y organizativas para proteger sus datos personales:
- Cifrado en tránsito: todas las comunicaciones están protegidas con TLS 1.3.
- Cifrado en reposo: los datos almacenados en Firebase están cifrados automáticamente.
- Autenticación multifactor: 2FA mediante TOTP disponible para todas las cuentas.
- Control de acceso basado en roles (RBAC): sistema de permisos granular por empresa, rol y módulo.
- Registro de auditoría: más de 20 tipos de eventos de seguridad monitoreados y registrados.
- Protección contra ataques: rate limiting, validación de entrada, headers de seguridad (CSP, HSTS, X-Frame-Options) y protección contra inyección.
- Respaldos automáticos: backups diarios de base de datos con retención de 30 días.
Sección 8
Conservación de Datos
Los plazos de conservación varían según la categoría de datos:
- Datos laborales: durante la vigencia de la relación laboral más el plazo legal de prescripción aplicable.
- Documentos firmados electrónicamente: mínimo 5 años conforme a la normativa laboral.
- Registros de accidentes: conforme a los plazos establecidos por la Ley 16.744 y normativa complementaria.
- Logs de seguridad: 90 días, tras los cuales son eliminados automáticamente.
- Datos de cuenta: durante la vigencia del contrato. Al término, se otorga un período de 30 días para exportación antes de la eliminación definitiva.
La eliminación de datos se realiza mediante un proceso de dos etapas: primero, marcado como eliminado (soft-delete) con posibilidad de recuperación por el administrador, y posteriormente, eliminación permanente.
Sección 9
Cookies y Tecnologías
La plataforma utiliza las siguientes tecnologías de almacenamiento local:
- Cookie de sesión (
__session): cookie HttpOnly necesaria para la autenticación. Duración: 12 horas (sin "recordarme") o 14 días (con "recordarme"). No se utiliza para rastreo ni publicidad. - IndexedDB: almacenamiento local para persistencia offline de datos de la aplicación (Firestore).
- Service Worker: tecnología PWA para funcionamiento offline y caché de recursos estáticos.
No utilizamos cookies de terceros con fines publicitarios ni de rastreo. No participamos en redes de publicidad ni compartimos datos de navegación con anunciantes.
Sección 10
IA y Tratamiento Automatizado
La plataforma integra inteligencia artificial (servicios de Google Cloud) para la generación de reportes analíticos en módulos como Plan de Trabajo, Matriz de Riesgos e Investigación de Accidentes.
Importante: la IA se utiliza exclusivamente como herramienta de apoyo. No se toman decisiones con efectos jurídicos o significativos basadas únicamente en tratamiento automatizado. Toda decisión final requiere intervención y validación humana.
Los datos enviados a la IA se procesan de forma transitoria y no son almacenados por el proveedor del modelo para entrenamiento ni mejora de sus servicios.
Sección 11
Notificación de Brechas
En caso de una brecha de seguridad que comprometa datos personales, nos comprometemos a:
- Notificar a la Agencia de Protección de Datos Personales dentro de las 72 horas siguientes a la detección del incidente.
- Notificar a los titulares afectados sin dilación indebida, indicando la naturaleza de la brecha, los datos comprometidos, las medidas adoptadas y las recomendaciones para mitigar posibles efectos adversos.
- Documentar internamente el incidente, su análisis de causa raíz y las medidas correctivas implementadas.
Sección 12
Modificaciones
Nos reservamos el derecho de actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas de tratamiento de datos o en la legislación aplicable.
En caso de modificaciones sustanciales, notificaremos a los usuarios a través de la plataforma y/o por correo electrónico con al menos 30 días de anticipación.
El uso continuado de la plataforma después de la fecha de entrada en vigencia de las modificaciones constituirá aceptación de la política actualizada.