Política de Privacidad

Última actualización: 24 de junio de 2026 · Versión v2.0

Esta Política describe cómo ZenithIA, operada por ZenithMedios (en adelante "nosotros"), trata los datos personales de las personas que usan el servicio. Se rige por la Ley N° 21.719 sobre Protección de Datos Personales de Chile (vigente desde el 1 de diciembre de 2026) y por las normas complementarias aplicables.

Al usar ZenithIA aceptas el tratamiento de tus datos conforme a esta Política. Si no estás de acuerdo, no uses el servicio.

1. Responsable del tratamiento y contacto

  • Responsable: ZENITH MEDIOS SpA
  • RUT: 78.144.078-7
  • Domicilio: Av. Irarrázaval 5185, Of. 503, Depto. 503, Ñuñoa, Región Metropolitana, Chile
  • Email general: bryan@zenithmedios.com
  • Sitio web: zenithmedios.com

1.1. Encargado de Protección de Datos (DPO)

Hemos designado un Encargado de Protección de Datos a quien puedes dirigir cualquier consulta sobre el tratamiento de tus datos o el ejercicio de tus derechos:

2. Datos que recopilamos

Recopilamos únicamente los datos necesarios para prestar el servicio (principio de minimización, Art. 3° letra c) Ley 21.719):

2.1. Datos de cuenta

  • Email, nombre y foto de perfil (provistos por Clerk al iniciar sesión).
  • Fecha de nacimiento (para verificar mayoría de edad — ver sección 6).
  • Plan contratado y estado de la suscripción.

2.2. Datos de uso del servicio

  • Conversaciones con el asistente (mensajes que envías y respuestas generadas).
  • Imágenes, documentos PDF, DOCX o TXT que adjuntas al chat.
  • Tarjetas, notas y contenido creado en ATORI (pizarra creativa).
  • Perfiles de marca creados (nombre, tono, productos, audiencia, notas y logo PNG opcional).
  • Generaciones de imagen y video creadas vía Cinema Studio o UGC Creator.
  • Conteo de mensajes y créditos consumidos por período.

2.3. Datos de pago

  • Procesados por Flow.cl (PCI DSS compliant). No almacenamos números de tarjeta. Recibimos únicamente confirmación del estado del pago, monto y orden.

2.4. Datos técnicos

  • Logs de servidor con userId, timestamp y código de respuesta para diagnóstico.
  • IP, user-agent y datos básicos de la solicitud HTTP. No usamos analytics de terceros ni píxeles de tracking.

2.5. Datos sensibles

ZenithIA no solicita activamente datos sensibles. Sin embargo, advertimos que el chat permite ingresar texto libre — evita compartir información sobre tu salud, vida sexual, opiniones políticas, convicciones religiosas, afiliación sindical, origen racial o datos biométricos. Si igual los compartes voluntariamente, serán tratados conforme al Art. 16° de la Ley 21.719 únicamente para responderte y no se utilizarán para perfilamiento.

3. Origen de los datos

Todos los datos personales que tratamos provienen directamente del titular. No compramos ni obtenemos datos de fuentes externas, salvo: tu nombre, email y foto provistos por Clerk cuando inicias sesión con un proveedor externo (Google), información que tú mismo autorizaste al usar ese proveedor.

4. Finalidades y base legal del tratamiento

Cada tratamiento que realizamos tiene una finalidad específica y una base legal documentada conforme al Art. 13° de la Ley 21.719:

FinalidadDatos usadosBase legal
Crear y administrar tu cuentaEmail, nombre, planEjecución de contrato (Art. 13° lit. b)
Procesar pagos y gestionar suscripciónEmail, plan, datos de orden FlowEjecución de contrato (Art. 13° lit. b)
Prestar el servicio de IA (chat, ATORI, generaciones)Conversaciones, archivos, promptsEjecución de contrato (Art. 13° lit. b)
Verificar mayoría de edadFecha de nacimientoObligación legal (Art. 16 quáter Ley 21.719)
Cumplir obligaciones tributarias y contablesDatos de facturaciónObligación legal (Art. 13° lit. c)
Seguridad: detectar abuso, fraude o rate-limitingLogs, IP, userId, conteo de usoInterés legítimo (Art. 13° lit. f) — ver sección 5
Soporte cuando lo solicitasEmail, conversaciones referidasEjecución de contrato (Art. 13° lit. b)
Comunicaciones sobre el servicio (avisos, cambios)Email, nombreEjecución de contrato + interés legítimo
Mejorar el producto (análisis agregado y anónimo)Métricas de uso anonimizadasInterés legítimo (Art. 13° lit. f)

No vendemos tus datos. No los usamos para publicidad de terceros. No los compartimos con redes sociales para targeting.

5. Interés legítimo

Cuando invocamos la base de interés legítimo (Art. 13° lit. f), hemos evaluado que nuestro interés es proporcionado y no anula tus derechos como titular. En particular:

  • Seguridad operativa (detección de abuso, rate-limiting, prevención de fraude): nuestro interés es mantener el servicio disponible para el resto de usuarios y prevenir uso indebido del modelo de IA.
  • Mejora del producto: usamos métricas agregadas y anónimas (no identificables a una persona) para entender qué funciones se usan más, sin afectar tu privacidad individual.

Puedes oponerte a cualquiera de estos tratamientos contactando al DPO (sección 1.1). Si tu oposición no impide la prestación del servicio, será atendida sin demora.

6. Datos de niños, niñas y adolescentes

Conforme al Art. 16 quáter de la Ley 21.719:

  • ZenithIA está dirigida a personas mayores de 14 años.
  • Al crear tu cuenta verificamos tu fecha de nacimiento. Si tienes menos de 14 años, no podemos prestarte el servicio sin el consentimiento expreso de tu padre, madre o representante legal.
  • Si tienes entre 14 y 18 años, eres considerado adolescente y se aplica el principio del interés superior. No usamos tus datos para perfilamiento comercial ni publicidad dirigida.
  • Si detectamos que un usuario es menor de 14 sin consentimiento parental, suspenderemos la cuenta y eliminaremos sus datos.

7. Destinatarios de los datos (encargados de tratamiento)

Para prestar el servicio compartimos datos estrictamente necesarios con los siguientes proveedores, todos vinculados por contratos o términos que limitan el uso de tus datos a la prestación del servicio que nos brindan:

EncargadoServicio que prestaPaísDatos que recibe
Clerk Technologies, Inc.Autenticación y gestión de sesiónEstados UnidosEmail, nombre, foto, fecha de nacimiento
Supabase, Inc.Base de datos PostgreSQLEstados UnidosTodos los datos de cuenta, conversaciones, marcas, generaciones
Vercel, Inc.Hosting de la aplicación y almacenamiento de archivos (Vercel Blob)Estados UnidosAplicación + imágenes y archivos que adjuntas
OpenRouter, Inc.Enrutamiento de solicitudes a modelos de IAEstados UnidosPrompts (mensajes), historial reciente, imágenes adjuntas
Google LLC (modelo Gemini)Procesamiento del texto e imágenes por IAEstados UnidosPrompts e imágenes enviadas al modelo
Anthropic, PBC (opcional, según configuración)Procesamiento alternativo por IAEstados UnidosPrompts e imágenes cuando aplique
KIE.aiGeneración de imágenes y videos por IAEstados Unidos / internacionalPrompts de generación + imagen de referencia si la subes
Flow.cl SpAProcesamiento de pagosChileEmail, monto, orden de compra

Los proveedores de IA (Google, Anthropic) no utilizan tus contenidos para entrenar modelos cuando se accede vía API, conforme a la configuración estándar y a sus términos vigentes para uso empresarial.

8. Transferencias internacionales

La mayoría de los encargados que utilizamos están ubicados fuera de Chile (principalmente Estados Unidos). Esto implica una transferencia internacional de datos personales.

Conforme al Art. 27° de la Ley 21.719, hemos verificado:

  • Que estos encargados ofrecen garantías contractuales equivalentes (sus Data Processing Agreements y Terms of Service incluyen cláusulas de protección de datos alineadas con estándares internacionales como GDPR/SCC).
  • Que la transferencia es necesaria para la ejecución del contrato que tienes con nosotros (Art. 28° lit. b).
  • Que al aceptar esta Política consientes la transferencia internacional con conocimiento de los riesgos asociados (Art. 28° lit. a).

Mantenemos un inventario interno de las garantías aplicadas a cada encargado, disponible a requerimiento de la Agencia de Protección de Datos Personales o del titular.

9. Decisiones automatizadas y perfilamiento

ZenithIA utiliza modelos de inteligencia artificial. Es importante que sepas:

  • Restricciones automatizadas por plan: el sistema verifica automáticamente si tu plan permite responder ciertas categorías de preguntas. Esta es una decisión automatizada con efectos limitados al alcance de tu suscripción, no a derechos jurídicos.
  • Perfilamiento implícito por brand profile: si creas perfiles de marca, el asistente ajusta sus respuestas al tono, audiencia y productos declarados. No es perfilamiento de tu persona física — es personalización del servicio al contexto de marketing que vos definiste.
  • No aplicamos decisiones automatizadas con efectos jurídicos significativos (no aceptamos ni rechazamos servicios financieros, no calificamos crediticiamente, no discriminamos en precio).
  • Tienes derecho a obtener intervención humana sobre cualquier decisión automatizada, expresar tu opinión y oponerte. Contacta al DPO.

10. Medidas de seguridad

Conforme al Art. 14 quinquies implementamos medidas técnicas y organizativas apropiadas:

  • HTTPS/TLS en toda la aplicación (HSTS con 2 años de máxima edad).
  • Headers de seguridad: Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
  • Autenticación gestionada por Clerk con tokens de sesión firmados.
  • Protección CSRF mediante verificación de Origin/Referer en endpoints que mutan datos.
  • Rate-limiting por usuario y plan para prevenir abuso y ataques de fuerza bruta.
  • Aislamiento por usuario y workspace en cada consulta a la base de datos (defensa contra IDOR).
  • Validación de archivos por magic bytes y MIME type.
  • Row Level Security activado en todas las tablas con datos personales (defensa en profundidad).
  • Sanitización de inputs vía Drizzle ORM y React (prevención SQL injection y XSS).
  • Pagos PCI DSS compliant procesados por Flow.cl.
  • Minimización de logs: no almacenamos el contenido del chat en logs de producción.
  • Acceso interno restringido a personal autorizado.

11. Plazos de conservación

Conservamos cada categoría de dato solo por el tiempo necesario para su finalidad:

  • Datos de cuenta: mientras tu cuenta esté activa. Si la eliminas, en un máximo de 30 días borramos todos los datos asociados.
  • Conversaciones y contenido (ATORI, generaciones): mientras tu cuenta esté activa. Si eliminas elementos individuales, los retenemos 30 días en papelera antes de purgar.
  • Datos de pago: 7 años (obligación tributaria del SII), conforme al Art. 17 del Código Tributario.
  • Logs técnicos: 90 días.
  • Registro de brechas de seguridad: 5 años (Art. 14 sexies).

12. Tus derechos

Como titular de los datos tienes los siguientes derechos según los Arts. 4° a 11° de la Ley 21.719:

  • Acceso (Art. 4°): solicitar qué datos tenemos sobre ti, para qué los usamos y a quién los hemos comunicado.
  • Rectificación (Art. 5°): pedir la corrección de datos inexactos, incompletos o desactualizados.
  • Supresión (Art. 6°): solicitar la eliminación de tus datos cuando ya no sean necesarios, hayas revocado el consentimiento, o el tratamiento sea ilícito.
  • Oposición (Art. 7°): oponerte a tratamientos basados en interés legítimo o a comunicaciones comerciales.
  • Portabilidad (Art. 8°): recibir tus datos en formato estructurado, de uso común y lectura mecánica, o pedir que los transmitamos a otro responsable.
  • Bloqueo (Art. 9°): suspender temporalmente el tratamiento de tus datos mientras se resuelve una controversia sobre su exactitud o licitud.

12.1. Cómo ejercer tus derechos

  • Envía un email a bryan@zenithmedios.com indicando qué derecho quieres ejercer, tu identificación (email registrado) y los datos específicos.
  • Plazos legales: te confirmaremos la recepción dentro de 2 días hábiles. Resolveremos tu solicitud dentro de 5 días hábiles contados desde la confirmación, prorrogable excepcionalmente hasta 15 días hábiles cuando lo justifique la complejidad.
  • El ejercicio de estos derechos es gratuito, salvo solicitudes manifiestamente excesivas o reiteradas.

13. Derecho a reclamar ante la Agencia

Si consideras que no hemos respondido adecuadamente a tu solicitud o que el tratamiento de tus datos infringe la Ley 21.719, tienes derecho a presentar un reclamo ante la Agencia de Protección de Datos Personales de Chile.

Información de contacto de la Agencia (consultar canales oficiales vigentes en gob.cl — el organismo se encuentra en proceso de implementación al momento de redactar esta Política).

14. Cookies

Utilizamos únicamente cookies esenciales para la autenticación y la sesión. No utilizamos cookies de analytics, publicidad ni redes sociales. Detalle completo en nuestra Política de Cookies.

15. Notificación de brechas de seguridad

Conforme al Art. 14 sexies, en caso de detectar una violación de seguridad que afecte tus datos personales:

  • Notificaremos a la Agencia de Protección de Datos Personales dentro de 72 horas desde que tomemos conocimiento.
  • Si la brecha implica un alto riesgo para tus derechos, te notificaremos directamente por email sin demora indebida, indicando qué pasó, qué datos se vieron afectados y qué medidas puedes tomar.

16. Privacidad por diseño y por defecto

Conforme al Art. 14 quáter, aplicamos privacidad por diseño en el desarrollo del producto:

  • Configuraciones por defecto orientadas a la mayor privacidad (opt-in, no opt-out).
  • Minimización: solo solicitamos los datos estrictamente necesarios.
  • Eliminación automática de datos en papelera tras el plazo de conservación.
  • Segregación de datos por workspace y usuario.

17. Cambios a esta Política

Podemos actualizar esta Política para reflejar cambios legales, nuevas funcionalidades o mejoras en el tratamiento de datos. Si hay cambios sustanciales, te notificaremos por email con al menos 15 días de anticipación. La versión vigente siempre estará accesible en esta URL.

18. Ley aplicable y contacto

Esta Política se rige por las leyes de la República de Chile, en particular por la Ley N° 21.719. Para cualquier consulta sobre el tratamiento de tus datos: