Esta Política describe cómo Risko SpA(“NLT”, “nosotros”), con domicilio en Santiago de Chile, trata los datos personales en relación con la plataforma Risko (“el Servicio”). Se rige por la Ley N° 21.719 sobre protección de datos personales y demás normativa chilena aplicable.
1. Responsable y contacto
Responsable del tratamiento de los datos de cuenta: Risko SpA. Para ejercer derechos o realizar consultas de privacidad: privacidad@risko.com.
2. Datos que tratamos
- Datos de cuenta: nombre, correo corporativo, cargo, rol, organización (tenant), registros de acceso e IP/agente de usuario (para auditoría y seguridad).
- Datos cargados por el cliente: información sobre sus proveedores (datos de contacto, dominios, documentos de seguridad, hallazgos, activos, respuestas a cuestionarios). Respecto de estos datos, NLT actúa como encargado y el cliente como responsable (ver el DPA).
- Datos de uso: eventos de la plataforma para diagnóstico, seguridad y mejora del Servicio.
3. Finalidades y base de licitud
- Prestar y operar el Servicio (ejecución del contrato).
- Seguridad, prevención de fraude y auditoría (interés legítimo y cumplimiento legal).
- Soporte y comunicaciones operativas (ejecución del contrato).
- Cumplimiento de obligaciones legales (p. ej. conservación de registros).
4. Análisis automatizado con inteligencia artificial
El Servicio puede analizar documentos cargados (p. ej. informes de seguridad) mediante un motor de inteligencia artificial. Para ello, el texto del documento puede ser enviado a un proveedor de IA ubicado fuera de Chile. Este tratamiento requiere el consentimiento previo del cliente, que se solicita dentro de la plataforma antes de procesar. El proveedor de IA actúa como subprocesador y no utiliza el contenido para entrenar sus modelos según los términos contratados.
5. Inteligencia de fuentes abiertas (OSINT)
El Servicio recopila información disponible públicamente sobre la exposición digital de los proveedores evaluados (p. ej. superficie de ataque, reputación de dominio). Solo se procesa información de fuentes públicas legítimas.
6. Destinatarios y subprocesadores
No vendemos datos personales. Los compartimos con proveedores que nos prestan servicios de infraestructura, envío de correo y análisis de IA, bajo obligaciones de confidencialidad y seguridad. La lista de subprocesadores y sus ubicaciones se detalla en el Acuerdo de Tratamiento de Datos (DPA).
7. Transferencias internacionales
Parte del tratamiento ocurre fuera de Chile (infraestructura de hosting y motor de IA). En esos casos adoptamos garantías adecuadas (cláusulas contractuales y medidas de seguridad) conforme a la Ley N° 21.719.
8. Conservación
Conservamos los datos mientras exista la relación contractual y durante los plazos legales aplicables. A la terminación, los datos del cliente se eliminan o devuelven según lo previsto en el contrato y el DPA.
9. Derechos de los titulares
Conforme a la Ley N° 21.719, los titulares pueden ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y bloqueo. Para los datos cargados por un cliente, las solicitudes deben dirigirse al cliente (responsable); NLT le prestará asistencia. Para datos de cuenta, escribe a privacidad@risko.com. Responderemos en los plazos legales.
10. Seguridad
Aplicamos medidas técnicas y organizativas: aislamiento por organización (RLS a nivel de base de datos), control de acceso por roles, autenticación de dos factores para roles administrativos, cifrado en tránsito, limitación de tasa y registro de auditoría. Ninguna medida garantiza seguridad absoluta, pero trabajamos para protegerlos razonablemente.
11. Cookies
Usamos cookies estrictamente necesarias para autenticación y funcionamiento del Servicio. No usamos cookies publicitarias de terceros.
12. Cambios
Podemos actualizar esta Política. Publicaremos la versión vigente con su fecha de actualización y, ante cambios relevantes, lo notificaremos a los clientes.