Habitia
Documento legal · DPA

Anexo de Tratamiento de Datos

Relación responsable / encargado entre la Comunidad y OtterlyLabs SpA.

v1.0 Actualizado · 19 de mayo de 2026

Este Anexo de Tratamiento de Datos (“DPA”) forma parte integrante de los Términos de Servicio entre OtterlyLabs SpA (“Encargado”) y la Comunidad o Cliente que utiliza la plataforma Habitia (“Responsable”). En caso de contradicción, prevalece este DPA en lo relativo al tratamiento de datos personales.

1. Objeto

Regular el tratamiento de datos personales que el Encargado realiza por cuenta y orden del Responsable en el marco de la prestación del Servicio, conforme a la Ley N° 19.628 (vigente) y la Ley N° 21.719 (vigente desde el 1 de diciembre de 2026).

2. Roles

  • Responsable del tratamiento: el Cliente (Comunidad / Condominio), quien decide los fines y medios principales del tratamiento de los datos de sus residentes, propietarios, visitantes, proveedores y demás Usuarios Finales.
  • Encargado del tratamiento: OtterlyLabs SpA, quien trata los datos únicamente conforme a las instrucciones documentadas del Responsable y a este DPA.

3. Detalles del tratamiento

3.1 Categorías de titulares

Administradores, miembros del comité, propietarios, residentes, arrendatarios, visitantes, proveedores, personal de conserjería, contactos comerciales.

3.2 Categorías de datos

  • Datos identificatorios (nombre, RUT, correo, teléfono, foto opcional);
  • Datos de unidad y vínculo con la copropiedad;
  • Datos financieros (montos de gastos comunes, historial de pago, certificados de deuda);
  • Datos de acceso (registros de visitas, patentes, fotos opcionales, hora de ingreso/salida);
  • Datos de paquetería (descripción, foto, destinatario, firma de retiro);
  • Datos de asamblea (asistencia, voto, acta firmada electrónicamente);
  • Datos de comunicación (mensajes, notificaciones, chat de mercado vecinal);
  • Bitácoras y logs operacionales.

3.3 Naturaleza y finalidad

Prestar las funcionalidades del Servicio descritas en habitia.cl/producto, dar cumplimiento a la Ley 21.442, y entregar al Responsable la trazabilidad y transparencia que dicha ley exige.

3.4 Duración

Mientras el Responsable mantenga una relación contractual activa con OtterlyLabs, más los plazos de exportación y eliminación establecidos en la cláusula 8 de este DPA.

4. Obligaciones del Encargado

OtterlyLabs se obliga a:

  1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluyendo las contenidas en los Términos, esta DPA y la configuración del Servicio.
  2. Asegurar que el personal autorizado a tratar datos esté sujeto a deber de confidencialidad.
  3. Implementar medidas técnicas y organizativas apropiadas (cláusula 6).
  4. Asistir al Responsable, en la medida posible, para:
    • Atender solicitudes de derechos ARCO+P de los titulares;
    • Cumplir obligaciones de seguridad, notificación de brechas y evaluaciones de impacto.
  5. Notificar al Responsable cualquier vulneración de seguridad que afecte datos personales sin demora indebida, a más tardar dentro de las 72 horas desde su detección.
  6. Tras la terminación del Servicio, devolver o eliminar los datos personales según la elección del Responsable, salvo obligación legal de conservación.
  7. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de este DPA, y permitir auditorías razonables (cláusula 9).

5. Subencargados

El Responsable autoriza al Encargado a contratar subencargados para prestar el Servicio. La lista actualizada al momento de la firma es:

SubencargadoFunciónPaís
Amazon Web Services, Inc.Infraestructura cloud (cómputo Lambda, base de datos DynamoDB, almacenamiento S3, identidad Cognito, CDN CloudFront)Estados Unidos (region us-east-1)
Proveedor FEA acreditadoFirma electrónica avanzada de actas y certificados (Ley 19.799)Chile
Khipu S.A.Pagos de gastos comunes (transferencia y débito)Chile
Transbank S.A. (WebPay Plus)Pagos de gastos comunes con tarjetaChile
Proveedor de mensajería transaccionalEnvío de correo, push, WhatsApp BusinessVariable

OtterlyLabs garantiza que cada subencargado queda obligado a estándares de protección equivalentes a los de este DPA. Cualquier alta, baja o sustitución de subencargado se notificará al Responsable con al menos 30 días corridos de anticipación, plazo durante el cual el Responsable podrá oponerse fundadamente. En caso de oposición no resuelta, el Responsable podrá terminar el Servicio sin penalidad.

6. Medidas de seguridad

El Encargado implementa, sin limitarse a:

  • Cifrado: TLS 1.2+ en tránsito; AES-256 en reposo (AWS KMS).
  • Control de acceso: autenticación Cognito, contraseñas con políticas mínimas, soporte para MFA; principio de menor privilegio en IAM.
  • Aislamiento multi-tenant: cada handler resuelve el tenantId desde el contexto del JWT y no acepta override por body/path; defensa cross-tenant verificada en pruebas automatizadas.
  • Auditoría: bitácora append-only inmutable (CondoAudit) con denegación de UpdateItem/DeleteItem a nivel IAM.
  • Backups y continuidad: point-in-time recovery de DynamoDB; despliegues en múltiples AZ.
  • Gestión de vulnerabilidades: dependencias monitoreadas; parches aplicados oportunamente.
  • Capacidades por rol: registro central de capabilities con allowlist por rol, verificado en CI.

7. Transferencia internacional

El Encargado declara que los datos personales se procesan principalmente en AWS región us-east-1 (Estados Unidos). AWS mantiene certificaciones internacionales (ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II, PCI DSS) y cláusulas contractuales que aseguran un nivel de protección equivalente.

El Responsable, al suscribir los Términos, consiente expresamente la transferencia internacional descrita. Esta autorización podrá revisarse cuando entre en vigor la Ley 21.719 y los lineamientos que dicte la Agencia de Protección de Datos Personales.

8. Devolución y eliminación

Al término del Servicio, el Responsable podrá:

  • Exportar todos los Datos del Cliente en formato estructurado (CSV/JSON) dentro de los 30 días corridos siguientes al término;
  • Solicitar la eliminación de los datos, que el Encargado ejecutará dentro de los 90 días corridos siguientes a la exportación, salvo obligaciones legales de conservación (Ley 21.442, normativa tributaria).

Los respaldos cifrados rotativos se eliminan automáticamente conforme al ciclo de rotación, que no excede los 35 días.

9. Auditoría

El Responsable podrá auditar el cumplimiento de este DPA una vez por año calendario, previa coordinación con 30 días de anticipación, durante horario hábil y sin interferir con la operación. Las auditorías que excedan ese marco serán de costo del Responsable. El Encargado podrá satisfacer la obligación entregando informes de auditoría de terceros independientes (p. ej., SOC 2 de AWS).

10. Responsabilidad por brechas

Cada parte responde por las vulneraciones imputables a ella. La responsabilidad del Encargado bajo este DPA se rige por la cláusula 13 de los Términos de Servicio.

11. Vigencia

Este DPA entra en vigor con la aceptación de los Términos y permanecerá vigente mientras se preste el Servicio o se conserven Datos del Cliente. Las obligaciones de confidencialidad y eliminación sobrevivirán al término.

12. Ley aplicable

Este DPA se rige por las leyes de la República de Chile, sin perjuicio de los estándares internacionales aplicables a los subencargados.

Versión 1.0 · Última actualización 19 de mayo de 2026
OtterlyLabs SpA · hola@habitia.cl · privacidad@habitia.cl
Términos de Servicio Política de Privacidad Anexo de Tratamiento de Datos (DPA)