Rail / Legal Volver a Rail

Documentos legales

Política de privacidad

Última actualización ·

Resumen en una línea: Rail solo lee información bancaria con tu consentimiento expreso. Nunca vendemos tus datos. Tus credenciales se almacenan cifradas con AES-256-GCM y la base de datos nunca las ve en texto plano.

01Introducción y consentimiento

Esta Política de Privacidad (la "Política") describe cómo Rail ("Rail", "nosotros") recopila, usa, almacena y comparte la información personal y financiera de los Usuarios Finales que utilizan el servicio Rail Connect (el "Servicio"), conforme a la Ley 19.628 sobre Protección de la Vida Privada de la República de Chile.

Al usar el Servicio, el Usuario Final otorga su consentimiento libre, específico, expreso, inequívoco e informado al tratamiento de sus datos personales conforme a esta Política.

02Responsable del tratamiento

El responsable del tratamiento de los datos personales es:

  • Rail
  • Domicilio: Las Condes, Santiago de Chile
  • Email de contacto legal: legal@rail.cl

Para ejercer cualquier derecho descrito en esta Política, contactanos al email indicado.

03Bases de licitud del tratamiento

El tratamiento de los datos personales se basa en:

  • Consentimiento expreso del Usuario Final, otorgado a través del Widget de Rail al momento de conectar su cuenta bancaria.
  • Ejecución del mandato otorgado al Mandante (empresa cliente de Rail) para acceder, en su nombre, a la información financiera del Usuario Final.
  • Interés legítimo de Rail para prevenir fraude, asegurar la integridad del Servicio y cumplir con obligaciones legales.
  • Cumplimiento legal de obligaciones tributarias, regulatorias y de respuesta a requerimientos de autoridad competente.

04Datos personales que recopilamos

El Servicio recopila las siguientes categorías de datos personales:

Datos de identificación

  • RUT y dígito verificador
  • Nombre y apellidos (cuando el banco los expone)

Credenciales bancarias

  • Clave de internet, SuperClave, OTP, código de coordenadas y demás factores de autenticación que el Usuario Final ingresa en el Widget.
  • Estas credenciales se cifran con AES-256-GCM antes de almacenarse. La base de datos nunca las ve en texto plano. La master key vive aislada en variables de entorno.

Información financiera

  • Saldos disponibles, contables y totales por cuenta
  • Movimientos: fecha, descripción, monto, contraparte, moneda
  • Tipo, número parcial y estado de las cuentas (corriente, vista, ahorro, débito, crédito)
  • Identificación del titular según el banco

Datos técnicos del dispositivo y conexión

  • Dirección IP, user-agent del navegador, sistema operativo
  • Logs de uso del Widget y la API (timestamp, endpoint, código de respuesta)
  • Identificadores de sesión y tokens efímeros del Widget

05Cómo usamos los datos

Usamos los datos recopilados exclusivamente para:

  • Prestar el Servicio: autenticar al Usuario Final con su banco, obtener la información financiera autorizada y entregarla al Mandante mediante la API Rail.
  • Mantener el Servicio operativo: sincronización periódica (cada 4 horas) de saldos y movimientos para los Links activos.
  • Notificar al Mandante mediante webhooks firmados cuando hay actualizaciones en los datos.
  • Soporte: responder consultas, resolver incidentes y diagnosticar errores.
  • Seguridad y prevención de fraude: detectar usos anómalos, intentos de acceso no autorizado y proteger la integridad del Servicio.
  • Cumplimiento legal: responder a requerimientos de autoridad competente conforme a la ley chilena.
  • Mejora del Servicio: análisis estadístico agregado y anonimizado, sin identificar individualmente al Usuario Final.

No usamos los datos para publicidad ni los vendemos a terceros.

06Comunicación y transferencia de datos

Rail comparte datos personales únicamente con:

  • El Mandante que originó la conexión — es el destinatario natural de la información financiera, en virtud del consentimiento del Usuario Final otorgado en el Widget.
  • Proveedores de infraestructura cloud que prestan servicios de hosting, base de datos, CDN, email transaccional y observabilidad. Estos proveedores actúan como encargados del tratamiento, bajo contratos de confidencialidad y nivel de seguridad equivalente al nuestro.
  • Autoridades competentes cuando exista una orden judicial, administrativa o requerimiento legal vinculante en Chile.
  • Sucesores o continuadores legales en caso de fusión, adquisición, reestructuración corporativa o transferencia de activos, con notificación previa al Usuario Final cuando sea factible.

Los proveedores de infraestructura pueden estar ubicados fuera de Chile (por ejemplo, Estados Unidos o la Unión Europea). En esos casos, exigimos que apliquen niveles de protección al menos equivalentes a los estándares chilenos e internacionales.

07Retención de datos

Conservamos los datos personales mientras sean necesarios para los fines descritos en esta Política, y por los siguientes plazos máximos:

  • Mientras el Link está activo: retenemos las Credenciales cifradas y la Información Financiera para mantener la sincronización autorizada por el Usuario Final.
  • Después de la revocación o desconexión del Link: conservamos los datos por un plazo máximo de cinco (5) años con fines de cumplimiento regulatorio, auditoría, prevención de fraude y atención de eventuales reclamos.
  • Logs técnicos y de auditoría: hasta 12 meses desde su generación.
  • Datos anonimizados/agregados: sin plazo definido, dado que no permiten identificar al Usuario Final.

Una vez vencido el plazo aplicable, los datos son eliminados o anonimizados de forma irreversible.

08Derechos del titular de los datos

Conforme a la Ley 19.628, todo Usuario Final tiene los siguientes derechos sobre sus datos personales:

  • Acceso: conocer qué datos tenemos sobre ti y cómo los tratamos.
  • Rectificación: solicitar la corrección de datos inexactos o desactualizados.
  • Cancelación / supresión: solicitar la eliminación de tus datos cuando ya no sean necesarios o cuando revoques tu consentimiento.
  • Oposición: oponerte a tratamientos específicos cuando exista una causa legítima.
  • Revocación del consentimiento: retirar en cualquier momento el consentimiento otorgado, sin efecto retroactivo sobre tratamientos ya realizados.

Para ejercer estos derechos, escríbenos a legal@rail.cl desde la casilla asociada a tu conexión y adjunta una copia de tu cédula de identidad para validar tu titularidad. Te responderemos dentro de los plazos legales aplicables.

Considera que ciertos datos no pueden eliminarse si su conservación es exigida por ley (por ejemplo, registros de auditoría con fines regulatorios). En esos casos restringiremos su uso a los fines obligatorios.

09Cookies y tecnologías similares

Rail utiliza cookies y almacenamiento local del navegador con los siguientes fines:

  • Funcionales: mantener tu sesión activa en el Widget y la API. Sin estas cookies el Servicio no funciona.
  • Seguridad: tokens efímeros para prevenir ataques de replay y CSRF.
  • Analíticas agregadas: medir uso del sitio web y del Widget de forma anónima.

No utilizamos cookies de marketing ni de rastreo cross-site. Puedes configurar tu navegador para rechazar cookies, pero algunas funcionalidades del Servicio podrían dejar de operar correctamente.

10Seguridad de los datos

Implementamos medidas técnicas y organizativas razonables y proporcionales al riesgo:

  • Cifrado en tránsito (TLS 1.3) y en reposo (AES-256-GCM para credenciales).
  • Aislamiento estricto entre Mandantes a nivel de fila (default-deny).
  • Hasheo SHA-256 de API keys del Mandante.
  • Operación read-only: el Servicio no puede iniciar transferencias, pagos o cobros.
  • Logs de auditoría inmutables.
  • Webhooks firmados con HMAC-SHA256 y timestamp anti-replay.
  • Master key de cifrado aislada en variables de entorno, fuera del alcance de la base de datos.

Sin perjuicio de las medidas aplicadas, ningún sistema es 100% inviolable. Si tomamos conocimiento de un incidente de seguridad que comprometa datos personales, notificaremos al Usuario Final y a las autoridades competentes conforme a la normativa aplicable, dentro de los plazos legales.

11Modificaciones

Rail podrá modificar esta Política para reflejar cambios en el Servicio, en la legislación aplicable o en mejores prácticas de la industria. Las modificaciones sustanciales se comunicarán al Mandante por email y/o mediante aviso visible en el sitio web con al menos quince (15) días de anticipación. El uso continuado del Servicio después de la fecha efectiva del cambio implicará aceptación de la nueva versión.

12Contacto

Para cualquier consulta, reclamo o ejercicio de derechos relacionado con tus datos personales:

Importante: Esta Política es un documento legal vinculante. Te recomendamos leerla con atención y conservar una copia. Si tienes dudas sobre su contenido, contáctanos antes de aceptarla.

Para consultas legales o ejercicio de derechos, escríbenos a legal@rail.cl .

Rail · Las Condes, Santiago de Chile.