Política de privacidad

Esta Política de Privacidad cubre el tratamiento de datos personales realizado por Empresa SER SPA (RUT 76.403.545-3, domicilio Parcela 44 Santa Cristin SN, Talagante, Región Metropolitana, Chile) a través de las siguientes aplicaciones y servicios:

• Kore Train (koretrain.com) — SaaS para entrenadores personales y sus clientes.
• MarketingForge (marketingforge.dev) — Plataforma Tech Provider para gestión de campañas Meta Ads y comunicaciones WhatsApp Business multi-tenant.
• KORE-Oss (koreoss.com) — SaaS para academias de artes marciales.
• SER Energía Solar (serm.cl) — Servicios de energía solar residencial.

La presente política aplica a todas estas aplicaciones y servicios bajo Empresa SER SPA. Cuando una sección específica aplica solo a una app concreta, se indica explícitamente.

Empresa SER SPA, RUT 76.403.545-3, con domicilio en Talagante, Región Metropolitana, Chile, es el responsable del tratamiento de tus datos personales bajo la Ley 19.628 sobre Protección de la Vida Privada.

Contacto de privacidad / futuro DPO (Ley 21.719): privacy@koretrain.com.

De ti (personal trainer):

• Email, nombre comercial, slug del subdominio.
• Datos de marca (logo, colores, fuentes) para tu app personalizada.
• Información profesional (servicios, precios, horarios) que tú publicas.
• Datos de uso de la plataforma (logins, acciones, errores) para mejorar el servicio.

De tus clientes (a través tuyo):

• Nombre, email, teléfono (que tú ingresas para invitarlos a tu app).
• Asistencia a sesiones, rutinas asignadas, progreso (peso, medidas, fotos antes/después si tu cliente las sube).
• Mensajes intercambiados dentro del chat de la app.

Datos sensibles: medidas corporales, fotos antes/después, anotaciones sobre lesiones o salud son tratados con cuidado especial — cifrados en reposo (AES-256), transmisión TLS 1.2+, acceso restringido únicamente al PT correspondiente.

• Operar la plataforma: autenticación, generar tu app branded, almacenar rutinas y reportes.
• Comunicaciones operacionales: alertas de cliente inactivo, recordatorios de sesión, recibos de pago.
• Soporte técnico: resolver tus consultas con conocimiento de tu cuenta.
• Mejorar el servicio: métricas agregadas y anonimizadas de uso.
• Cumplir obligaciones legales: facturación SII, requerimientos judiciales válidos.

Las comunicaciones comerciales o promocionales se envían únicamente cuando exista consentimiento válido del destinatario. No vendemos datos a brokers ni a terceros con fines publicitarios.

Solo con proveedores estrictamente necesarios para operar:

• AWS (Amazon Web Services) — infraestructura: hosting, base de datos, almacenamiento. Región us-east-1 (USA).
• Meta / WhatsApp Business Platform — infraestructura de mensajería para enviar, recibir y procesar mensajes de WhatsApp Business cuando un PT conecta esta funcionalidad (ver sección 5).
• Mercado Pago / Flow / Webpay — procesamiento de pagos. Solo reciben los datos mínimos para procesar la transacción.
• Google Gemini API — generación de respuestas del chat AI a clientes y rutinas. Los mensajes intercambiados se envían a Google con propósito de inferencia (no se usan para entrenar modelos según los términos de Google API).
• Autoridades públicas — solo cuando exista requerimiento legal válido (orden judicial, fiscalía).

Cada proveedor cuenta con su propia política de privacidad. Hemos seleccionado proveedores con estándares equivalentes o superiores a la Ley 19.628.

Esta sección aplica al tratamiento de datos WhatsApp realizado a través de Kore Train, KORE-Oss y MarketingForge bajo la app Meta 972469995160481 registrada como Tech Provider por Empresa SER SPA.

Kore Train permite que entrenadores, academias y negocios conecten su propia cuenta de WhatsApp Business para comunicarse con sus alumnos o clientes. La conexión se realiza mediante el flujo oficial de Meta (Embedded Signup), durante el cual el negocio acepta los términos de WhatsApp Business y autoriza a Kore Train a enviar y recibir mensajes en su nombre.

Cuando un negocio utiliza esta función, podemos procesar datos asociados a WhatsApp, incluyendo:

• Número de teléfono del destinatario en formato internacional (E.164).
• Identificadores técnicos necesarios para operar la integración, como WhatsApp Business Account ID (WABA ID), Phone Number ID e identificadores de mensajes (message IDs).
• Mensajes enviados o recibidos a través del canal WhatsApp.
• Estados de entrega, lectura y errores de envío.
• Fecha y hora de cada interacción.
• Preferencias de consentimiento u opt-out del destinatario.

Finalidad: habilitar comunicaciones operativas del negocio, tales como recordatorios de sesiones, alertas de inasistencia, confirmaciones de reserva, recordatorios de pago, mensajes de bienvenida, soporte y respuestas automatizadas. Las comunicaciones comerciales o promocionales se envían únicamente cuando exista consentimiento válido del destinatario.

Opt-in (responsabilidad del negocio): el negocio que utiliza Kore Train es responsable de contar con una base válida de consentimiento u opt-in del destinatario antes de enviar mensajes por WhatsApp a sus clientes, conforme exigen las políticas de WhatsApp Business. Kore Train podrá bloquear o limitar envíos cuando detecte uso indebido, ausencia de consentimiento, altas tasas de bloqueo, reportes de spam o incumplimiento de las políticas de Meta / WhatsApp.

Opt-out: los destinatarios pueden dejar de recibir mensajes en cualquier momento respondiendo cualquiera de las siguientes palabras: STOP, BAJA, CANCELAR o SALIR. La detección es automática e independiente de mayúsculas y acentos. Al recibir una solicitud de baja, Kore Train registra la preferencia y bloquea inmediatamente nuevos envíos no permitidos hacia ese contacto.

Retención de mensajes WhatsApp: los registros de mensajes (envíos, estados y mensajes entrantes) se conservan por un máximo de 90 días en nuestra infraestructura mediante TTL automático de la base de datos. Pasado ese plazo, los registros se eliminan de forma irreversible, salvo obligación legal en contrario.

Proveedores involucrados en WhatsApp: Meta opera la red WhatsApp Business Cloud API como proveedor de infraestructura de mensajería. Si en el futuro incorporamos proveedores adicionales para el envío o procesamiento, se informarán en esta política.

Eliminación de datos conectados con Meta/WhatsApp: si conectaste WhatsApp Business o autorizaste nuestra app mediante Meta, puedes solicitar la eliminación de los datos asociados escribiendo a privacy@koretrain.com con el asunto "Eliminación de datos Meta/WhatsApp". También puedes solicitar la eliminación desde la configuración de tu cuenta en Kore Train, en la sección Conectar WhatsApp → Desconectar. Procesamos la solicitud dentro de 30 días.

Tus datos se almacenan en servidores de AWS región us-east-1 (Virginia, EE.UU.). Esta transferencia es necesaria para la prestación del servicio y se efectúa con las salvaguardas técnicas que AWS provee (cifrado en reposo, TLS, accesos auditados).

• Cuenta activa: mientras la mantengas activa.
• Tras cancelación: 30 días para permitir reactivación, luego eliminación irreversible.
• Datos de tus clientes: junto con tu cuenta. Si un cliente solicita eliminación, lo gestionas tú desde tu dashboard, o nos contactas para forzar la eliminación.
• Mensajes WhatsApp (envíos, estados, entrantes): 90 días, eliminación automática por TTL.
• Logs operacionales: 7 días (dev) / 14 días (prod).
• Facturas y registros contables: 6 años por obligación tributaria (Código Tributario art. 17).

Bajo la Ley 19.628 y la futura Ley 21.719, puedes ejercer en cualquier momento:

• Acceso: ver qué datos tuyos tenemos.
• Rectificación: corregir datos incorrectos o desactualizados.
• Cancelación: eliminar tus datos del sistema.
• Oposición: oponerte a usos específicos.
• Portabilidad: recibir tus datos en formato estructurado para llevarlos a otro proveedor.

Para ejercer estos derechos, escribe a privacy@koretrain.com. Podremos solicitar información razonable para verificar tu identidad antes de procesar la solicitud. Respondemos dentro de 30 días.

• Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
• Cifrado en reposo: AES-256 en base de datos y storage.
• Aislamiento multi-tenant: cada PT solo accede a sus propios datos por diseño (validación a nivel de partición de base de datos).
• Verificación de firma HMAC-SHA256 en cada webhook entrante de Meta para evitar suplantación.
• Auditoría: logs de acceso retenidos para detección de anomalías.
• Backups diarios cifrados.

En preparación para la Ley 21.719, ante una brecha de seguridad que genere riesgo para tus derechos evaluaremos el incidente y realizaremos las notificaciones correspondientes dentro de los plazos legales aplicables.

Usamos cookies estrictamente necesarias para mantener tu sesión iniciada (token de autenticación). Si en el futuro incorporamos analytics o pixels de marketing, solicitaremos tu consentimiento previo mediante un banner conforme a la regulación aplicable.

La plataforma no está dirigida a menores de 14 años. Si eres PT y trabajas con menores de edad, eres responsable de obtener el consentimiento del padre, madre o tutor legal antes de cargar datos del menor a la plataforma.

Las modificaciones materiales se notifican con al menos 30 días de anticipación al email registrado. La fecha al inicio de este documento indica la versión vigente.

Para consultas, reclamos o ejercer derechos: privacy@koretrain.com.

Si consideras que no hemos atendido adecuadamente tu solicitud, puedes recurrir al Servicio Nacional del Consumidor (SERNAC) o, una vez operativa, a la Agencia de Protección de Datos creada por la Ley 21.719.