Plasa · Política de privacidad

Política de privacidad

Última actualización: 29 de abril de 2026

Tabla de contenidos

El responsable del tratamiento de datos personales recopilados a través de la plataforma Plasa (en adelante, "Plasa", "la Plataforma", "nosotros") es Narkan SpA, sociedad constituida en Chile el 15 de octubre de 2025. Esta política se rige por la Ley N° 19.628 sobre Protección de la Vida Privada de Chile y, cuando aplique, por el RGPD/GDPR de la Unión Europea respecto de titulares ubicados en su territorio.

1. Identidad del responsable

  • Razón social: Narkan SpA
  • RUT: 78.273.629-9
  • Tipo societario: Sociedad por Acciones constituida en Chile el 15 de octubre de 2025
  • Domicilio: Mozart 125, comuna de San Joaquín, Región Metropolitana de Santiago, Chile
  • Representante legal: Vicente Alberto San Martín Manríquez, RUT 19.687.929-3
  • Sitio web: https://plasa.cl
  • Correo de contacto para asuntos de privacidad: privacidad@plasa.cl
  • Correo del representante legal: vicente.sanmartin@plasa.cl

2. Qué es Plasa

Plasa es una plataforma B2B (Software como Servicio) que permite a Negocios y Agencias de marketing colaborar en un mismo workspace para gestionar la presencia digital del Negocio en canales de e-commerce, ejecutar campañas publicitarias, medir conversiones y generar reportes. Plasa se integra con plataformas externas como Meta (Facebook) y Google Ads mediante sus respectivas APIs oficiales. La integración con otras plataformas (por ejemplo WhatsApp Business o Instagram Business) está prevista pero no está activa en esta versión; cuando se incorpore, esta política será actualizada con al menos 15 días de anticipación.

3. Qué datos recopilamos

3.1 Datos que el usuario nos proporciona directamente

  • Nombre y apellido.
  • Correo electrónico corporativo.
  • Cargo y empresa (Negocio o Agencia).
  • Teléfono de contacto (opcional).
  • Datos de facturación cuando contrata un plan: razón social, RUT, dirección.
  • Credenciales de acceso (correo + contraseña cifrada).

3.2 Datos que recopilamos cuando el usuario conecta cuentas externas

Cuando un usuario autoriza a Plasa a conectarse con plataformas de terceros mediante OAuth u otros mecanismos oficiales, recopilamos únicamente los datos estrictamente necesarios para prestar el servicio:

Plataforma Meta (Facebook):

  • Identificador público de usuario de Meta (user_id) entregado por Facebook al completar el flujo OAuth.
  • Lista de cuentas publicitarias (Ad Accounts) administradas por el usuario, obtenida vía la Marketing API de Meta con los scopes ads_read y business_management.
  • Métricas agregadas de campañas publicitarias (impresiones, clics, gasto, conversiones) leídas vía la Marketing API.
  • Identificadores de clic publicitario de Meta (fbclid) recibidos en URLs de aterrizaje configuradas por el Negocio en Plasa.

Plasa NO solicita a Meta los siguientes datos: correo electrónico, foto de perfil, datos de perfil personal, lista de Páginas de Facebook, cuentas de Instagram, ni datos de WhatsApp Business. Plasa NO utiliza Facebook Login como método de autenticación; el inicio de sesión en Plasa se realiza con correo + contraseña o con Google OAuth (scopes email y profile). Plasa NO envía actualmente eventos a la Conversions API (CAPI) de Meta.

Google: identificadores gclid, métricas de campañas leídas desde Google Ads API, y eventos de conversión offline enviados a Google Ads vía la Google Ads API cuando un Negocio activa esa funcionalidad.

Otras plataformas: cuando se incorporen integraciones con otras plataformas (por ejemplo Instagram Business o WhatsApp Business), esta sección será actualizada con el detalle exacto de los datos recopilados antes de habilitar la funcionalidad.

3.3 Datos generados por el uso de la Plataforma

  • Logs de actividad: inicio de sesión, acciones realizadas, dirección IP, tipo de dispositivo y navegador.
  • Cookies estrictamente necesarias para mantener la sesión autenticada (ver sección 9).
  • Logs de uso del producto almacenados internamente en nuestra base de datos (no utilizamos servicios externos de analítica como Posthog, Mixpanel o Google Analytics dentro del panel de Plasa).

3.4 Datos de visitantes finales del Negocio

Cuando un Negocio activa la captura de leads o conversiones offline en Plasa, los visitantes finales (consumidores) generan datos que el Negocio captura como responsable del tratamiento:

  • fbclid, gclid y otros identificadores de tráfico publicitario.
  • UTMs y parámetros de campaña.
  • Eventos de interacción registrados por el Negocio: clic en enlace, envío de formulario, conversión.
  • Datos de contacto que el visitante ingresa voluntariamente en formularios del Negocio.

Cada lead se almacena segregado por workspace del Negocio (store_id) en la base de datos de Plasa. En ese flujo, el Negocio es el responsable de los datos del visitante final, y Plasa actúa como encargado del tratamiento según el Acuerdo de Tratamiento de Datos suscrito con el Negocio.

4. Para qué usamos los datos

  1. Prestar el servicio contratado: crear y administrar workspaces, cuentas de usuario y permisos.
  2. Conectar con plataformas externas: ejecutar las acciones que el usuario autoriza (leer métricas de campañas publicitarias, enviar eventos de conversión offline a Google Ads, listar las cuentas publicitarias administradas).
  3. Generar reportes y analítica: consolidar métricas en dashboards, calcular Quality Score y alimentar el Algoritmo Central de Plasa.
  4. Comunicaciones operacionales: notificaciones de plataforma, alertas de campañas, cambios de términos.
  5. Comunicaciones comerciales: sólo cuando el usuario haya prestado consentimiento explícito; siempre con opción de desuscripción.
  6. Cumplir obligaciones legales: facturación, contabilidad, requerimientos de autoridad competente.
  7. Seguridad y prevención de fraude: monitoreo de patrones anómalos, detección de tráfico no humano (señal negativa de Quality Score).

No usamos los datos personales obtenidos de Meta para finalidades distintas de las descritas en esta política, y específicamente no los vendemos ni los cedemos a terceros con fines publicitarios propios.

  • Ejecución del contrato suscrito con el cliente (Negocio o Agencia).
  • Consentimiento expreso del titular cuando se requiere (cookies no esenciales, comunicaciones comerciales, conexión de cuentas externas).
  • Obligación legal (facturación, conservación tributaria).
  • Interés legítimo en la seguridad de la plataforma y la prevención del fraude.

6. Con quién compartimos los datos

Plasa no vende datos personales. Los compartimos sólo con:

  • Proveedores de infraestructura y herramientas estrictamente necesarios para operar (hosting cloud, base de datos, correo transaccional, analítica). Cada proveedor está sujeto a un acuerdo de confidencialidad y tratamiento de datos.
  • Plataformas externas (Meta, Google) cuando el usuario autoriza la integración: enviamos los datos estrictamente necesarios para ejecutar la acción solicitada.
  • Autoridades competentes, cuando exista requerimiento judicial o administrativo válido conforme a la ley chilena.
  • Terceros profesionales sujetos a deber de confidencialidad (abogados, auditores, contadores).
  • En caso de operación corporativa (fusión, adquisición, venta de activos), el adquirente quedará obligado a respetar los términos de esta política.

Subprocesadores principales actualmente vigentes:

Proveedor Función Ubicación
Hostinger International Ltd. Hosting de la aplicación (Coolify VPS), base de datos PostgreSQL, almacenamiento de archivos (logos de tiendas y avatares de usuarios), DNS y reverse proxy Unión Europea o Estados Unidos según el plan contratado
Meta Platforms, Inc. Marketing API (lectura de cuentas publicitarias y métricas de campaña, scopes ads_read y business_management), cuando el Usuario autoriza la integración EE.UU. e Irlanda
Google LLC — Google Ads API Lectura de métricas de Google Ads y envío de conversiones offline, cuando el Usuario autoriza la integración EE.UU.
Google LLC — Google OAuth Autenticación opcional de usuarios mediante "Iniciar sesión con Google" (scopes email y profile) EE.UU.
Google LLC — Gmail SMTP Envío de correos transaccionales (verificación de cuenta, recuperación de contraseña, invitaciones, notificaciones) EE.UU.

La lista completa y actualizada de subprocesadores está disponible bajo solicitud a privacidad@plasa.cl. Plasa notificará a los clientes con al menos 30 días de anticipación cualquier alta de subprocesador relevante.

7. Transferencias internacionales

Algunos proveedores pueden estar ubicados fuera de Chile (Estados Unidos, Unión Europea u otros países). En esos casos garantizamos que existan cláusulas contractuales tipo u otros mecanismos legalmente reconocidos para asegurar un nivel de protección adecuado.

8. Conservación de datos

Conservamos los datos durante el tiempo necesario para cumplir las finalidades descritas y, posteriormente, durante los plazos legales de conservación que correspondan (en Chile, hasta 6 años para documentación tributaria).

Tipo de dato Plazo de conservación
Cuenta activa Mientras la cuenta esté activa
Cuenta cerrada / eliminada 30 días en sistemas activos, hasta 6 años en respaldos cifrados (sólo para cumplimiento legal)
Logs de auditoría no críticos (notificaciones, sesiones, eventos rutinarios) Hasta 90 días
Logs de seguridad críticos (intentos de login fallidos, cambios de contraseña, accesos denegados) Hasta 12 meses
Datos de facturación 6 años (obligación tributaria SII)
Leads y eventos de conversión offline almacenados por Plasa Hasta 24 meses desde la creación del lead, salvo solicitud de eliminación previa
Tokens OAuth Hasta que el usuario revoque el acceso, desconecte la integración o cierre la cuenta

La ejecución de los plazos anteriores se realiza mediante procesos de limpieza periódica. Para datos cuya eliminación automática aún no esté operativa, Plasa garantiza la eliminación bajo solicitud expresa del titular conforme a la sección 10.

9. Cookies y tecnologías similares

El panel de Plasa (plasa.cl) utiliza únicamente cookies estrictamente necesarias para el funcionamiento del servicio:

  • Cookie / token de sesión autenticada (JWT) que mantiene al usuario logueado.
  • Cookies técnicas mínimas para preferencias de UI (idioma, tema claro/oscuro).

Plasa no instala Meta Pixel, Google Analytics, Google Tag Manager ni otras cookies de terceros con fines publicitarios o de analítica dentro de su panel. Por esa razón actualmente no presentamos un banner de consentimiento de cookies en el panel: solo usamos cookies que la normativa europea (RGPD) considera exentas de consentimiento previo por ser estrictamente necesarias.

Si un Negocio cliente decide instalar Meta Pixel, Google Tag, herramientas de retargeting u otras tecnologías de tracking en su propia Landing o Tienda, esa configuración corre por cuenta del Negocio como responsable del tratamiento, y se rige por la política de privacidad y el banner de consentimiento que el Negocio publique en sus propios sitios.

El usuario puede borrar cookies en cualquier momento desde la configuración de su navegador.

10. Derechos del titular

Como titular de los datos personales, usted tiene derecho a:

  • Acceder a sus datos.
  • Rectificar datos inexactos.
  • Cancelar / eliminar sus datos (ver documento "Eliminación de Datos").
  • Oponerse al tratamiento.
  • Portar sus datos a otro responsable (cuando aplique RGPD).
  • Retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo.
  • Reclamar ante la autoridad competente: en Chile, ante los tribunales ordinarios; en la UE, ante la autoridad de control nacional correspondiente.

Para ejercer cualquiera de estos derechos, escríbanos a privacidad@plasa.cl indicando el derecho que desea ejercer y adjuntando copia de su cédula de identidad o documento equivalente. Responderemos dentro de 15 días corridos desde la recepción de la solicitud.

11. Datos obtenidos a través de Meta — disposiciones específicas

Esta sección complementa lo anterior y se aplica específicamente a los datos recopilados a través de las APIs de Meta Platforms, Inc. (actualmente solo la Marketing API de Facebook):

  • Solicitamos a Meta únicamente los permisos mínimos necesarios para la funcionalidad ofrecida. Hoy esos permisos son ads_read y business_management, que permiten a Plasa listar las cuentas publicitarias administradas por el usuario y leer las métricas de sus campañas. La lista de permisos solicitados se muestra al usuario en la pantalla de consentimiento OAuth de Facebook.
  • No solicitamos acceso al perfil personal del usuario (correo, foto, nombre completo), ni a sus Páginas de Facebook, Instagram, mensajería ni WhatsApp.
  • No almacenamos contraseñas de cuentas de Meta.
  • Los tokens de acceso se almacenan en nuestra base de datos protegida y se anulan al desconectar la integración, al cerrar la cuenta o al recibir una solicitud de eliminación.
  • Los datos de Meta no se utilizan para finalidades distintas de las autorizadas por el usuario y descritas en esta política, y no se ceden a terceros con fines publicitarios.
  • El usuario puede revocar el acceso de Plasa en cualquier momento desde la configuración de su cuenta de Facebook (Configuración → Apps y sitios web → Plasa → Eliminar) o desde la sección "Integraciones" en Plasa. Cuando Meta nos notifica una revocación, Facebook envía automáticamente una solicitud firmada (signed_request) a nuestro endpoint técnico de Data Deletion Callback (https://api.plasa.cl/api/v1/agency/data-sources/meta-ads/data-deletion), donde Plasa verifica la firma con HMAC SHA256 y el App Secret, anula los tokens y datos asociados, y devuelve a Facebook un código de confirmación junto con la URL pública de seguimiento (https://plasa.cl/legal/meta-data-deletion?code=...).
  • Cumplimos con las Políticas de la Plataforma de Meta y con los Términos de Servicio para empresas aplicables.

12. Seguridad

Aplicamos medidas técnicas y organizacionales razonables para proteger los datos personales, incluyendo:

  • Cifrado en tránsito (HTTPS/TLS) y en reposo.
  • Autenticación con contraseñas hasheadas y, cuando aplique, segundo factor.
  • Control de acceso por rol y permisos granulares.
  • Registro de auditoría de accesos sensibles.
  • Respaldos cifrados.
  • Revisión periódica de vulnerabilidades.

Ninguna medida es infalible: en caso de incidente de seguridad que afecte datos personales, notificaremos a los afectados y a la autoridad competente conforme a la ley aplicable.

13. Menores de edad

Plasa es un servicio B2B y no está dirigido a menores de 18 años. No recopilamos conscientemente datos de menores. Si detectamos que se ha registrado un menor, eliminaremos sus datos.

14. Cambios a esta política

Podemos actualizar esta política para reflejar cambios legales, técnicos o de negocio. La versión vigente siempre estará publicada en https://plasa.cl/privacidad con su fecha de última actualización. Los cambios materiales serán comunicados por correo a los usuarios registrados con al menos 15 días corridos de anticipación.

15. Contacto

Para cualquier consulta, solicitud o reclamo relacionado con esta política:

  • Privacidad y protección de datos: privacidad@plasa.cl
  • Soporte y consultas generales: soporte@plasa.cl
  • Dirección postal: Narkan SpA — Mozart 125, comuna de San Joaquín, Región Metropolitana de Santiago, Chile

Versión: 1.0
Fecha de publicación: 29 de abril de 2026
Próxima revisión programada: 29 de abril de 2027

¿Tienes preguntas?

Escríbenos y te respondemos.

Respondemos cualquier consulta dentro de los 5 días corridos siguientes a la solicitud. Para asuntos de privacidad o eliminación de datos, usá privacidad@plasa.cl. Para todo lo demás (soporte, ventas, consultas comerciales, cierre de cuenta), soporte@plasa.cl.

Escribir a soporte Solicitar eliminación de datos