GSMIngresar

Privacidad y protección de datos

Última actualización: junio 2026 · Responsable: GSM Group SpA · RUT 76.637.265-1

En una frase

Tratamos tus datos personales (y los de los menores que acompañas) para que tú, tu coach y tu organización puedan medir y desarrollar tu carrera deportiva. Solo guardamos lo necesario, lo protegemos con cifrado y reglas de acceso por rol, y puedes ejercer todos los derechos que te reconocen las leyes 19.628 y 21.719 de Chile escribiéndonos a contacto@gsmgroup.cl.

1. Quién es responsable

El responsable del tratamiento de tus datos personales es GSM Group SpA, sociedad chilena con RUT 76.637.265-1, con domicilio en la ciudad de Santiago, República de Chile. Contacto general: contacto@gsmgroup.cl.

Para asuntos específicos de protección de datos personales (acceso, rectificación, eliminación, oposición, portabilidad, consultas o reclamos), el contacto designado es:

Encargado de Protección de Datos
contacto@gsmgroup.cl

Una vez que la Ley 21.719 entre en plena vigencia (diciembre 2026), formalizaremos la designación de un Delegado de Protección de Datos (DPO) inscrito ante la Agencia de Protección de Datos Personales.

2. A quiénes aplica

Esta política aplica a:

  • Atletas mayores de edad que usan la plataforma para gestionar su carrera deportiva.
  • Atletas menores de edad, cuyo tratamiento se rige adicionalmente por el régimen especial descrito en la sección 11.
  • Apoderados, padres, madres o tutores de atletas menores de edad.
  • Coaches, entrenadores y staff técnico que acompañan a los atletas.
  • Administradores de clubes, colegios, universidades, federaciones y selecciones que utilizan la plataforma como herramienta de gestión.
  • Contactos profesionales que los atletas registran en su agenda (scouts, sponsors, universidades, periodistas).

3. Datos que recopilamos

Recopilamos únicamente los datos necesarios para los fines descritos en la sección 4. La mayoría los entregas tú al registrarte y llenar tu formulario inicial (F1); el resto se genera con tu uso de la plataforma.

3.1 Datos de identificación

  • Nombre y apellidos.
  • RUT chileno o documento de identificación equivalente para extranjeros.
  • Email y teléfono de contacto.
  • Fecha de nacimiento.
  • Avatar o foto de perfil (opcional).

3.2 Datos deportivos

  • Disciplina, categoría, posición, rankings y niveles de competencia.
  • Historial de entrenamientos, carga, intensidad y resultados (check-in diario).
  • Trayectoria, clubes anteriores, logros.
  • Score PAI (Perfil Atleta Integral) y desglose por pilar (Rendimiento, Salud, Mentalidad, Educación, Identidad).
  • Reflexiones y observaciones de los ciclos AREF (Análisis · Reflexión · Evolución · Foco).
  • Logros desbloqueados, racha de check-ins, hitos alcanzados.

3.3 Datos sensibles

Los siguientes datos están legalmente catalogados como sensibles y reciben las medidas adicionales de protección descritas en la sección 7:

  • Salud: lesiones, dolencias, nivel de fatiga, horas de sueño, sensación de dolor.
  • Estado emocional y mental: motivación, estado de ánimo, manejo del estrés (reportado por ti en el check-in y en el F1).
  • Datos biométricos que algunos clubes voluntariamente registren (peso, talla, antropometría) para complementar el seguimiento.

3.4 Datos académicos

  • Institución educativa, año cursado, promedio (si lo reportas).
  • Idiomas, certificaciones, cursos relevantes.

3.5 Datos financieros (organizaciones)

Si tu organización paga por la plataforma, GSM Group registra los datos administrativos del contrato y las facturas. No almacenamos tarjetas de crédito ni datos bancarios completos — los pagos se procesan a través de pasarelas externas certificadas PCI-DSS.

3.6 Datos técnicos

  • Direcciones IP y user-agent del navegador, capturadas al iniciar sesión y al firmar el formulario F1 (para registro de auditoría).
  • Cookies funcionales mínimas para mantener la sesión activa (ver sección 12).
  • Logs de actividad: qué páginas accedes, qué cambios haces. Se conservan por seguridad y soporte.

3.7 Datos que NO recopilamos

  • No tenemos rastreadores publicitarios ni cookies de terceros con fines de marketing.
  • No accedemos a tu micrófono, cámara o ubicación geográfica precisa.
  • No vendemos tus datos a ninguna empresa, ni los cruzamos con bases externas para perfilamiento comercial.

4. Para qué usamos tus datos

Tratamos tus datos exclusivamente para las siguientes finalidades, todas vinculadas al servicio de gestión deportiva:

  • Operar la plataforma: autenticarte, permitir que tu coach y administradores te vean, calcular tu PAI, mantener tu racha de check-ins, generar tus reportes.
  • Acompañamiento integral: dar contexto a tu coach sobre tu estado físico, mental, académico e identitario para que pueda guiarte mejor.
  • Comunicaciones del servicio: invitaciones, recuperación de contraseña, notificaciones de logros y alertas que decidas activar.
  • Mejora del producto: análisis agregado y anónimo de uso para entender qué funciona y qué no. No vinculamos esa información con tu identidad individual.
  • Seguridad y prevención de fraude: detectar accesos sospechosos, intentos de suplantación de identidad o uso indebido.
  • Cumplimiento legal: responder a requerimientos judiciales válidos y cumplir nuestras obligaciones tributarias y contables.

No utilizamos tus datos para fines comerciales fuera de la plataforma sin tu consentimiento expreso. Si en el futuro queremos compartir oportunidades comerciales de terceros (sponsors, marcas), te pediremos un opt-in específico y siempre podrás revocarlo.

6. Quién puede ver tus datos dentro de la plataforma

La plataforma aplica un modelo estricto de Row-Level Security (RLS) en la base de datos. Esto significa que cada consulta verifica el rol y vínculo del usuario antes de devolver información:

  • Tú (atleta): ves todos tus datos, puedes editarlos, descargarlos y eliminarlos.
  • Tu coach: ve los pilares que decides compartir con él. Por defecto el pilar Mentalidad es privado y solo se comparte si lo autorizas explícitamente.
  • Administrador de tu organización (director del club, jefe del departamento deportivo del colegio, etc.): ve los datos consolidados del grupo y tu progreso, pero no las reflexiones íntimas que marcaste como privadas.
  • Apoderado (si eres menor): ve un resumen limitado — PAI parcial, los pilares Rendimiento, Salud y Educación. No ve Mentalidad ni Identidad para preservar la intimidad del menor.
  • Super administrador GSM Group: tiene acceso técnico únicamente para soporte, seguridad y cumplimiento legal. Cada lectura queda registrada en bitácora de auditoría.

Los datos sensibles (salud, mentalidad) tienen un registro de auditoría adicional: cada lectura deja huella con fecha, usuario que accedió y motivo. Puedes consultar este registro escribiéndonos.

7. Cómo protegemos tus datos

  • Cifrado en tránsito con TLS 1.2 o superior en todas las comunicaciones entre tu navegador y nuestros servidores.
  • Cifrado en reposo de la base de datos con AES-256 administrado por nuestro proveedor de infraestructura.
  • Row-Level Security (RLS) en cada tabla de la base de datos: el motor Postgres rechaza las consultas que no califican según las políticas de acceso.
  • Contraseñas hasheadas con bcrypt (factor de costo mínimo 10). GSM Group no puede ver tu contraseña ni en texto plano ni reversible.
  • Autenticación con magic link opcional para evitar la dependencia exclusiva de contraseñas.
  • Aislamiento por organización: cada sub-cuenta (club, colegio, etc.) opera en silos lógicos. Un coach de un club no puede ver a un atleta de otro.
  • Bitácora de auditoría para datos sensibles, exportable bajo solicitud del titular.
  • Backups diarios cifrados con retención de 30 días para casos de corrupción o pérdida accidental.
  • Pruebas periódicas de penetración y revisión de dependencias para detectar vulnerabilidades.

Ningún sistema es 100 % invulnerable. Mantenemos un plan de respuesta a incidentes que incluye notificación a los titulares afectados dentro de las 72 horas siguientes a su detección, conforme al artículo 31 de la Ley 21.719.

8. Con quién compartimos tus datos

GSM Group no vende tus datos a terceros y los comparte únicamente con las siguientes categorías de destinatarios, exclusivamente para operar el servicio:

  • Proveedor de base de datos y autenticación (Supabase, datos almacenados en Brasil — Latam): infraestructura cifrada certificada SOC 2.
  • Proveedor de hosting de la aplicación (Vercel) para servir la interfaz web.
  • Proveedor de email transaccional (Resend) para enviar invitaciones, recuperación de contraseña y notificaciones del servicio.
  • Organizaciones con las que estás vinculado (tu club, colegio, federación) — solo ven los datos que las reglas de visibilidad permiten (ver sección 6).
  • Autoridades judiciales o regulatorias chilenas cuando exista una orden válida que lo requiera.

Todos nuestros proveedores firman contratos de tratamiento de datos conforme al artículo 19 de la Ley 21.719. Lista actualizada de proveedores disponible bajo solicitud.

9. Tus derechos (ARCO+)

Las leyes 19.628 y 21.719 te reconocen una serie de derechos sobre tus datos personales. Puedes ejercerlos en cualquier momento escribiendo a contacto@gsmgroup.cl o desde tu perfil cuando esté disponible la opción dentro de la plataforma.

  • Derecho de acceso: consultar qué datos tuyos tenemos y descargarlos en formato estructurado (JSON o CSV).
  • Derecho de rectificación: corregir datos inexactos, incompletos o desactualizados. Casi todo lo puedes editar directamente desde tu perfil.
  • Derecho de cancelación o eliminación (también llamado "derecho al olvido"): borrar tu cuenta y todos los datos asociados. La eliminación se ejecuta en un máximo de 30 días hábiles desde la solicitud, conservando solo los datos que la ley exige retener (registros contables por 6 años, conforme al Código de Comercio).
  • Derecho de oposición: oponerte a un tratamiento específico (por ejemplo, oponerte a que tu club te visibilice en su feed interno).
  • Derecho de portabilidad: recibir tus datos en un formato que te permita transferirlos a otra plataforma.
  • Derecho a retirar el consentimiento otorgado para tratamientos específicos sin afectar la licitud del tratamiento previo.
  • Derecho a no ser objeto de decisiones automatizadas que produzcan efectos legales o similares. El PAI es un cálculo automatizado, pero solo tiene efecto informativo — no determina por sí solo decisiones legales sobre ti.
  • Derecho a presentar reclamos ante la Agencia de Protección de Datos Personales (cuando esté operativa, conforme a la Ley 21.719) o ante el tribunal competente.

Responderemos todas las solicitudes en un plazo máximo de 30 días corridos. Si el caso es complejo, ese plazo se puede extender hasta por 60 días, informándote antes del vencimiento original.

10. Cuánto tiempo conservamos tus datos

  • Datos de cuenta activa: mientras mantengas tu cuenta abierta.
  • Datos de check-ins, PAI y AREF: hasta que elimines tu cuenta o solicites eliminarlos específicamente.
  • Datos contables y tributarios: 6 años, conforme al artículo 17 del Código Tributario chileno.
  • Logs técnicos y de seguridad: 90 días.
  • Bitácoras de auditoría de datos sensibles: 5 años.
  • Datos de cuentas eliminadas: se eliminan lógicamente de inmediato (no aparecen en consultas) y se purgan físicamente de la base en un máximo de 90 días.

11. Atletas menores de edad

Los atletas menores de 18 años reciben protección reforzada conforme al artículo 19 de la Convención sobre los Derechos del Niño, al artículo 19 N°4 de la Constitución chilena y a las directrices específicas de la Ley 21.719:

  • Consentimiento del tutor legal: la cuenta del menor solo se activa cuando el apoderado (padre, madre o tutor legal) firma el consentimiento de tratamiento de datos. Sin esa firma la cuenta queda en estado "pendiente" y no puede usarse.
  • Visibilidad acotada: el apoderado ve únicamente PAI global y los pilares Rendimiento, Salud y Educación. No ve los pilares Mentalidad ni Identidad, que se consideran espacio íntimo del menor.
  • Mediación del coach: los datos potencialmente sensibles sobre Mentalidad o Identidad del menor se registran con la doble validación del coach (responsable del niño en lo deportivo) cuando éste lo considere necesario.
  • Tránsito automático a mayoría de edad: al cumplir 18 años, la cuenta deja de estar mediada por el apoderado y el atleta adquiere control total. El apoderado pierde acceso automáticamente.
  • Derecho de revocación del apoderado: el apoderado puede en cualquier momento suspender, pausar o eliminar la cuenta del menor, así como revocar el consentimiento previamente otorgado.
  • No marketing ni perfilamiento comercial a menores en ninguna forma.

12. Cookies y tecnologías similares

Usamos un conjunto mínimo de cookies, solo las estrictamente necesarias para que la plataforma funcione:

  • Cookie de sesión (Supabase Auth): mantiene tu inicio de sesión activo entre páginas. Sin ella tendrías que volver a entrar en cada navegación.
  • Cookies funcionales: recordar tu última vista activa (atleta / coach / admin) y preferencias visuales.

No utilizamos cookies publicitarias ni de terceros con fines de marketing o análisis de comportamiento cross-site. No incluimos rastreadores de Google Analytics, Meta Pixel ni similares.

Puedes bloquear o eliminar cookies desde la configuración de tu navegador, pero al hacerlo no podrás mantener una sesión iniciada en la plataforma.

13. Transferencias internacionales de datos

Tu información se aloja principalmente en el centro de datos de Supabase en São Paulo, Brasil (sa-east-1), región dentro de Latam. Algunos servicios complementarios pueden tener servidores en otras regiones (por ejemplo, Resend tiene servidores en Estados Unidos para el envío de emails).

Cuando exista una transferencia internacional, garantizamos que el destinatario aplica niveles de protección equivalentes o superiores a los exigidos por la legislación chilena, a través de cláusulas contractuales tipo y certificaciones internacionales (SOC 2, ISO 27001).

14. Cambios a esta política

Esta política puede actualizarse para reflejar cambios legales, nuevas funcionalidades o mejoras de seguridad. Cuando un cambio sea sustantivo (afecte tus derechos o el alcance del tratamiento), te notificaremos por email con al menos 30 días corridos de antelación y te daremos la opción de aceptar o cerrar tu cuenta antes de que el cambio entre en vigor.

Los cambios menores (correcciones de redacción, datos de contacto) se publicarán directamente con la fecha de "última actualización" del encabezado de este documento.

15. Cómo contactarnos y dónde reclamar

Para cualquier asunto relacionado con esta política o el tratamiento de tus datos personales:

Si consideras que tu solicitud no fue atendida adecuadamente, puedes reclamar ante:

  • Agencia de Protección de Datos Personales — una vez constituida y operativa conforme a la Ley 21.719.
  • Tribunales civiles ordinarios de la ciudad donde tengas tu domicilio, conforme al procedimiento sumario establecido en el artículo 16 de la Ley 19.628 (mientras la Ley 21.719 no entre en plena vigencia).

Este documento es de naturaleza informativa y no reemplaza asesoría jurídica específica. Para casos particulares consulta con un abogado de confianza.