Política de Privacidad
Versión 1.0 · En vigencia desde el 13 de julio de 2026 · Boxtermedia SpA, RUT 76.786.261-K
Índice
- Quién es responsable de tus datos
- Los tres compromisos que definen esta política
- Qué datos tratamos, para qué y con qué base
- Verificación de identidad: qué NO guardamos
- El hash de identidad
- Ubicación: dos usos acotados, jamás seguimiento
- Fotografías, incluidas las privadas
- La conversación desbloqueada
- Con quién compartimos datos
- Dónde están tus datos y transferencias internacionales
- Cuánto tiempo conservamos tus datos
- Cuentas suspendidas: la excepción anti-trata
- Tus derechos y cómo ejercerlos
- Seguridad
- Brechas de seguridad
- Personas menores de edad
- Cambios a esta política
- Contacto
1 · Quién es responsable de tus datos
El responsable del tratamiento de tus datos personales es Boxtermedia SpA, RUT 76.786.261-K, la sociedad que opera Sugalink en Chile.
Para cualquier asunto relativo a tus datos personales, incluido el ejercicio de tus derechos: team@sugalink.com.
2 · Los tres compromisos que definen esta política
Antes del detalle, tres cosas que conviene que sepas de inmediato:
No guardamos tu documento de identidad. Ni la imagen, ni el número, ni el selfie de la prueba de vida. Los procesa nuestro proveedor de verificación; nosotros recibimos el veredicto (sección 4).
No te seguimos. La ubicación se usa en dos supuestos acotados y voluntarios: validar tu registro de llegada al lugar de la cita, y mostrar a la otra parte un estado de proximidad o de llegada en torno a la hora pactada y en las cercanías de ese lugar. No hay mapa en vivo, no hay recorridos, no hay rastreo continuo (sección 6).
No vendemos tus datos. No los vendemos, no los cedemos con fines publicitarios y no permitimos que terceros los usen para su propio provecho. No hay publicidad en Sugalink, y la única analítica que usamos —visitas y rendimiento del sitio— funciona sin cookies, sin identificadores persistentes y sin datos personales (sección 9).
3 · Qué datos tratamos, para qué y con qué base
| Categoría | Qué incluye | Para qué | Base de licitud |
|---|---|---|---|
| Cuenta | Correo electrónico; registros de inicio de sesión (enlaces de un solo uso; no usamos contraseñas) | Crear y sostener tu cuenta; autenticarte | Ejecución del contrato (estos Términos) |
| Perfil | Nombre o alias, ciudad, descripción, rol (invitas o recibes invitaciones), fotografías | Mostrar tu perfil a otras personas verificadas | Ejecución del contrato |
| Verificación de identidad y edad | Veredicto de la verificación (aprobada / rechazada), fecha de nacimiento y hash irreversible de identidad. No el documento ni su número | Cumplir la regla de +18 sin excepciones; impedir el retorno de cuentas expulsadas | Consentimiento expreso y separado para el tratamiento biométrico (ver el Aviso y Consentimiento de Verificación) + interés legítimo en la prevención del fraude y del acceso de personas menores de edad |
| Verificación de ingresos o patrimonio (solo quien invita) | Estado de la verificación y una referencia interna. No conservamos los documentos que revisamos | Otorgar la insignia visible | Ejecución del contrato; consentimiento al enviar los documentos |
| Tarifa y Venues favoritos (solo quien recibe) | Monto que fijas; lugares que eliges de la lista curada | Construir la invitación | Ejecución del contrato |
| Invitaciones y Citas | Invitaciones enviadas y recibidas, horarios, respuestas, expiraciones, confirmaciones, código de cita, calificaciones | Hacer funcionar el flujo; resolver reclamos con evidencia | Ejecución del contrato |
| Registro de llegada | Un punto de ubicación puntual, la distancia al Venue y la hora | Validar tu llegada y protegerte; servir de evidencia en un reclamo | Consentimiento (tú decides si marcas la llegada) |
| Pagos | Que pagaste un Desbloqueo, cuánto, cuándo, con qué medio, y la referencia del procesador. No vemos ni guardamos el número de tu tarjeta | Cobrar el Desbloqueo; facturar; resolver contracargos | Ejecución del contrato; obligación legal (tributaria) |
| Créditos | Saldo y movimientos | Administrar devoluciones acreditadas | Ejecución del contrato |
| Conversaciones | Los mensajes de tus conversaciones desbloqueadas | Prestarte el servicio; moderar; servir de evidencia en un reclamo o denuncia | Ejecución del contrato; interés legítimo en la seguridad |
| Reportes, Strikes y moderación | Reportes que haces o recibes, evidencia asociada, sanciones | Proteger a las personas usuarias; cumplir la ley | Interés legítimo en la seguridad; obligación legal |
| Uso técnico | Dirección IP, tipo de dispositivo, registros de error y de seguridad | Operar el servicio; detectar abuso | Interés legítimo |
Datos sensibles. La prueba de vida trata datos biométricos, que son datos sensibles. Además, el uso de una plataforma de citas puede revelar información sobre tu vida sexual o afectiva. Tratamos ambos con especial cuidado y sobre la base de tu consentimiento expreso, que puedes revocar en cualquier momento (con el efecto de que ya no podrás usar el servicio, porque sin verificación no hay Sugalink).
4 · Verificación de identidad: qué NO guardamos
4.1. La verificación de identidad y de mayoría de edad la realiza Persona (Persona Identities, Inc.), un proveedor externo especializado, dentro de su propio entorno.
4.2. Sugalink no almacena la imagen de tu documento de identidad, ni su número, ni la fotografía o el video de la prueba de vida, ni las plantillas biométricas derivadas de ella. Ninguno de esos datos queda registrado en nuestra base de datos.
4.3. Con total transparencia sobre un punto técnico. Cuando Persona nos comunica el resultado de tu verificación, ese mensaje incluye el número de tu documento. Nuestro servidor lo usa en memoria, durante milisegundos y para un único fin: calcular el hash de identidad de la sección 5. Terminado ese cálculo, el número se descarta y no se escribe en ninguna parte: ni en la base de datos, ni en un archivo, ni en un registro de actividad. Te lo contamos porque preferimos ser exactos antes que cómodos.
4.4. Lo único que Sugalink conserva de la verificación es:
a) el veredicto (aprobada, rechazada, expirada); b) tu fecha de nacimiento, para poder acreditar que eres mayor de 18 años; c) el hash de identidad (sección 5); d) una referencia técnica al expediente de verificación en Persona.
4.5. Qué captura Persona, cómo lo trata, cuánto lo conserva y cómo se destruye consta en el Aviso y Consentimiento de Verificación de Identidad y Datos Biométricos, que debes leer y aceptar de forma separada antes de verificarte.
5 · El hash de identidad
5.1. Qué es. Un valor calculado con una función criptográfica de un solo sentido a partir de tres elementos: país + número de documento + fecha de nacimiento.
5.2. Qué NO es. No es tu documento ni tu número, y del hash no puede reconstruirse ninguno de los dos: la operación no es reversible.
5.3. Para qué sirve, exclusivamente. Para detectar que una misma identidad intenta abrir una segunda cuenta. Nada más. No se usa para publicidad, ni para perfilado, y no se comparte con nadie.
5.4. Cómo lo protegemos. El hash se guarda cifrado en reposo, con acceso restringido al equipo interno y bajo registro de auditoría. Lo tratamos como un dato personal más, sujeto a todos los derechos de la sección 13.
5.5. Cuando el sistema detecta una coincidencia, no bloquea automáticamente a nadie: levanta un aviso interno y una persona del equipo decide, porque hay duplicados legítimos (alguien que perdió el acceso a su correo) y duplicados que buscan burlar una expulsión.
6 · Ubicación: dos usos acotados, jamás seguimiento
6.1. Sugalink usa tu ubicación en dos supuestos, ambos acotados y ambos voluntarios: (a) cuando decides marcar tu llegada al Venue, y (b) para mostrar a la otra parte un estado de proximidad o de llegada, únicamente entre 15 minutos antes y 15 minutos después de la hora pactada, y solo si estás a menos de 200 metros del Venue. Fuera de esos dos supuestos no accedemos a tu ubicación.
6.2. La validación del Registro de Llegada funciona solo si estás cerca del lugar (aproximadamente a menos de 150 metros) y solo dentro de una ventana horaria breve en torno a la hora pactada.
6.3. Lo que Sugalink NO hace, en ningún caso:
a) no muestra un mapa en vivo de nadie; b) no registra tu recorrido ni tu historial de ubicaciones; c) no accede a tu ubicación fuera de los dos supuestos de la cláusula 6.1; d) no comparte tu ubicación con la otra persona: solo puede mostrarle un estado ("llegó", o una indicación de proximidad) en los minutos inmediatamente anteriores y posteriores a la hora pactada y en las cercanías del Venue.
6.4. Marcar la llegada es voluntario. No marcarla no tiene ningún costo ni consecuencia; solo significa que no habrá ese elemento de evidencia si más tarde hay un reclamo.
7 · Fotografías, incluidas las privadas
7.1. Tus fotografías se almacenan en un repositorio privado y se muestran mediante enlaces temporales. No son accesibles desde internet abierto.
7.2. Tu álbum privado solo lo ve la persona a la que tú, individualmente, le concedes acceso. Puedes revocar ese acceso en cualquier momento, y se revoca automáticamente si bloqueas a esa persona.
7.3. Las fotografías privadas pueden mostrarse con una marca que identifica a quien las está viendo. Sirve para desincentivar su difusión y para identificar el origen de una filtración.
7.4. En Sugalink no existe ninguna modalidad de pago por ver fotografías. El acceso se otorga; jamás se vende.
7.5. Tu perfil no es indexable: no aparece en Google ni en ningún buscador. Solo lo ven personas verificadas dentro de la plataforma.
8 · La conversación desbloqueada
8.1. Los mensajes de tus conversaciones se conservan mientras la conversación exista, porque la conversación no expira y porque su contenido puede ser la evidencia que te proteja en un reclamo o en un reporte de conducta.
8.2. Aplicamos filtros automáticos de seguridad sobre los mensajes (por ejemplo, para impedir el intercambio de datos de contacto en la invitación y para detectar conductas prohibidas). Una persona del equipo solo lee mensajes cuando existe un reporte, un reclamo o una alerta de seguridad, y deja registro de ese acceso.
9 · Con quién compartimos datos
Trabajamos con los siguientes encargados, que tratan datos por cuenta nuestra y solo conforme a nuestras instrucciones:
| Proveedor | Para qué | Qué recibe |
|---|---|---|
| Supabase | Base de datos, autenticación y almacenamiento de archivos | Todos los datos de la plataforma (servidores en São Paulo, Brasil) |
| Vercel | Alojamiento y entrega del sitio; analítica agregada sin cookies (Web Analytics y Speed Insights) | Datos técnicos de conexión (IP, registros de solicitud) y métricas agregadas de visitas y rendimiento, sin identificadores persistentes ni datos personales |
| Persona (Persona Identities, Inc.) | Verificación de identidad, edad y prueba de vida | El documento y los datos biométricos, que no llegan a Sugalink |
| Payku (agregador de pagos enrolado en Transbank) | Cobro del Desbloqueo | Datos de la transacción. Los datos de tu tarjeta los trata el procesador, no Sugalink |
| Proveedor de correo | Enviar enlaces de acceso y notificaciones | Tu correo electrónico y el contenido de la notificación |
No hay publicidad ni analítica publicitaria en Sugalink. No usamos Google Analytics, ni píxeles publicitarios, ni herramientas de seguimiento de terceros. La única medición es la analítica sin cookies de Vercel descrita en la tabla: visitas y rendimiento del sitio, en agregado, sin identificarte y sin seguirte por internet.
Autoridades. Entregamos datos a las autoridades cuando una ley o una resolución judicial nos obliga, y cuando es necesario para prevenir o denunciar un delito grave, en particular los relativos a personas menores de edad o a la trata de personas. Revisamos cada requerimiento uno por uno, verificamos su fundamento legal y entregamos únicamente los datos que la ley o la resolución exigen, nunca más. Cuando podemos hacerlo sin frustrar una investigación en curso ni infringir la ley, informamos a la persona afectada.
10 · Dónde están tus datos y transferencias internacionales
10.1. Nuestra base de datos está alojada en servidores ubicados en São Paulo, Brasil (Supabase).
10.2. Nuestros demás proveedores —Vercel, Persona y el proveedor de correo— pueden tratar datos en Estados Unidos y en otros países.
10.3. Toda transferencia internacional se realiza al amparo de cláusulas contractuales de protección de datos suscritas con cada proveedor, que le imponen un nivel de protección equivalente al que exige la ley chilena, y bajo nuestra responsabilidad como responsable del tratamiento.
10.4. Puedes solicitarnos información sobre las garantías aplicables a cualquiera de estas transferencias escribiendo a team@sugalink.com.
11 · Cuánto tiempo conservamos tus datos
| Dato | Plazo |
|---|---|
| Cuenta y perfil activos | Mientras la cuenta esté activa |
| Fotografías | Se eliminan cuando las borras o cuando cierras la cuenta |
| Veredicto de verificación y fecha de nacimiento | Mientras la cuenta esté activa; después, conforme a la sección 12 |
| Hash de identidad | Conforme a la sección 12 |
| Invitaciones, Citas, reclamos y su evidencia | 2 años desde la Cita, para poder resolver un reclamo posterior o una denuncia |
| Conversaciones | Mientras la conversación exista; se eliminan al cerrar la cuenta, salvo que exista un reporte, un reclamo o una investigación en curso |
| Pagos y documentos tributarios | 6 años, por obligación tributaria |
| Registros técnicos y de seguridad | 12 meses |
| Reportes, Strikes y expedientes de moderación | 5 años, para sostener la reputación del sistema y colaborar con las autoridades |
Si necesitas el detalle del plazo aplicable a un dato concreto, escríbenos a team@sugalink.com.
12 · Cuentas suspendidas: la excepción anti-trata
12.1. Cuando una cuenta se cierra o se expulsa, eliminamos tu perfil, tus fotografías y tu contenido, y la cuenta deja de ser accesible.
12.2. Sin embargo, conservamos un registro mínimo de la identidad asociada a esa cuenta: el hash de identidad, el motivo de la suspensión y la evidencia que la sostiene.
12.3. Por qué. Es lo que impide que una persona expulsada por conducta grave —acoso, explotación, indicios de trata de personas o de minoría de edad— vuelva a entrar bajo otro correo electrónico. Sin ese registro, la expulsión no protege a nadie. Este tratamiento se funda en el interés legítimo, de carácter preponderante, de proteger la vida, la integridad y la seguridad de las demás personas usuarias, y en el cumplimiento de los deberes de prevención y denuncia que la ley chilena impone.
12.4. Qué NO conservamos: ni tu documento, ni tu número de documento, ni tus fotografías, ni tu perfil, ni tus conversaciones (salvo que exista una investigación en curso o un requerimiento de autoridad).
12.5. Puedes oponerte a esta conservación escribiendo a team@sugalink.com. Evaluaremos tu solicitud caso a caso, ponderando tus derechos frente a la seguridad de las demás personas, y te responderemos de forma fundada.
13 · Tus derechos y cómo ejercerlos
Tienes derecho a:
- Acceder a tus datos personales y saber cómo los tratamos.
- Rectificar los datos inexactos, incompletos o desactualizados.
- Cancelar (suprimir) tus datos, con los límites de la sección 12.
- Oponerte a determinados tratamientos.
- Portar tus datos a otro responsable, en un formato estructurado y de uso común.
- Revocar tu consentimiento en cualquier momento, sin efecto retroactivo.
- No ser objeto de decisiones automatizadas con efectos jurídicos significativos sin intervención humana. En Sugalink, la detección de infracciones y la pausa del perfil al segundo strike pueden ser automáticas, pero siempre con evidencia, siempre notificadas y siempre apelables ante una persona del equipo, que es también quien decide levantar una pausa. La expulsión definitiva no se aplica sin revisión humana previa. Puedes solicitar la intervención humana en cualquier momento escribiendo a team@sugalink.com.
Cómo ejercerlos. Escríbenos a team@sugalink.com desde el correo de tu cuenta. Te respondemos dentro de 30 días corridos. No cobramos por ello.
Si no estás conforme con nuestra respuesta, puedes reclamar ante la autoridad chilena de protección de datos personales.
14 · Seguridad
- Cifrado en tránsito (HTTPS) y en reposo.
- Acceso a los datos restringido por reglas a nivel de base de datos: cada persona solo puede leer lo suyo y lo que le corresponde.
- Sin contraseñas para las cuentas de personas usuarias: el acceso es por enlace de un solo uso enviado a tu correo.
- Doble factor obligatorio para todo acceso del equipo interno al panel de administración.
- Registros de auditoría de los accesos internos a datos de personas usuarias.
- Almacenamiento privado de fotografías, con enlaces temporales.
Ningún sistema es invulnerable. Si detectas un problema de seguridad, escríbenos a team@sugalink.com: lo revisamos y te respondemos.
15 · Brechas de seguridad
Si ocurre una brecha de seguridad que afecte tus datos personales y que pueda suponer un riesgo para tus derechos, te lo comunicaremos por correo electrónico, describiendo qué pasó, qué datos se vieron afectados, qué estamos haciendo y qué te recomendamos hacer. También lo notificaremos a la autoridad de protección de datos en el plazo que la ley exija.
16 · Personas menores de edad
Sugalink es un servicio exclusivamente para personas mayores de 18 años. No permitimos el registro de personas menores de edad y no tratamos sus datos a sabiendas. Toda cuenta respecto de la cual existan indicios de minoría de edad se suspende de inmediato, se preserva la evidencia y se reporta a las autoridades competentes.
Si crees que una persona menor de edad tiene una cuenta en Sugalink, escríbenos de inmediato a team@sugalink.com. Actuamos con prioridad absoluta.
17 · Cambios a esta política
Podemos actualizar esta política. Toda modificación relevante se comunica con al menos 30 días de anticipación, por correo electrónico y dentro de la aplicación, indicando qué cambia y desde cuándo.
18 · Contacto
Boxtermedia SpA RUT 76.786.261-K Correo: team@sugalink.com
Versión 1.0 · Entrada en vigencia 13 de julio de 2026 · Boxtermedia SpA
¿Dudas sobre este documento? team@sugalink.com