Política de Privacidad

1. Responsable del tratamiento

Lumicost, con domicilio en Santiago, Chile, es el responsable del tratamiento de los datos personales recabados a través de lumicost.com y app.lumicost.com. Contacto: sales@lumicost.com.

Esta política se rige por la Ley N° 19.628 sobre Protección de la Vida Privada y, a partir de su entrada en vigencia, por la Ley N° 21.719 sobre Protección de Datos Personales de la República de Chile. Para clientes en la Unión Europea, también aplicamos los principios del Reglamento General de Protección de Datos (GDPR).

2. Datos que recopilamos

2.1 Datos de cuenta y contacto

• Nombre, email corporativo y nombre de la empresa
• Identificador de Auth0 (proveedor de autenticación)
• Logs de inicio de sesión (IP, fecha, user agent)

2.2 Datos de facturación

• Razón social, dirección fiscal, RUT/Tax ID, email de facturación
• Historial de pagos (no almacenamos datos de tarjeta — los gestiona Paddle)

2.3 Datos cloud del Cliente

• Datos de facturación y configuración de los proveedores cloud conectados (AWS Cost Explorer, GCP Billing, Azure Cost Management, métricas Kubernetes)
• Inventario de recursos, tags, métricas de uso

No accedemos al contenido de tus cargas de trabajo (datos en S3, databases, etc.). Solo metadatos de facturación y configuración.

2.4 Datos de Inicio de Sesión con Google (Google Sign-In)

Si eliges "Continuar con Google" en la pantalla de inicio de sesión, Lumicost utiliza el flujo OAuth 2.0 / OpenID Connect estándar a través de nuestro proveedor de identidad Auth0. Solicitamos exclusivamente los siguientes scopes mínimos de Google:

• openid — identificador único estable del usuario (sub)
• email — dirección de correo electrónico y estado de verificación
• profile — nombre, nombre de pila, apellido, idioma preferido y URL de la foto de perfil

Lumicost no solicita ni accede a Gmail, Google Drive, Google Calendar, Google Photos, Contactos, ni a ningún otro dato sensible o restringido de Google. Si en el futuro necesitáramos acceder a algún scope adicional, se solicitaría un nuevo consentimiento explícito y se actualizaría esta política.

Cumplimiento de Limited Use Requirements de Google: el uso de la información obtenida vía Google APIs por parte de Lumicost cumple con la Google API Services User Data Policy, incluidos los requisitos de Limited Use. En particular: (a) usamos los datos de Google únicamente para autenticar al usuario y proporcionar las funcionalidades visibles del producto Lumicost; (b) no transferimos los datos a terceros excepto cuando es necesario para prestar el servicio o por obligación legal; (c) no usamos los datos para publicidad, perfilamiento publicitario, evaluación crediticia ni para entrenar modelos de IA generales; (d) ningún humano lee tus datos de Google salvo con tu consentimiento expreso, por seguridad, o por requerimiento legal.

Puedes revocar el acceso de Lumicost a tu cuenta de Google en cualquier momento desde myaccount.google.com/permissions.

3. Finalidades del tratamiento

• Prestar el servicio Lumicost (análisis FinOps, recomendaciones)
• Facturación, cobro y prevención de fraude
• Soporte al cliente y comunicaciones operativas
• Mejora del producto (datos agregados y anonimizados)
• Cumplimiento de obligaciones legales

4. Base legal

Tratamos los datos en virtud de: (a) ejecución del contrato con el Cliente; (b) consentimiento cuando es requerido (cookies analíticas); (c) interés legítimo en mejorar el servicio y prevenir fraude; (d) cumplimiento de obligaciones legales.

5. Encargados de tratamiento (sub-procesadores)

Lumicost utiliza los siguientes proveedores que pueden tratar datos por cuenta nuestra:

• Auth0 / Okta (autenticación) — EE.UU./UE
• Google LLC (proveedor de identidad federada vía Auth0, solo si el usuario elige "Continuar con Google") — EE.UU.
• Neon (base de datos PostgreSQL) — EE.UU./UE
• Fly.io (hosting de aplicación) — global
• Paddle (procesamiento de pagos como Merchant of Record) — Reino Unido
• Cloudflare (DNS, CDN, email routing) — EE.UU./global
• Resend / SendGrid (emails transaccionales) — EE.UU.

Estos sub-procesadores cuentan con cláusulas contractuales tipo (SCC) o garantías equivalentes para transferencias internacionales. Los Clientes con plan Enterprise pueden solicitar un Data Processing Agreement (DPA) firmado escribiendo a sales@lumicost.com.

6. Plazo de conservación

• Datos de cuenta: mientras la suscripción esté activa + 12 meses
• Datos de facturación: 6 años (obligación tributaria chilena)
• Logs técnicos: 90 días
• Datos cloud analizados: borrados a los 30 días tras cancelación

7. Derechos del titular

Conforme a la Ley 19.628 / 21.719 y GDPR, tienes derecho a:

• Acceso: saber qué datos tenemos sobre ti
• Rectificación: corregir datos inexactos
• Cancelación / Supresión: pedir el borrado
• Oposición: oponerte a ciertos tratamientos
• Portabilidad: recibir tus datos en formato estructurado
• Bloqueo: limitar el tratamiento mientras se resuelve una disputa

Para ejercerlos, escribe a sales@lumicost.com. Responderemos en máximo 15 días hábiles. Si no estás conforme, puedes reclamar ante la Agencia de Protección de Datos Personales de Chile (una vez constituida bajo la Ley 21.719) o ante la autoridad equivalente en tu país.

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado TLS en tránsito, cifrado en reposo en base de datos, control de accesos basado en roles, registro de auditoría, MFA para administradores, copias de seguridad cifradas. Ningún sistema es 100% seguro; en caso de incidente que afecte datos personales, notificaremos según el plazo legal aplicable (máx. 72 horas bajo Ley 21.719 / GDPR).

9. Cookies

Usamos cookies estrictamente necesarias para autenticación. Si activamos analíticas, pediremos consentimiento explícito mediante banner. No usamos cookies de publicidad de terceros.

10. Menores de edad

El servicio está dirigido a empresas. No recopilamos conscientemente datos de menores de 18 años. Si detectas que esto ha ocurrido, escríbenos para eliminarlos.

11. Cambios

Podemos actualizar esta política. Los cambios sustanciales se notificarán por email a los Clientes activos con al menos 30 días de anticipación.

12. Contacto

Lumicost — Santiago, Chile.
Encargado de protección de datos: sales@lumicost.com