1. Home
  2. Política de privacidad
Loading...

Política de Privacidad de Hipermercados Tottus S.A.

En Hipermercados Tottus S.A., (en adelante la “Compañía”), consideramos la protección de tus datos personales como parte de nuestra propuesta de valor. Es por esta razón que trabajamos permanentemente para servirte cada vez mejor cuando cotizas o adquieres los productos y servicios que comercializamos en nuestras tiendas, sitio web o aplicación móvil, así como si participas en una de nuestras comunidades o clubes, tratando tus datos personales de conformidad con los estándares de las Leyes N° 19.628, N° 21.719 y toda regulación de privacidad aplicable a esta actividad (la “Regulación de Protección de Datos”). Por lo anterior, cuidar tus datos personales es una parte fundamental de nuestro compromiso. En esta política de privacidad (la “Política de Privacidad”) te explicamos, en tu calidad de consumidor de operaciones de cotización, compra o contratación de productos y servicios en nuestras tiendas físicas, sitio web o aplicación móvil, así como para navegar y operar en estos, y tu inscripción y participación en nuestras comunidades o clubes (el “Titular”), cómo se tratan tus datos personales para estas acciones, y los derechos que te asisten como Titular. Esta Política de Privacidad se aplica a todos los datos personales que la Compañía trata con ocasión de las compras, contrataciones y operaciones que efectúes en el sitio web o aplicaciones móviles de la Compañía desde el momento en que cotizas o contratas nuestros productos, así como tu inscripción y participación en nuestras comunidades y clubes. En consecuencia, esta Política de Privacidad es aplicable exclusivamente a las personas que revisten la calidad de Titulares. De esta forma, tus datos personales se tratarán principalmente para la ejecución de las operaciones de compra, y de las prestaciones, beneficios o experiencias ofrecidas por la Compañía. Todas las palabras usadas con mayúscula en esta Política de Privacidad y que no estén aquí definidas, tendrán el significado que se les dé en los Términos y Condiciones del servicio, (los “Términos y Condiciones”). Los Términos y Condiciones, junto a esta Política de Privacidad, que tiene por objeto informar sobre el tratamiento de tus datos personales, constituyen el marco contractual que regula la relación entre el Titular y la Compañía. Te invitamos a leer detalladamente esta Política de Privacidad y, si tienes alguna pregunta u observación, no dudes en contactarnos al correo electrónico contacto@tottus.cl.

1. Responsable del tratamiento de datos personales

Hipermercados Tottus S.A. es el responsable del tratamiento de los datos personales para las finalidades establecidas en los Términos y Condiciones, y en la Política de Privacidad. Sus datos de identificación, medios de contacto y oficiales de protección de datos son: Hipermercados Tottus S.A. RUT N° 78.627.210-6, con domicilio en calle Nataniel Cox N° 620, comuna y ciudad de Santiago, Región Metropolitana, Chile, representada por don

Renato Giarola Guersoni. El correo electrónico de contacto de esta y de su oficial de protección de datos es contacto@tottus.cl.

2. Bases de Licitud y Finalidades del Tratamiento de tus Datos Personales efectuado por el responsable

La Compañía responsable tratará tus datos personales como Titular, en virtud de las siguientes bases de licitud y propósitos específicos:

2.1. CELEBRACIÓN O EJECUCIÓN CONTRACTUAL: CONTRATACIÓN DE PRODUCTOS Y/O SERVICIOS OFERTADOS POR LA COMPAÑÍA

Cuando suscribas un contrato con la Compañía, sea mediante la aceptación de unos Términos y Condiciones o la firma de un contrato u otro instrumento jurídico de igual naturaleza, incluyendo la inscripción y participación en clubes o comunidades, la Compañía podrá tratar tus datos personales cuando dicho tratamiento sea estrictamente necesario para:

(i) La gestión de la relación contractual, lo que implica, gestionar la compra de bienes o contratación de servicios, la gestión de pagos, efectuar el servicio de despacho o de retiro en tienda para las compras efectuadas, cotizar y contratar servicios o comprar productos, permitir la visualización y descargas de documentos tributarios, la emisión de comprobantes electrónicos, la atención de consultas y solicitudes sobre el funcionamiento de los servicios contratados o productos comprados; el envío de información asociada a los beneficios de los productos o servicios contratados, y el enrolamientos en los sitios web y app de la Compañía;

(ii) La comunicación de datos personales del Titular a los sellers para la gestión de la compra de productos y contratación de servicios, así como para la ejecución de operaciones de postventa por estos;

(iii) El envío de comunicaciones operacionales sobre el estado de tus compras o el estado de gestión de reclamos;

(iv) La gestión y participación en programas de relacionamiento comunitario y de inversión social que desarrolle la Compañía, lo que incluye la postulación, evaluación y asignación de beneficios sociales (incluyendo la revisión y análisis de antecedentes para evaluación, evaluación de elegibilidad, el registro de beneficiarios seleccionados y beneficios entregados, y el seguimiento de ejecución del beneficio), y la gestión de comunicaciones y relacionamiento comunitario, lo que comprende el envío de comunicaciones informativas, convocatorias a reuniones comunitarias, difusión de programas, talleres o beneficios sociales, gestión de consultas, reclamos o sugerencias de la comunidad, registro de interacciones; o,

(v) Operar y gestionar servicios ofertados por la Compañía en sus tiendas y dependencias físicas, como el servicio de Wifi, lo que incluye habilitar, operar y administrar estos servicios, permitir el acceso y uso del servicio; gestionar la autenticación del Titular, asegurar la continuidad operativa y calidad del servicio y mantener la trazabilidad y seguridad de la red y sistemas asociados.

2.2. EJECUCIÓN O CUMPLIMIENTO DE UNA OBLIGACIÓN LEGAL

La Compañía podrá tratar datos personales del Titular cuando resulte necesario para cumplir con obligaciones legales o reglamentarias aplicables, con los propósitos de:

(i) Dar respuesta al ejercicio de derechos de los titulares, incluyendo la autenticación de identidad del solicitante, el registro y trazabilidad de la solicitud, su evaluación, resolución, respuesta y ejecución del requerimiento, si correspondiere;

(ii) El servicio de atención al cliente en el marco de ejecución de los Términos y Condiciones, incluyendo propósitos como la identificación y autenticación del Titular, la atención de reclamos o solicitudes, o el registro y seguimiento de requerimientos;

(iii) Gestionar incidentes o accidentes ocurridos en las instalaciones, dependencias u oficinas de la Compañía, incluyendo la recepción del reporte, coordinación de asistencia (como la prestación de primeros auxilios, atención de seguridad y derivación a centros de salud o dependencias de las policías, la comunicación con contactos de emergencia cuando corresponda, y el registro mínimo de antecedentes operativos para trazabilidad, prevención y mejora de medidas de seguridad, evitando recolectar datos excesivos;

(iv) La ejecución o implementación de controles técnicos de seguridad, preventivos y correctivos en cumplimiento de obligaciones de seguridad, incluyendo cifrado de datos, firewalls, autenticación multifactor, acciones de monitoreo continuo, gestión de continuidad operacional, recuperación ante incidentes y planes de contingencia, o documentación de gestión de vulnerabilidades;

(v) La validación de identidad del Titular y beneficiarios para la suscripción de los Términos y Condiciones u otros contratos, o para la entrega de un premio o beneficio obtenido en un concurso o promoción;

(vi) La gestión de denuncias de siniestros ocurridos en tiendas, oficinas, bodegas o dependencias de la Compañía, cuando exista una póliza de seguros;

(vii) El cumplimiento de obligaciones legales y regulatorias establecidas en normativas tributarias, administrativas, financieras, de protección al consumidor, de prevención de delitos y de persecución penal u otras aplicables, incluyendo la atención y respuesta a requerimientos de las autoridades competentes, sean administrativas, judiciales, regulatorias o policiales, la entrega de información, registros o evidencias legalmente exigibles, el otorgamiento de acceso lógico y/o físico a evidencias digitales a las autoridades competentes, la facilitación de antecedentes, la colaboración en procesos de fiscalización, supervisión, investigación o persecución de ilícitos y la entrega de antecedentes de respaldo, la ejecución y cumplimiento de resoluciones u órdenes de la autoridad competente, y el cumplimiento y ejecución de resoluciones, instrucciones, oficios u otras medidas dictadas por organismos administrativos o judiciales, o;

(viii) La anonimización de datos personales cuando sea requerido por una norma vinculante.

2.3. SATISFACCIÓN DE INTERESES LEGÍTIMOS

La Compañía podrá tratar datos personales del Titular cuando resulte necesario para la satisfacción de intereses legítimos de la Compañía o de un tercero, siempre que con ello no se afecten los derechos y libertades del Titular; para las siguientes finalidades:

(i) Respecto del servicio de atención al cliente para el análisis de patrones de contacto para mejorar la experiencia de atención, o para la implementación o ejecución de encuestas de satisfacción; en cuyo caso el interés legítimo es asegurar una atención eficiente, consistente y de calidad, para identificar oportunidades de mejora en los canales de contacto y medir la satisfacción de los Titulares;

(ii) En la respuesta al ejercicio de derechos de los titulares, a fin de mejorar la experiencia del Titular al consultar el estado de sus solicitudes; en cuyo caso el interés legítimo es facilitar una gestión transparente, trazable y eficiente de dichas solicitudes, reduciendo fricciones y tiempos de respuesta asociados a tales gestiones;

(iii) El servicio de videovigilancia en las tiendas, bodegas, oficinas y/o dependencias de la Compañía, y la comunicación de estas imágenes a las policías y el Ministerio Público, siendo el interés legítimo en este caso el garantizar la seguridad de las personas (clientes, colaboradores y terceros) en las sucursales de la Compañía, prevenir y disuadir delitos e incidentes, proteger instalaciones, bienes y documentación, y disponer de evidencia para esclarecer hechos, gestionar reclamos o siniestros y ejercer o defender derechos;

(iv) El desarrollo y perfeccionamiento de productos, servicios y beneficios, incluyendo estudios de mercado, evaluar el desempeño de canales de atención, identificar patrones de comportamiento para mejorar la experiencia del usuario, optimizar decisiones de posicionamiento, segmentación y fidelización, estudio de patrones de consumo, medir la efectividad de campañas de comunicación o marketing, identificación de tendencias de mercado; en cuyo caso el interés legítimo es comprender el desempeño de la Compañía y las preferencias de los Titulares para mejorar su propuesta de valor, diseñar y ajustar beneficios y servicios, y tomar decisiones informadas sobre la evolución y sostenibilidad de la Compañía;

(v) Mejora continua de la Compañía, incluyendo la realización de encuestas de satisfacción, identificación de los principales canales de adhesión, análisis de comportamiento para mejorar experiencia de uso, identificación de oportunidades de mejora y análisis de métricas de uso; en cuyo caso el interés legítimo es mantener y optimizar el funcionamiento y la usabilidad de la Compañía, priorizando mejoras basadas en métricas de uso y retroalimentación de los Titulares para ofrecer una experiencia más simple, útil y consistente;

(vi) Gestión de riesgos y prevención de fraudes, incluyendo garantizar que el Titular utilice los productos, servicios y canales de la Compañía, la revisión de patrones de uso inusuales, validación técnica de accesos, activación de medidas preventivas e investigación de incidentes; en cuyo caso el interés legítimo es prevenir, detectar e investigar usos indebidos o fraudulentos y gestionar riesgos operacionales asociados a la Compañía, protegiendo a los Titulares y a terceros frente a accesos o transacciones no autorizadas y resguardando la integridad de la Compañía;

(vii) Implementación de medidas de seguridad, incluyendo actividades de pen test y ethical hacking; en cuyo caso el interés legítimo es resguardar la confidencialidad, integridad y disponibilidad de los sistemas y datos de la Compañía mediante la detección y mitigación preventiva de vulnerabilidades, y el fortalecimiento de controles de seguridad;

(viii) Gestión y operación de canales digitales (sitios web, apps móviles, plataformas y chatbots), incluyendo acciones para su correcto funcionamiento, atención de consultas generales y gestión de cookies estrictamente necesarias; en cuyo caso el interés legítimo es asegurar la continuidad operativa, disponibilidad y correcto funcionamiento técnico de los canales digitales de la Compañía; o,

(ix) El envío de invitaciones o comunicaciones relativas a eventos, promociones, ofertas, concursos o sorteos, en cuyo caso el interés legítimo es mantener y desarrollar la relación con clientes y usuarios, informándoles sobre estas actividades asociadas a la Compañía, para fines de fidelización, difusión de beneficios y marketing directo;

(x) Contactarte por medios de comunicación habilitados, como correo electrónico, SMS, llamadas o notificaciones, para recordarte y facilitar la finalización de una cotización o contratación de productos o servicios que iniciaste y no completaste, incluyendo el envío de enlaces o instrucciones para retomar el proceso y resolver incidencias técnicas u operativas asociadas (por ejemplo, recuperación de sesión, verificación de datos o pasos faltantes). En este caso el interés legítimo es asegurar la continuidad de los procesos iniciados por nuestros usuarios, mejorar la experiencia y reducir fricciones (por ejemplo, abandonos por interrupciones, errores o falta de tiempo), así como ofrecer un canal de asistencia para completar una solicitud o cotización que el Titular razonablemente espera finalizar; o,

(xi) La identificación y caracterización de comunidades y beneficiarios para la realización de programas de relacionamiento comunitario y de inversión social; en este caso el interés legítimo es gestionar de forma efectiva, transparente y trazable estos programas, como parte de las actividades de responsabilidad social de la Compañía.

2.4. EJECUCIÓN DE MEDIDAS PRECONTRACTUALES ADOPTADAS A SOLICITUD DEL TITULAR

En los procesos de cotización o contratación de productos la Compañía podrá utilizar tus datos personales que sean necesarios para la ejecución de estas medidas, incluyendo la identificación de necesidades, calcular precio y/o condiciones, enviar una oferta, y evaluar elegibilidad y condiciones.

2.5. FORMULACIÓN, EJERCICIO O DEFENSA DE UN DERECHO

La Compañía podrá tratar datos personales del Titular cuando sea necesario para el ejercicio de sus derechos procesales, incluyendo:

(i) Preparar acciones legales;

(ii) Ejercer derechos o dar curso a un procedimiento; o,

(iii) Responder ante el ejercicio de una acción legal, administrativa o judicial. Estos tratamientos incluyen la recolección, análisis y conservación de evidencia documental o electrónica necesaria para respaldar posiciones jurídicas.

2.6. CONSENTIMIENTO

La Compañía justifica en el consentimiento del Titular ciertos tratamientos de datos personales que realiza exclusivamente en su calidad de gestor y operador del Contrato, los que podrían incluir:

(i) Tratamiento de datos personales sensibles, cuando ello resulte estrictamente necesario para la operación de la Compañía o la provisión de beneficios, siempre que su tratamiento no esté establecido por una norma legal o reglamentaria;

(ii) Implementación de mecanismos de autenticación que empleen datos biométricos, tales como reconocimiento facial, huella dactilar u otros identificadores únicos;

(iii) Uso de cookies no necesarias, como cookies de analítica (medición de tráfico, métricas de rendimiento, optimización del sitio), cookies de marketing y tracking;

(iv) Como parte del uso para fines de mercadotecnia, publicidad, y promoción de productos y servicios, a través de alianzas comerciales con avisadores y operadores de plataformas de contenidos y redes sociales (“Plataformas”), la Compañía podrá utilizar información tuya relacionada con patrones generales de compra para la preparación de grupos de clientes o audiencias de atributos comunes o similares. Si te encuentres en una de esas categorías, o tu información resulta similar a las características de una determinada audiencia, podemos compartir algunos datos básicos de tu persona con terceros avisadores y operadores de Plataformas para que ellos te muestren a ti y a otros usuarios con intereses similares a los tuyos, anuncios que les resulten relevantes. En el caso de que te inscribas en un club o comunidad de la Compañía, mediante la aceptación de los respectivos Términos y Condiciones, esta justifica en el consentimiento del Titular ciertos tratamientos de datos personales para fines de marketing personalizado, en el marco de la comunidad o club, los que podrían incluir:

(i) Elaboración de perfiles y segmentación: Analizar tus datos personales, incluyendo datos de identificación, transaccionales, de navegación y de uso del club o comunidad, para elaborar perfiles de consumo y segmentarte en audiencias, con el fin de enviarte comunicaciones y ofertas acordes con tus preferencias, intereses y comportamiento en el club o comunidad;

(ii) Enriquecimiento de atributos: Complementar y actualizar la información disponible del Titular a partir de sus interacciones con el club o comunidad, mejorando la calidad y precisión de los perfiles de usuario para optimizar la personalización de beneficios y comunicaciones; o,

(iii) Comunicaciones comerciales personalizadas: Enviarte publicidad, promociones, ofertas, beneficios y contenidos personalizados a través de canales físicos y remotos, tales como correo postal, centro de llamadas, correos electrónicos, redes sociales,

mensajes de texto (SMS, push o similares), WhatsApp u otras plataformas de mensajería.

3. Comunicación y Transferencia de Datos Personales

Para cumplir con los propósitos de tratamiento referidos en esta Política de Privacidad, la Compañía podrá comunicar o ceder datos personales de los Titulares a terceros, en Chile o en el extranjero.

3.1. COMUNICACIÓN A PROVEEDORES DE SERVICIOS (MANDATARIOS)

La Compañía podrá comunicar tus datos personales a terceros que, con la finalidad exclusiva de la provisión de sus servicios, deban acceder a ellos y actúen como mandatarios para su tratamiento como, por ejemplo, a empresas de web hosting, procesamiento de pagos, gestión de pedidos, provisión de tecnología de la información e infraestructura relacionada, servicio al cliente, envío de comunicaciones. Estos terceros tratarán los datos personales en nombre de la Compañía, siguiendo sus instrucciones y las disposiciones de esta Política de Privacidad.

3.2. TRANSMISIÓN DE DATOS PERSONALES A AUTORIDADES COMPETENTES

Los datos personales del Titular podrían ponerse a disposición de entidades públicas, judiciales, administrativas, regulatorias o policiales, cuando ello sea necesario para atender eventuales responsabilidades derivadas de su tratamiento, para el cumplimiento de las obligaciones legales y reglamentarias aplicables a la Compañía, así como para la prevención de fraude o el blanqueo de capitales, y para cooperar con dichas entidades en el ejercicio de sus funciones.

3.3. TRANSMISIÓN DE DATOS PERSONALES A TERCEROS PARA FINES DE MERCADOTECNIA

En caso de que así lo hayas consentido mediante la casilla de aceptación voluntaria, trataremos tus datos personales para fines de mercadotecnia, publicidad, y promoción de productos y servicios, a través de alianzas comerciales con avisadores y operadores de plataformas de contenidos y redes sociales (“Plataformas”). Podremos utilizar información tuya relacionada con patrones generales de compra para la preparación de grupos de clientes o audiencias de atributos comunes o similares. Si te encuentres en una de esas categorías, o tu información resulta similar a las características de una determinada audiencia, podemos compartir algunos datos básicos de tu persona con terceros avisadores y operadores de Plataformas para que ellos te muestren a ti y a otros usuarios con intereses similares a los tuyos, anuncios que les resulten relevantes. Los datos que enviemos serán comunicados a través de mecanismos seguros, incluyendo el uso de técnicas de encriptación o enmascaramiento, y serán recibidos por los destinatarios en calidad de responsables de tratamiento. Siempre podrás solicitar suspender u oponerte al envío de datos a terceros anunciadores y operadores de Plataformas manifestando tu intención a través de nuestros canales de contacto. Asimismo, podrás optar a no ser incluidos en listados de audiencias o identificación de usuarios similares directamente en las páginas web de las respectivas Plataformas donde tienes cuenta o eres usuario.

4. Comunicación o transferencia internacional

En caso de que la Compañía comunique o transfiera tus datos personales a destinatarios ubicados fuera del país, tus datos personales seguirán recibiendo una protección adecuada a través de alguno de estos mecanismos:

(i) La transferencia se realizará a destinatarios sujetos a la legislación de un país que proporcione niveles adecuados de protección de datos personales según así lo determine la Agencia de Protección de Datos Personales;

(ii) Los contratos que regulen la comunicación o transferencia internacional de datos personales incorporarán cláusulas contractuales estándar o aplicarán normas corporativas vinculantes aprobadas por la Agencia de Protección de Datos Personales, u otros instrumentos jurídicos con garantías adecuadas; o,

(iii) La adopción de un modelo de cumplimiento o mecanismo de certificación con garantías adecuadas. En cualquier caso, la Compañía adoptará las medidas técnicas y organizativas razonables para que toda transferencia y gestión de datos personales por terceros se realice cumpliendo con la Regulación de Protección de Datos. Cuando se comuniquen o cedan datos personales del Titular a terceros, los datos personales entregados serán los estrictamente necesarios para el objetivo específico que justifica la entrega.

5. Fuentes de los datos personales

Los datos personales de los Titulares pueden obtenerse de las siguientes fuentes:

(i) Directamente del Titular: Cuando nos facilitas tus datos personales para formalizar un contrato y durante su duración, ya sea presencialmente, por medio de formularios, grabación telefónica, correo electrónico, a través de sitios web, aplicaciones móviles u otro sistema tecnológico;

(ii) Fuentes de acceso público: Cuando recolectamos datos personales mediante búsquedas en bases de datos accesibles para cualquier persona, siempre conforme a la Regulación de Protección de Datos y en función de una base de legalidad; o,

(iii) De tus visitas a nuestros sitios web y aplicaciones móviles: Recabamos datos de navegación, incluyendo la dirección IP, programa de navegación, sistema operativo, fecha y hora de acceso, y comportamiento de uso. Esta información puede vincularse contigo si inicias sesión en nuestras plataformas.

6. Categorías de datos personales

La Compañía podrá tratar las siguientes categorías de datos personales de Titulares:

(i) Datos de identificación y de contacto: Como nombres, apellidos, fecha de nacimiento, número de cédula de identidad, nacionalidad; email, teléfono, domicilio o nombre de usuario;

(ii) Datos transaccionales y económicos: Información relativa a tus transacciones, historial de compras y cotizaciones, devoluciones, pagos, y medios de pago utilizados;

(iii) Datos de navegación y uso de plataformas: Información relativa a los modos en que usas nuestros sitios web, dirección IP, tipo de dispositivo, sistema operativo, navegador web, patrones de navegación, tiempo de visita e información recopilada a través de cookies;

(iv) Datos biométricos (cuando corresponda y con tu consentimiento): Como huella dactilar, rasgos faciales u otros identificadores únicos utilizados para procesos de autenticación;

(v) Datos de geolocalización (cuando actives esta función y contando con una habilitante legal): Como ubicación del dispositivo para prevenir fraudes, mostrarte establecimientos cercanos de la Compañía y ofertas relevantes en tu zona;

(vi) Datos de menores. Nuestras páginas web y productos, normalmente no están dirigidos a los menores de edad, por lo que no recolectamos sus datos. Si eres menor de edad, por favor no intentes registrarte como usuario de nuestro sitio web y aplicación móvil, ni tratar de contratar nuestros productos. En el evento de que se requiera el tratamiento de datos personales de un menor de 16 años como consecuencia de la contratación de un producto o servicio respecto del cual éste sea titular o beneficiario, se requerirá la autorización de quien tenga a su cargo el cuidado personal del menor, de conformidad con la normativa aplicable;

(vii) Datos personales de terceros facilitados por Titulares. En principio, la Compañía no requiere que el Titular facilite información de terceros. Cuando excepcionalmente así suceda como, por ejemplo, un tercero sea autorizado para un retiro en tienda, o sea beneficiario de un servicio, el Titular declara y garantiza que: a) cuenta con el consentimiento de este tercero para comunicar tal información a la Compañía; b) el tercero tiene capacidad jurídica suficiente; y, c) asume plena responsabilidad por cualquier reclamo que tales terceros puedan interponer en relación con los datos personales proporcionados.

7. Uso de Cookies y tecnologías similares

El uso de cookies y tecnologías similares los sitios web y aplicaciones móviles de la Compañía puede implicar tratamiento de datos personales. Las cookies son pequeños archivos de texto que contienen un identificador único que se almacena en tu dispositivo, de manera que este pueda ser reconocido cada vez que visitas nuestros sitios o aplicaciones. Con excepción de las cookies que son necesarias para el funcionamiento del sitio o aplicaciones móviles, puedes elegir deshabilitar en cualquier momento algunas o todas las cookies y seguir utilizando los sitios web.

Para más información sobre qué tipo de cookies utiliza la Compañía o para qué las utilizan, revisa sus Políticas de Cookies en la sección “Cómo Cuidamos tus Datos” en nuestro sitio web www.tottus.cl/tottus-cl/content/proteccion-de-datos o en la Tottus App.

8. Protección de tus datos personales y medidas de seguridad

La Compañía ha implementado medidas de seguridad adecuadas para evitar la pérdida, el uso o el acceso no autorizado, o la divulgación accidental de tus datos personales. Estas medidas de seguridad incluyen cifrado de datos; controles de acceso basados en roles y principio de mínimo privilegio; mecanismos de autenticación reforzada para accesos a sistemas críticos; cifrado de datos en tránsito y, cuando corresponda, en reposo; registros de actividad, monitoreo y medidas de detección ante eventos de seguridad; gestión de vulnerabilidades y actualizaciones de seguridad; etc. El acceso a tus datos personales se limita únicamente a aquellos colaboradores y mandatarios que deban necesariamente acceder a ellos para prestar sus servicios, tratamiento que harán según las instrucciones de la Compañía y bajo obligaciones de confidencialidad. Para determinar estas medidas se toma en consideración en cuenta el estado de la técnica, los costos de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, y los riesgos de probabilidad y gravedad de afectación para tus derechos. Estas medidas son revisadas periódicamente, e incluyen también la capacitación del personal involucrado en el tratamiento de datos personales en el marco de la operación de los servicios que ofrecemos. Ante cualquier incidente de seguridad que implique destrucción, pérdida, alteración, filtración o acceso/divulgación no autorizada de datos personales y que suponga un riesgo razonable para ti, te informaremos sin dilaciones indebidas a la Agencia por los medios más expeditos y mantendremos un registro del incidente. Si el incidente afecta datos sensibles, datos de niños y niñas menores de 14 años o datos económicos, financieros, bancarios o comerciales, también notificaremos a los titulares o sus representantes en lenguaje claro, indicando datos comprometidos, posibles consecuencias y medidas adoptadas; cuando no sea posible notificar individualmente, lo haremos mediante un aviso público de alcance. Para más información sobre las medidas de seguridad mediante las cuales la Compañía protege tus datos personales, puedes revisar su Política de Seguridad de la Información en la sección “Cómo Cuidamos tus Datos” en nuestro sitio web www.tottus.cl/tottus- cl/content/proteccion-de-datos o en la Tottus App.

9. Conservación de los datos personales

La Compañía conserva tus datos personales sólo durante el tiempo indispensable para cumplir con los fines declarados en esta Política de Privacidad, salvo que una norma legal disponga otro plazo, o si son necesarios para la formulación, ejercicio o defensa de un derecho, o para otros fines legítimos, caso en el cual serán bloqueados una vez cumplida la finalidad. Concluidos estos plazos los datos serán eliminados o anonimizados en forma segura. Se determinan los períodos de conservación basándonos en los siguientes elementos:

(i) Si los datos personales se recabaron para el desarrollo de una compra, la prestación de un servicio, o la participación en un concurso, se conservarán durante toda la vigencia de la relación contractual y, una vez finalizada, hasta que prescriba el plazo legal para su tratamiento;

(ii) Si los datos personales se recabaron para el cumplimiento de obligaciones legales, se conservarán hasta que se cumpla tal obligación;

(iii) Si los datos personales se recabaron en virtud de un interés legítimo, se conservarán hasta que tal interés deje de existir; y,

(iv) Si los datos personales se recabaron con tu consentimiento, se conservarán hasta que lo revoques. Considera que puedes revocar tu consentimiento en cualquier momento escribiendo al correo electrónico contacto@tottus.cl.

10. Derechos del Titular sobre sus datos personales

El Titular podrá ejercer los derechos reconocidos en la Regulación de Protección de Datos, los que incluyen:

(i) Derecho de acceso: Derecho a solicitar a la Compañía, información respecto de los datos personales que trata, su origen, la finalidad del tratamiento, las categorías o identidad de destinatarios de los datos, el período de tiempo durante el cual serán tratados y, si aplicare, los intereses legítimos de la Compañía y la información significativa sobre la lógica aplicada si se toman decisiones basadas en tratamientos automatizados;

(ii) Derecho de rectificación: Derecho a solicitar a la Compañía, la modificación de tus datos personales cuando sean inexactos, desactualizados o incompletos;

(iii) Derecho de supresión o cancelación: Derecho a solicitar a la Compañía, la eliminación de tus datos personales cuando no sean necesarios en relación con los fines del tratamiento, hayas revocado tu consentimiento y el tratamiento no tenga otro fundamento legal, o se trate de datos caducos, entre otros escenarios indicados en la Regulación de Protección de Datos. El ejercicio de este derecho está sujeto a excepciones legales;

(iv) Derecho de oposición: Respecto de ciertos tratamientos indicados en la Regulación de Protección de Datos, incluyendo la oposición a ser objeto de decisiones basadas en el tratamiento automatizado de tus datos personales que produzcan efectos jurídicos o te afecten significativamente. El ejercicio de este derecho está sujeto a excepciones legales;

(v) Derecho de bloqueo: Derecho a solicitar a la Compañía, la suspensión temporal de cualquier operación de tratamiento de tus datos personales cuando formules una solicitud de rectificación, supresión u oposición, mientras dicha solicitud no se resuelva;

(vi) Derecho de portabilidad: Derecho a solicitar a la Compañía, la copia de tus datos personales en un formato electrónico estructurado, genérico y de uso común, que permita ser operado por distintos sistemas; y,

(vii) Derecho de revocar las autorizaciones que hayas otorgado para el tratamiento de tus datos personales, sin efecto retroactivo respecto de tratamientos ya realizados. Para ejercer cualquiera de estos derechos podrás utilizar cualquiera de los siguientes mecanismos:

a) enviar un correo electrónico a la siguiente casilla de correo contacto@tottus.cl; b) mediante los formularios dispuestos en todos los Canales Digitales de la Compañía; o c) acudiendo presencialmente a cualquiera de las tiendas de la Compañía. La Compañía, procesará tu solicitud sin requisitos adicionales. Del mismo modo, siempre puedes solicitar la suspensión del envío de comunicaciones promocionales o publicitarias, de conformidad con lo dispuesto en las normas de protección al consumidor, utilizando los canales de desuscripción establecidos en la misma comunicación, o utilizando los canales que las Compañías o el Servicio Nacional del Consumidor (Sernac) han dispuesto para ello. Si consideras que tus solicitudes no son atendidas adecuadamente, tienes derecho a reclamar ante la Agencia de Protección de Datos Personales.

11. Decisiones automatizadas y elaboración de perfiles

La Compañía podrá tomar decisiones automatizadas sobre tus datos personales, incluida la elaboración de perfiles. Esto significa que, mediante procesos automatizados, analiza ciertos datos personales relacionados con tu uso de los sitios web y aplicaciones móviles, para aplicar las reglas de los Términos y Condiciones. Estos procesos incluirán la activación de medidas automatizadas de prevención de fraude o de cumplimiento de los Términos y Condiciones (por ejemplo, alertas, validaciones adicionales, limitaciones temporales o prevención de fraude cuando se detecten patrones de uso inusuales o inconsistentes). Información significativa sobre la lógica aplicada: Estos procesos suelen considerar, de manera individual o combinada, variables como tu historial de cotizaciones, de contrataciones, frecuencia de las mismas o de transacciones, uso de los sitios web o aplicaciones móviles (por ejemplo, navegación dentro de sitios web de la Compañía), incidencias o reclamos asociados a tus productos y seguros, y señales técnicas de seguridad (por ejemplo, intentos fallidos de inicio de sesión o cambios relevantes en el dispositivo). Con base en dichas variables, el sistema aplica reglas (por ejemplo, umbrales, ponderaciones o modelos de clasificación) para asignarte una categoría o puntaje y, en función de ello, activar validaciones y controles de seguridad. Consecuencias previstas para ti: El resultado de estos procesos puede implicar consecuencias restrictivas, como la necesidad de realizar validaciones adicionales, la limitación temporal de ciertas operaciones o el impedimento temporal para acceder a tu sesión cuando el sistema detecte riesgos de fraude o uso indebido.

12. Modificaciones a esta Política de Privacidad

Esta Política de Privacidad tiene duración indefinida. La Compañía podrá modificar esta Política de Privacidad, lo que informará por distintas vías como, por ejemplo, a través de un banner, un pop-up, una notificación push en los sitios web, o incluso te lo podrán comunicar a tu dirección de correo electrónico, para que puedas revisar dichos cambios, valorarlos y, según el caso, ejercer los derechos en materia de protección de datos que te confiere la Regulación de Protección de Datos. Tratándose de cambios y actualizaciones que requieran de tu consentimiento, te lo solicitaremos de conformidad con la Regulación de Protección de Datos.

13. Versión y fecha de actualización

Versión: CLTOT_PDP_006 Fecha de última actualización: 27 de mayo de 2026