Política de Privacidad

1. Responsable del tratamiento

Constanza del Rosario, propietaria del sitio gameoverimpostora.app e investigadora principal del modelo MIMSI-CDR.

Contacto para ejercicio de derechos y consultas de privacidad: constanzadelrosario@gmail.com

Responde personalmente Constanza del Rosario. No hay equipo intermedio.

2. Marco legal aplicable

El tratamiento de tus datos se rige por la legislación chilena de protección de datos personales:

• Constitución Política, art. 19 N°4, modificado por la Ley 21.096 (2018), que reconoce la protección de datos personales como derecho fundamental.
• Ley 19.628 sobre protección de la vida privada, actualmente vigente.
• Ley 21.719 sobre protección y tratamiento de los datos personales, que entra en vigencia plena el 1 de diciembre de 2026 y reemplaza a la 19.628. Esta política está diseñada para cumplir con sus estándares desde ya: consentimiento reforzado para datos sensibles, derechos ampliados, transparencia en decisiones automatizadas y notificación de brechas.

3. Datos que recolectamos

Separo los datos en categorías porque cada una se usa para algo distinto y se conserva por plazos distintos.

3.1. Datos sensibles de salud mental

Tienen protección reforzada por ley y solo se tratan si entregaste consentimiento explícito al iniciar el test:

• Respuestas al Test Nivel 1 (~28 ítems).
• Respuestas al TSSI / ISI-CDR Nivel 2 (~113 ítems, escala psicométrica).
• Resultados derivados: perfil tipológico (5 perfiles puros, 25 subtipos), fuente dominante y secundaria, intensidad, interferencia funcional, vergüenza, ansiedad, atribuciones, distorsiones cognitivas, ciclos y plan de intervención sugerido. En total, 14 cálculos psicométricos derivados de tus respuestas.
• Respuestas a la encuesta de discrepancia (qué tan reconocida te sientes en el resultado) y a las micro-encuestas opcionales sobre habilidades y expectativas.

3.2. Datos de cuenta y contacto

• Nombre completo.
• Correo electrónico (es también tu identificador de cuenta).
• Contraseña, almacenada hasheada por el proveedor de autenticación (Supabase Auth). Nunca veo ni guardo tu contraseña en texto plano.
• Datos sociodemográficos opcionales que entregas en el registro: edad, género, área profesional, rol/cargo, etapa de carrera, fuente por la que llegaste al sitio. Estos datos son relevantes para la validación del modelo en la población objetivo (mujeres profesionales latinoamericanas).
• Registro de tu consentimiento (qué aceptaste y cuándo), con timestamp e IP en el momento del registro.

3.3. Datos técnicos

• Dirección IP, tipo de dispositivo, navegador, sistema operativo y referencia de origen, recolectados automáticamente por la infraestructura.
• Identificador anónimo de sesión (UUID) generado al iniciar el test. Antes del registro, tus respuestas se asocian solo a este UUID, no a tu identidad.

3.4. Datos de comunicaciones

• Registro de emails enviados (transaccionales y de seguimiento), estado de entrega, aperturas y desuscripciones.
• Lista de supresión: si te desuscribes o si un email rebota permanentemente, tu correo queda registrado en una lista de supresión para no volver a contactarte.

4. Cookies y almacenamiento local

Detallo abajo todo lo que se guarda en tu navegador. Las cookies estrictamente necesarias no requieren consentimiento; las opcionales se activan solo si las aceptas en el banner.

Si rechazas las cookies opcionales, las peticiones de Flock se bloquean en tu navegador y no se envían. Puedes cambiar tu decisión en cualquier momento en la sección final de esta página.

5. Finalidades del tratamiento

• Entregar el servicio: procesar tus respuestas, calcular tu perfil y mostrarte resultados, plan de intervención y dashboard.
• Comunicarte tus resultados por correo y permitir que retomes el test si lo abandonaste (token de reanudación firmado).
• Mantener tu cuenta para que puedas volver a tu dashboard, ver tus resultados históricos y acceder al Nivel 2.
• Investigación científica para validar el modelo MIMSI-CDR y el instrumento ISI-CDR (ver detalle en la sección 6).
• Mejorar el contenido y la experiencia del sitio con análisis agregado y anonimizado.
• Cumplir obligaciones legales y proteger la seguridad de la plataforma (anti-fraude, prevención de abusos).

Nunca uso tus respuestas individuales del test para fines comerciales sin tu consentimiento explícito y específico. Nunca las comparto con empleadores, aseguradoras ni instituciones educativas.

6. Uso académico y de investigación científica

Game Over, Impostora no es solo un producto de autoconocimiento: es también la infraestructura de validación empírica del modelo MIMSI-CDR (Modelo Integrado Multifactorial del Síndrome del Impostor) y de su instrumento ISI-CDR / TSSI. La validación científica del modelo es parte intrínseca de la finalidad de la plataforma.

6.1. Qué hacemos con tus datos para investigación

• Análisis factorial confirmatorio de la estructura del instrumento ISI-CDR (los nueve pilares, 30 dimensiones, 25 subtipos): verificar empíricamente que los ítems agrupan en los factores teóricos previstos.
• Análisis de fiabilidad y consistencia interna (alfa de Cronbach, omega de McDonald) de cada escala y subescala.
• Validez convergente y discriminante respecto de instrumentos clásicos del síndrome del impostor (CIPS de Clance, IPP de Leonhardt, SIPS de Fujie) cuando se incluyan en estudios comparados.
• Validación de los 14 cálculos clínicos y de los puntos de corte que determinan perfil dominante, subtipo, interferencia funcional y plan de intervención.
• Análisis de los 25 subtipos y de su distribución poblacional en mujeres profesionales latinoamericanas.
• Reportes estadísticos agregados para publicaciones académicas, comunicaciones a congresos, tesis, divulgación científica y desarrollo de versiones futuras del modelo (v2.0 incluye el ISI-CDR-S de estado, previsto tras validar la versión rasgo con N≥300).

6.2. Salvaguardas que aplico

• Anonimización antes del análisis: los datos usados con fines académicos se seudonimizan o anonimizan previamente. Tu nombre, correo electrónico y cualquier identificador directo se eliminan o reemplazan por un código que no permite re-identificarte.
• Resultados agregados, no individuales: las publicaciones, reportes y presentaciones nunca contienen respuestas individuales ni datos que permitan identificarte. Los resultados se presentan en estadísticas grupales (medias, distribuciones, modelos factoriales).
• Sin re-identificación: me comprometo a no intentar re-identificar a participantes a partir del dataset anonimizado, y a no cruzar el dataset con otras bases de datos con ese fin.
• Sin venta ni cesión a terceros con fines comerciales. Si en el futuro colaboro con investigadores externos (universidades, equipos académicos), la cesión se hace sobre el dataset anonimizado y bajo acuerdo de tratamiento que mantenga estas salvaguardas. Te lo informaré por correo si esto llega a ocurrir.
• Publicación científica abierta: los hallazgos agregados del proyecto pueden publicarse en revistas científicas, preprints, repositorios académicos abiertos o comunicaciones a congresos. Esto contribuye al conocimiento público sobre el síndrome del impostor en mujeres profesionales latinoamericanas.

6.3. Tu derecho a oponerte al uso de investigación

La participación en la validación científica es separable del uso del servicio: puedes usar libremente la plataforma para tu autoconocimiento sin que tus datos formen parte de los análisis de investigación. Para oponerte al uso académico de tus datos:

• Marca la opción correspondiente en el formulario de consentimiento al registrarte, o
• Escríbeme en cualquier momento al correo de la sección 1 indicando "oposición a uso de investigación". Tu exclusión del dataset de investigación se efectúa sin necesidad de justificación y sin afectar tu acceso al servicio ni tus resultados personales.

Tu oposición se aplica hacia adelante. Si tus datos ya fueron incluidos en análisis agregados publicados o en proceso de publicación, su retiro retroactivo del dataset puede no ser técnicamente posible (la anonimización es irreversible y los resultados estadísticos ya producidos no contienen información que permita identificarte), pero se excluyen de cualquier análisis futuro.

7. Decisiones automatizadas

Tu perfil tipológico, tus subtipos y los 14 cálculos psicométricos se generan de forma completamente automatizada (sin intervención humana en el cálculo) a partir de tus respuestas y de un algoritmo psicométrico documentado en el sitio.

El resultado no es un diagnóstico clínico, médico ni psiquiátrico. Es una herramienta de autoconocimiento basada en literatura científica (Clance, Young, Bravata y otros) y en el modelo MIMSI-CDR en proceso de validación empírica. No reemplaza una consulta con un profesional de salud mental.

Tienes derecho a solicitar una revisión humana del resultado, a obtener una explicación de cómo se calculó tu perfil y a impugnar el resultado. Escríbeme al correo de la sección 1.

8. Cuenta de usuaria y autenticación

Al registrarte creas una cuenta persistente con email y contraseña. La autenticación la gestiona Supabase Auth: tu contraseña se guarda hasheada (bcrypt/argon2 según versión del proveedor), nunca en texto plano, y nadie en el equipo —incluida Constanza— puede verla.

El login está protegido con CAPTCHA (Cloudflare Turnstile) para prevenir ataques automatizados.

Puedes solicitar la eliminación de tu cuenta y de todos los datos asociados escribiéndome al correo de la sección 1. Procesamos la solicitud dentro de los plazos legales (en general, dentro de 20 días hábiles).

9. Comunicaciones por correo electrónico

El sistema te envía emails en estos casos:

• Resultados del Nivel 1 tras completar el test (transaccional).
• Reanudación si abandonaste el test, con un link firmado que expira (token corto).
• Notificaciones del Nivel 2 (recordatorios y confirmaciones).
• Comunicaciones administrativas de la cuenta (cambios de contraseña, alertas de seguridad).
• Contenidos opcionales relacionados con tu perfil (solo si aceptaste comunicaciones de marketing en el registro).

Todos los emails incluyen un enlace de desuscripción. También puedes gestionar tu desuscripción en /email/unsubscribe o escribiéndome al correo de la sección 1. El envío técnico se hace a través de Lovable / GPT Engineer Software AB (ver sección 10).

10. Terceros que reciben tus datos

Por la arquitectura del sitio, los siguientes terceros pueden recibir parte de tus datos (técnicos, de cuenta y/o de respuestas según el caso):

• Cloudflare, Inc. (Estados Unidos) — CDN, proxy de seguridad, almacenamiento de assets (R2) y verificación CAPTCHA (Turnstile). Recibe: dirección IP, metadatos de navegador, tokens de CAPTCHA. Política
• Supabase, Inc. (Estados Unidos) — base de datos (PostgreSQL), autenticación de cuentas y cola de emails. Recibe y almacena: datos de registro, respuestas del test, resultados psicométricos, datos de cuenta, logs de envío de email. Política
• Lovable / GPT Engineer Software AB (Suecia) — plataforma de desarrollo, infraestructura de envío de emails transaccionales (a través de su API @lovable.dev/email-js) y analytics interno (Flock). Recibe: dirección de email del destinatario y contenido del email para enviarlo; metadatos agregados de uso del sitio si aceptaste cookies opcionales. Política
• Google LLC (Estados Unidos) — únicamente Google Fonts (carga de tipografías). Recibe: dirección IP al cargar las fuentes. No se usa Google OAuth ni Google Analytics. Política

Servicios que aún no usamos pero están en el roadmap: procesadores de pago (Mercado Pago o Lemon Squeezy) y eventuales servicios de modelos de lenguaje (LLM) para funciones de chatbot o generación de copy personalizada. Hoy no se procesan pagos reales y tus respuestas no se envían a ningún modelo de IA externo. Cuando alguna de estas funcionalidades se active, actualizaré esta política y, si el cambio es material, te lo notificaré por correo antes de que entre en vigor.

11. Transferencia internacional de datos

Tres de los terceros listados arriba (Cloudflare, Supabase, Google) están ubicados en Estados Unidos, y uno (Lovable / GPT Engineer Software AB) en Suecia (Unión Europea). Esto implica que tus datos pueden almacenarse o procesarse fuera de Chile.

A la fecha de esta política, Chile no ha emitido decisión de adecuación respecto de Estados Unidos. La base legal para la transferencia es tu consentimiento explícito al aceptar esta política, sumado a las cláusulas contractuales tipo y medidas técnicas de seguridad (cifrado en tránsito y en reposo) que cada proveedor declara aplicar. Cuando entre en vigencia la Ley 21.719 (diciembre de 2026), se exigirá además documentación adicional de garantías; el sitio se ajustará en consecuencia.

12. Plazo de retención

Conservo tus datos por los siguientes plazos máximos:

• Cuenta de usuaria activa: mientras la cuenta esté activa. Tras 24 meses de inactividad continua, la cuenta se anonimiza o elimina.
• Respuestas del test, TSSI y encuestas: hasta 24 meses desde su captura. Pasado ese plazo se eliminan o anonimizan irreversiblemente.
• Datos anonimizados para investigación: el dataset seudonimizado/anonimizado utilizado para validación del modelo se conserva por tiempo indefinido como respaldo de las publicaciones científicas, conforme a estándares de reproducibilidad académica (apertura de datos, replicabilidad). Al estar anonimizado, ya no constituye dato personal.
• Resultados psicométricos individuales: mismo plazo que las respuestas que los originaron (24 meses).
• Logs de envío de email y lista de supresión: mientras sea necesario para no contactarte si te desuscribiste (la supresión es indefinida hasta que la revoques).
• Datos técnicos (IP, logs): 12 meses como máximo.

Nota de transparencia: el mecanismo automatizado de borrado/anonimización a los 24 meses está en construcción. Durante este período de transición, el borrado se ejecuta por solicitud directa o por revisión periódica manual. Cuando el proceso automatizado esté en producción, esta política se actualizará con la fecha exacta de implementación.

13. Tus derechos

Como titular de tus datos personales, tienes los siguientes derechos bajo la Ley 19.628 (y ampliados bajo la Ley 21.719 desde diciembre de 2026):

• Acceso: saber qué datos tengo sobre ti y obtener una copia.
• Rectificación: corregir datos incorrectos o desactualizados.
• Supresión (derecho al olvido): pedir que borre tus datos.
• Oposición: negarte a usos específicos (marketing, análisis estadístico, investigación académica — ver sección 6.3).
• Portabilidad: recibir tus datos en formato estructurado y legible por máquina para llevarlos a otro responsable.
• Bloqueo: pedir que no se usen mientras se resuelve una disputa.
• Revocación del consentimiento: retirar tu autorización en cualquier momento, sin afectar la legalidad del tratamiento previo.
• Revisión humana de decisiones automatizadas: solicitar explicación e impugnación de tu perfil tipológico (ver sección 7).

Para ejercer cualquiera de estos derechos, escríbeme a constanzadelrosario@gmail.com. Respondo personalmente dentro de los plazos legales. Si crees que tu solicitud no fue resuelta adecuadamente, podrás —desde diciembre de 2026— reclamar ante la Agencia de Protección de Datos Personales de Chile.

14. Menores de edad

El servicio está dirigido a personas mayores de 18 años. No recolecto a sabiendas datos de menores. Si detecto que se registró una menor de edad sin consentimiento parental, elimino su cuenta y todos sus datos asociados de forma inmediata. Si eres madre, padre o tutor y crees que tu hija menor se registró, escríbeme y procedo al borrado.

15. Seguridad y notificación de brechas

Implemento medidas técnicas y organizativas razonables para proteger tus datos:

• Conexión HTTPS obligatoria con HSTS.
• Cabeceras de seguridad (CSP, X-Frame-Options, Referrer-Policy).
• Verificación CAPTCHA (Cloudflare Turnstile) en formularios sensibles.
• Almacenamiento en infraestructura cifrada en tránsito y en reposo.
• Row-Level Security (RLS) en la base de datos: las tablas con datos personales no son legibles públicamente.
• Contraseñas hasheadas; cookies de sesión HttpOnly y Secure.
• Auditoría de seguridad informática realizada en mayo de 2026.

Notificación de brechas: en caso de incidente de seguridad que comprometa tus datos personales, me comprometo a notificarte por correo electrónico, junto con notificar a la autoridad competente cuando corresponda, dentro de un plazo máximo de 72 horas desde que tomo conocimiento del incidente, incluyendo naturaleza de la brecha, datos afectados, medidas adoptadas y recomendaciones.

16. Pagos

Actualmente no se procesan pagos reales en la plataforma. Cuando se habilite el cobro de servicios (Mercado Pago o Lemon Squeezy en el roadmap), aplicará lo siguiente:

• Datos de facturación (nombre, email, eventualmente RUT) se compartirán con el procesador de pagos seleccionado.
• El procesador de pagos es responsable independiente del tratamiento de los datos de pago, según su propia política.
• Nunca veo, recibo ni almaceno el número de tu tarjeta: esa información se procesa exclusivamente en la infraestructura certificada (PCI-DSS) del procesador.
• Datos de facturación se conservan 6 años por obligación tributaria (SII).

Esta sección se actualizará con el detalle del procesador específico el día que el pago real se active.

17. Cambios a esta política

Cualquier modificación se publicará en esta misma página con la fecha y número de versión actualizados. Si los cambios son materiales (afectan finalidades, terceros, decisiones automatizadas, uso de investigación o categorías de datos), te notificaré por correo electrónico antes de que entren en vigor, dándote la oportunidad de revisar el consentimiento o solicitar la eliminación de tu cuenta.

Historial de versiones:
v2.1 — 21 de mayo de 2026: sección dedicada a uso académico / validación del modelo MIMSI-CDR e instrumento ISI-CDR; derecho explícito de oposición al uso de investigación.
v2.0 — 21 de mayo de 2026: incorporación de Nivel 2 TSSI, dashboard, cookies inventariadas, decisiones automatizadas, transferencia internacional, menores, brechas, pagos.
v1.0 — 17 de mayo de 2026: versión inicial.

Gestiona tu consentimiento