ES

Política de privacidad

Política de privacidad de Suunta.ai

Fecha de entrada en vigor: 27 de enero de 2025 · Versión: 1.0

GDPR ISO 27001 ZDR

Introducción

Y4 Works Oy ("Suunta.ai", "nosotros" o "nuestro") opera la plataforma Suunta.ai, un servicio de planificación estratégica impulsado por IA para empresas. Esta Política de privacidad explica cómo recopilamos, utilizamos, divulgamos y protegemos su información personal cuando utiliza nuestros Servicios.

Suunta.ai es un servicio business-to-business (B2B). Esta Política de privacidad se aplica a representantes de nuestros clientes empresariales y a sus Usuarios autorizados.

Responsable del tratamiento: Y4 Works Oy, Business ID: 2978296-6, Finlandia, Email: privacy@suunta.ai

1. Información que recopilamos

1.1 Información que proporciona

Información de la cuenta

Datos Obligatorio Finalidad
Dirección de correo electrónicoInicio de sesión, comunicaciones
Nombre y apellidosNoPersonalización
Número de teléfonoNoContacto opcional
ContraseñaSí*Autenticación
Foto de perfilNoPersonalización
Preferencia de idiomaSí (predeterminado: finés)Localización
Zona horariaSí (predeterminado: Europa/Helsinki)Visualización de tiempo
Detalles adicionales del perfilNoPersonalización

Los usuarios SSO se autentican vía Google o Microsoft y no tienen contraseña de Suunta.ai.

Información de la organización

Datos Obligatorio Finalidad
Nombre de la organizaciónIdentificación de la cuenta
PaísSí (predeterminado: Finlandia)Localización, cumplimiento
CiudadNoLocalización
SectorNoPersonalización del servicio
Tamaño de la organizaciónNoPersonalización del servicio
Sitio webNoPerfil de la organización
LogotipoNoBranding
Detalles del perfil de la organizaciónNoPersonalización del servicio

Datos empresariales

  • Documentos y planes estratégicos
  • OKR (Objetivos y Resultados Clave)
  • KPI (Indicadores Clave de Desempeño) y métricas
  • Proyectos y tareas
  • Documentos para análisis de IA (fuentes RAG)
  • Conversaciones de chat con nuestro asistente de IA
  • Otros datos empresariales que envíe

Estos datos empresariales se procesan para proporcionarle nuestros Servicios.

1.2 Información recopilada automáticamente

Datos técnicos

Datos Finalidad Conservación
Dirección IPSeguridad, prevención de fraudeSe sobrescribe en nuevo inicio de sesión
User agent (navegador/dispositivo)Seguridad, gestión de sesiónDuración de la sesión
Marcas de tiempo de inicio de sesiónAuditoría de seguridadSobrescrito
Datos de sesiónEstado de autenticación14-30 días
Intentos fallidos de inicio de sesiónProtección contra fuerza brutaSe reinicia con inicio de sesión exitoso

Datos de uso

Datos Finalidad Conservación
Uso de funciones de IA (tokens, modelo, latencia)Facturación, analíticas365 días
Logs de actividad (acciones realizadas)Pista de auditoría12-36 meses

Importante: NO almacenamos sus prompts de IA ni las respuestas generadas por IA. Solo se registran metadatos sobre el uso de IA (como recuento de tokens y tiempos de respuesta).

1.3 Información de terceros

Single Sign-On (SSO) Si inicia sesión mediante Google o Microsoft, recibimos su nombre, correo electrónico y foto de perfil del proveedor SSO.

Información de pago Utilizamos Stripe para el procesamiento de pagos. Stripe recopila y procesa directamente la información de su tarjeta de pago. Solo recibimos su Stripe Customer ID y el estado de la suscripción, nunca los detalles de la tarjeta.

Integraciones Si conecta servicios de terceros (Slack, Google Workspace, etc.), recibimos los datos necesarios para la integración según su configuración.

2. Cómo usamos su información

Finalidad Base legal (GDPR)
Prestación de los Servicios (gestión de cuentas, funciones de IA, almacenamiento de datos)Ejecución del contrato (Artículo 6(1)(b))
Procesamiento de pagos y gestión de suscripcionesEjecución del contrato
Envío de correos transaccionales (códigos OTP, notificaciones)Ejecución del contrato
Garantizar la seguridad y prevenir fraudesInterés legítimo (Artículo 6(1)(f))
Mantener logs de auditoría para cumplimientoInterés legítimo / Obligación legal
Mejorar los Servicios (analíticas agregadas)Interés legítimo
Responder a solicitudes de soporteEjecución del contrato
Cumplir con obligaciones legalesObligación legal (Artículo 6(1)(c))

NO hacemos:

  • Vender su información personal
  • Usar sus datos para publicidad
  • Compartir sus datos con corredores de datos
  • Usar sus datos empresariales para entrenar modelos de IA (sin consentimiento explícito)

3. Procesamiento de datos de IA

3.1 Cómo funcionan las funciones de IA

  1. Sus prompts y contexto se envían a nuestros proveedores de IA (Anthropic, OpenAI, Google, Mistral)
  2. El proveedor de IA procesa su solicitud y devuelve una respuesta
  3. Le mostramos la respuesta
  4. Solo registramos metadatos (tokens usados, tiempo de procesamiento, coste)

3.2 Qué almacenamos

Almacenado No almacenado
Historial de conversaciones de chat (para continuidad)Prompts de IA enviados a proveedores
Metadatos de uso de IA (tokens, latencia, coste)Respuestas de proveedores de IA
Embeddings de documentos (para búsqueda)Texto original del documento tras la indexación

3.3 Manejo de datos por proveedores de IA

  • OpenAI: bandera store=False para desactivar almacenamiento
  • Anthropic: API estándar sin entrenamiento con entradas
  • Google Vertex AI: región UE cuando esté disponible
  • Mistral: proveedor con sede en la UE

No permitimos que nuestros proveedores de IA utilicen sus datos para entrenamiento de modelos.

3.4 RAG (Análisis de documentos)

  1. Se extrae el texto del documento
  2. El texto se convierte en embeddings vectoriales
  3. El texto original se elimina en 24 horas
  4. Los embeddings y fragmentos de texto se conservan para la funcionalidad de búsqueda
  5. Eliminar una fuente elimina todos los datos asociados

4. Compartir información

4.1 Proveedores de servicios (Subencargados)

Proveedor Finalidad Ubicación
AWSAlojamiento de infraestructuraUE (Estocolmo)
AnthropicProcesamiento de IAEE. UU.
OpenAIProcesamiento de IAEE. UU.
GoogleProcesamiento de IAUE/EE. UU.
MistralProcesamiento de IAUE (Francia)
StripeProcesamiento de pagosEE. UU./UE
ResendEntrega de correosUE

Para la lista completa, consulte nuestra Lista de subencargados en https://suunta.ai/legal/subprocessors.

4.2 Integraciones iniciadas por el Cliente

  • Slack: mensajes y notificaciones según configuración
  • Google Workspace: eventos de calendario y datos de hojas según configuración
  • Zapier/Make: payloads de webhooks según configuración

Usted controla qué integraciones están habilitadas y qué datos se comparten.

4.3 Requisitos legales

  • Para cumplir con la ley aplicable o procesos legales
  • Para responder a solicitudes legales de autoridades públicas
  • Para proteger nuestros derechos, privacidad, seguridad o propiedad
  • En relación con una fusión, adquisición o venta de activos

4.4 Con su consentimiento

Podemos compartir información con terceros cuando haya dado su consentimiento explícito.

5. Transferencias internacionales

5.1 Dónde procesamos datos. El procesamiento principal ocurre en la UE (AWS Estocolmo, eu-north-1). El procesamiento de IA puede ocurrir en EE. UU. a través de proveedores de IA.

5.2 Salvaguardas de transferencia. Para transferencias fuera del EEE, nos basamos en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, medidas suplementarias como cifrado y controles de acceso, y certificaciones de proveedores (p. ej., SOC 2, ISO 27001).

6. Retención de datos

6.1 Periodos de retención

Tipo de dato Periodo de conservación
Cuentas de usuario activasDuración del uso
Cuentas de usuario eliminadasAnonimizadas inmediatamente
Datos de la organizaciónHasta la eliminación de la organización + 90 días (copias de seguridad)
Metadatos de uso de IA365 días
Logs de auditoría (estándar)24 meses
Logs de auditoría (críticos)36 meses
Registros de facturación6 años (ley finlandesa)
Copias de seguridad30 días

6.2 Eliminación de cuenta

  • Su información personal se anonimiza
  • Su correo electrónico se reemplaza por un marcador de posición
  • Se eliminan sus membresías de organización
  • Se revocan sus sesiones
  • Los logs de auditoría se conservan para cumplimiento (con ID de actor anonimizado)

6.3 Eliminación de la organización

  • Periodo de gracia de 30 días (cancelable)
  • Se eliminan permanentemente todos los datos de la organización
  • Las cuentas de usuario permanecen pero pierden acceso a la organización
  • Se crea un registro de auditoría de cumplimiento inmutable

7. Sus derechos

Según el GDPR, usted tiene los siguientes derechos y puede ejercerlos mediante Configuración o contactando con privacy@suunta.ai:

  • Derecho de acceso (Artículo 15): Configuración → Exportar datos
  • Derecho de rectificación (Artículo 16): Configuración → Perfil
  • Derecho de supresión (Artículo 17): Configuración → Eliminar cuenta / Eliminar organización
  • Derecho a la limitación (Artículo 18): Email privacy@suunta.ai
  • Derecho a la portabilidad de datos (Artículo 20): Configuración → Exportar datos
  • Derecho de oposición (Artículo 21): Email privacy@suunta.ai
  • Derecho a retirar el consentimiento: Configuración → Preferencias de marketing

También tiene derecho a presentar una reclamación ante una autoridad de control. En España, esta es:

AEPD
C/ Jorge Juan 6, 28001 Madrid
-
+34 900 293 183

8. Cookies y tecnologías similares

8.1 Cookies que usamos

Cookie Tipo Finalidad Duración
sessionEsencialAutenticación14-30 días

8.2 Lo que no usamos

  • Google Analytics
  • Facebook Pixel
  • Cookies de marketing
  • Cookies de rastreo de terceros

8.3 Almacenamiento local

Clave Finalidad
sidebarCollapsedPreferencia de UI
themeTema de visualización
userTimezoneVisualización de tiempo

8.4 Scripts de terceros

  • Stripe (js.stripe.com): procesamiento de pagos
  • Google Fonts: tipografía
  • Font Awesome: iconos

Estos servicios pueden establecer sus propias cookies. Consulte sus respectivas políticas de privacidad.

9. Seguridad

9.1 Medidas técnicas

  • Cifrado: TLS 1.2+ en tránsito, AES-256 en reposo
  • Seguridad de contraseñas: hash PBKDF2-SHA256
  • Seguridad de sesión: cookies HttpOnly, Secure, SameSite
  • Control de acceso: basado en roles, aislamiento por organización

9.2 Medidas organizativas

  • Obligaciones de confidencialidad para el personal
  • Formación en seguridad
  • Procedimientos de respuesta a incidentes
  • Evaluaciones de seguridad periódicas

9.3 Sus responsabilidades

  • Mantenga su contraseña segura
  • Use una contraseña fuerte y única
  • Informe inmediatamente actividades sospechosas
  • Cierre sesión en dispositivos compartidos

10. Privacidad de menores

Suunta.ai es un servicio B2B destinado a profesionales. Los Servicios no están dirigidos a personas menores de 18 años. No recopilamos conscientemente información personal de menores.

11. Cambios en esta política

Podemos actualizar esta Política de privacidad de vez en cuando. Le notificaremos los cambios materiales por correo electrónico al menos 30 días antes de que entren en vigor y con un aviso destacado en nuestro sitio web. El uso continuado de los Servicios después de dichos cambios constituye aceptación.

12. Contáctenos

Para preguntas relacionadas con la privacidad o para ejercer sus derechos: Y4 Works Oy (Suunta.ai), Email: privacy@suunta.ai. Para consultas generales: team@suunta.ai.

13. Información adicional para usuarios del EEE

13.1 Resumen de base legal

Actividad de tratamiento Base legal
Gestión de cuentaContrato
Prestación del servicioContrato
Procesamiento de pagosContrato
Correos transaccionalesContrato
Medidas de seguridadInterés legítimo
AuditoríaInterés legítimo / Obligación legal
Marketing (si se acepta)Consentimiento

13.2 Delegado de protección de datos

Como pequeña empresa, no hemos designado un DPO formal. Para consultas de protección de datos, contacte: privacy@suunta.ai.

13.3 Toma de decisiones automatizada

No tomamos decisiones automatizadas que produzcan efectos legales o similares de manera significativa. Las funciones de IA proporcionan recomendaciones y análisis, pero las decisiones finales las toma usted.