Saltar al contenido principal
SVDY Logo

Política de Privacidad

Cómo svdy recopila, utiliza, comparte y protege sus datos personales — redactada conforme al estándar de información del artículo 13/14 del RGPD y alineada con la CCPA/CPRA. Lenguaje claro, compromisos concretos y enlaces a los mecanismos operativos que los respaldan.

Última actualización:24 de mayo de 2026

1. Qué recopilamos

Recopilamos tres categorías de datos personales:

• Datos de cuenta que usted proporciona: nombre, correo profesional, nombre de la organización, cargo, teléfono (opcional), contacto de facturación. Aportados por usted o el administrador de su organización en el alta.

• Datos operativos generados por el uso: registros de fichaje (marcas de entrada/salida + coordenadas GPS cuando el geofencing está activado), turnos, solicitudes de permiso, envíos de formularios de procesos, mensajes en la aplicación, registros de auditoría de acciones administrativas.

• Telemetría técnica: dirección IP, tipo de navegador/dispositivo, marcas de tiempo de sesión, trazas de error (muestreadas). Se utilizan para la supervisión de seguridad y la fiabilidad del producto — nunca para segmentación publicitaria.

No compramos datos personales a brókeres de datos, no ejecutamos SDK de analítica que compartan datos con redes publicitarias de terceros, ni vendemos información personal en el sentido del CCPA §1798.140(t).

2. Cómo utilizamos sus datos

Tratamos los datos personales únicamente para los siguientes fines:

• Prestación del servicio — operación de las funciones de fichaje, turnos y workflow contratadas por su organización. Base contractual conforme al art. 6.1.b) del RGPD.

• Mejora del servicio — estadísticas de uso agregadas y desidentificadas para detectar cuellos de botella de rendimiento y solicitudes de funcionalidad. No reidentificables a un colaborador concreto. Interés legítimo conforme al art. 6.1.f) del RGPD.

• Seguridad y prevención del fraude — detección de accesos no autorizados, patrones de abuso y ataques a la plataforma. Interés legítimo conforme al art. 6.1.f) del RGPD, ponderado con su privacidad mediante minimización de datos y retención breve.

• Cumplimiento legal — respuesta a citaciones, órdenes judiciales y requerimientos regulatorios legítimos. Art. 6.1.c) del RGPD.

• Comunicaciones — anuncios de servicio (siempre), onboarding del periodo de prueba (solo durante la prueba), actualizaciones de producto (baja desde Configuración de Notificaciones).

NO utilizamos sus datos para entrenar grandes modelos de lenguaje, no los compartimos con redes publicitarias y no enriquecemos sus datos de colaboradores con fuentes externas.

3. Cómo protegemos sus datos

Controles de seguridad concretos vigentes hoy:

• Cifrado en reposo: AES-256 en todos los datos de cliente almacenados (RDS / S3 / EBS).

• Cifrado en tránsito: TLS 1.2+ en todos los endpoints de cara al cliente y en cada salto interno entre servicios.

• Control de acceso: control basado en roles en la capa de aplicación; AWS IAM con mínimo privilegio en la capa de infraestructura; autenticación multifactor obligatoria para todo acceso administrativo de empleados.

• Registros de auditoría: cada acción administrativa se registra con actor, marca temporal y objetivo. Retención de 7 días (Free) / 1 año (Starter+) / 3 años (Pro+).

• Red: despliegue AWS Multi-AZ en us-east-1; sin endpoints públicos de bases de datos; ingreso de los security groups limitado a balanceadores de carga.

• Secretos: credenciales de producción en AWS Secrets Manager; nunca en variables de entorno o código fuente.

Para la arquitectura de seguridad en directo y la cronología SOC 2, consulte /trust y /trust/soc2.

4. Sus derechos

Independientemente de su lugar de residencia, usted dispone de los siguientes derechos sobre sus datos personales:

• Derecho de acceso — obtener una copia de la información que conservamos sobre usted. Exportación disponible en la configuración de la cuenta; responderemos a solicitudes directas en 30 días.

• Derecho de rectificación — corregir datos personales inexactos. Autoservicio en la configuración de la cuenta o por correo electrónico.

• Derecho de supresión («derecho al olvido») — eliminar sus datos cuando no exista una razón comercial legítima para conservarlos. Nota: su empleador (el responsable del tratamiento) puede necesitar conservar registros de fichaje por cumplimiento laboral; nuestro papel como encargado del tratamiento es seguir sus instrucciones.

• Derecho a la limitación del tratamiento — pausar nuestro uso de sus datos mientras se resuelve una controversia.

• Derecho a la portabilidad de los datos — obtener sus datos en formato legible por máquina (CSV / JSON).

• Derecho de oposición — oponerse a tratamientos basados en interés legítimo, como las analíticas de mejora del servicio.

• Derecho a retirar el consentimiento — para el fichaje biométrico por reconocimiento facial (art. 9.2.a) del RGPD) y cualquier otro tratamiento basado en consentimiento.

• Derecho a reclamar — ante su autoridad de protección de datos local. Residentes UE: su autoridad nacional. Reino Unido: ICO. California: California Privacy Protection Agency.

Para ejercer cualquiera de estos derechos, escriba a legal@svdy.com. Respondemos en 5 días hábiles; resolución completa en 30 días según el art. 12.3 del RGPD.

5. Cookies y tecnologías similares

Utilizamos un conjunto mínimo de cookies. NO utilizamos cookies publicitarias de terceros, píxeles de seguimiento ni huellas digitales (fingerprinting).

• Cookies estrictamente necesarias (sin opción de baja, sin finalidad de seguimiento): ID de sesión para autenticación, token CSRF para seguridad.

• Cookies funcionales (puede desactivarlas en el navegador): preferencia de idioma, opciones de diseño del panel.

• Cookies analíticas: NINGUNA en los subdominios de tenant orientados al cliente (qutime.com / pureoa.com). svdy.com (este sitio de marketing) actualmente no ejecuta ningún SDK de analítica. Las analíticas futuras serán sin cookies (solo agregación del lado del servidor) en línea con nuestro compromiso de no recurrir a adtech de terceros.

Las cookies se limitan al primer dominio (svdy.com / qutime.com / pureoa.com / id.svdy.com). No incrustamos iframes de terceros que carguen cookies de seguimiento.

6. Contacto, notificación de brechas y actualizaciones

Contacto de protección de datos: legal@svdy.com — atendido en horario laboral de EE. UU., respuesta en 5 días hábiles para consultas generales y en 24 horas para urgentes (asunto que contenga «urgent» o «breach»).

Notificación de brechas: si un incidente de seguridad afecta a sus datos personales, notificaremos al DPO designado de su organización en un plazo de 72 horas desde que tengamos conocimiento (art. 33.1 del RGPD), con el alcance, la causa sospechada, las medidas correctoras y las acciones que deba adoptar.

Subencargados: solo compartimos datos con los servicios de terceros listados en /trust/sub-processors (AWS, Stripe, Amazon SES, Expo, Cloudflare DNS). Cada uno opera bajo su propio DPA referenciado en esa página. Notificamos a los clientes 30 días antes de añadir o retirar un subencargado.

Transferencias internacionales: los datos de cliente se almacenan en AWS us-east-1 (Estados Unidos). Las transferencias UE → EE. UU. están cubiertas por las Cláusulas Contractuales Tipo (SCCs, versión 2021) incluidas en nuestro DPA en /trust/dpa. Las transferencias del Reino Unido añaden el UK Addendum a las SCCs.

Actualizaciones de esta política: publicamos los cambios sustanciales 30 días antes de su entrada en vigor, con un registro de cambios al inicio. La fecha de última actualización se muestra arriba. La versión vigente reside siempre en svdy.com/privacy.

¿Dudas sobre cómo tratamos sus datos o desea ejercer sus derechos RGPD/CCPA (acceso, supresión, portabilidad)? Escriba a legal@svdy.com — respondemos en un plazo de 5 días hábiles.