Política de Privacidad

SCD Global OÜ ("la Empresa," "nosotros," "nos" o "nuestro/a"), sociedad limitada privada (osaühing) debidamente constituida y existente conforme a las leyes de la República de Estonia, con código de registro 17309316 y número de identificación fiscal a efectos de IVA EE102893128, con domicilio social en Sepapaja tn 6, 15551 Tallin, Harju maakond, República de Estonia, opera la plataforma Intelrift ("la Plataforma") accesible en intelrift.com y todos sus subdominios asociados.

La presente Política de Privacidad ("Política") describe en detalle cómo recopilamos, utilizamos, tratamos, almacenamos, compartimos, transferimos, conservamos y protegemos sus datos personales cuando usted accede, navega, se registra, se suscribe o utiliza de cualquier forma nuestra Plataforma y Servicio. Esta Política forma parte integrante de nuestros Términos del Servicio y debe leerse conjuntamente con los mismos.

Estamos firmemente comprometidos con la protección de su privacidad y con el tratamiento de sus datos personales de manera lícita, leal y transparente, en pleno cumplimiento del Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, la Ley de Protección de Datos Personales de Estonia (Isikuandmete kaitse seadus), la Directiva ePrivacy (Directiva 2002/58/CE modificada por la Directiva 2009/136/CE) y toda la demás legislación de protección de datos y privacidad aplicable.

Como empresa establecida en la Unión Europea, estamos directamente sujetos al RGPD. SCD Global OÜ actúa como "responsable del tratamiento" en el sentido del Artículo 4(7) del RGPD para los datos personales tratados a través de la Plataforma, lo que significa que determinamos los fines y los medios del tratamiento de sus datos personales. Nos tomamos en serio nuestras obligaciones como responsable del tratamiento y hemos implementado medidas técnicas y organizativas integrales para garantizar el cumplimiento de la legislación de protección de datos aplicable.

Esta Política se aplica a todas las personas que interactúan con la Plataforma, incluyendo Usuarios registrados, visitantes, Usuarios del nivel gratuito, suscriptores de pago y cualquier persona que se comunique con nosotros por correo electrónico u otros canales. Al acceder o utilizar la Plataforma, usted reconoce que ha leído y comprendido esta Política.

Recopilamos y tratamos las siguientes categorías de datos personales en relación con la prestación y operación de la Plataforma. Los elementos de datos específicos recopilados dependen de cómo interactúe usted con la Plataforma, su nivel de suscripción y las funcionalidades que utilice.

Datos de cuenta: Información que usted proporciona durante el registro de cuenta y la creación de perfil, incluyendo: dirección de correo electrónico; nombre legal completo; cargo, puesto o función profesional; nombre de la organización o empresa; tamaño de la organización; y preferencias de cuenta. Estos datos son necesarios para crear y gestionar su cuenta y para prestar el Servicio.

Datos de autenticación y seguridad: Hashes de contraseña (nunca almacenamos contraseñas en texto plano); tokens e identificadores de sesión; marcas de tiempo de autenticación; eventos de inicio y cierre de sesión; direcciones IP asociadas a eventos de autenticación; intentos de inicio de sesión fallidos; y solicitudes de recuperación de cuenta. Estos datos son necesarios para la seguridad de la cuenta y la prevención del fraude.

Datos de perfil: Información opcional que usted elige proporcionar más allá de los campos obligatorios de registro, incluyendo: preferencias de rol; tamaño del equipo; intereses en funcionalidades; preferencias de idioma y localización; configuración de zona horaria; preferencias de notificaciones; y cualesquiera otras personalizaciones de perfil.

Datos de uso: Información sobre sus interacciones con la Plataforma, incluyendo: páginas visitadas y rutas de navegación; funcionalidades accedidas y acciones realizadas; consultas de IA enviadas y funciones invocadas; sesiones de investigación realizadas y su duración; briefings, informes y análisis generados; créditos consumidos e historial de transacciones de créditos; configuraciones y personalizaciones de dashboard; actividades de exportación; llamadas API y sus parámetros (para usuarios de API); y marcas de tiempo asociadas a todo lo anterior.

Datos de pago y financieros: Todo el procesamiento de pagos es gestionado exclusivamente por Stripe, Inc. NO recopilamos, procesamos, almacenamos ni tenemos acceso directo a sus números completos de tarjeta de crédito, datos de cuenta bancaria, códigos CVV ni datos completos de instrumentos de pago. A través de Stripe, recibimos y conservamos únicamente: identificadores de cliente de Stripe; identificadores de transacción y estado de confirmación de pago; identificador y estado del plan de suscripción; fechas del ciclo de facturación y de renovación; importes de factura y divisa; tipo de método de pago (p. ej., "Visa terminada en 4242"); y dirección de facturación (si se proporcionó a Stripe).

Datos técnicos: Información recopilada automáticamente a través de su uso de la Plataforma, incluyendo: dirección IP (IPv4 y/o IPv6); tipo, versión e idioma del navegador; sistema operativo y versión; tipo de dispositivo, modelo y resolución de pantalla; identificadores únicos de dispositivo; URL de referencia y páginas de salida; configuración de zona horaria; información de red; y otros metadatos técnicos transmitidos por su navegador o dispositivo.

Datos de interacción con IA: Datos generados a través de su uso de funciones potenciadas por IA, incluyendo: consultas, prompts e instrucciones enviadas a Spectre AI y otras funciones potenciadas por IA; las respuestas, análisis, briefings y outputs de IA generados para su cuenta; marcas de tiempo y costes de créditos asociados a cada interacción de IA; el modelo de IA específico y la configuración utilizada para cada solicitud; y cualquier retroalimentación que proporcione sobre la calidad de los Outputs de IA.

Datos de comunicación: Información contenida en las comunicaciones que usted nos dirija, incluyendo: correspondencia por correo electrónico; solicitudes de soporte y tickets de ayuda; envíos de retroalimentación y solicitudes de funcionalidades; información de registro en lista de espera; y cualesquiera otras comunicaciones enviadas a nuestras direcciones de contacto.

Datos de cookies y seguimiento: Datos recopilados a través de cookies y tecnologías similares desplegadas en la Plataforma, según se describe con más detalle en la sección de Cookies y Tecnologías Similares de esta Política.

Datos agregados y derivados: Podemos derivar datos adicionales de las categorías anteriores mediante agregación, anonimización, seudonimización o análisis estadístico. Dichos datos derivados pueden incluir patrones de uso, métricas de adopción de funcionalidades, benchmarks de rendimiento e información demográfica. Cuando los datos derivados no puedan utilizarse para identificarle, dejarán de considerarse datos personales conforme al RGPD.

Tratamos sus datos personales exclusivamente sobre la base de uno o más fundamentos jurídicos lícitos conforme al Artículo 6 del RGPD. La base jurídica específica aplicable a cada actividad de tratamiento depende de la naturaleza de los datos, la finalidad del tratamiento y su relación con la Plataforma. A continuación identificamos cada base jurídica en la que nos basamos y las actividades de tratamiento a las que se aplica.

Ejecución contractual (Artículo 6(1)(b) RGPD): Tratamiento necesario para la ejecución del contrato entre usted y la Empresa (los Términos del Servicio), o para la adopción de medidas precontractuales a su solicitud. Esto incluye: creación, autenticación y gestión de cuentas; prestación, operación y entrega del Servicio; gestión de suscripciones, upgrades y downgrades de plan; asignación de Créditos, seguimiento de consumo y gestión de saldo; procesamiento de pagos a través de Stripe; generación de análisis, briefings y Contenido potenciado por IA a su solicitud; comunicación de información crítica del servicio (avisos de mantenimiento, alertas de seguridad, notificaciones de cuenta); y prestación de soporte al cliente en respuesta a sus consultas.

Interés legítimo (Artículo 6(1)(f) RGPD): Tratamiento necesario para los intereses legítimos perseguidos por la Empresa o un tercero, cuando dichos intereses no prevalezcan sobre sus derechos y libertades fundamentales. Hemos realizado evaluaciones de impacto en la protección de datos y tests de ponderación de interés legítimo para cada actividad de tratamiento basada en este fundamento. Nuestros intereses legítimos incluyen: garantizar la seguridad, integridad y disponibilidad de la Plataforma y prevenir fraude, abuso y accesos no autorizados; monitorizar y mejorar el rendimiento, fiabilidad y experiencia de usuario del Servicio; realizar analítica interna, análisis de patrones de uso y medición de adopción de funcionalidades utilizando datos agregados y/o seudonimizados; hacer cumplir nuestros Términos del Servicio, política de Uso Aceptable y otras políticas aplicables; detectar, investigar y responder a incidentes de seguridad, vulnerabilidades y amenazas potenciales; y administrar y proteger nuestras operaciones comerciales, activos y Derechos de Propiedad Intelectual.

Consentimiento (Artículo 6(1)(a) RGPD): Tratamiento basado en su consentimiento libre, específico, informado e inequívoco, manifestado mediante una acción afirmativa clara. Se aplica a: comunicaciones de marketing, newsletters y contenido promocional (opt-in); despliegue de cookies no esenciales, específicamente cookies de analítica (Google Analytics), según se describe en la sección de Cookies de esta Política; y cualquier otra actividad de tratamiento para la que solicitemos y obtengamos específicamente su consentimiento. Usted tiene derecho a retirar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. Para retirar el consentimiento para comunicaciones de marketing, utilice el enlace de cancelación de suscripción en cualquier correo de marketing. Para retirar el consentimiento para cookies de analítica, ajuste la configuración de su navegador o utilice los controles de preferencia de cookies en la Plataforma.

Obligación legal (Artículo 6(1)(c) RGPD): Tratamiento necesario para el cumplimiento de una obligación legal a la que está sujeta la Empresa conforme al Derecho de la UE o de Estonia. Esto incluye: mantenimiento de registros contables, fiscales y financieros según lo exige la Ley de Contabilidad de Estonia (Raamatupidamise seadus) y la Ley de Tributación (Maksukorralduse seadus); cumplimiento de solicitudes lícitas de autoridades tributarias, reguladores, cuerpos policiales u órganos judiciales; conservación de registros de transacciones y datos de facturación según lo exige la legislación del IVA; y cumplimiento de cualesquiera otras obligaciones legales de información o conservación de registros conforme a la ley aplicable.

Cuando tratemos categorías especiales de datos personales (Artículo 9 RGPD), obtendremos su consentimiento explícito salvo que resulte de aplicación otra excepción conforme al Artículo 9(2) RGPD. A la fecha de esta Política, no recopilamos ni tratamos intencionadamente categorías especiales de datos personales a través de la Plataforma.

Tratamos sus datos personales para las siguientes finalidades específicas, explícitas y legítimas. No tratamos datos personales para finalidades incompatibles con las que se indican a continuación sin proporcionarle información adicional y, cuando sea necesario, obtener su consentimiento.

• Prestar, operar, entregar y mantener el Servicio, incluyendo gestión de cuentas, autenticación, gestión de sesiones y entrega de contenido;
• Procesar pagos de suscripción, gestionar ciclos de facturación, emitir facturas, gestionar pagos fallidos y administrar reembolsos cuando lo exija la ley;
• Gestionar asignaciones de Créditos, realizar seguimiento del consumo de Créditos, mantener el historial de transacciones de Créditos y aplicar los derechos de funcionalidades según el plan;
• Generar análisis potenciados por IA, briefings, SITREPs, síntesis de investigación, análisis de hipótesis, playbooks, grafos causales y otros Contenidos en respuesta a sus solicitudes;
• Mejorar, optimizar y personalizar el Servicio, incluyendo analizar patrones de uso, identificar áreas de mejora, probar nuevas funcionalidades y mejorar la interfaz y experiencia de usuario;
• Comunicar información crítica del servicio, incluyendo notificaciones de mantenimiento, alertas de seguridad, actualizaciones de los Términos del Servicio, cambios en la Política de Privacidad y avisos relacionados con la cuenta;
• Enviar comunicaciones de marketing, newsletters y contenido promocional, pero únicamente cuando usted haya optado por recibir dichas comunicaciones;
• Prevenir, detectar, investigar y responder al fraude, abuso, accesos no autorizados, incidentes de seguridad, violaciones de los Términos del Servicio y otras actividades dañinas o ilegales;
• Garantizar la seguridad, integridad, disponibilidad y estabilidad de la infraestructura, sistemas y redes de la Plataforma;
• Cumplir con las obligaciones legales, regulatorias, fiscales y contables aplicables, incluyendo conservación de registros, comunicación de información y respuesta a solicitudes lícitas de autoridades competentes;
• Ejercer, establecer o defender reclamaciones, derechos o intereses legales de la Empresa;
• Producir analítica, estadísticas e información agregada, anonimizada y/o seudonimizada para finalidades empresariales internas, desarrollo del servicio y elaboración de informes;
• Administrar la lista de espera y gestionar invitaciones de acceso anticipado o funcionalidades beta;
• Prestar soporte al cliente, responder a consultas y resolver quejas y controversias.

Conservamos sus datos personales únicamente durante el tiempo estrictamente necesario para cumplir las finalidades para las que fueron recopilados, según se describe en esta Política, o según lo exija la ley aplicable. Aplicamos los principios de minimización de datos y limitación del plazo de conservación conforme a los Artículos 5(1)(c) y (e) del RGPD. Los plazos de conservación específicos aplicables a cada categoría de datos personales son los siguientes:

• Datos de cuenta (nombre, correo electrónico, información de perfil): Se conservan mientras su cuenta permanezca activa y durante un período de treinta (30) días naturales tras la eliminación o terminación de la cuenta para facilitar solicitudes de recuperación de cuenta. Tras este período, los datos de cuenta se eliminan permanentemente de los sistemas activos, sujeto a los ciclos de retención de copias de seguridad.
• Datos de autenticación y seguridad (registros de inicio de sesión, registros de sesión, eventos de seguridad): Se conservan durante doce (12) meses desde la fecha del evento para fines de monitorización de seguridad, auditoría y prevención del fraude.
• Registros de pago y financieros (IDs de transacción, registros de suscripción, facturas): Se conservan durante siete (7) años desde el final del ejercicio fiscal en el que se produjo la transacción, conforme a la Ley de Contabilidad de Estonia (Raamatupidamise seadus, §12) y la Ley de Tributación (Maksukorralduse seadus). Este plazo de conservación es una obligación legal imperativa.
• Datos de uso y analítica (páginas visitadas, uso de funcionalidades, patrones de navegación): Se conservan durante veinticuatro (24) meses desde su recopilación. Tras este período, los datos de uso se eliminan permanentemente o se anonimizan de forma irreversible para análisis estadístico agregado.
• Logs de interacción con IA (consultas, prompts, respuestas de IA): Se conservan durante doce (12) meses desde la fecha de la interacción. Tras este período, los datos de interacción con IA se eliminan permanentemente o se anonimizan de forma irreversible.
• Historial de transacciones de Créditos: Se conserva durante la vigencia de la cuenta más veinticuatro (24) meses tras la terminación de la cuenta para fines de conciliación de facturación y resolución de controversias.
• Datos de comunicación (correos electrónicos, tickets de soporte): Se conservan durante treinta y seis (36) meses desde la fecha de la última comunicación en el hilo.
• Datos de cookies: Se conservan según la vida útil específica de cada cookie descrita en la sección de Cookies de esta Política. Las cookies de sesión expiran al cerrar el navegador; las cookies persistentes tienen una vida útil máxima de doce (12) meses.
• Datos de lista de espera: Se conservan hasta que el Usuario sea admitido en la Plataforma o se retire de la lista de espera, más doce (12) meses adicionales.

Los datos anonimizados y agregados a partir de los cuales no sea posible identificar a las personas, directa ni indirectamente, podrán conservarse indefinidamente con fines estadísticos, analíticos y de investigación, dado que dichos datos quedan fuera del ámbito de aplicación del RGPD.

Cuando los datos personales ya no sean necesarios para las finalidades descritas anteriormente y no exista obligación legal de conservación, procederemos a eliminarlos permanentemente o a anonimizarlos de forma irreversible en un plazo razonable, normalmente dentro de los treinta (30) días siguientes. Las copias de seguridad podrán conservarse hasta noventa (90) días adicionales antes de su eliminación permanente de conformidad con nuestro programa de rotación de copias de seguridad.

Usted puede solicitar la eliminación de sus datos personales en cualquier momento ejerciendo su derecho de supresión según se describe en la sección de Derechos de esta Política, sujeto a las obligaciones legales de conservación aplicables.

Como interesado en virtud del Reglamento General de Protección de Datos, usted dispone de los siguientes derechos respecto a los datos personales que tratamos sobre su persona. Estos derechos están sujetos a determinadas condiciones, limitaciones y excepciones conforme al RGPD.

Derecho de acceso (Artículo 15 RGPD): Usted tiene derecho a obtener de nosotros confirmación de si sus datos personales están siendo tratados y, en caso afirmativo, a acceder a una copia de dichos datos junto con la siguiente información: las finalidades del tratamiento; las categorías de datos personales afectados; los destinatarios o categorías de destinatarios a los que se han comunicado o comunicarán los datos; el plazo previsto de conservación; la existencia de sus demás derechos; información sobre la fuente de los datos; y la existencia de decisiones automatizadas, incluida la elaboración de perfiles.

Derecho de rectificación (Artículo 16 RGPD): Usted tiene derecho a solicitar la corrección de los datos personales inexactos que le conciernan sin dilación indebida, y a que se completen los datos personales incompletos, incluso mediante una declaración adicional.

Derecho de supresión — "Derecho al olvido" (Artículo 17 RGPD): Usted tiene derecho a solicitar la supresión de sus datos personales sin dilación indebida cuando: los datos ya no sean necesarios para los fines para los que fueron recogidos; usted retire su consentimiento y no exista otra base jurídica para el tratamiento; usted se oponga al tratamiento y no prevalezcan otros motivos legítimos; los datos hayan sido tratados ilícitamente; o los datos deban suprimirse para el cumplimiento de una obligación legal. Este derecho está sujeto a excepciones, incluyendo cuando el tratamiento sea necesario para el cumplimiento de una obligación legal, para la formulación, el ejercicio o la defensa de reclamaciones, o con fines de archivo en interés público.

Derecho a la limitación del tratamiento (Artículo 18 RGPD): Usted tiene derecho a solicitar la limitación del tratamiento de sus datos personales cuando: impugne la exactitud de los datos (durante el plazo necesario para verificar la exactitud); el tratamiento sea ilícito y usted se oponga a la supresión y solicite en su lugar la limitación; ya no necesitemos los datos pero usted los necesite para reclamaciones; o usted se haya opuesto al tratamiento mientras se verifica si los motivos legítimos de la Empresa prevalecen sobre los suyos.

Derecho a la portabilidad de datos (Artículo 20 RGPD): Usted tiene derecho a recibir los datos personales que nos ha proporcionado en un formato estructurado, de uso común y lectura mecánica (como JSON o CSV), y a transmitir dichos datos a otro responsable del tratamiento sin que nosotros lo impidamos, cuando: el tratamiento esté basado en el consentimiento o la ejecución de un contrato; y el tratamiento se efectúe por medios automatizados.

Derecho de oposición (Artículo 21 RGPD): Usted tiene derecho a oponerse en cualquier momento al tratamiento de sus datos personales basado en nuestros intereses legítimos (Artículo 6(1)(f) RGPD), incluida la elaboración de perfiles basada en dichas disposiciones. Tras recibir su oposición, cesaremos el tratamiento de sus datos para la finalidad impugnada salvo que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses, derechos y libertades, o el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones. Usted tiene un derecho absoluto a oponerse al tratamiento de sus datos con fines de marketing directo en cualquier momento, y cumpliremos con dicha oposición sin excepción.

Derecho a no ser objeto de decisiones automatizadas (Artículo 22 RGPD): Usted tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en usted o le afecte significativamente de modo similar. A la fecha de esta Política, la Plataforma no toma decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o efectos significativos similares en los Usuarios.

Derecho a retirar el consentimiento: Cuando el tratamiento esté basado en su consentimiento, usted tiene derecho a retirar dicho consentimiento en cualquier momento, de forma gratuita, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

Derecho a presentar una reclamación: Si usted considera que nuestro tratamiento de sus datos personales infringe el RGPD o la legislación de protección de datos aplicable, tiene derecho a presentar una reclamación ante una autoridad de control. La autoridad de control competente para la Empresa es la Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon), Tatari 39, 10134 Tallin, Estonia, web: www.aki.ee. Usted también tiene derecho a presentar una reclamación ante la autoridad de control de su residencia habitual o lugar de trabajo.

Cómo ejercer sus derechos: Para ejercer cualquiera de los derechos anteriores, envíe una solicitud escrita a [email protected], especificando claramente el derecho que desea ejercer y proporcionando información suficiente para verificar su identidad. Podemos solicitar información adicional para confirmar su identidad antes de tramitar su solicitud, con el fin de prevenir el acceso no autorizado a datos personales.

Plazo de respuesta: Responderemos a su solicitud en un plazo de treinta (30) días naturales desde su recepción. Cuando las solicitudes sean complejas o numerosas, este plazo podrá ampliarse en sesenta (60) días naturales adicionales, en cuyo caso le informaremos de la ampliación y sus motivos dentro del plazo inicial de treinta días. Cuando no podamos atender una solicitud, le informaremos de los motivos y de su derecho a presentar una reclamación ante la autoridad de control.

Coste: El ejercicio de sus derechos es gratuito. No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas (especialmente si son repetitivas), podremos cobrar un canon razonable basado en los costes administrativos o negarnos a actuar, conforme al Artículo 12(5) del RGPD.

En el curso de la prestación del Servicio, determinadas categorías de datos personales pueden ser transferidas a y tratadas por proveedores de servicios de terceros (subencargados) ubicados fuera del Espacio Económico Europeo (EEE), en jurisdicciones que pueden no proporcionar un nivel de protección de datos equivalente al exigido por el RGPD. Todas las transferencias internacionales de datos se realizan en estricto cumplimiento del Capítulo V del RGPD (Artículos 44-49) y están sujetas a garantías adecuadas.

Los siguientes proveedores de servicios de terceros tratan datos personales fuera del EEE:

• OpenAI, LLC (Estados Unidos): Trata consultas de IA, prompts y datos contextuales con la finalidad de análisis de IA, generación de contenido, producción de briefings, análisis de hipótesis y procesamiento de lenguaje natural. Datos transferidos: Datos de Interacción con IA (consultas y prompts enviados por los Usuarios).
• Perplexity AI, Inc. (Estados Unidos): Trata consultas de investigación con la finalidad de recuperación de información en tiempo real, síntesis de investigación y generación de briefings. Datos transferidos: consultas de investigación y parámetros contextuales.
• Stripe, Inc. (Estados Unidos): Trata datos de pago con la finalidad de procesamiento de pagos, gestión de suscripciones, facturación y detección de fraude. Datos transferidos: Datos de Pago y Financieros según se describen en la sección de Datos que Recopilamos.
• Google LLC (Estados Unidos): Trata datos de analítica con la finalidad de analítica web y medición de uso (Google Analytics). Datos transferidos: Datos Técnicos, Datos de Uso (en formato anonimizado/seudonimizado cuando sea posible).
• ActiveCampaign, LLC / Postmark (Estados Unidos): Trata datos de entrega de correo electrónico con la finalidad de entrega de correo electrónico transaccional (notificaciones de cuenta, alertas de seguridad, avisos de facturación). Datos transferidos: dirección de correo electrónico, nombre y contenido del correo.

Todas las transferencias internacionales de datos a los proveedores anteriores están protegidas por las siguientes garantías adecuadas conforme al Artículo 46 del RGPD:

• Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea en virtud de la Decisión (UE) 2021/914 de 4 de junio de 2021, según resulte aplicable;
• Acuerdos de Tratamiento de Datos (ATD / DPA) suscritos con cada proveedor, que especifican el objeto y duración del tratamiento, la naturaleza y finalidad del tratamiento, los tipos de datos personales tratados, las categorías de interesados, y las obligaciones y derechos de ambas partes;
• Medidas técnicas y organizativas complementarias cuando la evaluación de impacto de la transferencia identifique riesgos, incluyendo cifrado en tránsito, minimización de datos y seudonimización;
• Evaluación regular de la adecuación de las garantías y seguimiento del marco legal en cada país destinatario, incluyendo evaluación de las leyes de acceso gubernamental y prácticas de vigilancia.

Realizamos Evaluaciones de Impacto de Transferencias (TIA) de conformidad con las directrices del Comité Europeo de Protección de Datos (CEPD/EDPB) para evaluar el nivel de protección de datos en cada país destinatario e identificar e implementar medidas complementarias cuando sea necesario.

Usted puede solicitar copia de las Cláusulas Contractuales Tipo, Acuerdos de Tratamiento de Datos o Evaluaciones de Impacto de Transferencias pertinentes contactándonos en [email protected], sujeto a la eliminación de cláusulas comercialmente confidenciales.

La Plataforma utiliza cookies y tecnologías similares de conformidad con la Directiva ePrivacy (Directiva 2002/58/CE modificada por la Directiva 2009/136/CE) y sus transposiciones nacionales aplicables. Esta sección explica los tipos de cookies que utilizamos, sus finalidades y sus opciones respecto a las mismas.

Cookies esenciales (estrictamente necesarias): Estas cookies son necesarias para el funcionamiento fundamental de la Plataforma, incluyendo gestión de sesiones, autenticación de usuarios, protección CSRF, enrutamiento de idioma y balanceo de carga. Las cookies estrictamente necesarias no requieren su consentimiento conforme al Artículo 5(3) de la Directiva ePrivacy, ya que son indispensables para la prestación del Servicio que usted ha solicitado expresamente. Desactivar estas cookies impedirá o perjudicará su capacidad para usar la Plataforma.

• Cookie de sesión (better-auth.session_token): Gestiona su sesión autenticada. Expira al cerrar el navegador o tras el timeout de sesión.
• Cookie de protección CSRF: Previene ataques de falsificación de solicitud en sitios cruzados. Expira por sesión.
• Cookie de preferencia de idioma (NEXT_LOCALE): Almacena su preferencia de idioma (en/es). Expira tras 12 meses.

Cookies funcionales: Estas cookies persisten preferencias y configuraciones del usuario para mejorar su experiencia entre sesiones, incluyendo tema de interfaz (modo claro/oscuro), configuraciones de layout de dashboard y preferencias de notificaciones. Aunque no son estrictamente necesarias, estas cookies mejoran la usabilidad. Se establecen en base a sus interacciones explícitas con los controles de preferencias en la Plataforma.

Cookies de analítica (requieren consentimiento): Utilizamos Google Analytics (proporcionado por Google LLC) para comprender patrones de uso, medir la adopción de funcionalidades, analizar flujos de navegación y mejorar el Servicio. Las cookies de analítica se despliegan ÚNICAMENTE tras obtener su consentimiento previo explícito de conformidad con la Directiva ePrivacy. Los datos de analítica se procesan de forma anonimizada o seudonimizada cuando sea técnicamente viable. Las cookies de Google Analytics incluyen:

• _ga: Distingue usuarios únicos. Expira tras 2 años.
• _ga_[ID]: Mantiene el estado de la sesión. Expira tras 2 años.

Usted puede revocar su consentimiento para las cookies de analítica en cualquier momento ajustando la configuración de cookies de su navegador o eliminando las cookies del dominio intelrift.com.

NO utilizamos, desplegamos ni permitimos cookies de publicidad, cookies de retargeting, cookies de seguimiento entre sitios, píxeles de seguimiento de redes sociales, tecnologías de huella digital (fingerprinting) ni ningún mecanismo de seguimiento de terceros con fines publicitarios, de elaboración de perfiles o de segmentación conductual.

Gestión de cookies: Usted puede gestionar, bloquear o eliminar cookies a través de la configuración de su navegador. La mayoría de navegadores le permiten: ver qué cookies están establecidas; eliminar cookies individuales o todas; bloquear cookies de sitios específicos o de todos los sitios; bloquear cookies de terceros; y establecer preferencias para sitios web específicos. Para instrucciones detalladas, consulte la documentación de ayuda de su navegador. Tenga en cuenta que bloquear o eliminar las cookies esenciales perjudicará significativamente o impedirá su capacidad para utilizar la Plataforma.

Contratamos los siguientes proveedores de servicios de terceros ("subencargados del tratamiento") para la operación de la Plataforma. Cada proveedor trata datos personales exclusivamente para las finalidades específicas que se describen a continuación. Compartimos únicamente los datos mínimos necesarios para que cada proveedor desempeñe su función designada, de conformidad con el principio de minimización de datos del Artículo 5(1)(c) del RGPD.

• Stripe, Inc. (San Francisco, CA, EE. UU.): Procesamiento de pagos, gestión de suscripciones, facturación, detección de fraude y cumplimiento normativo. Trata: Datos de Pago y Financieros. Stripe está certificado PCI DSS Nivel 1. Política de privacidad: stripe.com/privacy.
• OpenAI, LLC (San Francisco, CA, EE. UU.): Proveedor de modelos de IA para procesamiento de lenguaje natural, análisis, generación de contenido, producción de briefings y síntesis de investigación. Trata: Datos de Interacción con IA (consultas y prompts). Acuerdo de tratamiento de datos en vigor con retención cero de datos para uso de API. Política de privacidad: openai.com/privacy.
• Perplexity AI, Inc. (San Francisco, CA, EE. UU.): Proveedor de IA de investigación para recuperación de información en tiempo real, investigación web y generación de briefings. Trata: consultas de investigación y parámetros contextuales. Política de privacidad: perplexity.ai/privacy.
• Finnhub (Finlandia): Proveedor de datos de mercado financiero. Proporciona: precios de acciones, tipos de cambio, datos de criptomonedas e indicadores financieros. Tratamiento mínimo de datos personales — principalmente Datos Técnicos para autenticación de API.
• Alpaca Markets, Inc. (San Mateo, CA, EE. UU.): Proveedor de datos de mercado financiero. Proporciona: datos de mercado en tiempo real e históricos, feeds de precios e indicadores de trading. Tratamiento mínimo de datos personales — principalmente Datos Técnicos para autenticación de API.
• Google LLC (Mountain View, CA, EE. UU.): Proveedor de analítica web (Google Analytics). Trata: Datos Técnicos y Datos de Uso (anonimizados/seudonimizados). Se despliega únicamente con el consentimiento del usuario. Política de privacidad: policies.google.com/privacy.
• ActiveCampaign, LLC / Postmark (Chicago, IL, EE. UU.): Servicio de entrega de correo electrónico transaccional. Trata: dirección de correo electrónico, nombre del destinatario y contenido del correo para la entrega de notificaciones de cuenta, alertas de seguridad, avisos de facturación y otras comunicaciones transaccionales. Política de privacidad: postmarkapp.com/privacy-policy.

Cada proveedor de servicios de terceros opera bajo su propia política de privacidad y condiciones de servicio, que rigen su tratamiento de datos personales. Hemos suscrito Acuerdos de Tratamiento de Datos (ATD/DPA) con cada proveedor cuando lo exige el RGPD, especificando la naturaleza, alcance y finalidad del tratamiento, obligaciones de seguridad de datos, restricciones de subtratamiento y obligaciones de asistencia en materia de derechos de los interesados.

Revisamos y evaluamos regularmente a nuestros proveedores de servicios de terceros para garantizar el cumplimiento continuado de los requisitos de protección de datos aplicables. Nos reservamos el derecho de cambiar, añadir o eliminar proveedores de servicios en cualquier momento, sujeto a las garantías adecuadas y, cuando sea necesario, notificación a los Usuarios.

Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción o el daño, de conformidad con el Artículo 32 del RGPD. Estas medidas están diseñadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento.

Las medidas técnicas incluyen:

• Cifrado de todos los datos en tránsito mediante TLS 1.2 o superior (HTTPS) para todas las comunicaciones entre su navegador/cliente y la Plataforma;
• Cifrado en reposo para el almacenamiento en base de datos utilizando AES-256 o estándares de cifrado equivalentes;
• Almacenamiento seguro de contraseñas mediante algoritmos criptográficos de hash unidireccional estándar de la industria con salts únicos por usuario;
• Sistemas de control de acceso basado en roles (RBAC) que limitan el acceso a datos personales según la función laboral y el principio de mínimo privilegio;
• Segmentación de red y protección mediante cortafuegos para aislar sistemas críticos y bases de datos;
• Escaneos de vulnerabilidades automatizados regulares y evaluaciones de seguridad manuales;
• Autenticación segura de API mediante tokens y limitación de tasa para prevenir abusos;
• Monitorización y alertas automatizadas para actividades sospechosas, patrones de acceso anómalos e incidentes de seguridad potenciales.

Las medidas organizativas incluyen:

• Acceso a datos personales restringido al personal autorizado sobre la base estricta de necesidad de conocimiento;
• Obligaciones de confidencialidad impuestas a todos los empleados y contratistas con acceso a datos personales;
• Revisión y auditoría regular de los permisos de acceso;
• Procedimientos documentados de respuesta a incidentes para violaciones de datos;
• Consideraciones de protección de datos integradas en el desarrollo y diseño de nuevas funcionalidades y sistemas (protección de datos desde el diseño y por defecto, Artículo 25 RGPD).

En caso de una violación de datos personales que probablemente entrañe un riesgo para sus derechos y libertades, notificaremos a la autoridad de control competente (Inspección de Protección de Datos de Estonia) en un plazo de setenta y dos (72) horas desde que tengamos conocimiento de la violación, conforme al Artículo 33 del RGPD. Cuando la violación probablemente entrañe un alto riesgo para sus derechos y libertades, también le notificaremos directamente sin dilación indebida, conforme al Artículo 34 del RGPD.

A pesar de estas medidas, ningún método de transmisión por internet, método de almacenamiento electrónico ni sistema conectado a internet es completamente seguro. Aunque nos esforzamos por utilizar medios comercialmente razonables y estándar de la industria para proteger sus datos personales, la Empresa no puede garantizar la seguridad absoluta y no será responsable de ningún acceso no autorizado, violación de datos o incidente de seguridad resultante de: (a) circunstancias fuera del control razonable de la Empresa; (b) vulnerabilidades en software o infraestructura de terceros; o (c) su incumplimiento en el mantenimiento de la seguridad de sus credenciales de cuenta.

La Plataforma y el Servicio no están dirigidos a, diseñados para ni destinados al uso por personas menores de dieciséis (16) años, de conformidad con el Artículo 8 del RGPD y sus transposiciones nacionales aplicables. No recopilamos, solicitamos, tratamos ni almacenamos deliberadamente datos personales de menores de dieciséis años.

No empleamos tecnología de verificación de edad durante el registro. Sin embargo, al crear una cuenta y utilizar la Plataforma, usted declara y garantiza que tiene al menos dieciséis (16) años de edad, o la edad mínima aplicable en su jurisdicción si es superior, y que posee la capacidad legal para consentir el tratamiento de sus datos personales.

Si tomamos conocimiento, por cualquier medio, de que hemos recopilado o estamos tratando datos personales de una persona menor de dieciséis años sin el consentimiento válido y verificable de sus padres o tutores, adoptaremos medidas rápidas y razonables para: (a) cesar el tratamiento de dichos datos inmediatamente; (b) eliminar permanentemente dichos datos de nuestros sistemas activos y, cuando sea técnicamente viable, de los sistemas de respaldo; y (c) adoptar cualesquiera otras medidas exigidas por la ley aplicable.

Los padres, tutores legales u otros adultos responsables que consideren que un menor de dieciséis años ha proporcionado datos personales, creado una cuenta en la Plataforma o interactuado de cualquier forma con el Servicio, deben contactarnos inmediatamente en [email protected], proporcionando información suficiente para identificar la cuenta del menor. Investigaremos con prontitud y adoptaremos las medidas apropiadas.

Para Usuarios ubicados en jurisdicciones donde se aplique una edad mínima superior para el tratamiento de datos personales de menores (por ejemplo, conforme al Artículo 8(1) del RGPD, los Estados miembros pueden establecer una edad mínima de hasta 16 años), se aplicará la edad mínima de dicha jurisdicción.

Nos reservamos el derecho de actualizar, modificar, complementar o reemplazar esta Política de Privacidad en cualquier momento para reflejar cambios en nuestras prácticas de tratamiento de datos, requisitos legales, orientaciones regulatorias u operaciones comerciales. Indicaremos la fecha de "Última actualización" al inicio de esta Política para reflejar la fecha de la revisión más reciente.

Los cambios en esta Política entrarán en vigor inmediatamente tras la publicación de la Política revisada en la Plataforma, salvo que se especifique una fecha de vigencia posterior.

Para los cambios materiales que afecten sustancialmente a cómo recopilamos, utilizamos o compartimos sus datos personales, o que afecten materialmente a sus derechos de protección de datos, realizaremos esfuerzos razonables para proporcionar un preaviso a través de uno o más de los siguientes medios: (a) notificación por correo electrónico a la dirección asociada a su cuenta; (b) un banner o notificación prominente dentro de la Plataforma mostrado al iniciar sesión; o (c) cualquier otro método razonable de notificación. Proporcionaremos un preaviso mínimo de quince (15) días naturales para los cambios materiales cuando sea factible.

Cuando un cambio en esta Política requiera su consentimiento conforme a la legislación de protección de datos aplicable (por ejemplo, la introducción de una nueva finalidad de tratamiento no compatible con las finalidades originales), obtendremos su consentimiento explícito antes de implementar el cambio.

El uso continuado del Servicio tras la fecha de vigencia de cualquier cambio en esta Política de Privacidad constituirá su aceptación de la Política actualizada. Si usted no está de acuerdo con la Política revisada, debe cesar el uso del Servicio y, en su caso, solicitar la eliminación de sus datos personales conforme a la sección de Derechos de esta Política.

Le animamos a revisar esta Política periódicamente para mantenerse informado sobre cómo protegemos sus datos personales. Las versiones anteriores de esta Política de Privacidad están disponibles bajo solicitud escrita a [email protected].

Si tiene cualquier pregunta, preocupación, solicitud o reclamación relativa a esta Política de Privacidad, nuestras prácticas de tratamiento de datos o sus derechos de protección de datos, contacte con nosotros utilizando la información que se indica a continuación.

Responsable del tratamiento: SCD Global OÜ Código de registro: 17309316 Número de identificación fiscal a efectos de IVA: EE102893128

Domicilio social: Sepapaja tn 6, 15551 Tallin Harju maakond, República de Estonia

Consultas generales y de privacidad: [email protected] Solicitudes de protección de datos (derechos RGPD): [email protected]

Acusaremos recibo de su consulta en un plazo de dos (2) días hábiles y proporcionaremos una respuesta sustantiva dentro de los plazos especificados en esta Política (treinta (30) días naturales para solicitudes de derechos RGPD, cinco (5) días hábiles para consultas generales).

Autoridad de control competente: Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon) Dirección: Tatari 39, 10134 Tallin, Estonia Teléfono: +372 627 4135 Email: [email protected] Web: www.aki.ee

Usted también tiene derecho a presentar una reclamación ante la autoridad de control de protección de datos de su país de residencia habitual o lugar de trabajo si considera que nuestro tratamiento de sus datos personales infringe el RGPD. Resolución de litigios en línea de la UE: Para reclamaciones que permanezcan sin resolver tras contactar con nosotros, los consumidores de la UE pueden recurrir a la plataforma de Resolución de Litigios en Línea (ODR) de la Comisión Europea en: https://ec.europa.eu/consumers/odr/