ACUERDO DE TRATAMIENTO DE DATOS
El Acuerdo de Tratamiento de Datos, en lectura clara.
v1.2.1 · En vigor desde la fecha de publicación
Redactado para que tu DPO pueda aprobarlo de una sentada. Cada término, subencargado y salvaguarda documentado por completo. El PDF firmado contiene el mismo contenido.
ALCANCE Y FUNCIONES
Quién hace qué, y con los datos de quién.
Conforme a este DPA, el Cliente es el responsable del tratamiento y Sageio actúa como encargado del tratamiento en nombre del Cliente. Sageio trata datos personales únicamente para prestar los servicios contratados —traducción, transcripción y resumen de reuniones en tiempo real— y solo según las instrucciones documentadas del Cliente. Este DPA forma parte del Acuerdo de Suscripción entre Sageio y el Cliente; en caso de conflicto, el DPA prevalece en los asuntos relativos al tratamiento de datos personales. Se aplica a todas las actividades de tratamiento realizadas en relación con la plataforma de Sageio.
DATOS TRATADOS
Qué tratamos y por qué podemos hacerlo.
| Categoría de datos | Finalidad del tratamiento | Base jurídica (GDPR Art. 6) | Conservación |
|---|---|---|---|
| Audio de la reunión | Transcripción de voz a texto y traducción durante la reunión. | Art. 6(1)(b) — ejecución de un contrato. | Se transmite para la transcripción en vivo y se procesa solo en memoria; nunca se escribe en almacenamiento. No se usa para entrenar modelos. |
| Transcripciones y traducciones de la reunión | Almacenamiento y recuperación por parte de los miembros del espacio de trabajo del Cliente. | Art. 6(1)(b) — ejecución de un contrato. | Se conservan hasta que el Cliente los elimine o se elimine la cuenta. |
| Resúmenes y tareas pendientes | Resultados de la reunión generados por IA a partir de la transcripción. | Art. 6(1)(b) — ejecución de un contrato. | Sigue el período de retención de la transcripción. |
| Identificadores de cuenta (nombre, correo, rol) | Autenticación, acceso al espacio de trabajo y registro de auditoría. | Art. 6(1)(b) — ejecución de un contrato. | Duración de la cuenta más 30 días tras el cierre. |
| Metadatos de espacio de trabajo y uso | Funcionamiento del servicio, conciliación de facturación y prevención de abusos. | Art. 6(1)(b) y Art. 6(1)(f) — interés legítimo en la integridad del servicio. | 12 meses desde su generación. |
| Registros de auditoría | Monitoreo de seguridad y revisión de accesos del Cliente. | Art. 6(1)(f) — interés legítimo en la seguridad. | 12 meses desde su generación. |
| Identificadores de facturación | Gestión de la suscripción. Los datos de la tarjeta de pago los trata LemonSqueezy como Merchant of Record y no los almacena Sageio. | Art. 6(1)(b) — ejecución de un contrato. | Duración de la cuenta más 7 años para registros fiscales. |
SUBENCARGADOS
La cadena completa de custodia.
| Subencargado | Finalidad | Ubicación del tratamiento |
|---|---|---|
| Amazon Web Services | Alojamiento en la nube, almacenamiento de objetos, gestión de claves de cifrado. | Región elegida por el Cliente (por defecto: Singapur, Asia-Pacífico). UE y EE. UU. en planes Enterprise. |
| Neon | Base de datos PostgreSQL gestionada para los datos de la aplicación. | Región ajustada a la región principal de AWS del Cliente. |
| Vercel | Alojamiento del sitio de marketing y la aplicación web de cara al cliente. | Red global de borde. Origen: región seleccionada por el cliente. |
| Clerk | Autenticación, inicio de sesión único y gestión de identidades. | Estados Unidos. |
| Deepgram | Transcripción de voz a texto del audio de la reunión. | Estados Unidos. |
| OpenAI | Transcripción de voz a texto en tiempo real del audio de reuniones (motor predeterminado para nuevos espacios de trabajo) y transcripción de archivos de audio subidos. | Estados Unidos. |
| DeepL | Traducción de segmentos provisionales de transcripción y traducción final para determinados idiomas de destino. | Alemania (UE). |
| Google (Gemini API) | Refinamiento de la traducción de segmentos finalizados; resúmenes y acciones generados por IA. | Estados Unidos. Los datos no se utilizan para entrenar modelos de Google conforme a las condiciones de la API de Gemini de pago. |
| Resend | Envío de correos transaccionales (avisos de cuenta y servicio; correos con resúmenes de reuniones enviados a petición del usuario). | Estados Unidos. |
Lemon Squeezy (una empresa de Stripe) no es un subencargado: como Merchant of Record, determina por sí misma las finalidades del pago, los impuestos y la facturación, y actúa como responsable del tratamiento independiente conforme a su propia política de privacidad.
Plausible (analítica web sin cookies) opera solo en nuestro sitio de marketing y no procesa datos personales de la plataforma bajo este DPA; se divulga en la Política de Privacidad.
PROCESSOR COMMITMENTS
Article 28, written into the contract.
These commitments form part of the DPA. The English text is the authoritative version; localized translations will follow the signed-off text.
- Sub-processor changes
- Sageio maintains the current sub-processor list at sageio.net/subprocessors. Sageio will give Customer at least 30 days' notice (by email or in-app notice) before adding or replacing a sub-processor. Customer may object on reasonable data-protection grounds within the notice period; if the parties cannot resolve the objection, Customer may terminate the affected services and receive a pro-rata refund of prepaid fees for the unused period. Sageio imposes data-protection obligations equivalent to this DPA on each sub-processor and remains liable for their performance.
- Personal-data breach notification
- Sageio will notify Customer without undue delay, and in any event within 24 hours of confirming a personal-data breach affecting Customer personal data, and will provide the information reasonably required for Customer's obligations under Articles 33–34 GDPR, with updates as the investigation proceeds.
- Deletion and return
- Upon termination or expiry of the services, Sageio will, at Customer's choice, delete or return all Customer personal data within 30 days, and delete remaining copies, except where applicable law requires retention. Personal data in encrypted backups is purged on the standard 30-day backup rotation cycle.
- Assistance and audits
- Taking into account the nature of the processing, Sageio will assist Customer with appropriate technical and organizational measures in responding to data-subject requests, and with Customer's obligations under Articles 32–36 GDPR, including data-protection impact assessments and prior consultations. Sageio will make available information reasonably necessary to demonstrate compliance with Article 28 — including summaries of penetration tests and, when available, audit reports — and will allow audits, including inspections, by Customer or its mandated auditor, no more than once per twelve months, on 30 days' notice, at Customer's expense and subject to confidentiality.
- Confidentiality and instructions
- Sageio ensures that persons authorized to process personal data are committed to confidentiality. Sageio will inform Customer without undue delay if, in its opinion, an instruction infringes applicable data-protection law.
- Customer warranties
- Customer warrants that it has established a lawful basis for the processing it instructs under this DPA, including any notices to and consents from meeting participants required by applicable law and — where meeting content incidentally contains special categories of personal data — a condition under Article 9(2) GDPR. Sageio does not use meeting content to identify any person by voice and creates no biometric templates.
- Term, governing law, and liability
- This DPA takes effect with, and lasts for the duration of, the Subscription Agreement; it is governed by the same law, and the limitations of liability in the Terms of Service apply to it, except where mandatory data-protection law provides otherwise.
MEDIDAS DE SEGURIDAD
La ingeniería se une al compromiso.
Sageio implementa medidas técnicas y organizativas adecuadas al riesgo del tratamiento, incluido el cifrado en tránsito (TLS 1.3) y en reposo (AES-256-GCM), el control de acceso basado en roles, el registro de auditoría, pruebas de penetración periódicas y un proceso documentado de respuesta ante incidentes. El acceso a producción requiere una justificación de negocio explícita, está limitado en el tiempo y se registra. El catálogo completo de medidas, incluido el estado actual del programa de cumplimiento, se publica en la página de Seguridad y se actualiza a medida que evoluciona el programa.
TRANSFERENCIAS INTERNACIONALES
Datos transfronterizos, transferidos legalmente.
Cuando se transfieren datos personales fuera del Espacio Económico Europeo, el Reino Unido u otras jurisdicciones con restricciones equivalentes, Sageio se basa en las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo Dos: Responsable a Encargado) y, cuando corresponda, en el Addendum de Transferencia Internacional de Datos del Reino Unido. Para las transferencias a jurisdicciones cubiertas por una decisión de adecuación, Sageio se basa en dicha decisión. Los subencargados están vinculados a obligaciones equivalentes mediante transmisión contractual. Se realizan evaluaciones de impacto de la transferencia para cada subencargado que trate datos personales fuera de la jurisdicción del exportador de datos.
The SCCs (Module Two: Controller-to-Processor) and the UK International Data Transfer Addendum are incorporated into this DPA by reference. Annex I (parties; description of processing) is constituted by the parties' details and the "Data processed" table above, which may incidentally include special categories of data contained in meeting content; Annex II (technical and organizational measures) by the "Security measures" section; Annex III (authorized sub-processors) by the "Sub-processors" table. In case of conflict, the SCCs prevail.
DERECHOS DE LOS INTERESADOS
Los derechos de tus usuarios, nuestras obligaciones.
- Derecho de acceso: confirmación y una copia de los datos personales tratados.
- Derecho de rectificación: corrección de datos inexactos o incompletos.
- Derecho de supresión: eliminación en un plazo de 30 días tras una solicitud válida, sujeta a los requisitos legales de conservación.
- Derecho a la limitación: restricción del tratamiento en circunstancias definidas.
- Derecho a la portabilidad de los datos: exportación en un formato estructurado y legible por máquina.
- Derecho de oposición: incluido el tratamiento basado en el interés legítimo.
- Derecho a presentar una reclamación ante la autoridad de control competente.
CONTACTO
Personas reales, buzones con nombre.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio es operado por 好客網路股份有限公司 (número de registro de empresa 29041135), una entidad registrada en Taiwán. Domicilio registrado: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Contacto de privacidad: privacy@sageio.net.
Historial de versiones
- v1.2.114 de junio de 2026Confirmación del nivel de pago de Gemini completada (nota provisional eliminada); el compromiso de subencargados ahora remite a la página /subprocessors publicada; se añade la traducción al chino tradicional de los compromisos del encargado y la incorporación de las CCT.
- v1.2June 13, 2026Corrección de la tabla de subencargados: se añade OpenAI (transcripción de voz a texto en tiempo real, motor predeterminado para nuevos espacios de trabajo); el propósito de DeepL se amplía a la traducción final para determinados idiomas; el propósito de Resend incluye correos de resumen de reuniones; la base de condiciones de Gemini se corrige a la API de pago (confirmación en curso). Se eliminan las menciones a un período de retención configurable para reflejar el comportamiento actual del sistema.
- v1.113 de junio de 2026Se añaden los compromisos del encargado (Art 28); se amplía la tabla de subencargados (DeepL, Resend); se corrigen las entradas de retención según el comportamiento real del sistema; se incorporan las SCC y el UK Addendum con el mapeo de anexos.
- v1.0En vigor desde la publicaciónPublicación inicial.