ACUERDO DE TRATAMIENTO DE DATOS
El Acuerdo de Tratamiento de Datos, en lectura clara.
v1.0 · En vigor desde la fecha de publicación
Redactado para que su DPO pueda aprobarlo de una sentada. Cada término, subencargado y salvaguarda documentado por completo. El PDF firmado contiene el mismo contenido.
PDF available on request — email dpo@sageio.net
ALCANCE Y FUNCIONES
Quién hace qué, y con los datos de quién.
Conforme a este DPA, el Cliente es el responsable del tratamiento y Sageio actúa como encargado del tratamiento en nombre del Cliente. Sageio trata datos personales únicamente para prestar los servicios contratados —traducción, transcripción y resumen de reuniones en tiempo real— y solo según las instrucciones documentadas del Cliente. Este DPA forma parte del Acuerdo de Suscripción entre Sageio y el Cliente; en caso de conflicto, el DPA prevalece en los asuntos relativos al tratamiento de datos personales. Se aplica a todas las actividades de tratamiento realizadas en relación con la plataforma de Sageio.
DATOS TRATADOS
Qué tratamos y por qué podemos hacerlo.
| Categoría de datos | Finalidad del tratamiento | Base jurídica (GDPR Art. 6) | Conservación |
|---|---|---|---|
| Audio de la reunión | Transcripción de voz a texto y traducción durante la reunión. | Art. 6(1)(b) — ejecución de un contrato. | Se elimina en un plazo de 24 horas tras el fin de la reunión. No se usa para entrenar modelos. |
| Transcripciones y traducciones de la reunión | Almacenamiento y recuperación por parte de los miembros del espacio de trabajo del Cliente. | Art. 6(1)(b) — ejecución de un contrato. | Configurable por el Cliente. Predeterminado: 90 días. |
| Resúmenes y tareas pendientes | Resultados de la reunión generados por IA a partir de la transcripción. | Art. 6(1)(b) — ejecución de un contrato. | Configurable por el Cliente. Predeterminado: 90 días, siguiendo a la transcripción. |
| Identificadores de cuenta (nombre, correo, rol) | Autenticación, acceso al espacio de trabajo y registro de auditoría. | Art. 6(1)(b) — ejecución de un contrato. | Duración de la cuenta más 30 días tras el cierre. |
| Metadatos de espacio de trabajo y uso | Funcionamiento del servicio, conciliación de facturación y prevención de abusos. | Art. 6(1)(b) y Art. 6(1)(f) — interés legítimo en la integridad del servicio. | 12 meses desde su generación. |
| Registros de auditoría | Monitorización de seguridad y revisión de accesos del Cliente. | Art. 6(1)(f) — interés legítimo en la seguridad. | 12 meses desde su generación. |
| Identificadores de facturación | Gestión de la suscripción. Los datos de la tarjeta de pago los trata LemonSqueezy como Merchant of Record y no los almacena Sageio. | Art. 6(1)(b) — ejecución de un contrato. | Duración de la cuenta más 7 años para registros fiscales. |
SUBENCARGADOS
La cadena completa de custodia.
| Subencargado | Finalidad | Ubicación del tratamiento |
|---|---|---|
| Amazon Web Services | Alojamiento en la nube, almacenamiento de objetos, gestión de claves de cifrado. | Región seleccionada por el Cliente (predeterminada: Asia-Pacífico). UE y EE. UU. en los planes Enterprise. |
| Neon | Base de datos PostgreSQL gestionada para los datos de la aplicación. | Región ajustada a la región principal de AWS del Cliente. |
| Vercel | Alojamiento del sitio de marketing y la aplicación web de cara al cliente. | Red global de borde. Origen: región seleccionada por el cliente. |
| Clerk | Autenticación, inicio de sesión único y gestión de identidades. | Estados Unidos. |
| Deepgram | Transcripción de voz a texto del audio de la reunión. | Estados Unidos. |
| Google (Gemini API) | Resúmenes de reuniones y tareas pendientes generados por IA. | Estados Unidos. Los datos no se utilizan para entrenar modelos de Google conforme a las condiciones de la API empresarial. |
| LemonSqueezy | Procesamiento de pagos como Merchant of Record. Cumplimiento fiscal. | Estados Unidos. |
MEDIDAS DE SEGURIDAD
La ingeniería se une al compromiso.
Sageio implementa medidas técnicas y organizativas adecuadas al riesgo del tratamiento, incluido el cifrado en tránsito (TLS 1.3) y en reposo (AES-256-GCM), el control de acceso basado en roles, el registro de auditoría, pruebas de penetración periódicas y un proceso documentado de respuesta ante incidentes. El acceso a producción requiere una justificación de negocio explícita, está limitado en el tiempo y se registra. El catálogo completo de medidas, incluido el estado actual del programa de cumplimiento, se publica en la página de Seguridad y se actualiza a medida que evoluciona el programa.
TRANSFERENCIAS INTERNACIONALES
Datos transfronterizos, transferidos legalmente.
Cuando se transfieren datos personales fuera del Espacio Económico Europeo, el Reino Unido u otras jurisdicciones con restricciones equivalentes, Sageio se basa en las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo Dos: Responsable a Encargado) y, cuando corresponda, en el Addendum de Transferencia Internacional de Datos del Reino Unido. Para las transferencias a jurisdicciones cubiertas por una decisión de adecuación, Sageio se basa en dicha decisión. Los subencargados están vinculados a obligaciones equivalentes mediante transmisión contractual. Se realizan evaluaciones de impacto de la transferencia para cada subencargado que trate datos personales fuera de la jurisdicción del exportador de datos.
DERECHOS DE LOS INTERESADOS
Los derechos de sus usuarios, nuestras obligaciones.
- Derecho de acceso: confirmación y una copia de los datos personales tratados.
- Derecho de rectificación: corrección de datos inexactos o incompletos.
- Derecho de supresión: eliminación en un plazo de 30 días tras una solicitud válida, sujeta a los requisitos legales de conservación.
- Derecho a la limitación: restricción del tratamiento en circunstancias definidas.
- Derecho a la portabilidad de los datos: exportación en un formato estructurado y legible por máquina.
- Derecho de oposición: incluido el tratamiento basado en el interés legítimo.
- Derecho a presentar una reclamación ante la autoridad de control competente.
CONTACTO
Personas reales, buzones con nombre.
- Data protection officer: dpo@sageio.net
- Security: security@sageio.net
Registrada en Taiwán. Entidad registrada: 好客網路股份有限公司 (Unified Business Number: 29041135). Dirección postal disponible bajo petición a dpo@sageio.net.
Historial de versiones
- v1.0En vigor desde la publicaciónPublicación inicial.