Acuerdo de Tratamiento de Datos
Acuerdo de Tratamiento de Datos
Versión 2026-05-20
Este Acuerdo de Tratamiento de Datos («DPA») complementa el Acuerdo Maestro de Suscripción entre Trueings y su organización. Aborda cómo se tratan los datos personales cuando su organización participa en el canal B2B2C de Trueings.
1. Roles y responsabilidades
Sus empleados son los interesados cuyos datos personales fluyen a través de Trueings. Usted (la organización) es el comprador del grupo de licencias; Trueings es el responsable de los datos de la cuenta del empleado y del contenido de los comentarios; sus empleados también son responsables del tratamiento respecto de sus propias cuentas y de las personas a quienes invitan a responder.
Su organización no tiene acceso al contenido de los comentarios de los empleados. El DPA confirma ese límite por escrito.
2. Qué tratamos en nombre de sus empleados
- Datos de cuenta: el correo de cuenta elegido por cada empleado que canjea, su nombre para mostrar, país, profesión y la credencial de afiliación al empleador (correo de trabajo + nombre para mostrar del empleador, ventana activa vinculada a la licencia).
- Contenido de comentarios: turnos de entrevista conversacional de quienes el empleado invita, almacenados como transcripciones en bruto hasta 30 días después de la síntesis, y luego purgados automáticamente.
- Resultado sintetizado: el informe anonimizado y filtrado por confidencialidad accesible solo para el empleado.
3. Límite de confidencialidad
Su organización recibe únicamente métricas agregadas y ciegas al contenido (tasa de canje, tasa de finalización, NPS de satisfacción con la herramienta una vez recopilado). Su organización no intentará identificar qué empleado canjeó qué licencia, ni inferir el contenido de los comentarios a partir de los datos de participación, ni obligar a los empleados a compartir sus informes.
4. Subencargados del tratamiento
Utilizamos los siguientes subencargados del tratamiento. La lista refleja los proveedores en uso activo; los cambios sustanciales se notifican con al menos treinta días de antelación.
- Supabase: Postgres gestionado y autenticación sin contraseña. Región UE.
- Anthropic: inferencia de modelos de lenguaje extensos. Alojado en EE. UU.; transferencias cubiertas por Cláusulas Contractuales Tipo. Se aplica un acuerdo de retención cero al tráfico de nuestra organización, por lo que el contenido no se conserva más allá de la inferencia y no se utiliza para entrenamiento.
- Resend: entrega de correo transaccional. Región UE.
- Stripe: procesamiento de pagos para los planes de pago. No almacenamos datos de tarjetas.
5. Conservación
- Transcripciones conversacionales en bruto: eliminadas automáticamente treinta días después de que se finaliza el informe de cada empleado.
- Informes sintetizados: conservados durante la vida de la cuenta del empleado (que perdura tras su salida de su organización).
- Registros de licencias: conservados durante la vida de la cuenta de su organización más un periodo de archivo legal para la facturación.
6. Transferencias transfronterizas
Los datos se tratan principalmente en la Unión Europea. Las transferencias a subencargados del tratamiento fuera de la UE (actualmente: Anthropic, EE. UU.) están cubiertas por Cláusulas Contractuales Tipo y se minimizan a lo que el servicio requiere (solo inferencia de LLM; no fluyen datos identificadores junto a ella).
7. Medidas de seguridad
Mantenemos medidas técnicas y organizativas coherentes con la sensibilidad de los datos, incluida la seguridad a nivel de fila en los datos personales, el almacenamiento cifrado en tránsito y en reposo, controles de acceso según el principio de mínimo privilegio y una superficie de operador auditada para cualquier acceso entre inquilinos.
8. Derechos de los interesados
Los empleados pueden ejercer sus derechos del RGPD (acceso, rectificación, supresión, portabilidad) directamente desde su panel de Trueings o escribiendo a privacy@trueings.com. Su organización no interviene en estas solicitudes, de acuerdo con el límite de confidencialidad anterior.
9. Vigencia y terminación
Este DPA permanece en vigor mientras el MSA esté en vigor Y mientras Trueings conserve cualquier dato personal tratado en nombre de sus empleados. La terminación activa los plazos de conservación estándar anteriores.
10. Contacto
DPA firmado por ambas partes, notificaciones de subencargados del tratamiento, cuestionarios de seguridad: teams@trueings.com. Solicitudes de interesados (empleados): privacy@trueings.com.