Versión: 1.0 | Fecha de Vigencia: 13 de diciembre de 2025
1. Responsable y Encargado del Tratamiento
Instalación UE: Esta es una plataforma solo por invitación para clientes de consultoría. Su organización es el responsable del tratamiento RGPD para los datos de empleados. Caimito actúa como encargado del tratamiento.
1.1 Su Organización como Responsable del Tratamiento
Según el RGPD, su organización es el responsable del tratamiento de todos los datos personales procesados a través de Navigator. Esto incluye entradas de registro diarias creadas por sus empleados, información organizacional y cualquier otro contenido introducido en la plataforma.
Como responsable del tratamiento, su organización determina los fines y medios del tratamiento de datos personales y es responsable de garantizar el tratamiento lícito, informar a los interesados y responder a las solicitudes de ejercicio de derechos.
1.2 Caimito Agile Life S.L. como Encargado del Tratamiento
Caimito Agile Life S.L. actúa como encargado del tratamiento, procesando datos personales únicamente en su nombre y según sus instrucciones documentadas como parte del contrato de consultoría Developer Advocate.
Caimito Agile Life S.L.
Una Sociedad Limitada española
A3200 km 9.5
14448 Conquista, Córdoba
España
Contacto de Privacidad: privacy@caimito.net
Contacto General: info@caimito.net
1.3 Contrato de Encargo del Tratamiento
Un Contrato de Encargo del Tratamiento regula la relación entre su organización (responsable) y Caimito Agile Life S.L. (encargado). Este contrato incluye:
- Tratamiento solo según sus instrucciones documentadas
- Obligaciones de confidencialidad para el personal
- Medidas de seguridad técnicas y organizativas
- Obligaciones y notificación de subencargados
- Asistencia con solicitudes de ejercicio de derechos
- Supresión o devolución de datos al finalizar el contrato
El contrato está disponible previa solicitud. Contacte privacy@caimito.net para obtener una copia.
2. Categorías de Datos Personales que Procesamos
2.1 Datos de Cuenta
Cuando crea una cuenta, procesamos:
- Dirección de correo electrónico (requerida para autenticación y comunicación)
- Nombre y apellidos (para visualización e identificación)
- Rol de usuario (Consultor, Administrador de Cliente o Miembro)
- Marcas de tiempo de creación de cuenta y último inicio de sesión
2.2 Datos Organizacionales
Para organizaciones cliente, procesamos:
- Nombre y descripción de la organización
- Dirección comercial (calle, código postal, ciudad, país)
- Número de identificación fiscal (donde corresponda)
- Idioma preferido para comunicaciones
- Asociaciones y roles de miembros del equipo
2.3 Entradas de Registro y Contenido de Informes
La función principal de Navigator implica el procesamiento de:
- Entradas de registro diarias creadas por usuarios (notas de trabajo, observaciones, reflexiones)
- Informes semanales y resúmenes generados por IA
- Traducciones de entradas de registro e informes
- Archivos históricos de registros
2.4 Datos de Facturación
Para relaciones comerciales, procesamos:
- Nombre y dirección de facturación
- Detalles de facturas y referencias de pago
- Suscripciones de productos e historial de compras
- Información bancaria/de pago para facturación (IBAN, nombre del banco)
2.5 Metadatos de Sistema e Inicio de Sesión
Para fines de seguridad y operativos, procesamos:
- Marcas de tiempo de autenticación
- Datos de gestión de sesión (a través de cookies seguras)
- Registros de acceso al servidor (direcciones IP, marcas de tiempo de solicitudes) para monitoreo de seguridad
3. Bases Legales del Tratamiento
Procesamos sus datos personales bajo las siguientes bases legales según el Artículo 6 del RGPD:
3.1 Necesidad Contractual (Artículo 6(1)(b))
La mayoría del tratamiento es necesario para prestar los servicios contratados:
- Gestión de cuentas y autenticación
- Almacenamiento de entradas de registro y generación de informes semanales
- Facturación y atención al cliente
- Servicios de consultoría, seguimiento de tiempo y gestión de proyectos
3.2 Intereses Legítimos (Artículo 6(1)(f))
Procesamos ciertos datos basándonos en nuestros intereses legítimos:
- Seguridad de la plataforma, prevención de abusos y detección de fraude
- Aseguramiento de calidad de los servicios de consultoría
- Comunicaciones esenciales del servicio
3.3 Obligación Legal (Artículo 6(1)(c))
Conservamos facturas y registros de facturación según lo exige la legislación fiscal (normalmente 6–10 años según la jurisdicción).
3.4 Consentimiento (Artículo 6(1)(a))
Nos basamos en el consentimiento solo para funciones opcionales:
- Mejora de texto y traducción asistida por IA (envía texto seleccionado a OpenAI)
Puede retirar su consentimiento en cualquier momento dejando de usar estas funciones o contactándonos en privacy@caimito.net.
4. Procesamiento de Texto Asistido por IA
Navigator utiliza inteligencia artificial para generar informes de resumen semanales a partir de entradas de registro diarias y proporcionar funciones de mejora de texto y traducción. El procesamiento de IA es opcional e iniciado por el usuario—los datos solo se envían cuando usted activa explícitamente una función de IA.
4.1 Proveedor de IA
Utilizamos OpenAI, L.L.C. (San Francisco, California, EE.UU.) como nuestro proveedor de procesamiento de IA:
- Servicio: API de OpenAI (modelos GPT)
- Rol: Proveedor de servicios actuando bajo nuestras instrucciones
- Acuerdo: Addendum de Procesamiento de Datos (DPA) de OpenAI
4.2 Qué Datos se Envían
- Solo el contenido de texto específico que seleccione para procesamiento (entradas de registro, borradores)
- Para informes semanales: las entradas de registro del período de informe
- No se envían credenciales de cuenta, direcciones de correo electrónico ni metadatos
4.3 Propósito del Procesamiento
- Informes semanales: Resumir entradas de registro diarias en información práctica
- Mejora de texto: Mejorar la claridad y legibilidad del contenido escrito
- Traducción: Convertir contenido entre idiomas soportados
4.4 Retención de Datos por el Proveedor de IA
La política de uso de datos de la API de OpenAI establece que las entradas y salidas de la API no se utilizan para entrenar modelos y se retienen por un máximo de 30 días para monitoreo de abusos, después de lo cual se eliminan. Para más detalles, consulte OpenAI Enterprise Privacy y sus Políticas de Uso de Datos de API.
4.5 Ubicación del Procesamiento
OpenAI procesa datos en Estados Unidos. Para transferencias desde el EEE/Reino Unido/Suiza, nos basamos en:
- Marco de Privacidad de Datos UE-EE.UU. (OpenAI es participante certificado)
- Cláusulas Contractuales Tipo incorporadas en el DPA de OpenAI
- Cifrado en tránsito (TLS) para todas las comunicaciones de API
4.6 Transparencia según la Ley de IA de la UE
Cumplimiento del Reglamento 2024/1689: Nuestro uso de IA se clasifica como riesgo limitado. Los resúmenes generados por IA están claramente marcados y sirven únicamente como información orientativa. No evalúan el rendimiento individual de empleados, no toman decisiones automatizadas de recursos humanos ni reemplazan el juicio humano. Los consultores revisan y pueden editar o rechazar el contenido generado por IA antes de su publicación.
5. Transferencias Internacionales de Datos
La plataforma Navigator para clientes de la UE está alojada íntegramente dentro de la Unión Europea. Toda la infraestructura—incluyendo servidores, bases de datos y servicios de aplicación—está ubicada físicamente en territorio de la UE.
La única transferencia de datos personales fuera de la UE ocurre cuando utiliza funciones con IA (generación de informes semanales, mejora de texto, traducción). Estas funciones envían contenido seleccionado a OpenAI, L.L.C. en Estados Unidos. Las funciones de IA son opcionales e iniciadas por el usuario—no se envían datos a menos que active explícitamente una función de IA.
5.1 Mecanismos de Transferencia para Procesamiento con IA
Para transferencias a OpenAI en Estados Unidos, nos basamos en:
- Marco de Privacidad de Datos UE-EE.UU. (DPF): OpenAI está certificada bajo el DPF
- Cláusulas Contractuales Tipo (CCT): Incorporadas en el Acuerdo de Procesamiento de Datos de OpenAI
- Medidas complementarias: Cifrado en tránsito (TLS 1.2+), principio de minimización de datos (solo se envía contenido de texto seleccionado)
5.2 Resumen de Ubicación de Datos
- Unión Europea: Toda la infraestructura de la plataforma, bases de datos, cuentas de usuario, registros diarios, informes y facturas
- Estados Unidos: Solo contenido procesado por IA (temporalmente, cuando se usan funciones de IA)
6. Conservación de Datos
Conservamos los datos personales solo mientras sea necesario para los fines descritos, o según lo exija la ley:
- Datos de cuenta activa: Se conservan mientras su cuenta esté activa; se eliminan 30 días después del cierre de la cuenta (excepto registros de facturación)
- Entradas de registro e informes semanales: Se conservan mientras la suscripción de su organización esté activa; exportables bajo solicitud
- Facturas y registros de facturación: Se conservan durante 10 años después de su creación (requisitos fiscales/legales); no se eliminan durante la terminación de la cuenta
- Tokens de autenticación: Los tokens de enlaces mágicos se eliminan después de su uso o expiración (2 horas); las cookies de sesión JWT expiran después de 7 días
- Conversaciones de chat con IA: Se eliminan automáticamente diariamente; el historial de chat no se conserva más de 24 horas
- Registros del servidor: Se conservan hasta 90 días para monitoreo de seguridad, luego se eliminan automáticamente
7.1 Quién Controla la Eliminación
La eliminación de datos se controla de la siguiente manera:
- Usuarios individuales: Pueden editar o eliminar sus propias entradas de registro en cualquier momento
- Administradores de clientes: Son responsables de gestionar los datos de la organización y pueden solicitar la eliminación masiva de datos de la organización
- Terminación de cuenta: Los usuarios o administradores de clientes pueden solicitar la terminación de la cuenta/organización contactando a privacy@caimito.net
7.2 Tratamiento Post-Terminación
Al terminar la cuenta u organización:
- Tiene 30 días para solicitar una exportación de sus datos en formato legible por máquina
- Después de 30 días, los siguientes datos serán eliminados permanentemente: perfiles de usuario, entradas de registro, informes semanales y datos de la organización
- Los siguientes datos serán conservados para cumplimiento legal: facturas y registros de facturación (10 años según la ley fiscal)
- Cuando una organización termina, todas las cuentas de miembros asociadas y sus datos están incluidos en el proceso de terminación
7. Destinatarios y Subencargados
Compartimos datos personales solo con las siguientes categorías de destinatarios, actuando como encargados del tratamiento bajo nuestras instrucciones. Para la lista completa y actualizada, consulte nuestra Lista de Subencargados y Proveedores.
7.1 Proveedor de Servicios de IA
- OpenAI, L.L.C. – Procesa contenido de entradas de registro para la generación de informes semanales y funciones de traducción. Sujeto a su acuerdo de procesamiento de datos y políticas de uso de datos de API.
7.2 Operaciones Autoalojadas
Aparte de OpenAI, Navigator no contrata ningún otro subencargado de terceros. Todas las demás operaciones de la plataforma—incluyendo alojamiento, almacenamiento de base de datos, autenticación y entrega de correo electrónico—son operadas directamente por Navigator en infraestructura que controlamos.
No vendemos, alquilamos ni compartimos sus datos personales con terceros para sus propios fines de marketing. Todos los datos que proporciona y genera pertenecen a su organización representada por el administrador del cliente. No se utilizan servicios de análisis, seguimiento, publicidad o redes sociales de terceros.
8. Sus Derechos según el RGPD
Importante: Dado que su organización es el responsable del tratamiento RGPD y Caimito actúa como encargado del tratamiento, las solicitudes para ejercer sus derechos de protección de datos generalmente deben dirigirse al delegado de protección de datos o contacto designado de su organización.
Según el RGPD, tiene los siguientes derechos respecto a sus datos personales:
- Derecho de Acceso (Artículo 15): Solicite una copia de sus datos personales. Puede acceder a la mayoría de los datos directamente a través de su cuenta Navigator.
- Derecho de Rectificación (Artículo 16): Corrija datos inexactos a través de la configuración de su cuenta.
- Derecho de Supresión (Artículo 17): Solicite la eliminación de sus datos a través de su organización.
- Derecho a la Limitación (Artículo 18): Solicite que se limite el tratamiento en determinadas circunstancias.
- Derecho a la Portabilidad (Artículo 20): Reciba sus datos en un formato estructurado y legible por máquina.
- Derecho de Oposición (Artículo 21): Opóngase al tratamiento basado en intereses legítimos.
Caimito asistirá a su organización (el responsable) en la respuesta a las solicitudes de los interesados según lo establecido en el Contrato de Encargo del Tratamiento.
8.1 Cómo Ejercer Sus Derechos
Contacte al delegado de protección de datos o contacto designado de su organización. Para preguntas técnicas sobre la funcionalidad de Navigator, también puede contactarnos en privacy@caimito.net.
9. Derecho a Presentar una Reclamación
Si cree que no hemos manejado sus datos personales correctamente, tiene derecho a presentar una reclamación ante una autoridad de control.
Para residentes de la UE: Puede contactar la Autoridad de Protección de Datos de su país de residencia. Una lista de las APD de la UE está disponible en: https://edpb.europa.eu/about-edpb/about-edpb/members_en
Para residentes de España: La autoridad competente es la Agencia Española de Protección de Datos (AEPD).
Le animamos a contactarnos primero en privacy@caimito.net para que podamos abordar sus inquietudes directamente.
10. Cookies y Tecnologías Similares
Navigator utiliza únicamente cookies estrictamente necesarias requeridas para que el servicio funcione. Estas cookies son esenciales para la autenticación y seguridad—sin ellas, el servicio no puede operar.
10.1 Cookies que Utilizamos
| Nombre de Cookie | Propósito | Duración | Indicadores de Seguridad |
|---|---|---|---|
jwt |
Autenticación de sesión – mantiene su estado de inicio de sesión y verifica su identidad en cada solicitud | 7 días | HttpOnly: Sí Secure: Sí (solo HTTPS) SameSite: Lax Path: / |
JSESSIONID |
Preferencia de idioma y estado temporal del formulario durante el registro | Sesión (se elimina al cerrar el navegador) | HttpOnly: Sí Secure: Sí (solo HTTPS) Path: / |
10.2 Clasificación
Todas las cookies utilizadas por Navigator están clasificadas como estrictamente necesarias. Son necesarias para:
- Autenticar usuarios y mantener sesiones seguras
- Prevenir el acceso no autorizado a su cuenta
- Preservar su selección de idioma durante el registro
10.3 Lo que NO Utilizamos
Navigator no utiliza:
- Cookies de análisis (sin Google Analytics, Matomo o similares)
- Cookies de publicidad o marketing
- Cookies de seguimiento de terceros
- Píxeles o widgets de seguimiento de redes sociales
- Tecnologías de seguimiento entre sitios
- Fingerprinting u otras técnicas de identificación de usuarios más allá de la autenticación
10.4 No se Requiere Banner de Consentimiento
Debido a que Navigator utiliza solo cookies estrictamente necesarias que son esenciales para el funcionamiento del servicio, no se requiere un popup o banner de consentimiento de cookies según el Artículo 6(1)(f) del RGPD y el Artículo 5(3) de la Directiva ePrivacy. Esta divulgación de transparencia sirve como su información completa sobre cookies.
11. Información Sensible
11.1 Naturaleza de las Entradas de Registro
La función de registro diario de Navigator permite a los usuarios introducir notas de texto libre sobre sus actividades laborales. Debido a que estas entradas no están estructuradas, potencialmente pueden contener información personal más allá de lo necesario para el registro profesional del trabajo.
11.2 No Destinado a Datos de Categoría Especial
Navigator está diseñado para el registro de trabajo profesional y la elaboración de informes. No recopilamos ni procesamos intencionalmente datos de categoría especial según el Artículo 9 del RGPD. Los datos de categoría especial incluyen:
- Información de salud (condiciones de salud física o mental, tratamientos médicos)
- Origen racial o étnico
- Opiniones políticas
- Creencias religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos para fines de identificación
- Datos relativos a la vida sexual u orientación sexual
Navigator no está concebido como una plataforma para procesar dichos datos. Los usuarios deben evitar introducir información de categoría especial a menos que sea estrictamente necesario para el propósito comercial legítimo de su organización.
11.3 Orientación para Usuarios
Para ayudar a proteger la privacidad y mantener el cumplimiento del RGPD:
- Enfocarse en actividades profesionales: Las entradas de registro deben concentrarse en observaciones relacionadas con el trabajo, progreso de proyectos, desafíos técnicos e interacciones comerciales.
- Evitar detalles sensibles: No incluya estado de salud, citas médicas, creencias personales, actividades sindicales u otra información de categoría especial a menos que su organización haya determinado explícitamente que esto es necesario y lícito.
- Minimizar identificadores personales: Cuando sea posible, evite incluir detalles personales innecesarios sobre colegas o terceros.
- Revisar antes de enviar: Considere si su entrada contiene información que no sería apropiada en un registro de trabajo profesional.
11.4 Si se Introducen Datos de Categoría Especial
Si se introducen incidentalmente datos de categoría especial en una entrada de registro:
- Los usuarios pueden editar o eliminar sus propias entradas para eliminar dicha información.
- Los administradores de la organización (Administradores de Cliente) son responsables de supervisar el uso apropiado dentro de su organización.
- Puede contactarnos en privacy@caimito.net para solicitar la eliminación de datos específicos.
Cuando aparecen datos de categoría especial incidentalmente, la base legal para cualquier procesamiento sería típicamente el consentimiento explícito (Artículo 9(2)(a) RGPD) implícito en la introducción deliberada de dicha información por parte del usuario, o la dependencia de la propia base legal y políticas internas de la organización cliente.
11.5 Protecciones de Seguridad
Todas las entradas de registro de texto libre—independientemente de su contenido—reciben las mismas protecciones de seguridad robustas descritas en la Sección 13 (Seguridad de Datos), incluyendo:
- Cifrado en tránsito y en reposo
- Controles de acceso basados en roles
- Infraestructura en la nube segura
Navigator no realiza categorización automatizada, elaboración de perfiles ni análisis especial del contenido de las entradas de registro para identificar datos de categoría especial. Tratamos todo el contenido de registro de manera uniforme desde una perspectiva de seguridad y almacenamiento.
11.6 Responsabilidades Organizacionales
Las organizaciones cliente son responsables de:
- Proporcionar orientación apropiada a sus miembros sobre qué información debe o no debe introducirse en los registros
- Asegurar que su uso de Navigator se alinea con sus propias políticas de protección de datos y obligaciones legales
- Determinar si cualquier procesamiento de categoría especial es necesario para sus propósitos comerciales legítimos y asegurar que existe una base legal apropiada
- Supervisar y gestionar el contenido creado por los miembros de su equipo
Caimito Services LLC actúa como encargado del tratamiento para el contenido de las entradas de registro en nombre de las organizaciones cliente (los responsables del tratamiento de los datos de sus empleados/miembros).
12. Seguridad de Datos
Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales:
- Cifrado en tránsito (TLS/HTTPS para todas las conexiones)
- Cifrado en reposo para datos almacenados
- Autenticación sin contraseña reduciendo el riesgo de robo de credenciales
- Controles de acceso basados en roles limitando la visibilidad de datos
- Actualizaciones de seguridad regulares y monitoreo
- Infraestructura en la nube segura con certificaciones estándar de la industria
Ningún método de transmisión o almacenamiento es 100% seguro. Si tiene preocupaciones sobre un problema de seguridad, por favor contáctenos inmediatamente en privacy@caimito.net.
13. Privacidad de Menores
Navigator es un servicio profesional no dirigido a personas menores de 18 años. No recopilamos intencionalmente datos personales de menores. Si cree que un menor nos ha proporcionado datos personales, por favor contáctenos inmediatamente y los eliminaremos.
14. Cambios a Este Aviso de Privacidad
Podemos actualizar este aviso de privacidad para reflejar cambios en nuestras prácticas o requisitos legales. Los cambios materiales se comunicarán por correo electrónico a los administradores de la organización. La fecha de vigencia indica cuándo esta versión entró en vigor.
El uso continuado de Navigator después de que los cambios entren en vigor constituye la aceptación del aviso actualizado. Le animamos a revisar este aviso periódicamente.
15. Información de Contacto
Para preguntas sobre este aviso de privacidad o para ejercer sus derechos de protección de datos:
Contacto de Privacidad:
Correo electrónico: privacy@caimito.net
Consultas Generales:
Correo electrónico: info@caimito.net
16. Denuncia de Contenido Ilegal o Abusivo
Nos tomamos muy en serio la seguridad de nuestra plataforma. Si encuentra cualquier contenido ilegal, abusivo o dañino en Navigator, o si cree que sus datos personales han sido utilizados indebidamente, por favor repórtelo inmediatamente.
Reportes de Abuso: abuse@caimito.net
Inquietudes de Privacidad: privacy@caimito.net
Para detalles completos sobre nuestros procedimientos de reporte de abuso, qué reportar y cómo respondemos, consulte la Sección 19 de nuestros Términos y Condiciones.
Tolerancia Cero: Navigator mantiene una política de tolerancia cero para contenido ilegal, incluyendo material de abuso sexual infantil (CSAM). El contenido ilegal confirmado resultará en acción inmediata y reporte a las autoridades.
17. Historial de Versiones
Esta sección documenta todas las versiones de este aviso de privacidad. Los cambios materiales se anunciarán en esta página y, cuando corresponda, se comunicarán por correo electrónico a los administradores de la organización.
Versión 1.0 — Vigente desde el 13 de diciembre de 2025
Publicación inicial
- Establecido aviso de privacidad independiente para Navigator
- Documentadas todas las categorías de datos personales procesados
- Divulgado el procesamiento de IA a través de OpenAI
- Documentado el almacenamiento de datos y los períodos de retención
- Detallados los derechos de privacidad y procedimientos de contacto