Dossira
Créer
Menu
← Back to Security Center

Política de privacidad

Política de privacidad de Dossira

Esta política explica qué datos personales tratamos, por qué los tratamos, dónde se tratan y qué derechos tienen las personas.

1. Responsable del tratamiento, contacto, alcance, funciones

Responsable del tratamiento: NOVA TERRA AS (dirección: ver Aviso Legal). Para solicitudes de privacidad: pri​vacydos​siracom

Alcance y funciones

  • Para el contenido del espacio de trabajo (archivos y entradas del espacio de trabajo) procesado en nombre de una organización cliente, el cliente es el responsable del tratamiento y nosotros actuamos como encargado del tratamiento.
  • Para nuestro sitio web y operaciones comerciales (administración de cuentas, facturación, ventas y marketing), actuamos como responsable del tratamiento.

Bases legales (RGPD)

Tratamos datos personales para los siguientes fines y bases legales:

  • Prestar y asegurar el Servicio (contrato / medidas precontractuales)
  • Seguridad de la cuenta, prevención de fraude/abuso, fiabilidad (intereses legítimos)
  • Soporte (contrato y/o intereses legítimos)
  • Facturación y contabilidad (obligación legal y contrato, según corresponda)
  • Comunicaciones de marketing (consentimiento cuando sea necesario; de lo contrario, intereses legítimos para prospección B2B donde esté permitido)

Es necesario proporcionar una dirección de correo electrónico para crear y asegurar una cuenta. Si no se facilita, no podremos proporcionar acceso a la cuenta.

2. Qué tratamos (categorías de datos)

Administración de cuentas y servicios

  • dirección de correo electrónico (obligatorio)
  • identificadores de cuenta e IDs de usuario internos
  • información sobre la membresía y funciones en el espacio de trabajo (si han sido creadas por el cliente)
  • datos de contacto de facturación (si las suscripciones están habilitadas)

Seguridad y metadatos técnicos

  • dirección IP al iniciar sesión y eventos de seguridad
  • info de user-agent/dispositivo
  • marcas de tiempo y eventos de auditoría/seguridad Conservamos los registros de seguridad durante un periodo limitado basado en la necesidad operativa y el riesgo.

Contenido del espacio de trabajo (controlado por el cliente)

El contenido del espacio de trabajo puede incluir archivos y entradas (comentarios, decisiones) y metadatos relacionados. El cliente decide qué datos personales se almacenan en el espacio de trabajo.

3. Proveedores de servicios (subencargados / encargados)

Utilizamos un pequeño conjunto de proveedores para operar el servicio. Dependiendo del contexto:

  • para el contenido del espacio de trabajo del cliente, estos proveedores actúan como nuestros subencargados del tratamiento (seguimos siendo responsables como encargados en la medida exigida por la ley);
  • para nuestro sitio web y operaciones comerciales, estos proveedores actúan como nuestros encargados del tratamiento.

No vendemos datos personales y no utilizamos rastreadores publicitarios de terceros.

  • Hetzner Online GmbH – alojamiento principal (computación + almacenamiento) (UE)
  • Scaleway S.A.S. – envío de correos electrónicos transaccionales (UE)
  • Cloudflare – entrega del sitio público y activos estáticos (CDN)
  • Buypass AS – certificados TLS (Noruega)
  • Mollie B.V. – pagos para el contacto de facturación (Países Bajos) (solo si las suscripciones están habilitadas)

Compartimos únicamente los datos necesarios para la función de cada proveedor.

Sitio web público y activos estáticos (CDN)

Utilizamos Cloudflare para entregar el sitio web público y los activos estáticos. No dirigimos el contenido del espacio de trabajo del cliente a través del CDN. Al igual que con los servicios de red globales, es posible que se procesen datos técnicos limitados de las solicitudes (como la dirección IP y los metadatos de la solicitud) fuera del EEE, dependiendo del enrutamiento y la configuración del servicio.

4. Transferencias internacionales

Diseñamos el servicio en torno a un límite operativo europeo. Si los datos personales se transfieren fuera del EEE/Reino Unido/Suiza, nos basamos en las salvaguardias adecuadas, como las Cláusulas Contractuales Tipo de la UE, y proporcionamos más detalles previa solicitud.

No transferimos intencionadamente el contenido del espacio de trabajo de los clientes fuera del EEE/Reino Unido/Suiza como parte de la operación normal del servicio. Si esto cambia, actualizaremos nuestra documentación y salvaguardias en consecuencia.

5. Retención

Conservamos los datos personales solo el tiempo necesario para los fines indicados anteriormente:

  • Datos de cuenta/servicio: mientras la cuenta/espacio de trabajo esté activo, luego se eliminan o anonimizan de acuerdo con nuestro proceso de eliminación y rotación de copias de seguridad.
  • Registros de seguridad: conservados durante un periodo limitado adecuado para las operaciones de seguridad.
  • Registros de facturación: conservados durante los periodos legales de contabilidad/auditoría cuando lo exija la ley (generalmente 5 años).

Los metadatos de seguridad y de sesión se conservan normalmente hasta 14 días, a menos que necesitemos más tiempo para investigar abusos o incidentes de seguridad. Los tokens de sesión suelen invalidarse cuando el usuario cierra la sesión.

Para los miembros individuales del equipo, su correo electrónico personal se elimina si el miembro deja la suscripción. Pueden pasar unos días hasta que todos los registros se roten por completo.

6. Derechos y solicitudes

Las personas tienen derecho a acceder, rectificar, suprimir, limitar el tratamiento, oponerse y (cuando proceda) a la portabilidad de los datos.

  • Para el contenido del espacio de trabajo, las solicitudes deben dirigirse a la organización del cliente (el responsable del tratamiento). Nosotros asistimos donde sea necesario y factible.

  • Para nuestro sitio web y operaciones comerciales, contacte con: pri​vacyxraydos​siracom

Las personas también tienen derecho a presentar una reclamación ante una autoridad de control, en particular en el país de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción. Cuando el tratamiento se base en el consentimiento, este puede retirarse en cualquier momento (sin que ello afecte al tratamiento previo). No utilizamos la toma de decisiones automatizada ni la elaboración de perfiles que produzcan efectos jurídicos o significativos similares.

7. Cookies y tecnologías similares

Utilizamos únicamente las cookies estrictamente necesarias para la autenticación y la seguridad. No utilizamos cookies publicitarias.

  • __Host-auth (nombre de ejemplo: dos_a): autenticación de sesión (sesión)
  • __Host-csrf (nombre de ejemplo: dos_c): integridad de la solicitud / protección CSRF (sesión)

Si introducimos cookies no esenciales (por ejemplo, de análisis), solicitaremos el consentimiento cuando sea necesario y actualizaremos esta política.

8. Cambios

Si realizamos cambios sustanciales, actualizaremos la fecha “lastUpdated” y, cuando proceda, notificaremos a los administradores de la cuenta.