Acuerdo de Tratamiento de Datos
Esta es una traducción de cortesía. En caso de discrepancia, prevalece la versión en inglés. Ver la versión original en inglés.
Esta página es un resumen de cómo funciona el tratamiento de datos en los despliegues gestionados de Tracehold — los planes de pago Insight y Governance. En esos despliegues, tu organización es el responsable del tratamiento y Tracehold es el encargado del tratamiento conforme al artículo 28 del RGPD. Como la detección se ejecuta en el dispositivo y solo los metadatos llegan al backend — el tipo de hallazgo, nunca el valor que hay detrás — los datos que tratamos en tu nombre son deliberadamente mínimos.
- Tú eres el responsable; nosotros somos el encargado. Solo tratamos datos personales siguiendo tus instrucciones documentadas.
- Tratamos metadatos de detección, no contenido. Tipo de hallazgo, gravedad y marca temporal — nunca el contenido del prompt por defecto.
- Cifrado en tránsito y en reposo, aislado por cliente, con cualquier revelación de texto retenido auditada y controlada por permisos.
- Residencia de datos en la UE (construido y alojado en la Unión Europea, en Francia, sobre infraestructura de Contabo y OVH), con una opción de autoalojamiento completo donde los datos nunca salen de tus instalaciones.
- Un DPA firmable está disponible a petición para Insight y Governance.
1. Roles y alcance
Este resumen del Acuerdo de Tratamiento de Datos se aplica entre Tracehold B.V. ("Tracehold", "nosotros"), anteriormente Verifia, establecida en la Unión Europea en Werfkade 25, 1033 TA Ámsterdam, Países Bajos, y la organización que se suscribe a un plan gestionado de Tracehold ("tú", el "Cliente").
Para los despliegues gestionados — los planes de pago Insight y Governance:
- el Cliente es el responsable del tratamiento: decides por qué y cómo se tratan los datos personales a través de tu despliegue;
- Tracehold es el encargado del tratamiento: tratamos datos personales solo siguiendo tus instrucciones documentadas, tal y como se establece en el DPA y en la configuración de tu despliegue.
Esta página no cubre la extensión de navegador gratuita, que se ejecuta íntegramente en el dispositivo, no requiere cuenta y no envía nada a un backend — ahí no existe relación responsable-encargado. Para saber cómo tratan la información la extensión gratuita y este sitio web, consulta la Política de Privacidad. Cuando eliges autoalojar la solución completa, los datos personales permanecen en tu infraestructura y, por lo general, Tracehold no actúa en absoluto como encargado de esos datos; en su lugar, rigen los términos de autoalojamiento.
2. Objeto y duración
El objeto del tratamiento es la prestación del servicio gestionado de AI-DLP de Tracehold: detectar datos sensibles antes de que lleguen a herramientas de IA, registrar un rastro de auditoría de los hallazgos, y generar los informes de cumplimiento y el mapeo normativo (que cubren el RGPD, el Reglamento de IA de la UE, NIS2 y DORA) que ofrece el servicio.
La duración del tratamiento coincide con la vigencia de tu suscripción. Tratamos datos personales durante la duración de la suscripción — mientras tu despliegue gestionado esté activo — más un periodo limitado de cierre de hasta 30 días para devolver o eliminar los datos, según se describe en el §10. Las ventanas de retención específicas se establecen en tu configuración y quedan recogidas en el DPA firmable, que prevalece donde resulte aplicable.
3. Naturaleza y finalidad del tratamiento
La naturaleza del tratamiento es una detección automatizada en el dispositivo, seguida del envío de metadatos sobre los hallazgos a tu backend de Tracehold. La detección en sí se ejecuta en el dispositivo; la red transporta el resultado de una comprobación, no el contenido que se comprobó.
La finalidad es, estrictamente, prestar el servicio al que te has suscrito:
- detectar y prevenir la salida de datos sensibles hacia herramientas de IA (en más de 2200 herramientas/sitios de IA, usando más de 3400 patrones de detección);
- ofrecer a tus equipos de seguridad y cumplimiento un rastro de auditoría de los hallazgos; y
- generar los informes de cumplimiento y el mapeo normativo que cubren el RGPD, el Reglamento de IA de la UE, NIS2 y DORA.
No usamos los datos personales que tratamos en tu nombre para ningún otro fin, no los vendemos, y no los usamos para entrenar modelos de IA o de aprendizaje automático.
4. Categorías de datos personales e interesados
Categorías de datos personales
Como la detección se ejecuta en el dispositivo y el prompt nunca sale del navegador por defecto, los datos personales que tratamos como tu encargado se limitan a metadatos de detección:
- el tipo de elemento sensible detectado (por ejemplo, "una clave de API" o "un identificador personal") — nunca el valor en sí;
- la gravedad del hallazgo;
- una marca temporal;
- la herramienta o el sitio de IA implicado y el usuario/cuenta al que se refiere el hallazgo, para tu rastro de auditoría.
Por defecto, no tratamos en absoluto el contenido del prompt. En los endpoints de escritorio, tu organización puede optar por retener el texto exacto que hay detrás de una alerta para que un administrador pueda distinguir una fuga real de una falsa alarma. Cuando activas esa opción, ese texto se cifra y solo puede revelarse mediante una acción auditada y controlada por permisos (ver §7). Ese texto retenido puede contener incidentalmente cualquier cosa que haya escrito tu personal; su alcance y su retención los configuras tú, como responsable.
Categorías de interesados
Los interesados son principalmente el personal del Cliente — tus empleados, contratistas y demás usuarios autorizados cuyas interacciones con herramientas de IA quedan protegidas por el despliegue. En la medida en que aparezcan datos personales dentro del texto retenido bajo el ajuste opcional anterior, pueden verse implicados interesados adicionales (por ejemplo, terceros mencionados por tu personal); minimizar esto está bajo tu control como responsable.
5. Obligaciones del encargado y confidencialidad
Como tu encargado del tratamiento, y en línea con el artículo 28 del RGPD, Tracehold se compromete a:
- tratar los datos solo siguiendo tus instrucciones documentadas, incluso para transferencias internacionales, salvo que el Derecho de la UE o de un Estado miembro exija lo contrario (en cuyo caso te informaremos, cuando la ley lo permita);
- confidencialidad: garantizar que el personal autorizado a tratar los datos está sujeto a obligaciones de confidencialidad adecuadas;
- implementar y mantener medidas técnicas y organizativas de seguridad adecuadas (ver §7);
- contratar a subencargados solo en las condiciones del §6;
- asistirte con las solicitudes de los interesados y con tus obligaciones en materia de seguridad, notificación de brechas y evaluaciones de impacto relativas a la protección de datos (ver §9);
- devolver o eliminar los datos personales al finalizar el servicio, a tu elección (ver §10);
- poner a tu disposición la información necesaria para demostrar el cumplimiento y permitir y contribuir a las auditorías (ver §9); y
- notificarte sin dilación indebida, y en cualquier caso dentro de las 72 horas, tras tener conocimiento de una brecha de datos personales que afecte a tus datos.
Nuestras herramientas internas son deliberadamente limitadas: aplican el mínimo privilegio, son de solo lectura cuando es posible, están auditadas y no pueden abrir contenido cifrado — de modo que la protección se mantiene incluso desde dentro.
6. Subencargados
Utilizamos un pequeño número de subencargados de infraestructura verificados para operar el servicio gestionado. Cada uno se contrata mediante un acuerdo escrito que impone obligaciones de protección de datos no menos protectoras que las de nuestro DPA, y cada uno opera dentro de la UE siguiendo nuestras instrucciones y solo en la medida necesaria para prestar el servicio.
La lista actual — y cómo te notificamos cualquier adición o sustitución prevista para que puedas oponerte — se mantiene en nuestra página de subencargados. Nuestro alojamiento lo proporcionan Contabo y OVH, en regiones de la Unión Europea (Francia). El correo del sistema y transaccional se envía desde la propia infraestructura de correo autoalojada de Tracehold en la UE, por lo que ningún proveedor externo de correo actúa como subencargado; no usamos ningún subencargado externo de monitorización de errores o analítica.
7. Medidas de seguridad
La seguridad es el producto, así que está integrada desde el diseño y no añadida a posteriori. Las medidas técnicas y organizativas adecuadas a este tratamiento incluyen:
Cifrado
Los metadatos de detección y cualquier texto retenido están cifrados en tránsito y en reposo. Las credenciales y las conexiones a tus otros sistemas se enmascaran, y nunca se devuelven en texto claro.
Aislamiento
Los datos de cada cliente están totalmente aislados en su propio espacio delimitado, reforzado en lo más profundo del sistema. El valor por defecto es "denegar": una organización nunca puede acceder a los datos de otra.
Revelación auditada
Cuando retienes el texto que hay detrás de una alerta, permanece cifrado hasta que un administrador autorizado lo revela. Cada revelación requiere un permiso específico y queda registrada — quién la consultó, cuándo y sobre qué.
Actualizaciones firmadas y verificadas
La extensión de navegador, los agentes de endpoint y las reglas de detección se firman antes de salir de nuestros sistemas y se verifican antes de aplicarse. No se acepta nada sin firmar, y no es posible reintroducir una versión antigua.
Identidad y mínimo privilegio
El inicio de sesión se integra con Microsoft Entra ID y Okta, reforzado con protección contra fuerza bruta y autenticación multifactor opcional. El acceso interno aplica el mínimo privilegio, es de solo lectura cuando es posible, y está auditado.
Sobre las certificaciones, describimos nuestro estado con claridad: la certificación ISO 27001 está en curso (todavía no certificada); para ENS, PCI-DSS y SOC 2 estamos alineados con / mapeados a los marcos, pero no certificados. Puedes leer más en nuestra página de Seguridad.
8. Transferencias internacionales
Tracehold está construido y alojado en la Unión Europea, con residencia de datos en la UE (región principal: la Unión Europea, en Francia, sobre infraestructura de Contabo y OVH). El tratamiento de tus datos bajo este DPA tiene lugar dentro de la UE, por lo que la herramienta que protege tus datos no genera un nuevo problema de transferencia transfronteriza.
Si tu configuración llegara a requerir alguna vez una transferencia fuera de la UE/EEE, esta solo se produciría siguiendo tus instrucciones documentadas y bajo un mecanismo de transferencia adecuado — las Cláusulas Contractuales Tipo de la Comisión Europea — con medidas complementarias cuando sea necesario. Las organizaciones que prefieran mantenerlo todo en su propia infraestructura pueden autoalojar la solución completa, en cuyo caso los datos nunca salen de sus instalaciones y no se produce ninguna transferencia.
9. Auditorías y asistencia
Ponemos a disposición la información razonablemente necesaria para demostrar el cumplimiento de nuestras obligaciones del artículo 28, y permitimos y contribuimos a auditorías, incluidas inspecciones, realizadas por ti o por un auditor que designes, con un preaviso escrito de al menos 30 días y no más de una vez al año (o tras una brecha de datos personales fundamentada), sujetas a confidencialidad y a no comprometer la seguridad o el aislamiento de otros clientes.
Teniendo en cuenta la naturaleza del tratamiento y la información limitada de la que disponemos como encargado, te asistiremos:
- en la respuesta a solicitudes de los interesados (acceso, rectificación, supresión, limitación, oposición, portabilidad) relativas a los datos de tu despliegue;
- con tus obligaciones en materia de seguridad del tratamiento, notificación de brechas y comunicación a los interesados; y
- con las evaluaciones de impacto relativas a la protección de datos y cualquier consulta previa a una autoridad de control.
10. Devolución y eliminación de datos
Al finalizar o expirar el servicio gestionado, y a tu elección, devolveremos los datos personales que tratamos en tu nombre, o los eliminaremos, y eliminaremos las copias existentes, salvo que el Derecho de la UE o de un Estado miembro nos obligue a conservarlos.
Como la detección se ejecuta en el dispositivo y el prompt nunca sale del navegador por defecto, el volumen que conservamos es intrínsecamente pequeño. Cualquier texto retenido que hayas habilitado se elimina dentro de los 30 días siguientes a la finalización, o según el calendario establecido en tu configuración si es más corto. Desinstalar los endpoints y revocar el acceso elimina el lado cliente bajo tu control.
11. Responsabilidad
El reparto de responsabilidad entre responsable y encargado — incluidos los límites, exclusiones y su interacción con los términos de responsabilidad de tu acuerdo de suscripción principal — se rige por las disposiciones de responsabilidad del acuerdo marco de suscripción y del DPA firmable, siguiendo los principios de reparto del artículo 82 del RGPD. Esta página de resumen no genera, por sí sola, ninguna responsabilidad contractual.
El DPA se rige por las leyes de los Países Bajos, y las controversias se someten a los tribunales allí identificados.
Un DPA firmable, disponible a petición
Un Acuerdo de Tratamiento de Datos firmable y completo — que incluye las cláusulas del artículo 28, las medidas técnicas y organizativas, la lista de subencargados y las Cláusulas Contractuales Tipo cuando resulten relevantes — está disponible a petición para los planes Insight y Governance.
- Solicita un DPA o haz una pregunta: dpo@tracehold.com
- Consultas de privacidad: privacy@tracehold.com
- General: hello@tracehold.com
- Subencargados: consulta la lista actual
- Correo postal: Tracehold B.V., Werfkade 25, 1033 TA Ámsterdam, Países Bajos
Tracehold está construido y alojado en la Unión Europea, en Francia, sobre infraestructura de Contabo y OVH, con residencia de datos en la UE y una opción de autoalojamiento completo. Consulta nuestras páginas de Seguridad y Privacidad Términos DPA Subencargados para más información.