Saltar al contenido
Tracehold

Plataforma

Una única consola para la prevención de fuga de datos en IA

Qué cubrimos: detección, prevención, informes, integraciones y despliegue — todo desde una única consola en tu navegador, escritorio y herramientas de desarrollo.

Ver la plataforma

Plataforma

Cómo funciona El mecanismo de detección en el dispositivo, paso a paso. Plataforma Una consola para el navegador, el escritorio y las herramientas de desarrollo. Multiusuario (multi-tenant) Espacios de trabajo separados por equipo o cliente, una sola cuenta. Despliegue En producción en semanas vía Microsoft Intune o tu MDM. Integraciones SSO, SIEM, alertas de Slack/Teams y el complemento de Outlook.

Detección, prevención e informes

Detección Lo que Tracehold detecta antes de que llegue a herramientas de IA. Prevención Redacta la parte sensible o bloquea el mensaje — automáticamente. Informes Paneles en tiempo real y analítica lista para el consejo. Agentes de endpoint Escritorio, herramientas de desarrollo y correo — más allá del navegador.

Soluciones

AI DLP para sectores regulados

Cada sector usa la IA de forma distinta — y sufre fugas de forma distinta. Descubre cómo Tracehold se adapta a los datos y normativas de tu sector.

Ver todos los casos de uso

Por sector

Banca y servicios financieros Datos de clientes, IBAN, datos de transacciones. Sanidad Datos de pacientes, en el dispositivo, antes de llegar a la IA. Seguros Datos de siniestros y de asegurados, protegidos. Sector público Uso de IA en administraciones y organismos públicos, controlado.

Por necesidad

Casos de uso Despliegues habituales en sectores regulados. Integraciones SSO, SIEM, Slack, Teams, Outlook y MDM.

Recursos

Confianza, por diseño

Detección en el dispositivo, alojamiento en la UE y evidencias listas para auditoría — la postura y la documentación que pedirán tus equipos de seguridad y legal.

Resumen de seguridad

Confianza

Seguridad Detección en el dispositivo, cifrado, alojamiento en la UE. Cumplimiento Mapeado a GDPR, NIS2, ISO 27001 y SOC 2.

Legal

Política de privacidad Cómo tratamos los datos, metadatos y prompts. DPA Acuerdo de Tratamiento de Datos, listo para firmar.

Empresa

Construido en la UE, desde el primer día

Tracehold (antes Verifia) es una empresa de la UE que construye prevención de fuga de datos nativa de IA — alojada en la UE, construida en la UE, operada en la UE.

Sobre Tracehold

Empresa

Sobre nosotros Quiénes somos y por qué lo construimos en la UE. Contacto Habla con nosotros o reserva una demo de 30 minutos.

Únete

Empleo Estamos contratando — escribe a hello@tracehold.com. Términos Términos de servicio.
Precios
Iniciar sesión Solicitar una demo
EnglishEspañol
Iniciar sesión Solicitar una demo
[ Legal · Acuerdo de Tratamiento de Datos · encargado del tratamiento ]

Acuerdo de Tratamiento de Datos

Esta es una traducción de cortesía. En caso de discrepancia, prevalece la versión en inglés. Ver la versión original en inglés.

Esta página es un resumen de cómo funciona el tratamiento de datos en los despliegues gestionados de Tracehold — los planes de pago Insight y Governance. En esos despliegues, tu organización es el responsable del tratamiento y Tracehold es el encargado del tratamiento conforme al artículo 28 del RGPD. Como la detección se ejecuta en el dispositivo y solo los metadatos llegan al backend — el tipo de hallazgo, nunca el sk-live-9f2cvalor que hay detrás — los datos que tratamos en tu nombre son deliberadamente mínimos.

Última actualización: 22 de junio de 2026 · Aplica a despliegues gestionados (Insight y Governance)

En esta página

  1. Roles y alcance
  2. Objeto y duración
  3. Naturaleza y finalidad del tratamiento
  4. Categorías de datos e interesados
  5. Obligaciones del encargado y confidencialidad
  6. Subencargados
  7. Medidas de seguridad
  8. Transferencias internacionales
  9. Auditorías y asistencia
  10. Devolución y eliminación de datos
  11. Responsabilidad
  12. Un DPA firmable
Este resumen se ofrece por transparencia, se mantiene actualizado y no constituye en sí mismo un contrato. Un Acuerdo de Tratamiento de Datos firmable está disponible a petición para los planes Insight y Governance, y prevalece donde resulte aplicable — escribe a dpo@tracehold.com.
De un vistazo
  • Tú eres el responsable; nosotros somos el encargado. Solo tratamos datos personales siguiendo tus instrucciones documentadas.
  • Tratamos metadatos de detección, no contenido. Tipo de hallazgo, gravedad y marca temporal — nunca el contenido del prompt por defecto.
  • Cifrado en tránsito y en reposo, aislado por cliente, con cualquier revelación de texto retenido auditada y controlada por permisos.
  • Residencia de datos en la UE (construido y alojado en la Unión Europea, en Francia, sobre infraestructura de Contabo y OVH), con una opción de autoalojamiento completo donde los datos nunca salen de tus instalaciones.
  • Un DPA firmable está disponible a petición para Insight y Governance.

1. Roles y alcance

Este resumen del Acuerdo de Tratamiento de Datos se aplica entre Tracehold B.V. ("Tracehold", "nosotros"), anteriormente Verifia, establecida en la Unión Europea en Werfkade 25, 1033 TA Ámsterdam, Países Bajos, y la organización que se suscribe a un plan gestionado de Tracehold ("tú", el "Cliente").

Para los despliegues gestionados — los planes de pago Insight y Governance:

  • el Cliente es el responsable del tratamiento: decides por qué y cómo se tratan los datos personales a través de tu despliegue;
  • Tracehold es el encargado del tratamiento: tratamos datos personales solo siguiendo tus instrucciones documentadas, tal y como se establece en el DPA y en la configuración de tu despliegue.

Esta página no cubre la extensión de navegador gratuita, que se ejecuta íntegramente en el dispositivo, no requiere cuenta y no envía nada a un backend — ahí no existe relación responsable-encargado. Para saber cómo tratan la información la extensión gratuita y este sitio web, consulta la Política de Privacidad. Cuando eliges autoalojar la solución completa, los datos personales permanecen en tu infraestructura y, por lo general, Tracehold no actúa en absoluto como encargado de esos datos; en su lugar, rigen los términos de autoalojamiento.

2. Objeto y duración

El objeto del tratamiento es la prestación del servicio gestionado de AI-DLP de Tracehold: detectar datos sensibles antes de que lleguen a herramientas de IA, registrar un rastro de auditoría de los hallazgos, y generar los informes de cumplimiento y el mapeo normativo (que cubren el RGPD, el Reglamento de IA de la UE, NIS2 y DORA) que ofrece el servicio.

La duración del tratamiento coincide con la vigencia de tu suscripción. Tratamos datos personales durante la duración de la suscripción — mientras tu despliegue gestionado esté activo — más un periodo limitado de cierre de hasta 30 días para devolver o eliminar los datos, según se describe en el §10. Las ventanas de retención específicas se establecen en tu configuración y quedan recogidas en el DPA firmable, que prevalece donde resulte aplicable.

3. Naturaleza y finalidad del tratamiento

La naturaleza del tratamiento es una detección automatizada en el dispositivo, seguida del envío de metadatos sobre los hallazgos a tu backend de Tracehold. La detección en sí se ejecuta en el dispositivo; la red transporta el resultado de una comprobación, no el contenido que se comprobó.

La finalidad es, estrictamente, prestar el servicio al que te has suscrito:

  • detectar y prevenir la salida de datos sensibles hacia herramientas de IA (en más de 2200 herramientas/sitios de IA, usando más de 3400 patrones de detección);
  • ofrecer a tus equipos de seguridad y cumplimiento un rastro de auditoría de los hallazgos; y
  • generar los informes de cumplimiento y el mapeo normativo que cubren el RGPD, el Reglamento de IA de la UE, NIS2 y DORA.

No usamos los datos personales que tratamos en tu nombre para ningún otro fin, no los vendemos, y no los usamos para entrenar modelos de IA o de aprendizaje automático.

4. Categorías de datos personales e interesados

Categorías de datos personales

Como la detección se ejecuta en el dispositivo y el prompt nunca sale del navegador por defecto, los datos personales que tratamos como tu encargado se limitan a metadatos de detección:

  • el tipo de elemento sensible detectado (por ejemplo, "una clave de API" o "un identificador personal") — nunca el valor en sí;
  • la gravedad del hallazgo;
  • una marca temporal;
  • la herramienta o el sitio de IA implicado y el usuario/cuenta al que se refiere el hallazgo, para tu rastro de auditoría.

Por defecto, no tratamos en absoluto el contenido del prompt. En los endpoints de escritorio, tu organización puede optar por retener el texto exacto que hay detrás de una alerta para que un administrador pueda distinguir una fuga real de una falsa alarma. Cuando activas esa opción, ese texto se cifra y solo puede revelarse mediante una acción auditada y controlada por permisos (ver §7). Ese texto retenido puede contener incidentalmente cualquier cosa que haya escrito tu personal; su alcance y su retención los configuras tú, como responsable.

Categorías de interesados

Los interesados son principalmente el personal del Cliente — tus empleados, contratistas y demás usuarios autorizados cuyas interacciones con herramientas de IA quedan protegidas por el despliegue. En la medida en que aparezcan datos personales dentro del texto retenido bajo el ajuste opcional anterior, pueden verse implicados interesados adicionales (por ejemplo, terceros mencionados por tu personal); minimizar esto está bajo tu control como responsable.

5. Obligaciones del encargado y confidencialidad

Como tu encargado del tratamiento, y en línea con el artículo 28 del RGPD, Tracehold se compromete a:

  • tratar los datos solo siguiendo tus instrucciones documentadas, incluso para transferencias internacionales, salvo que el Derecho de la UE o de un Estado miembro exija lo contrario (en cuyo caso te informaremos, cuando la ley lo permita);
  • confidencialidad: garantizar que el personal autorizado a tratar los datos está sujeto a obligaciones de confidencialidad adecuadas;
  • implementar y mantener medidas técnicas y organizativas de seguridad adecuadas (ver §7);
  • contratar a subencargados solo en las condiciones del §6;
  • asistirte con las solicitudes de los interesados y con tus obligaciones en materia de seguridad, notificación de brechas y evaluaciones de impacto relativas a la protección de datos (ver §9);
  • devolver o eliminar los datos personales al finalizar el servicio, a tu elección (ver §10);
  • poner a tu disposición la información necesaria para demostrar el cumplimiento y permitir y contribuir a las auditorías (ver §9); y
  • notificarte sin dilación indebida, y en cualquier caso dentro de las 72 horas, tras tener conocimiento de una brecha de datos personales que afecte a tus datos.

Nuestras herramientas internas son deliberadamente limitadas: aplican el mínimo privilegio, son de solo lectura cuando es posible, están auditadas y no pueden abrir contenido cifrado — de modo que la protección se mantiene incluso desde dentro.

6. Subencargados

Utilizamos un pequeño número de subencargados de infraestructura verificados para operar el servicio gestionado. Cada uno se contrata mediante un acuerdo escrito que impone obligaciones de protección de datos no menos protectoras que las de nuestro DPA, y cada uno opera dentro de la UE siguiendo nuestras instrucciones y solo en la medida necesaria para prestar el servicio.

La lista actual — y cómo te notificamos cualquier adición o sustitución prevista para que puedas oponerte — se mantiene en nuestra página de subencargados. Nuestro alojamiento lo proporcionan Contabo y OVH, en regiones de la Unión Europea (Francia). El correo del sistema y transaccional se envía desde la propia infraestructura de correo autoalojada de Tracehold en la UE, por lo que ningún proveedor externo de correo actúa como subencargado; no usamos ningún subencargado externo de monitorización de errores o analítica.

7. Medidas de seguridad

La seguridad es el producto, así que está integrada desde el diseño y no añadida a posteriori. Las medidas técnicas y organizativas adecuadas a este tratamiento incluyen:

Cifrado

Los metadatos de detección y cualquier texto retenido están cifrados en tránsito y en reposo. Las credenciales y las conexiones a tus otros sistemas se enmascaran, y nunca se devuelven en texto claro.

Aislamiento

Los datos de cada cliente están totalmente aislados en su propio espacio delimitado, reforzado en lo más profundo del sistema. El valor por defecto es "denegar": una organización nunca puede acceder a los datos de otra.

Revelación auditada

Cuando retienes el texto que hay detrás de una alerta, permanece cifrado hasta que un administrador autorizado lo revela. Cada revelación requiere un permiso específico y queda registrada — quién la consultó, cuándo y sobre qué.

Actualizaciones firmadas y verificadas

La extensión de navegador, los agentes de endpoint y las reglas de detección se firman antes de salir de nuestros sistemas y se verifican antes de aplicarse. No se acepta nada sin firmar, y no es posible reintroducir una versión antigua.

Identidad y mínimo privilegio

El inicio de sesión se integra con Microsoft Entra ID y Okta, reforzado con protección contra fuerza bruta y autenticación multifactor opcional. El acceso interno aplica el mínimo privilegio, es de solo lectura cuando es posible, y está auditado.

Sobre las certificaciones, describimos nuestro estado con claridad: la certificación ISO 27001 está en curso (todavía no certificada); para ENS, PCI-DSS y SOC 2 estamos alineados con / mapeados a los marcos, pero no certificados. Puedes leer más en nuestra página de Seguridad.

8. Transferencias internacionales

Tracehold está construido y alojado en la Unión Europea, con residencia de datos en la UE (región principal: la Unión Europea, en Francia, sobre infraestructura de Contabo y OVH). El tratamiento de tus datos bajo este DPA tiene lugar dentro de la UE, por lo que la herramienta que protege tus datos no genera un nuevo problema de transferencia transfronteriza.

Si tu configuración llegara a requerir alguna vez una transferencia fuera de la UE/EEE, esta solo se produciría siguiendo tus instrucciones documentadas y bajo un mecanismo de transferencia adecuado — las Cláusulas Contractuales Tipo de la Comisión Europea — con medidas complementarias cuando sea necesario. Las organizaciones que prefieran mantenerlo todo en su propia infraestructura pueden autoalojar la solución completa, en cuyo caso los datos nunca salen de sus instalaciones y no se produce ninguna transferencia.

9. Auditorías y asistencia

Ponemos a disposición la información razonablemente necesaria para demostrar el cumplimiento de nuestras obligaciones del artículo 28, y permitimos y contribuimos a auditorías, incluidas inspecciones, realizadas por ti o por un auditor que designes, con un preaviso escrito de al menos 30 días y no más de una vez al año (o tras una brecha de datos personales fundamentada), sujetas a confidencialidad y a no comprometer la seguridad o el aislamiento de otros clientes.

Teniendo en cuenta la naturaleza del tratamiento y la información limitada de la que disponemos como encargado, te asistiremos:

  • en la respuesta a solicitudes de los interesados (acceso, rectificación, supresión, limitación, oposición, portabilidad) relativas a los datos de tu despliegue;
  • con tus obligaciones en materia de seguridad del tratamiento, notificación de brechas y comunicación a los interesados; y
  • con las evaluaciones de impacto relativas a la protección de datos y cualquier consulta previa a una autoridad de control.

10. Devolución y eliminación de datos

Al finalizar o expirar el servicio gestionado, y a tu elección, devolveremos los datos personales que tratamos en tu nombre, o los eliminaremos, y eliminaremos las copias existentes, salvo que el Derecho de la UE o de un Estado miembro nos obligue a conservarlos.

Como la detección se ejecuta en el dispositivo y el prompt nunca sale del navegador por defecto, el volumen que conservamos es intrínsecamente pequeño. Cualquier texto retenido que hayas habilitado se elimina dentro de los 30 días siguientes a la finalización, o según el calendario establecido en tu configuración si es más corto. Desinstalar los endpoints y revocar el acceso elimina el lado cliente bajo tu control.

11. Responsabilidad

El reparto de responsabilidad entre responsable y encargado — incluidos los límites, exclusiones y su interacción con los términos de responsabilidad de tu acuerdo de suscripción principal — se rige por las disposiciones de responsabilidad del acuerdo marco de suscripción y del DPA firmable, siguiendo los principios de reparto del artículo 82 del RGPD. Esta página de resumen no genera, por sí sola, ninguna responsabilidad contractual.

El DPA se rige por las leyes de los Países Bajos, y las controversias se someten a los tribunales allí identificados.

Un DPA firmable, disponible a petición

Un Acuerdo de Tratamiento de Datos firmable y completo — que incluye las cláusulas del artículo 28, las medidas técnicas y organizativas, la lista de subencargados y las Cláusulas Contractuales Tipo cuando resulten relevantes — está disponible a petición para los planes Insight y Governance.

  • Solicita un DPA o haz una pregunta: dpo@tracehold.com
  • Consultas de privacidad: privacy@tracehold.com
  • General: hello@tracehold.com
  • Subencargados: consulta la lista actual
  • Correo postal: Tracehold B.V., Werfkade 25, 1033 TA Ámsterdam, Países Bajos
¿Necesitas un DPA para tu despliegue? Cuéntanos sobre tu implementación de Insight o Governance y te enviaremos el DPA firmable, además de responder a cualquier duda sobre protección de datos. Habla con nuestro equipo → · Descubre cómo protegemos los datos

Tracehold está construido y alojado en la Unión Europea, en Francia, sobre infraestructura de Contabo y OVH, con residencia de datos en la UE y una opción de autoalojamiento completo. Consulta nuestras páginas de Seguridad y Privacidad Términos DPA Subencargados para más información.

Tracehold

Prevención de fuga de datos nativa de IA (AI DLP). La detección se ejecuta en el dispositivo — solo los metadatos llegan al backend.

ALOJADO EN LA UE · ISO 27001 EN PROCESO

Producto

Plataforma Detección Agentes de endpoint Extensión de navegador Complemento de Outlook Cumplimiento Precios Integraciones Casos de uso

Por qué Tracehold

Cómo funciona Qué detectamos Más allá del navegador Cumplimiento Seguridad y privacidad Reservar una demo

Empresa

Sobre nosotros (antes Verifia) Seguridad Empleo Privacidad Términos DPA Subencargados Contacto
© 2026 Tracehold. Antes Verifia. Todos los derechos reservados. Prevención de fuga de datos nativa de IA, construida en la UE.
Privacidad Términos DPA