Política de privacidad | ULTEH
Iniciar sesión Prueba gratis
Iniciar sesión Prueba gratis
Legal

Política de privacidad

Introducción

En ULTEH, creemos que la privacidad es un derecho humano fundamental, no una simple casilla de cumplimiento normativo. Esta Política de Privacidad está escrita para ser leída, no solo archivada. Queremos que entienda exactamente cómo se mueven sus datos a través de nuestros sistemas, por qué los recopilamos, con quién los compartimos y cómo puede controlarlos en cada paso.

ULTEH es una plataforma impulsada por IA que permite a las empresas crear agentes inteligentes para la automatización de ventas, atención al cliente e interacción con los usuarios. Al proporcionar estos servicios, procesamos datos personales en nombre de nuestros clientes (como procesador de datos) y en nuestro propio nombre cuando usted interactúa con nuestro sitio web y canales de marketing (como responsable del tratamiento). Esta política cubre ambos roles y es transparente sobre la distinción cuando es relevante.

Nuestra plataforma está construida sobre un conjunto de principios fundamentales de privacidad que guían cada decisión de producto e ingeniería que tomamos:

  • Minimización de Datos: Solo recopilamos lo que es genuinamente necesario para ofrecer y mejorar nuestros servicios. Si no lo necesitamos, no lo recopilamos.
  • Limitación de Finalidad: Los datos recopilados para un fin no se reutilizan sin su conocimiento. Describimos nuestras finalidades con claridad y nos atenemos a ellas.
  • Transparencia: Le informamos qué recopilamos, por qué y durante cuánto tiempo — en lenguaje claro, no en jerga legal.
  • Seguridad desde el Diseño: Las consideraciones de privacidad y seguridad forman parte de nuestro proceso de ingeniería desde el primer día, no se incorporan después.
  • Su Control: Usted tiene derechos significativos sobre sus datos personales, y se los facilitamos — no los hacemos onerosos — para que pueda ejercerlos.
  • Sin Entrenamiento de IA con Sus Datos: Nunca utilizaremos sus datos para entrenar, ajustar o mejorar modelos de IA de propósito general o de aprendizaje automático. Punto final.

Esta Política de Privacidad se aplica a todos los sitios web, aplicaciones web, APIs, aplicaciones móviles y otros servicios operados por ULTEH (colectivamente, nuestros "Servicios"). Cubre los datos personales que recopilamos de los visitantes de nuestro sitio web, usuarios registrados, clientes empresariales y prospectos.

Si usted es un cliente empresarial que ha desplegado agentes de ULTEH para sus propios usuarios finales, los datos de esos usuarios finales se rigen por su política de privacidad y su acuerdo de procesamiento de datos con nosotros. Actuamos como procesador de datos según sus instrucciones, y usted sigue siendo el responsable del tratamiento de los datos de sus usuarios.

Podemos actualizar esta Política de Privacidad de vez en cuando. Cuando realicemos cambios materiales, le notificaremos por correo electrónico (si tiene una cuenta con nosotros) y mediante la publicación de un aviso destacado en nuestro sitio web. La fecha de "Última actualización" en la parte superior de esta página refleja cuándo se realizaron los cambios más recientes. Su uso continuado de nuestros Servicios después de una actualización de la política constituye la aceptación de los términos revisados.

Si algo en esta política no queda claro o tiene preguntas que no se responden aquí, por favor contáctenos en [email protected]. Somos personas reales y responderemos.

1. Contactarnos sobre Protección de Datos

Nuestro Equipo de Privacidad

ULTEH cuenta con un Equipo de Privacidad dedicado responsable de todos los asuntos de protección de datos. Ya sea que desee ejercer un derecho de interesado, reportar una preocupación, preguntar sobre nuestras prácticas o simplemente obtener más información sobre cómo manejamos su información, estamos aquí para ayudar.

Puede contactarnos en: [email protected]

Cómo gestionamos su solicitud

  • Acuse de recibo: Acusamos recibo de su solicitud dentro de 5 días hábiles, para que sepa que ha llegado al equipo correcto.
  • Tiempo de respuesta: Nuestro objetivo es responder completamente a todas las consultas de protección de datos dentro de 30 días naturales. Para solicitudes complejas — como exportaciones de acceso a grandes volúmenes de datos — podemos necesitar hasta 90 días, y le informaremos del motivo y el plazo estimado dentro de los primeros 30 días.
  • Verificación de identidad: Para proteger la privacidad de nuestros usuarios, necesitaremos verificar su identidad antes de procesar solicitudes de acceso, corrección o eliminación de datos personales. Podemos solicitarle que confirme información asociada con su cuenta o que proporcione un documento de identidad emitido por el gobierno en casos de alta sensibilidad. Nunca utilizaremos la verificación de identidad como herramienta para obstaculizar sus derechos.
  • Gratuito: El ejercicio de sus derechos de privacidad es gratuito. Si una solicitud es manifiestamente infundada o excesiva — por ejemplo, solicitudes repetitivas de los mismos datos — nos reservamos el derecho de cobrar una tarifa administrativa razonable o rechazar la solicitud, pero le explicaremos nuestras razones en tal caso.
  • Sus derechos: Dependiendo de su ubicación, puede tener derechos en virtud del Reglamento General de Protección de Datos (RGPD) de la UE, el RGPD del Reino Unido, la Ley de Privacidad del Consumidor de California (CCPA/CPRA), la LGPD de Brasil, la PIPEDA de Canadá u otras regulaciones aplicables. Consulte la Sección 7 y la Sección 12 para un desglose completo de estos derechos.

Qué incluir en su solicitud

Para ayudarnos a procesar su solicitud de la manera más eficiente posible, incluya:

  • Su nombre completo y la dirección de correo electrónico asociada a su cuenta (si corresponde).
  • Una descripción clara del derecho que desea ejercer (por ejemplo, "Quiero acceder a mis datos personales", "Quiero que se elimine mi cuenta", etc.).
  • Cualquier contexto relevante que nos ayude a localizar sus datos (por ejemplo, el nombre de la empresa cuyo chatbot utilizó).

Por qué su privacidad es importante para nosotros

En ULTEH, la confianza es nuestro activo más importante. Nuestros clientes nos confían sus datos y los datos de sus usuarios. Nos tomamos esa responsabilidad en serio, no porque tengamos que hacerlo, sino porque creemos que un negocio construido sobre la confianza es el único que vale la pena construir. Invertimos continuamente en tecnologías que mejoran la privacidad, formación de empleados y procesos de cumplimiento para estar a la altura de ese estándar.

2. Datos personales que recopilamos y por qué

ULTEH recopila datos personales de diferentes maneras y por diferentes razones dependiendo de cómo interactúa con nosotros. A continuación se presenta un desglose completo de las categorías de datos que recopilamos, cómo los recopilamos y para qué los utilizamos.

Datos que usted proporciona directamente

Cuando se registra para una cuenta, solicita una demostración o se pone en contacto con nuestro equipo, puede proporcionarnos lo siguiente:

  • Nombre: Se utiliza para personalizar su experiencia y nuestras comunicaciones con usted. No compartimos su nombre con anunciantes de terceros.
  • Cargo y nombre del empleador: Nos ayudan a comprender su función, adaptar nuestras recomendaciones de productos y realizar un contacto empresarial apropiado. Esta información se utiliza internamente y no se vende.
  • Dirección de correo electrónico laboral: Nuestro canal principal para la gestión de cuentas, notificaciones de servicio, actualizaciones de productos y soporte. Nunca le enviaremos comunicaciones de marketing no solicitadas sin su consentimiento o una relación comercial legítima existente.
  • Número de teléfono laboral: Se utiliza para soporte al cliente, asistencia en la incorporación y autenticación de dos factores cuando corresponda.
  • Dirección laboral y dirección de la empresa: Se utilizan con fines de facturación, cumplimiento geográfico (por ejemplo, cálculos fiscales, determinación del RGPD) y gestión de contratos empresariales.
  • Información de pago y facturación: Los números de tarjeta de crédito, las direcciones de facturación y los datos financieros relacionados son procesados por nuestros procesadores de pago conformes con PCI-DSS (Stripe). Nunca almacenamos números de tarjeta completos en nuestros propios servidores.
  • Información del perfil: Cualquier detalle de perfil opcional que elija agregar a su cuenta, como una foto de perfil o preferencia de zona horaria.
  • Soporte y comunicaciones: Los mensajes que nos envía por correo electrónico, chat en vivo o tickets de soporte. Los conservamos para brindar soporte y mejorar nuestros servicios.
  • Respuestas a encuestas y comentarios: Ocasionalmente invitamos a los usuarios a participar en encuestas de productos o comentarios NPS. La participación es voluntaria.

Datos recopilados automáticamente

Cuando utiliza nuestro sitio web o plataforma, recopilamos automáticamente ciertos datos técnicos y de comportamiento:

  • Dirección IP: Utilizada para el monitoreo de seguridad, análisis geográfico y prevención de fraude. Las direcciones IP se pseudonimizan en nuestros sistemas de análisis siempre que es posible.
  • Información del dispositivo y navegador: Tipo de navegador, versión, sistema operativo, tipo de dispositivo y resolución de pantalla — utilizados para garantizar que nuestra plataforma se muestre correctamente en todos los dispositivos.
  • Datos de uso: Páginas visitadas, funciones utilizadas, botones pulsados, tiempo dedicado a las páginas y rutas de navegación. Esto nos ayuda a comprender qué funciona y qué necesita mejorar.
  • URLs de referencia: Cómo llegó a nuestro sitio web (por ejemplo, desde una búsqueda en Google, una publicación en redes sociales o una referencia de un socio). Se utiliza para atribución de marketing y optimización de canales.
  • Identificadores de sesión: Identificadores temporales vinculados a su sesión de navegación con fines de seguridad y continuidad. Estos expiran cuando su sesión finaliza.
  • Datos de uso de la API: Para los clientes que utilizan nuestra API, registramos el volumen de solicitudes, los patrones de acceso a endpoints y las tasas de error para facturación, depuración y planificación de capacidad.
  • Datos de registro: Registros del servidor que capturan las solicitudes realizadas a nuestra infraestructura. Los registros se conservan durante un período limitado para depuración y monitoreo de seguridad y luego se eliminan o anonimizan.

Datos que recibimos de terceros

  • Datos de redes profesionales: Podemos recibir información de contacto empresarial de plataformas como LinkedIn, donde dicha información se ha puesto a disposición pública en un contexto profesional.
  • Referencias de socios: Si un socio o revendedor le refiere a ULTEH, puede compartir su nombre y dirección de correo electrónico con nosotros para fines de seguimiento.
  • Proveedores de análisis: Podemos enriquecer los datos de uso con información anonimizada y agregada de plataformas de análisis para comprender mejor las tendencias del mercado.
  • Servicios de verificación de identidad: En casos donde la firma de contratos empresariales o el acceso elevado requieren verificación de identidad, podemos utilizar servicios de verificación de identidad de terceros.

Por qué procesamos estos datos

La información personal que recopilamos se utiliza para los siguientes propósitos claramente definidos:

  • Prestación y operación de nuestros servicios: Entrega de la plataforma, procesamiento de sus instrucciones y mantenimiento de la disponibilidad del sistema.
  • Gestión de cuentas: Creación y mantenimiento de su cuenta, autenticación de su identidad y gestión de suscripciones y facturación.
  • Soporte al cliente: Responder a sus consultas, resolver problemas técnicos y proporcionar asistencia de incorporación.
  • Seguridad y prevención de fraude: Detección de accesos no autorizados, prevención del abuso, supervisión de actividades sospechosas y protección de la integridad de nuestra plataforma.
  • Mejora del producto: Análisis de cómo los usuarios interactúan con nuestra plataforma para mejorar funciones, corregir errores y desarrollar nuevas capacidades.
  • Marketing y comunicaciones: Envío de actualizaciones de productos relevantes, informes del sector, invitaciones a eventos y ofertas promocionales — siempre con un mecanismo sencillo para darse de baja.
  • Cumplimiento legal y regulatorio: Cumplimiento de nuestras obligaciones conforme a las leyes aplicables, incluyendo regulaciones de protección de datos, regulaciones financieras y requisitos contractuales.
  • Análisis empresarial: Comprensión de tendencias del mercado, segmentos de clientes y rendimiento empresarial para fines de planificación interna.

No vendemos información personal a terceros. No monetizamos sus datos a través de redes publicitarias. Nuestro modelo de negocio se basa en proporcionar un servicio de software de alta calidad — sus datos no son nuestro producto.

3. Base legal para el tratamiento de sus datos personales

Para los usuarios en el Espacio Económico Europeo (EEE), el Reino Unido y otras jurisdicciones que requieren una base legal para el tratamiento de datos, ULTEH procesa sus datos personales sobre la base de una o más de las siguientes bases legales:

Necesidad Contractual (Artículo 6(1)(b) RGPD)

Cuando se registra en una cuenta de ULTEH o acepta nuestros Términos de Servicio, procesamos sus datos personales según sea necesario para cumplir con nuestras obligaciones contractuales con usted. Esto incluye crear y gestionar su cuenta, proporcionar la plataforma, procesar pagos, ofrecer soporte al cliente y comunicarse sobre su suscripción.

Ejemplos de datos tratados sobre esta base: nombre, dirección de correo electrónico, información de pago, datos de uso, comunicaciones de soporte.

Intereses Legítimos (Artículo 6(1)(f) RGPD)

Procesamos ciertos datos basándonos en nuestros intereses comerciales legítimos, siempre que dichos intereses no prevalezcan sobre sus derechos y libertades fundamentales. Antes de basarnos en este fundamento, realizamos una Evaluación de Intereses Legítimos (LIA) para garantizar que el equilibrio sea adecuado.

Nuestros intereses legítimos incluyen:

  • Mejorar nuestros productos y servicios mediante análisis de uso.
  • Prevenir el fraude y mantener la seguridad de nuestra plataforma.
  • Comercializar nuestros servicios a clientes existentes y prospectos cualificados mediante comunicaciones directas.
  • Comprender las tendencias del mercado y el posicionamiento competitivo.
  • Proteger nuestros derechos e intereses legales en caso de disputa.

Tiene derecho a oponerse al tratamiento basado en intereses legítimos en cualquier momento. Consulte la Sección 7 para saber cómo hacerlo.

Consentimiento (Artículo 6(1)(a) RGPD)

Cuando nos basamos en el consentimiento, lo solicitaremos de forma clara y específica. El consentimiento se utiliza como base legal para:

  • Cookies no esenciales y tecnologías de seguimiento.
  • Comunicaciones de marketing enviadas a prospectos que no son clientes existentes.
  • Participación en encuestas, programas beta o investigación de usuarios.

El consentimiento siempre se otorga libremente, es específico, informado e inequívoco. Puede retirar su consentimiento en cualquier momento sin afectar la legalidad del tratamiento realizado antes de la retirada. Para retirar el consentimiento, envíenos un correo electrónico a [email protected] o utilice el enlace de cancelación de suscripción en cualquier correo electrónico de marketing.

Obligación Legal (Artículo 6(1)(c) RGPD)

Procesamos ciertos datos personales para cumplir con obligaciones legales, incluidos requisitos fiscales y contables, responder a solicitudes legítimas de gobiernos o reguladores, y cumplir con nuestras obligaciones conforme a las leyes de protección de datos aplicables.

Intereses Vitales (Artículo 6(1)(d) RGPD)

En circunstancias raras y excepcionales, podemos procesar datos personales para proteger los intereses vitales de una persona, por ejemplo, en una situación de emergencia que implique una amenaza creíble para la vida.

Categorías Especiales de Datos Personales

ULTEH no recopila ni procesa intencionalmente categorías especiales de datos personales (también conocidos como datos personales sensibles) según lo definido en el Artículo 9 del RGPD. Estas categorías incluyen origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical, datos genéticos, datos biométricos, datos de salud y datos relativos a la vida sexual u orientación sexual.

Si cree que nos ha compartido dichos datos de forma inadvertida — por ejemplo, incluyéndolos en un mensaje de soporte — por favor contáctenos a [email protected] y tomaremos las medidas adecuadas para eliminarlo.

4. Uso de nuestro sitio web y plataforma

Cuando visita nuestro sitio web o utiliza nuestra plataforma, ULTEH recopila datos técnicos y de comportamiento de forma automática. Esta sección explica cuáles son esos datos, cómo se recopilan y cómo se utilizan exactamente.

Análisis del sitio web

Utilizamos herramientas de análisis para comprender cómo los usuarios interactúan con nuestro sitio web. Los datos recopilados incluyen:

  • Dirección IP: Se utiliza para determinar la ubicación geográfica aproximada (nivel de país/ciudad) para análisis regionales. No rastreamos la geolocalización precisa.
  • Tipo de navegador y dispositivo: Nos ayuda a garantizar la compatibilidad y optimizar la experiencia para los navegadores y dispositivos más comunes utilizados por nuestra audiencia.
  • Vistas de página y rutas de navegación: Rastreamos qué páginas se visitan y en qué orden, lo que nos ayuda a identificar contenido popular y páginas con altas tasas de abandono que necesitan mejoras.
  • Duración de la sesión y participación: Cuánto tiempo pasan los usuarios en cada página y cómo interactúan con los elementos (profundidad de desplazamiento, clics). Se utiliza para mejorar la experiencia de usuario y la estrategia de contenido.
  • Fuentes de tráfico: Si llegó a través de búsqueda orgánica, un anuncio de pago, un enlace de referencia o directamente. Se utiliza para la atribución de marketing y la optimización del presupuesto.
  • Eventos de conversión: Acciones como registrarse para una demostración, iniciar una prueba gratuita o completar una compra. Se utilizan para medir la efectividad de nuestros flujos de marketing e incorporación.

Datos de uso de la plataforma

Dentro de nuestra plataforma, recopilamos datos sobre cómo utiliza el producto:

  • Uso de funciones: Qué funciones activa, con qué frecuencia las usa y en qué secuencia — se utiliza para priorizar el desarrollo del producto e identificar funciones infrautilizadas.
  • Métricas de rendimiento: Tiempos de respuesta, tasas de error y uso de recursos del sistema — se utilizan para mantener la calidad del servicio y el cumplimiento de los SLA.
  • Registros de interacción del agente IA: Las conversaciones entre los usuarios finales y los agentes de IA que usted crea se almacenan para proporcionar el servicio (recuperar contexto relevante) y pueden ser revisadas por nuestro equipo si reporta un error o problema de soporte. Estos registros nunca se utilizan para entrenar modelos de IA de propósito general.
  • Datos de configuración: Las configuraciones de sus agentes, las cargas de bases de conocimiento, las integraciones y las personalizaciones — almacenados para proporcionar su servicio y restaurarlo en caso de problemas técnicos.

Cómo utilizamos estos datos

  • Prestación del servicio: Garantizar que la plataforma funcione de manera fiable y correcta.
  • Optimización del rendimiento: Identificación y corrección de cuellos de botella, páginas lentas e ineficiencias en la infraestructura.
  • Monitoreo de seguridad: Detección de patrones de acceso anómalos, posibles intrusiones y abusos.
  • Mejora del producto: Construcción de una hoja de ruta basada en datos sobre cómo los usuarios reales interactúan con la plataforma.
  • Éxito del cliente: Identificación de clientes que pueden necesitar soporte de incorporación o que están en riesgo de abandono, para que nuestro equipo pueda ayudar de forma proactiva.

Nuestro interés legítimo en la recopilación de datos

ULTEH tiene un interés legítimo en comprender cómo los usuarios interactúan con nuestro sitio web y plataforma. Sin estos datos, no podríamos mantener un servicio competitivo y de alta calidad, detectar y prevenir abusos, ni comprender el rendimiento de nuestro negocio. Hemos evaluado que estos intereses son proporcionados y no anulan sus derechos de privacidad. Cuando podemos lograr nuestros objetivos analíticos con datos anonimizados o agregados, lo hacemos.

5. Cookies y tecnologías de seguimiento

ULTEH utiliza cookies y tecnologías de seguimiento similares (como etiquetas de píxel, balizas web y almacenamiento local) para ofrecer, mantener y mejorar nuestros Servicios. Esta sección le ofrece una imagen clara de lo que usamos, por qué y cómo puede controlarlo.

¿Qué son las cookies?

Las cookies son pequeños archivos de texto que un sitio web almacena en su dispositivo cuando lo visita. Permiten que el sitio web recuerde información sobre su visita, como su sesión de inicio de sesión, preferencia de idioma o contenido del carrito de compras, para que no tenga que volver a ingresarla cada vez. Las cookies pueden ser establecidas por nosotros (cookies de origen) o por terceros cuyos servicios integramos en nuestras páginas.

Tipos de cookies que utilizamos

  • Cookies estrictamente necesarias: Estas cookies son esenciales para que nuestro sitio web y plataforma funcionen y no se pueden desactivar. Incluyen cookies de gestión de sesión que mantienen su sesión iniciada, tokens de seguridad que protegen contra ataques CSRF y cookies que recuerdan sus preferencias de consentimiento de cookies. Sin ellas, el sitio o la plataforma no funcionarían correctamente.
  • Cookies de rendimiento y análisis: Estas cookies nos ayudan a comprender cómo los visitantes interactúan con nuestro sitio web, recopilando información sobre las páginas visitadas, el tiempo dedicado y los errores encontrados. La información se agrega y es anónima cuando es posible. La utilizamos para mejorar el rendimiento del sitio y la experiencia del usuario.
  • Cookies funcionales: Estas cookies permiten funcionalidades mejoradas y personalización — por ejemplo, recordar su idioma seleccionado, zona horaria o preferencias de interfaz. Desactivarlas puede degradar su experiencia, pero no impedirá el acceso al sitio.
  • Cookies de marketing y segmentación: Estas cookies son establecidas por nuestros socios publicitarios para crear un perfil de sus intereses y mostrarle anuncios relevantes en otros sitios. Solo las utilizamos con su consentimiento explícito. Rastrean su actividad en sitios web mediante un identificador único.
  • Cookies de redes sociales: Si interactúa con nuestros botones de compartir en redes sociales (LinkedIn, Twitter/X, YouTube), esas plataformas pueden establecer cookies en su dispositivo. Su uso de esas cookies se rige por sus respectivas políticas de privacidad.

Herramientas de análisis y publicidad de terceros

Utilizamos las siguientes herramientas de terceros que pueden establecer sus propias cookies:

  • Google Analytics: Análisis de tráfico del sitio web e información sobre el comportamiento del usuario. Los datos están seudonimizados y sujetos a la Política de Privacidad de Google.
  • Google Ads: Seguimiento de conversiones para campañas de publicidad de pago. Se utiliza para medir la efectividad de nuestra inversión publicitaria.
  • Meta (Facebook) Pixel: Seguimiento de conversiones y creación de audiencias personalizadas para publicidad en Facebook e Instagram, activado solo con su consentimiento.
  • Intercom / Chat en vivo: Alimenta nuestro widget de soporte de chat en la aplicación y puede establecer cookies funcionales para mantener el estado de la conversación.

Cookies de origen vs. cookies de terceros

Las cookies de origen son establecidas directamente por ULTEH y solo nosotros podemos leerlas. Las cookies de terceros son establecidas por nuestros socios y pueden ser leídas por esos socios en múltiples sitios web. Evaluamos cuidadosamente a todos los proveedores de cookies de terceros y exigimos acuerdos de procesamiento de datos a aquellos que manejan datos personales.

Cookies de sesión vs. cookies persistentes

Las cookies de sesión caducan cuando cierra su navegador. Las cookies persistentes permanecen en su dispositivo durante un período definido (normalmente de 30 días a 2 años, según el propósito de la cookie) o hasta que las elimine manualmente.

Señales de No Rastrear

Algunos navegadores transmiten señales "No Rastrear" (DNT). Actualmente, no existe un estándar universalmente aceptado sobre cómo los sitios web deben responder a las señales DNT. Actualmente no respondemos a las señales DNT de manera diferente a las solicitudes estándar del navegador. Revisaremos esta posición a medida que evolucionen los estándares de la industria.

Gestión de sus preferencias de cookies

Puede controlar las cookies a través de nuestro centro de preferencias de cookies, accesible en cualquier momento a través del icono de cookie en el pie de página de nuestro sitio web. También puede gestionar las cookies a través de la configuración de su navegador — la mayoría de los navegadores le permiten bloquear, eliminar o ser notificado antes de que se establezcan cookies. Tenga en cuenta que bloquear ciertas cookies (particularmente las estrictamente necesarias) puede afectar la funcionalidad de nuestro sitio web y plataforma.

Para obtener información más detallada, visite nuestro Aviso de Cookies.

6. Inteligencia artificial, aprendizaje automático y sus datos

La IA está en el centro de lo que hace ULTEH. Queremos ser completamente transparentes sobre cómo la IA interactúa con sus datos, porque es aquí donde muchas empresas de IA no cumplen con la privacidad.

Nuestra arquitectura: generación aumentada por recuperación (RAG)

Nuestra plataforma utiliza una técnica llamada Generación Aumentada por Recuperación (RAG) para impulsar los agentes de IA. Así es como funciona en términos sencillos:

  • Usted sube documentos de base de conocimientos, preguntas frecuentes, información de productos o conecta fuentes de datos.
  • Ese contenido se procesa en un índice vectorial con capacidad de búsqueda, almacenado de forma segura en su espacio de nombres dedicado en nuestra base de datos vectorial (Pinecone).
  • Cuando un usuario hace una pregunta a su agente de IA, el sistema busca en su base de conocimientos el contexto más relevante y lo envía — junto con la pregunta del usuario — a un modelo de lenguaje grande (LLM) para generar una respuesta.
  • Sus datos se recuperan para proporcionar contexto; no se utilizan para actualizar ni reentrenar el modelo de IA subyacente.

Lo que no hacemos

  • No utilizamos sus datos (conversaciones, documentos, consultas de usuarios ni ningún otro contenido) para entrenar, ajustar, actualizar o mejorar ningún modelo de IA o aprendizaje automático de propósito general.
  • No compartimos sus datos con proveedores de modelos de IA (como OpenAI o Anthropic) más allá de la solicitud API inmediata necesaria para generar una respuesta a la consulta de un usuario.
  • No combinamos los datos de conversaciones de sus clientes con los datos de otros clientes para mejorar ningún modelo o sistema compartido.
  • No utilizamos los datos de conversaciones para la segmentación publicitaria ni la elaboración de perfiles de comportamiento.

Proveedores de modelos de IA de terceros

Nuestra plataforma utiliza modelos de lenguaje grande proporcionados por proveedores de IA de terceros (como OpenAI, Anthropic u otros). Cuando su agente de IA procesa una consulta de usuario, la consulta y el contexto relevante recuperado se envían a la API del proveedor de IA para generar una respuesta. Esta transferencia de datos se rige por nuestros acuerdos de procesamiento de datos con dichos proveedores, que prohíben el uso de datos de solicitudes API para el entrenamiento de modelos. Seleccionamos proveedores de IA cuyas prácticas de manejo de datos cumplen nuestros estándares de seguridad y privacidad.

Revisión humana de las respuestas de la IA

En el curso normal de las operaciones, las respuestas generadas por IA no son revisadas por empleados de ULTEH. Sin embargo, si contacta con nuestro equipo de soporte sobre una conversación específica — por ejemplo, para reportar una respuesta incorrecta o inapropiada — nuestros ingenieros de soporte pueden revisar los registros de conversación relevantes para diagnosticar y resolver el problema. Dichas revisiones se realizan bajo estrictas obligaciones de confidencialidad.

Seguridad y calidad de la IA

Implementamos moderación de contenido y salvaguardas de seguridad en nuestra plataforma para evitar que los agentes de IA generen contenido dañino, discriminatorio o engañoso. Usted, como operador de un agente de IA, también es responsable de configurar su agente adecuadamente y garantizar que se utilice de conformidad con nuestra Política de Uso Aceptable.

7. Toma de decisiones automatizada y perfilado

ULTEH toma en serio los riesgos asociados con la toma de decisiones automatizada — en particular las decisiones que tienen efectos significativos en las personas. Esta sección explica cuándo y cómo usamos la automatización, y qué derechos tiene usted.

Cuándo utilizamos la toma de decisiones automatizada

Utilizamos procesos automatizados de las siguientes formas limitadas:

  • Detección de fraude: Nuestros sistemas marcan automáticamente la actividad de cuentas que coincide con patrones asociados con fraude o abuso (por ejemplo, ubicaciones de inicio de sesión inusuales, abuso rápido de API). Las cuentas marcadas son revisadas por una persona antes de tomar cualquier acción punitiva.
  • Suscripción y facturación: Los sistemas automatizados gestionan los cambios de estado de suscripción (por ejemplo, actualizar, degradar o pausar un plan) según sus instrucciones o estado de pago.
  • Filtrado de spam y contenido: Los filtros automatizados examinan las comunicaciones entrantes en busca de spam y contenido potencialmente malicioso.
  • Alertas basadas en el uso: Los sistemas automatizados envían notificaciones cuando se acerca a los límites de uso o cuando se detectan patrones de uso anómalos.

Lo que no hacemos

No utilizamos la toma de decisiones totalmente automatizada (es decir, sin intervención humana) para tomar decisiones que produzcan efectos legales significativos sobre usted, como denegar el servicio, cancelar cuentas o determinar la solvencia. Cualquier decisión de este tipo implica una revisión humana.

Elaboración de perfiles

Podemos crear perfiles de usuario basados en cómo interactúa con nuestra plataforma con el fin de proporcionar recomendaciones de productos personalizadas, asistencia de éxito del cliente y marketing relevante. Esta elaboración de perfiles se basa en datos propios (sus propios patrones de uso) y no involucra datos personales sensibles. Tiene derecho a oponerse a la elaboración de perfiles con fines de marketing directo en cualquier momento.

Sus derechos respecto a las decisiones automatizadas

En virtud del artículo 22 del RGPD, usted tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que tengan efectos jurídicos significativos o efectos igualmente significativos sobre usted. Si cree que se ha tomado una decisión sobre usted exclusivamente por medios automatizados y desea solicitar una revisión humana, póngase en contacto con nosotros en [email protected].

8. Compartir información con terceros

En ULTEH, no vendemos sus datos personales. No los alquilamos, intercambiamos ni damos acceso a terceros para sus propios fines comerciales. Cuando compartimos datos con terceros, es para fines específicos y definidos necesarios para operar nuestro negocio, y exigimos a esos terceros estándares contractuales que protegen su privacidad.

Categorías de destinatarios

  • Proveedores de infraestructura y nube: Alojamos nuestra plataforma en Amazon Web Services (AWS, región us-east-1). Nuestra base de datos es gestionada por Supabase. Nuestra capa de aplicación se despliega a través de Vercel. Nuestra base de datos vectorial funciona con Pinecone. Estos proveedores procesan datos en nuestro nombre bajo acuerdos de procesamiento de datos y no tienen acceso independiente a sus datos.
  • Procesadores de pagos: Los datos de pago son procesados por Stripe, un procesador de pagos certificado PCI-DSS Nivel 1. No almacenamos números completos de tarjetas de crédito en nuestros servidores.
  • Herramientas de atención al cliente: Utilizamos software de atención al cliente y chat en vivo para gestionar sus solicitudes de soporte. Los agentes de soporte tienen acceso a la información de su cuenta y al historial de comunicaciones en la medida necesaria para resolver su problema.
  • Servicios de correo electrónico y comunicación: Utilizamos servicios de entrega de correo electrónico de terceros para enviar correos transaccionales (confirmaciones de cuenta, restablecimiento de contraseñas) y correos de marketing (actualizaciones de productos, boletines).
  • Proveedores de análisis: Compartimos datos comportamentales anonimizados o seudonimizados con servicios de análisis para comprender cómo se utilizan nuestro sitio web y nuestra plataforma.
  • Proveedores de modelos de IA: Las consultas de los usuarios son procesadas por API de LLM de terceros (como OpenAI o Anthropic) según se describe en la Sección 6. Estos proveedores están vinculados por acuerdos de procesamiento de datos que prohíben el uso de datos de API para sus propios fines de entrenamiento.
  • Asesores profesionales: Nuestros abogados, contadores, auditores y aseguradoras pueden acceder a datos personales en la medida necesaria para realizar sus servicios profesionales, bajo obligaciones de confidencialidad profesional.
  • Fuerzas del orden y autoridades gubernamentales: Podemos divulgar datos personales cuando lo exija la ley, una orden judicial, una investigación regulatoria, o para proteger la seguridad, los derechos o la propiedad de ULTEH, nuestros usuarios o el público. Le notificaremos cualquier solicitud de este tipo en la medida legalmente permitida.
  • Transferencias comerciales: En caso de fusión, adquisición, reestructuración o venta de todo o parte de nuestro negocio, los datos personales pueden transferirse a la entidad adquirente. Notificaremos a los usuarios afectados con antelación y nos aseguraremos de que el adquirente esté sujeto a obligaciones de privacidad equivalentes.

Datos agregados y anonimizados

Podemos compartir datos agregados y anonimizados — a partir de los cuales no se puede identificar a usuarios individuales — con socios, inversores o el público para fines de investigación, marketing y análisis de la industria. Estos datos no constituyen datos personales y no están cubiertos por las regulaciones de protección de datos.

Integraciones de terceros

ULTEH se integra con servicios de terceros (como sistemas CRM, plataformas de servicio al cliente, herramientas de marketing por correo electrónico y plataformas de redes sociales) según sus instrucciones. Cuando autoriza una integración, los datos pueden fluir entre nuestra plataforma y ese tercero. Debe revisar la política de privacidad de cualquier servicio de terceros antes de conectarlo a su cuenta de ULTEH.

Transparencia de subprocesadores

Los clientes empresariales que hayan firmado un Acuerdo de Procesamiento de Datos (DPA) con nosotros pueden solicitar una lista actualizada de nuestros subprocesadores — las empresas terceras que procesan datos personales en nuestro nombre — contactándonos en [email protected]. Proporcionamos aviso previo de cualquier cambio material en nuestra lista de subprocesadores.

9. Transferencias internacionales de datos

ULTEH es un servicio global. Nuestra infraestructura se encuentra principalmente en Estados Unidos. Si usted se encuentra en el Espacio Económico Europeo (EEE), el Reino Unido, Suiza u otra jurisdicción con restricciones de transferencia de datos, esta sección explica cómo garantizamos que sus datos estén protegidos cuando cruzan fronteras.

Dónde se procesan sus datos

Nuestro procesamiento principal de datos se realiza en Estados Unidos (AWS us-east-1, N. Virginia). Algunos de nuestros proveedores de servicios pueden procesar datos en jurisdicciones adicionales, incluida la UE, el Reino Unido y otras regiones. Mantenemos un registro completo de dónde se procesan sus datos y podemos compartir esta información previa solicitud.

Mecanismos legales para las transferencias de datos del EEE/Reino Unido

Estados Unidos no ha recibido una decisión de adecuación de la Comisión Europea conforme al Artículo 45 del RGPD (excepto el Marco de Privacidad de Datos UE-EE. UU., cuya aplicabilidad seguimos monitoreando). Nos basamos en las salvaguardias del Artículo 46, que incluyen:

  • Cláusulas contractuales tipo (SCC): Hemos incorporado las SCC aprobadas por la Comisión Europea (2021/914) en nuestros acuerdos con subencargados y destinatarios de datos en EE. UU. Estas obligaciones contractuales exigen que sus datos se gestionen conforme a los estándares de la UE, independientemente del lugar de tratamiento.
  • Acuerdos internacionales de transferencia de datos del Reino Unido (IDTA): Para transferencias que involucren datos personales del Reino Unido, utilizamos el IDTA del Reino Unido o anexos a las SCC de la UE, según corresponda.
  • Medidas suplementarias: De acuerdo con las directrices del Comité Europeo de Protección de Datos (EDPB), implementamos medidas técnicas y organizativas suplementarias, como el cifrado de extremo a extremo, la seudonimización y controles de acceso estrictos, para proteger los datos transferidos frente a los riesgos derivados del entorno legal del país de destino.

Evaluación de impacto de transferencia

Para transferencias de datos de alto riesgo, realizamos Evaluaciones de Impacto de Transferencia (TIA) para evaluar si nuestras medidas de protección son suficientes según las leyes del país de destino. Si identificamos riesgos que no se pueden mitigar, no procedemos con la transferencia.

Sus derechos durante transferencias internacionales

Sus derechos bajo el RGPD y el RGPD del Reino Unido se aplican independientemente de dónde se procese su información. Puede ejercer cualquiera de sus derechos (consulte la Sección 10) contactándonos en [email protected], y nos aseguraremos de que su solicitud se atienda en los mismos plazos y estándares sin importar la jurisdicción.

Solicitudes de datos gubernamentales

Desde su creación, ULTEH nunca ha recibido una solicitud gubernamental de datos de usuarios. En caso de recibir una, nuestra política es la siguiente:

  • Realizar una revisión legal inmediata para evaluar la validez y el alcance.
  • Rechazar solicitudes que sean demasiado amplias, inválidas procesalmente o que no sean legalmente vinculantes.
  • Notificar a los usuarios afectados antes de cumplir, en la máxima medida permitida por la ley.
  • Producir solo los datos mínimos necesarios para cumplir con una orden legal válida.
  • Publicar estadísticas agregadas sobre las solicitudes gubernamentales recibidas en nuestros informes de transparencia (publicados anualmente).

10. Sus derechos como titular de datos

ULTEH se compromete a que ejercer tus derechos de privacidad sea sencillo, no solo técnicamente posible en papel. Según tu jurisdicción, puedes tener algunos o todos los siguientes derechos:

Derechos según el RGPD (usuarios de la UE/EEE y Reino Unido)

  • Derecho a ser informado (Artículos 13-14): Tienes derecho a recibir información clara y transparente sobre cómo recopilamos y utilizamos tus datos personales. Esta Política de Privacidad cumple con ese derecho.
  • Derecho de acceso (Artículo 15): Puedes solicitar una copia de todos los datos personales que tenemos sobre ti, junto con información sobre cómo se procesan, dónde se almacenan, con quién se comparten y durante cuánto tiempo se conservarán. Te proporcionaremos esta información en un formato estructurado, de uso común y legible por máquina si lo solicitas.
  • Derecho de rectificación (artículo 16): Si alguno de los datos personales que tenemos sobre usted es inexacto o está incompleto, tiene derecho a solicitar su corrección. Puede actualizar la mayoría de la información de su perfil directamente en la configuración de su cuenta; para otras correcciones, contáctenos en [email protected].
  • Derecho de supresión / "Derecho al olvido" (artículo 17): Puede solicitar la eliminación de sus datos personales en determinadas circunstancias, por ejemplo, si los datos ya no son necesarios para el fin para el que fueron recogidos, si retira su consentimiento o si se opone al tratamiento basado en intereses legítimos. Atenderemos dichas solicitudes con prontitud, salvo que la ley nos obligue a conservar los datos o los necesitemos para establecer, ejercer o defender reclamaciones legales.
  • Derecho a la limitación del tratamiento (artículo 18): Puede solicitarnos que pausemos el tratamiento de sus datos personales en determinadas circunstancias — por ejemplo, mientras impugna la exactitud de los datos que tenemos o mientras evaluamos una objeción que haya presentado. Durante la restricción, podemos seguir almacenando sus datos, pero no los utilizaremos activamente.
  • Derecho a la portabilidad de los datos (artículo 20): Para los datos tratados por medios automatizados en base a su consentimiento o necesidad contractual, tiene derecho a recibir sus datos en un formato estructurado, de uso común y legible por máquina (por ejemplo, JSON o CSV), y a transmitirlos a otro proveedor de servicios. Proporcionaremos las exportaciones de portabilidad de datos en un plazo de 30 días tras una solicitud verificada.
  • Derecho de oposición (Artículo 21): Puede oponerse en cualquier momento al tratamiento basado en intereses legítimos (incluida la elaboración de perfiles con este fin) y al tratamiento con fines de marketing directo. Cuando se oponga al marketing directo, dejaremos de hacerlo inmediatamente. Cuando se oponga al tratamiento basado en intereses legítimos, dejaremos de hacerlo a menos que podamos demostrar motivos legítimos imperiosos que prevalezcan sobre sus derechos.
  • Derechos relacionados con la toma de decisiones automatizada (Artículo 22): Tiene derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que tengan efectos jurídicos significativos sobre usted. Consulte la Sección 7 para más detalles sobre nuestras prácticas de toma de decisiones automatizada.

Cómo ejercer sus derechos

Para ejercer cualquiera de los derechos anteriores, envíe un correo electrónico a [email protected] con el asunto "Solicitud de derechos de privacidad" y describa el derecho que desea ejercer. Confirmaremos la recepción de su solicitud en un plazo de 5 días laborables y responderemos completamente en un plazo de 30 días. Es posible que le pidamos que verifique su identidad antes de procesar su solicitud.

Cuando las solicitudes sean complejas o numerosas, podremos ampliar el plazo de respuesta en otros 60 días, en cuyo caso le notificaremos la ampliación y el motivo dentro de los primeros 30 días.

Reclamaciones ante una autoridad de protección de datos

Si cree que no hemos tratado sus datos personales de conformidad con la legislación aplicable, tiene derecho a presentar una reclamación ante la autoridad nacional de protección de datos. Para usuarios de la UE, normalmente es la autoridad supervisora de su país de residencia. Para usuarios del Reino Unido, es la Oficina del Comisionado de Información (ICO). Le rogamos que primero se ponga en contacto con nosotros en [email protected] para que tengamos la oportunidad de resolver su preocupación antes de una escalación.

11. Derechos de la Ley de Privacidad del Consumidor de California (CCPA / CPRA)

Si usted es residente de California, la Ley de Privacidad del Consumidor de California (enmendada por la Ley de Derechos de Privacidad de California — CCPA/CPRA) le otorga derechos específicos con respecto a su información personal. Esta sección complementa los derechos generales descritos en la Sección 10 y se proporciona específicamente para cumplir con nuestras obligaciones de divulgación según la ley de California.

Categorías de información personal que recopilamos

En los últimos 12 meses, hemos recopilado las siguientes categorías de información personal según la definición de la CCPA:

  • Identificadores: Nombre real, dirección de correo electrónico, dirección IP, nombre de usuario de la cuenta.
  • Información comercial: Plan de suscripción, historial de compras e información de facturación.
  • Actividad de Internet o red electrónica: Historial de navegación en nuestro sitio web, consultas de búsqueda dentro de nuestra plataforma, interacción con anuncios.
  • Datos de geolocalización: Ubicación geográfica aproximada derivada de la dirección IP (a nivel de país y ciudad).
  • Información profesional o relacionada con el empleo: Cargo, nombre del empleador y dirección laboral, cuando se proporcionan.
  • Inferencias: Preferencias y patrones de uso del producto derivados de los datos anteriores.

No recopilamos información personal sensible según la definición de la CPRA (como números de Seguro Social, números de cuentas financieras, geolocalización precisa, origen racial o étnico, o datos de salud) en el curso normal de nuestros negocios.

Propósitos de la recopilación

Recopilamos las categorías anteriores de información personal para los fines comerciales descritos en la Sección 2 de esta Política de Privacidad, incluidos la prestación de nuestros Servicios, seguridad, análisis y marketing.

Venta o intercambio de información personal

ULTEH no vende información personal a terceros, ni comparte información personal con terceros para fines de publicidad conductual entre contextos. Dado que no vendemos ni compartimos información personal de estas maneras, no se requiere exclusión voluntaria, pero lo mencionamos explícitamente para que los residentes de California tengan plena confianza en nuestras prácticas.

Sus derechos de privacidad en California

  • Derecho a saber: Puede solicitar la divulgación de las categorías y los datos específicos de información personal que hemos recopilado sobre usted, los propósitos de la recopilación y las categorías de terceros con quienes la compartimos.
  • Derecho de supresión: Puede solicitar la eliminación de la información personal que hemos recopilado sobre usted, sujeto a ciertas excepciones (por ejemplo, cuando la retención es legalmente obligatoria).
  • Derecho a corregir: Puede solicitar la corrección de la información personal inexacta que mantenemos sobre usted.
  • Derecho a no participar en la venta/compartición: No aplicable — no vendemos ni compartimos información personal para publicidad conductual en contextos cruzados.
  • Derecho a limitar el uso de información personal sensible: No aplicable — no procesamos información personal sensible según la definición de la CPRA.
  • Derecho a la no discriminación: No lo discriminaremos por ejercer cualquiera de sus derechos bajo la CCPA/CPRA. No le negaremos bienes o servicios, le cobraremos precios diferentes, le proporcionaremos un nivel de servicio diferente, ni le sugeriremos que recibirá un nivel de servicio diferente por ejercer sus derechos de privacidad.

Envío de una solicitud de derechos de privacidad de California

Para enviar una solicitud de consumidor verificable, envíenos un correo electrónico a [email protected] con "Solicitud de privacidad de California" en el asunto. También puede designar un agente autorizado para realizar una solicitud en su nombre — requeriremos prueba escrita de la autorización del agente. Responderemos a las solicitudes verificadas dentro de 45 días calendario, con la posibilidad de una extensión de 45 días para solicitudes complejas.

12. Uso de las API de Google Workspace

ULTEH se integra con las API de Google Workspace para proporcionar a los usuarios potentes capacidades de automatización, incluyendo gestión de correo electrónico, programación de calendario, flujos de trabajo de documentos y sincronización de contactos. Esta sección proporciona una divulgación completa de cómo manejamos los datos obtenidos a través de estas API, en cumplimiento con la Política de datos de usuario de servicios API de Google, incluidos los requisitos de uso limitado.

Nuestro compromiso fundamental

El uso de datos obtenidos de las API de Google Workspace por parte de ULTEH se adherirá a la Política de datos de usuario de servicios API de Google, incluidos los requisitos de uso limitado. Específicamente:

  • Solo solicitamos acceso a los datos específicos de Google Workspace necesarios para proporcionar las funciones que usted ha activado explícitamente.
  • Los datos obtenidos a través de las API de Google Workspace se utilizan únicamente para proporcionar o mejorar funciones orientadas al usuario que son visibles y relevantes para el usuario dentro de la aplicación ULTEH.
  • Los datos de Google Workspace nunca se utilizan para desarrollar, entrenar o mejorar modelos generalizados de inteligencia artificial o aprendizaje automático, incluidos los modelos de lenguaje grande.
  • Los datos de Google Workspace nunca se transfieren a terceros excepto cuando sea necesario para proporcionar el servicio, cumplir con la ley aplicable o según lo permita expresamente el usuario.
  • Los humanos no leen los datos de Google Workspace a menos que (a) usted dé permiso explícito para un caso de soporte específico, (b) sea necesario por motivos de seguridad, (c) lo requiera la ley, o (d) los datos estén agregados y anonimizados.

Integraciones específicas de Google Workspace

  • API de Gmail: Se utiliza para leer, redactar y enviar correos electrónicos en nombre de su cuenta conectada — habilitando la redacción de correos con IA, la gestión de la bandeja de entrada y los seguimientos automatizados. No almacenamos el contenido de los correos electrónicos más allá de lo necesario para la sesión actual del usuario o las configuraciones guardadas explícitamente.
  • API de Google Calendar: Se utiliza para leer la disponibilidad del calendario, crear invitaciones a reuniones y programar citas — habilitando asistentes de programación con IA. Los datos del calendario se procesan en tiempo real y no se retienen después de completar la tarea de programación.
  • API de Google Drive: Se utiliza para leer documentos cargados en su Google Drive que usted conecta explícitamente como base de conocimiento para su agente de IA. El contenido del documento se vectoriza y almacena en su espacio de nombres de base de conocimiento dedicado.
  • API de Contactos de Google: Se utiliza para recuperar información de contacto para personalizar las respuestas del agente de IA y completar funciones similares a CRM, solo para los contactos a los que usted otorga acceso explícitamente.

Revocación del acceso a Google Workspace

Puede revocar el acceso de ULTEH a sus datos de Google Workspace en cualquier momento a través de la configuración de seguridad de su cuenta de Google. Tras la revocación, dejaremos de acceder inmediatamente a sus datos de Google y eliminaremos cualquier dato de Google almacenado en caché de nuestros sistemas en un plazo de 30 días, a menos que haya guardado datos explícitamente como parte de una base de conocimiento.

13. Mecanismos de seguridad y protección de datos

En ULTEH, la seguridad no es una característica — es un fundamento. Implementamos un enfoque de defensa en profundidad por capas para proteger sus datos personales. Aquí presentamos una visión integral de las medidas técnicas y organizativas que tenemos implementadas.

Medidas de seguridad técnica

  • Cifrado en reposo: Todos los datos personales y el contenido del cliente almacenados en nuestras bases de datos y almacenamiento de objetos se cifran mediante cifrado AES-256. Las claves de cifrado se gestionan a través de un servicio de gestión de claves dedicado con controles de acceso estrictos y rotación automática.
  • Cifrado en tránsito: Todos los datos transmitidos entre su navegador, nuestras API y nuestra infraestructura se cifran mediante TLS 1.2 o superior. Aplicamos HTTPS en todos los endpoints y utilizamos HTTP Strict Transport Security (HSTS) para prevenir ataques de degradación.
  • Seguridad de la base de datos: Nuestras bases de datos (gestionadas a través de Supabase en AWS) se implementan en subredes privadas sin acceso directo a Internet público. El acceso se controla mediante firewalls a nivel de red, configuraciones de VPC y autenticación robusta.
  • Control de acceso basado en roles (RBAC): El acceso interno a los datos de los clientes se rige por permisos estrictos basados en roles. Los empleados solo tienen acceso a los datos necesarios para su función laboral. Todo el acceso se registra y se audita periódicamente.
  • Autenticación multifactor (MFA): MFA es obligatoria para todo el acceso de empleados de ULTEH a los sistemas de producción. Recomendamos encarecidamente (y en los planes empresariales, podemos exigir) MFA para las cuentas de los clientes.
  • Seguridad de la API: Todos los endpoints de la API requieren acceso autenticado. Implementamos limitación de velocidad, lista de permitidos de IP (configurable por usted), validación de tokens JWT y firma de solicitudes para prevenir el acceso no autorizado a la API.
  • Lista de dominios permitidos: Puede configurar qué dominios tienen permitido integrar sus agentes de IA, evitando que terceros no autorizados utilicen sus agentes en sus sitios web.
  • Gestión de vulnerabilidades: Mantenemos un programa continuo de escaneo de vulnerabilidades y parcheamos rápidamente las vulnerabilidades identificadas según los SLA de gravedad. Las vulnerabilidades críticas se abordan en un plazo de 24 horas.
  • Pruebas de penetración: Realizamos pruebas de penetración por terceros al menos anualmente. Los clientes empresariales pueden solicitar acceso a nuestro informe resumen de pruebas de penetración más reciente bajo un acuerdo de confidencialidad.
  • Protección DDoS: Nuestra infraestructura incluye mitigación de DDoS en las capas de red y aplicación, aprovechando AWS Shield y protecciones a nivel de CDN.
  • Registro de auditoría: Todas las acciones significativas dentro de nuestra plataforma — incluyendo acceso a datos, cambios de configuración y acciones administrativas — se registran en registros de auditoría a prueba de manipulaciones que se conservan durante un mínimo de 12 meses.

Medidas de seguridad organizativas

  • Capacitación en seguridad: Todos los empleados completan una capacitación integral en seguridad y privacidad al incorporarse y anualmente a partir de entonces. Los empleados con acceso a sistemas sensibles reciben capacitación adicional.
  • Verificación de antecedentes: Todos los empleados y contratistas con acceso a datos de clientes se someten a una verificación de antecedentes apropiada antes de la incorporación.
  • Evaluación de seguridad de proveedores: Los proveedores de servicios de terceros son evaluados en cuanto a su postura de seguridad antes del compromiso y de manera continua. Requerimos que todos los subprocesadores cumplan con estándares mínimos de seguridad y firmen acuerdos de procesamiento de datos.
  • Políticas de seguridad: Mantenemos un conjunto completo de políticas internas de seguridad que cubren el uso aceptable, la gestión de acceso, la respuesta a incidentes, la continuidad del negocio y el manejo de datos. Estas políticas se revisan y actualizan anualmente.
  • Continuidad del negocio y recuperación ante desastres: Mantenemos planes probados de continuidad del negocio y recuperación ante desastres. Nuestra infraestructura está diseñada para alta disponibilidad con redundancia en múltiples zonas de disponibilidad. Realizamos pruebas de respaldo regulares para verificar la integridad de los datos y los procedimientos de restauración.

Cumplimiento y certificaciones

  • RGPD: Cumplimos plenamente con el Reglamento General de Protección de Datos de la UE y el RGPD del Reino Unido, como se documenta a lo largo de esta Política de Privacidad.
  • SOC 2: Mantenemos el cumplimiento de SOC 2 Tipo II, demostrando nuestro compromiso con la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Nuestro informe SOC 2 está disponible para clientes empresariales bajo acuerdo de confidencialidad a solicitud.
  • Sin entrenamiento de IA con datos de clientes: No utilizamos datos de clientes para entrenar modelos de IA o ML. Este compromiso es contractualmente vinculante en nuestros Términos de Servicio y Acuerdos de Procesamiento de Datos.

Respuesta a incidentes de seguridad

A pesar de nuestros mejores esfuerzos, ningún sistema puede garantizarse como 100% seguro. En caso de un incidente de seguridad confirmado que involucre sus datos personales, nosotros:

  • Contener e investigar el incidente inmediatamente tras su descubrimiento.
  • Notificar a los clientes y usuarios afectados dentro de las 72 horas posteriores a la confirmación de una violación (en cumplimiento con el Artículo 33 del RGPD) o antes cuando sea posible.
  • Proporcionar comunicación clara y honesta sobre qué datos se vieron involucrados, qué estamos haciendo al respecto y qué debe hacer usted para protegerse.
  • Informar a la autoridad de protección de datos pertinente dentro de las 72 horas cuando sea legalmente requerido.
  • Realizar una revisión posterior al incidente e implementar medidas correctivas para prevenir su recurrencia.

Si descubre o sospecha una vulnerabilidad de seguridad en nuestros sistemas, por favor repórtela de manera responsable a [email protected]. Tomamos todos los informes en serio y responderemos dentro de las 24 horas.

14. Almacenamiento y retención de datos

ULTEH es intencional sobre cuánto tiempo conservamos sus datos. Solo retenemos datos personales durante el tiempo necesario para cumplir el propósito para el cual fueron recopilados, o según lo exija la ley aplicable. Esta sección explica nuestras prácticas de retención en detalle.

Dónde almacenamos sus datos

  • Base de datos principal: Los datos de cuentas de usuario, información de suscripción y configuraciones de plataforma se almacenan en bases de datos PostgreSQL administradas por Supabase, alojadas en AWS us-east-1 (Virginia del Norte, EE. UU.).
  • Base de datos vectorial: Los documentos de la base de conocimiento procesados para la recuperación por IA se almacenan en la base de datos vectorial de Pinecone, en su espacio de nombres dedicado (sus datos están lógicamente separados de los datos de otros clientes).
  • Almacenamiento de objetos: Los archivos cargados, documentos y activos multimedia se almacenan en buckets de AWS S3 con cifrado en reposo y control de versiones habilitado.
  • Capa de aplicación: Desplegada en la red global de borde de Vercel para acceso de baja latencia, sin datos personales almacenados permanentemente en el borde.
  • Copias de seguridad: Las copias de seguridad de la base de datos están cifradas y se conservan en una región de AWS geográficamente separada para fines de recuperación ante desastres.

Calendario de retención de datos

  • Datos de cuenta activa: Se conservan durante la duración de la relación activa de su cuenta con ULTEH, más un breve período de transición después de la cancelación para permitir la recuperación de la cuenta si cambia de opinión.
  • Datos de cuenta eliminada: Cuando elimina su cuenta, sus datos personales y contenido se marcan para eliminación y se eliminan permanentemente de los sistemas de producción dentro de 30 días. Las estadísticas de uso anonimizadas y agregadas derivadas de su cuenta pueden conservarse indefinidamente, ya que ya no constituyen datos personales.
  • Registros de conversaciones: Los registros de conversaciones del agente de IA se conservan durante el período configurado por usted (el titular de la cuenta) en la configuración de su plataforma, o durante 12 meses por defecto. Puede exportar y eliminar los registros de conversaciones en cualquier momento desde su panel de control.
  • Registros financieros: Los registros de facturación y pago se conservan durante un mínimo de 7 años para cumplir con las regulaciones fiscales y contables, incluso después de la eliminación de la cuenta. Estos registros contienen solo la información financiera mínima necesaria para el cumplimiento.
  • Registros de seguridad: Los registros de auditoría y seguridad se conservan durante 12 meses para apoyar investigaciones de seguridad y respuesta a incidentes, después de lo cual se eliminan o anonimizan.
  • Datos de prospectos: La información de contacto de prospectos que no se han convertido en clientes se conserva por no más de 24 meses desde la fecha de la última interacción, después de lo cual se purga a menos que se reactive la interacción.
  • Datos de respaldo: Las copias de seguridad de la base de datos siguen una ventana de retención progresiva: las copias diarias se conservan durante 30 días, las semanales durante 3 meses y las mensuales durante 1 año. Después de ese período, las copias de seguridad se eliminan permanentemente.

Proceso de eliminación de datos

Cuando los datos llegan al final de su período de retención — o cuando usted solicita su eliminación — seguimos un proceso de eliminación seguro:

  • Los datos se marcan para eliminación y se eliminan inmediatamente de los sistemas de producción.
  • La eliminación se propaga a todas las réplicas y cachés dentro de nuestra infraestructura.
  • Las copias de seguridad cifradas que contienen los datos se eliminan de forma continua a medida que caducan.
  • A petición, podemos proporcionar un certificado de eliminación que confirme que sus datos han sido eliminados de nuestros sistemas.

Solicitud de eliminación o portabilidad de datos

Para solicitar la eliminación, exportación o más información sobre la retención de sus datos personales, contáctenos en [email protected].

15. Comunicaciones de marketing y sus opciones

ULTEH puede enviarle comunicaciones de marketing sobre nuestros productos, funciones, información del sector, eventos y promociones. Queremos mantenerle informado, pero solo sobre lo que sea relevante para usted, y nunca sin su conocimiento o consentimiento.

Tipos de comunicaciones que enviamos

  • Correos electrónicos transaccionales: Los correos electrónicos relacionados con la cuenta (bienvenida, restablecimiento de contraseña, notificaciones de facturación, alertas de seguridad de la cuenta) se envían como parte de nuestro servicio y no requieren suscripción. No puede cancelar la recepción de estos sin desactivar su cuenta, ya que son esenciales para la prestación del servicio.
  • Actualizaciones de producto: Notificaciones sobre nuevas funciones, mejoras y cambios en nuestra plataforma. Como cliente existente, podemos enviarle estas comunicaciones bajo nuestro interés legítimo en mantenerle informado sobre el producto que utiliza. Puede cancelar la suscripción en cualquier momento.
  • Boletines de marketing: Contenido de liderazgo intelectual, casos de estudio, informes del sector y ofertas promocionales. Estos se envían solo con su consentimiento (para prospectos) o interés legítimo (para clientes existentes), y puede darse de baja con un solo clic.
  • Invitaciones a eventos: Seminarios web, demostraciones de producto, conferencias y eventos locales. De nuevo, la cancelación de suscripción con un clic siempre está disponible.

Cómo cancelar la suscripción

Puede gestionar sus preferencias de marketing en cualquier momento mediante:

  • Haciendo clic en el enlace "Cancelar suscripción" en el pie de cualquier correo electrónico de marketing.
  • Actualizando sus preferencias de comunicación en el panel de su cuenta en Configuración → Notificaciones.
  • Enviándonos un correo electrónico a [email protected] con "Cancelar suscripción" en el asunto.

Después de cancelar la suscripción, dejaremos de enviarle el tipo especificado de comunicación de marketing dentro de 10 días hábiles. Tenga en cuenta que la cancelación de los correos electrónicos de marketing no afecta la recepción de comunicaciones de servicio transaccionales.

Marketing de terceros

No compartimos sus datos personales con terceros para sus propios fines de marketing. Cualquier comunicación de marketing que reciba de terceros como resultado de interactuar con ULTEH es resultado de permisos que usted ha otorgado por separado a dichos terceros.

16. Privacidad de los niños

ULTEH es una plataforma de software B2B profesional diseñada para empresas y profesionales adultos. Nuestros Servicios no están destinados ni dirigidos a niños.

Restricciones de edad

No recopilamos, solicitamos ni procesamos deliberadamente datos personales de personas menores de 16 años (o 13 en Estados Unidos, donde se aplica COPPA). Al crear una cuenta o utilizar nuestros Servicios, usted declara que tiene al menos 16 años (o la edad mínima aplicable en su jurisdicción). Los clientes empresariales que utilizan nuestra plataforma son responsables de garantizar que sus usuarios finales cumplan los requisitos de edad aplicables.

Qué hacemos si descubrimos datos de un menor

Si nos damos cuenta de que hemos recopilado inadvertidamente datos personales de un menor sin el consentimiento verificado de los padres, procederemos a:

  • Cesar inmediatamente el procesamiento de los datos.
  • Eliminar los datos de nuestros sistemas lo más rápido técnicamente posible.
  • Si los datos se compartieron a través de una cuenta, cerrar o suspender dicha cuenta.
  • Notificar a la parte correspondiente (padre, tutor o titular de la cuenta) del incidente.

Para padres y tutores

Si cree que su hijo (menor de 16 años) ha proporcionado información personal a ULTEH sin su consentimiento, contáctenos inmediatamente a [email protected]. Trabajaremos con usted para investigar y tomar las medidas apropiadas, incluida la eliminación de los datos, lo antes posible.

Cumplimiento de COPPA

Para los usuarios en Estados Unidos, cumplimos con la Ley de Protección de la Privacidad Infantil en Internet (COPPA). No recopilamos deliberadamente información personal de niños menores de 13 años. Si usted es padre o tutor y sabe que su hijo nos ha proporcionado información personal, contáctenos para que podamos tomar las medidas necesarias.

17. Enlaces e integraciones de terceros

Nuestro sitio web y plataforma pueden contener enlaces a sitios web, servicios o aplicaciones de terceros, incluidas plataformas de redes sociales, herramientas de socios y servicios integrados. Esta Política de Privacidad se aplica únicamente a los propios servicios de ULTEH y no se extiende a sitios o servicios de terceros.

Enlaces externos

Cuando hace clic en un enlace a un sitio web de terceros, abandona nuestra plataforma y accede a un sitio regido por los propios términos y política de privacidad de ese tercero. No somos responsables de las prácticas de privacidad ni del contenido de sitios web de terceros. Le animamos a revisar la política de privacidad de cualquier sitio web que visite.

Integraciones de terceros

Nuestra plataforma se integra con varios servicios de terceros según sus instrucciones, como plataformas CRM, herramientas de soporte técnico, procesadores de pago, plataformas de marketing por correo electrónico y API de redes sociales. Cuando conecta un servicio de terceros a su cuenta de ULTEH:

  • Usted autoriza que los datos fluyan entre nuestra plataforma y ese tercero según los permisos que otorgue.
  • El manejo de sus datos por parte de ese tercero está sujeto a su propia política de privacidad.
  • No somos responsables de las prácticas de seguridad o privacidad de los servicios de terceros.
  • Puede desconectar cualquier integración en cualquier momento desde la configuración de su cuenta.

Integraciones de redes sociales

Nos integramos con plataformas de redes sociales como LinkedIn, Facebook/Meta, Twitter/X y otras. Si elige interactuar con nuestro contenido en estas plataformas — por ejemplo, iniciando sesión mediante SSO social o haciendo clic en un botón de compartir en redes sociales — su actividad puede asociarse con su perfil de redes sociales. La política de privacidad de la plataforma respectiva rige estos datos.

18. Cambios en esta Política de Privacidad

La privacidad y la tecnología evolucionan constantemente. Revisamos y actualizamos periódicamente esta Política de Privacidad para reflejar cambios en nuestras prácticas, tecnología, requisitos legales y operaciones comerciales.

Cómo le notificamos los cambios

  • Cambios sustanciales: Si realizamos cambios que afecten materialmente sus derechos o nuestras prácticas de datos — como procesar nuevas categorías de datos, cambiar la forma en que compartimos datos o alterar sus derechos — le notificaremos por correo electrónico (si tiene una cuenta) al menos 30 días antes de que los cambios entren en vigor. También publicaremos un aviso destacado en nuestro sitio web.
  • Cambios menores: Para actualizaciones no sustanciales (como corregir un error tipográfico, aclarar prácticas existentes o actualizar información de contacto), actualizaremos la fecha de "Última actualización" en la parte superior de esta página sin notificarle por separado.
  • Uso continuado: Su uso continuado de nuestros Servicios después de la fecha de entrada en vigor de una Política de Privacidad revisada constituye su aceptación de los términos actualizados. Si no está de acuerdo con los términos revisados, debe dejar de utilizar nuestros Servicios y puede cerrar su cuenta.

Historial de versiones

Mantenemos un historial de versiones de todos los cambios sustanciales de esta Política de Privacidad. Si desea ver versiones anteriores o comprender qué ha cambiado entre versiones, contáctenos en [email protected].

19. Preguntas, inquietudes o quejas

Su privacidad es muy importante para nosotros. Si tiene preguntas sobre esta Política de Privacidad, inquietudes sobre cómo se manejan sus datos personales, una queja sobre nuestras prácticas o simplemente desea obtener más información, no dude en contactarnos. Somos un equipo real y tomamos cada consulta en serio.

Cómo contactarnos

Nuestro Equipo de Privacidad está disponible para asistir con todas las consultas de protección de datos, incluidas las solicitudes para ejercer sus derechos como titular de datos, preguntas sobre nuestras prácticas de seguridad e inquietudes sobre el procesamiento de datos.

Correo electrónico: [email protected]

Utilice el asunto "Consulta de privacidad" para que nuestro equipo pueda dirigir su mensaje a la persona adecuada rápidamente.

Compromisos de respuesta

  • Acusaremos recibo de su mensaje en un plazo de 5 días hábiles.
  • Nuestro objetivo es resolver la mayoría de las consultas en un plazo de 30 días naturales.
  • Las solicitudes complejas (como exportaciones de datos grandes o solicitudes de derechos de titulares de datos multijurisdiccionales) pueden tardar hasta 90 días, y le informaremos si este es el caso.

Escalamiento de una queja

Si se pone en contacto con nosotros con una queja y no está satisfecho con nuestra respuesta, tiene derecho a elevar su caso a la autoridad de protección de datos correspondiente de su jurisdicción:

  • Usuarios de la UE: Su autoridad nacional de protección de datos (p. ej., CNIL en Francia, BfDI en Alemania, DPC en Irlanda). Una lista de las APD de la UE está disponible en edpb.europa.eu.
  • Usuarios del Reino Unido: La Oficina del Comisionado de Información (ICO) en ico.org.uk.
  • Usuarios de EE. UU. (California): La Agencia de Protección de la Privacidad de California (CPPA) en cppa.ca.gov.
  • Otras jurisdicciones: Contáctenos y le dirigiremos a la autoridad correspondiente de su país.

Una nota final

La privacidad no es un problema que resolvimos una vez y dejamos atrás. Es una responsabilidad continua que nos tomamos en serio todos los días. Cada función que desarrollamos, cada proveedor que incorporamos y cada política que redactamos se evalúa en relación con nuestro compromiso de proteger sus datos y su confianza. Si alguna vez siente que no hemos cumplido con ese compromiso, queremos saberlo — y haremos todo lo posible para corregirlo.

Gracias por confiar en ULTEH.

Última actualización: January 15, 2026