Política de Privacidad
La presente Política de Privacidad explica cómo Sterck Strategy S.L. ("dataiko", "nosotros") recoge, utiliza, comunica y protege los datos personales en el marco de la plataforma de meeting intelligence dataiko (el "Servicio"), accesible en https://dataiko.com. Se dirige a (i) los usuarios registrados del Servicio y (ii) los interesados cuyos datos personales aparezcan en grabaciones o transcripciones de reuniones subidas por nuestros usuarios.
1. Identidad del Responsable y del Encargado del Tratamiento
1.1. Sterck Strategy S.L., sociedad de nacionalidad española con CIF B67872648 y domicilio social en Av. Santuario de Valverde 83, 28049 Madrid (España), opera el Servicio. Contacto: pcano@sterck.es.
1.2. dataiko actúa en dos condiciones distintas según los datos que se traten:
- Responsable del Tratamiento respecto de los datos personales relativos a los usuarios registrados (datos de cuenta, perfil y operativos) y respecto de los datos que tratamos para fines propios como seguridad, facturación, analítica de uso del Servicio y administración contractual.
- Encargado del Tratamiento respecto de los datos personales contenidos en las grabaciones, transcripciones y análisis generados por IA subidos o creados a través del Servicio. En esa condición, nuestro cliente (el usuario registrado o la entidad a la que representa) actúa como Responsable del Tratamiento, y el tratamiento se rige por el Acuerdo de Encargo de Tratamiento disponible en [URL] o suscrito entre las partes.
2. Categorías de datos que tratamos
2.1. Datos de cuenta y onboarding (tratamos como Responsable)
Dirección de correo electrónico, nombre completo, contraseña (almacenada con un hash con sal —nunca en texto claro), nombre de la empresa, cargo, URL de perfil de LinkedIn (opcional), rol por defecto en reuniones, tipo de perfil (Vistage Chair, CEO, Comercial u Otro), preferencia de idioma, preferencias de evaluación (tono del feedback, respuestas en texto libre sobre tu visión de las reuniones eficaces, áreas de foco, líder que admiras y motivos), tamaño del grupo.
2.2. Datos de reuniones (tratamos como Encargado)
Grabaciones de audio, transcripciones de texto (subidas directamente o generadas a partir del audio), metadatos de la reunión (nombre, fecha, tipo, finalidad), nombres y cargos de los participantes proporcionados por ti, áreas de foco, vínculos a reuniones anteriores.
2.3. Datos generados por IA (tratamos como Encargado)
Transcripciones del audio, informes analíticos estructurados a través de varias lentes, perfiles conductuales y de participación, puntuaciones de eficacia, registros de decisiones, listas de acciones, borradores de correos de seguimiento, estimaciones de tiempos de intervención y descriptores de actitud asociados a participantes identificados nominalmente.
2.4. Datos técnicos y operativos (tratamos como Responsable)
Cookie de sesión que contiene el identificador de usuario y el estado de autenticación; logs estándar del servidor (dirección IP, agente de usuario, fecha y hora, recurso solicitado, código de respuesta); registros de error generados ante fallos de procesamiento; métricas agregadas de uso.
3. Origen de los datos
Los datos personales son facilitados directamente por ti cuando te registras y utilizas el Servicio, generados automáticamente por tu interacción con el Servicio o producidos por sistemas de IA actuando sobre los inputs que tú proporcionas. No enriquecemos tus datos con información obtenida de intermediarios de datos.
4. Finalidades y bases jurídicas
| Actividad de tratamiento | Finalidad | Base jurídica (art. 6 RGPD) |
|---|---|---|
| Registro de cuenta y autenticación | Prestación del Servicio | (b) Ejecución de contrato |
| Perfil y preferencias de onboarding | Personalizar la salida del análisis | (b) Ejecución de contrato |
| Transcripción de audio | Generar texto a partir del audio subido | (b) Ejecución de contrato (relación Responsable-Encargado) |
| Análisis con IA de transcripciones y elaboración de perfiles conductuales | Generar los informes analíticos que constituyen la salida principal del Servicio | (b) Ejecución de contrato (Responsable-Encargado) — para los participantes, la base legal del cliente documentada en el AET |
| Notificaciones por correo del procesamiento de reuniones | Comunicar al usuario que sus informes están listos | (b) Ejecución de contrato |
| Logs del servidor y monitorización de seguridad | Proteger el Servicio frente a abusos | (f) Interés legítimo en la seguridad |
| Analítica de uso para mejora del Servicio | Comprender el uso y mejorar el producto | (f) Interés legítimo en el desarrollo de producto |
| Comunicaciones de producto a usuarios existentes | Informar sobre nuevas funcionalidades | (f) Interés legítimo, con baja en cada mensaje |
| Comunicaciones comerciales a no clientes | Promoción del Servicio | (a) Consentimiento |
| Cumplimiento de obligaciones legales (fiscales, contables, requerimientos judiciales) | Cumplimiento normativo | (c) Obligación legal |
5. Elaboración de perfiles conductuales — información específica
5.1. El Servicio genera inferencias sobre los participantes en las reuniones, incluyendo nivel de implicación, descriptores de actitud, estimaciones de tiempos de intervención e indicadores de patrones de comportamiento. Estas inferencias se generan mediante un modelo de IA y son de naturaleza probabilística.
5.2. Hemos realizado una Evaluación de Impacto en la Protección de Datos (EIPD) que cubre este tratamiento. Las medidas de mitigación aplicadas incluyen: etiquetado visible "Generado por IA" en todas las salidas; prohibición expresa en los Términos del Servicio del uso del producto para decisiones de RR.HH. o disciplinarias; capacidad técnica para eliminar los datos de un participante a petición; y documentación interna de las limitaciones y sesgos conocidos del modelo.
5.3. El Servicio no utiliza estas inferencias para adoptar decisiones automatizadas que produzcan efectos jurídicos o significativos sobre los interesados en el sentido del artículo 22 RGPD. Toda decisión queda en manos del usuario.
6. Subencargados y destinatarios de los datos
Recurrimos a los siguientes subencargados para la prestación del Servicio. La lista vigente se publica también en [URL — página de subencargados] y se actualiza cuando los subencargados cambian.
| Subencargado | Finalidad | Categorías de datos | Ubicación |
|---|---|---|---|
| OpenAI, L.L.C. | Transcripción de audio (API Whisper) | Grabaciones de audio subidas por los usuarios | EE. UU. (con CCT de la UE) |
| Anthropic, PBC | Análisis de IA de transcripciones (API Claude) | Texto de la transcripción, contexto de perfil del usuario, nombres y cargos de los participantes | EE. UU. (con CCT de la UE) |
| Amazon Web Services EMEA SARL | Hosting en la nube (EC2) y almacenamiento de objetos (S3) | Datos de la aplicación, archivos de audio, base de datos, logs | Estocolmo, Suecia (eu-north-1) |
| [Proveedor SMTP — por confirmar] | Notificaciones por correo electrónico | Dirección de correo del usuario, nombre de la reunión, informe adjunto opcional | [Por confirmar] |
No vendemos datos personales ni los compartimos con terceros con fines publicitarios.
7. Transferencias internacionales
Los archivos de audio y las transcripciones se transmiten a OpenAI y a Anthropic, ambos con sede en los Estados Unidos. Estas transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y de las salvaguardas adicionales documentadas en nuestras Evaluaciones de Impacto en la Transferencia. Ambos proveedores se obligan contractualmente a no utilizar el Contenido del Cliente para entrenar sus modelos de uso general. El alojamiento de la aplicación y el almacenamiento de los archivos de audio se realiza en la Unión Europea (Suecia). Previa solicitud a pcano@sterck.es, facilitaremos copia de las CCT aplicables, con tachaduras razonables por motivos de confidencialidad.
8. Plazos de conservación
| Categoría | Plazo de conservación |
|---|---|
| Datos de cuenta | Durante la vigencia de la cuenta, más treinta (30) días tras su eliminación para permitir su recuperación, más copias archivadas en backups cifrados durante un máximo de noventa (90) días posteriores |
| Grabaciones de audio en AWS S3 | Hasta que finalice el procesamiento y el usuario haya tenido oportunidad razonable de descargar el informe; eliminadas a más tardar al cierre de la cuenta o antes a petición |
| Transcripciones y análisis de IA | Durante la vigencia de la cuenta, o hasta que el usuario los elimine reunión a reunión |
| Logs del servidor | Noventa (90) días en rotación |
| Cookies de sesión | Sesión del navegador — no persistente |
| Documentación contable y fiscal | Conforme a la normativa aplicable (típicamente seis años conforme al art. 30 del Código de Comercio) |
9. Tus derechos
Con sujeción a las condiciones y limitaciones del RGPD y de la LOPDGDD, tienes derecho a: (a) solicitar acceso a tus datos personales y obtener copia; (b) solicitar la rectificación de datos inexactos o incompletos; (c) solicitar la supresión en determinadas circunstancias; (d) solicitar la limitación del tratamiento en determinadas circunstancias; (e) oponerte al tratamiento basado en interés legítimo; (f) solicitar la portabilidad de los datos que nos hayas facilitado en formato estructurado y de uso común; (g) retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo; (h) presentar reclamación ante la Agencia Española de Protección de Datos (AEPD, https://www.aepd.es) o ante la autoridad de control de tu residencia habitual.
Para ejercer estos derechos, escribe a pcano@sterck.es. Responderemos en el plazo de un (1) mes, prorrogable por dos meses adicionales en casos complejos o numerosos, comunicándotelo en el plazo del primer mes con expresión de motivos. No se cobrará tasa por solicitudes razonables; las manifiestamente infundadas o excesivas podrán ser denegadas o cobrarse al coste razonable.
Si eres un participante en una reunión cuyos datos aparecen en una grabación subida por un usuario de dataiko, te rogamos dirijas en primer término tu solicitud al usuario que subió la grabación (Responsable del Tratamiento). Le prestaremos asistencia razonable. Si no consigues identificarlo o contactar con él, escríbenos a pcano@sterck.es y haremos lo posible por ayudarte.
10. Seguridad
Aplicamos medidas técnicas y organizativas apropiadas a los riesgos del tratamiento, incluyendo cifrado en tránsito (TLS), hash con sal de las contraseñas, controles de acceso, separación de roles administrativos y de usuario, registros de auditoría, almacenamiento de credenciales de API en el lado del servidor y actualización periódica de dependencias. Un resumen de nuestras medidas figura en el Anexo II del Acuerdo de Encargo de Tratamiento.
Ningún sistema es perfectamente seguro. Si detectas una vulnerabilidad o sospechas que tus datos pueden haberse visto afectados, te rogamos lo notifiques a pcano@sterck.es.
11. Cookies
dataiko utiliza una única cookie de sesión estrictamente necesaria para la autenticación y el mantenimiento del estado de inicio de sesión. Esta cookie es de origen propio, se elimina al cerrar el navegador y no requiere consentimiento en virtud del artículo 22.2 de la Ley 34/2002, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) y la Directiva ePrivacy. No utilizamos cookies publicitarias, analíticas ni de seguimiento de terceros. Más detalles en la Política de Cookies.
12. Menores
El Servicio está dirigido exclusivamente a usuarios B2B mayores de 18 años. No tratamos a sabiendas datos de menores. Si crees que un menor ha facilitado datos a través del Servicio, contacta con pcano@sterck.es.
13. Modificaciones de esta Política
Podemos actualizar esta Política de Privacidad de tiempo en tiempo. Los cambios materiales serán notificados a los usuarios registrados por correo electrónico y mediante aviso en producto. La referencia de versión y la fecha al inicio de la Política reflejarán siempre la versión vigente.
14. Contacto
Consultas o reclamaciones sobre esta Política o sobre nuestro tratamiento de datos: pcano@sterck.es. Dirección postal: Sterck Strategy S.L., Av. Santuario de Valverde 83, 28049 Madrid, España. Autoridad de control: Agencia Española de Protección de Datos · C/ Jorge Juan, 6, 28001 Madrid · https://www.aepd.es.
[Designación de DPD pendiente de evaluación antes del lanzamiento. La elaboración de perfiles conductuales de personas identificadas a escala probablemente activa la obligación del art. 37.1.b) RGPD. Si se designa DPD, esta sección se actualizará con sus datos de contacto.]