Política de privacidad (PP)

1. Introducción

Deskhero AB (“nosotros,” “nos,” o “nuestro“) se compromete a proteger la privacidad de las personas que utilizan nuestra plataforma de Software como Servicio (SaaS) (“Servicio“). Esta Política de privacidad explica cómo recopilamos, usamos, divulgamos y protegemos los datos personales cuando los Clientes, Usuarios y Clientes del Cliente interactúan con nuestro Servicio. Al utilizar el Servicio, usted acepta la recopilación y el uso de la información de acuerdo con esta Política de privacidad y nuestro Términos y condiciones.

2. Definiciones

• Cliente: Una empresa o entidad que haya celebrado un acuerdo con nosotros para utilizar el Servicio.
• Usuario: Un empleado o agente del Cliente autorizado para utilizar el Servicio.
• Cliente del Cliente: Una persona que interactúa con el Cliente a través del Servicio.
• Datos personales: Cualquier información relativa a una persona física identificada o identificable.
• Tratamiento: Cualquier operación realizada sobre Datos personales, como la recopilación, el uso, el almacenamiento o la divulgación.

3. Responsable del tratamiento y Encargado del tratamiento

• Clientes como responsables del tratamiento: Los Clientes son los responsables del tratamiento de los Datos personales de sus Usuarios y Clientes del Cliente. Ellos determinan los fines y los medios del tratamiento de dichos datos.
• Deskhero AB como encargado del tratamiento: Actuamos como encargado del tratamiento en nombre de los Clientes, tratando Datos personales de acuerdo con nuestro Acuerdo de Tratamiento de Datos (DPA).

4. Tipos de datos personales recopilados

4.1 Datos personales proporcionados por Clientes y Usuarios

Podemos recopilar los siguientes tipos de Datos personales de Clientes y Usuarios:

• Información de la cuenta: Nombres, direcciones de correo electrónico, números de teléfono, cargos y datos de la empresa.
• Datos de autenticación: Nombres de usuario y contraseñas.
• Información de facturación: Detalles de pago, direcciones de facturación y registros de transacciones.

4.2 Datos personales de los Clientes del Cliente

• Datos personales enviados por los Clientes del Cliente cuando interactúan con el Servicio, como solicitudes de soporte, datos de contacto y cualquier otra información proporcionada a través del Servicio.

4.3 Datos recopilados automáticamente

• Datos de uso: Información sobre cómo los Usuarios acceden y utilizan el Servicio, incluidas direcciones IP, tipos de navegador y sistemas operativos.
• Cookies y tecnologías similares: Información recopilada mediante cookies y tecnologías de seguimiento similares. (Consulte la Sección 12: Cookies y tecnologías similares)

4.4 Uso de datos de buzón de Google y Microsoft

Cuando conecte su buzón de Google o Microsoft (“Proveedor de buzón”) a Deskhero, solicitaremos su autorización (mediante OAuth2 u otros métodos seguros) para acceder, procesar y almacenar determinados datos de buzón con el fin de ofrecer funciones de helpdesk (p. ej., enviar y recibir tickets de soporte, rastrear el historial de conversaciones).

4.4.1. Datos recopilados

• Contenido del buzón: Correos electrónicos, archivos adjuntos, metadatos (líneas de asunto, marcas de tiempo, direcciones de remitente/destinatario).
• Información de la cuenta del usuario: Tokens o credenciales relevantes necesarios para enviar y recibir correos electrónicos en su nombre.

4.4.2. Finalidad del tratamiento

• Gestión de tickets de soporte: Convertir automáticamente los correos entrantes en tickets de soporte dentro de Deskhero.
• Respuestas salientes: Enviar respuestas desde su buzón conectado, garantizando una experiencia de correo electrónico fluida para sus clientes o usuarios finales.
• Historial de conversaciones: Almacenar y mostrar hilos de correo electrónico y archivos adjuntos en Deskhero para proporcionar contexto a los casos de soporte en curso.

4.4.3. Divulgación de datos de buzón

• Sin venta de datos: Nosotros no vendemos ni compartimos sus datos de buzón con terceros para fines publicitarios o de marketing.

• Subprocesadores autorizados:
• Solo compartimos datos de buzón con el conjunto limitado de subprocesadores enumerados en nuestro Record of Processing Activities (RoPA) estrictamente cuando sea necesario para proporcionar o mejorar nuestro Servicio (p. ej., análisis de virus, almacenamiento o entrega de correos electrónicos).
• Estos subprocesadores están contractualmente obligados a cumplir obligaciones de protección de datos no menos estrictas que las de nuestro Acuerdo de Tratamiento de Datos.
• Requisitos legales o reglamentarios: Podemos divulgar datos si así lo exige la ley, la normativa o una orden judicial.

4.4.4. Medidas de protección y seguridad de datos

Consideramos los datos de buzón como confidenciales y aplicamos sólidos controles técnicos y organizativos, que incluyen:

• Cifrado: Todos los datos del buzón se cifran en tránsito (TLS) y en reposo (AES-256 o equivalente).
• Controles de acceso: Solo el personal autorizado con una necesidad legítima puede acceder a sus datos de buzón. Todo acceso se registra y se supervisa.
• Respuesta a incidentes: Mantenemos un plan detallado de respuesta a incidentes para abordar cualquier evento de seguridad sospechoso.
• Salvaguardias adicionales: Para obtener una descripción completa, consulte nuestra Medidas técnicas y organizativas (TOM).

4.4.5. Retención y eliminación

• Uso activo: Conservamos sus datos de buzón mientras mantenga una cuenta de Deskhero y mantenga activa la integración del buzón, a fin de facilitar la creación de tickets de soporte, las respuestas y la referencia histórica.
• Desconexión o cierre de cuenta:
• Si revoca la integración de su buzón o cierra su cuenta de Deskhero, eliminaremos todos los datos de buzón asociados de nuestros sistemas activos en un plazo de 30 días, sujeto a los requisitos legales de retención.
• Cualquier dato residual en las copias de seguridad se elimina automáticamente de forma continua en el plazo de un (1) año, de acuerdo con nuestras políticas de retención de copias de seguridad.

• Solicitudes de eliminación anticipada: Puede solicitar la eliminación anticipada de los datos de buzón contactándonos en [privacy@deskhero.com]. Atenderemos dichas solicitudes salvo que la ley o necesidades comerciales legítimas (p. ej., obligaciones legales en curso) lo impidan.

4.4.6 Cumplimiento de las políticas de datos del proveedor de integración y restricciones de IA/ML

El uso que Deskhero hace de los datos obtenidos a través de integraciones con servicios de terceros —por ejemplo, Google Workspace APIs y Microsoft Graph/Microsoft 365— se rige por las políticas de desarrollador y reglas de privacidad de cada proveedor.

• Sin entrenamiento de modelos IA/ML generalizados – No utilizamos, conservamos ni transferimos ningún dato de usuario procedente de integraciones para desarrollar, mejorar o entrenar modelos de aprendizaje automático o inteligencia artificial generalizados (no personalizados).
• Modelos limitados al Cliente únicamente – Cualquier función de aprendizaje automático que ofrezcamos se entrena exclusivamente con los datos del Cliente individual dentro de su propio entorno; los datos nunca se agregan entre Clientes ni se comparten con servicios externos de IA/ML.
• Limitaciones de acceso humano – El acceso humano a los datos de integración se limita a las circunstancias mínimas (p. ej., seguridad o soporte) descritas en esta Política y nunca para el desarrollo de modelos de IA/ML.
• Declaración de política afirmativa – El uso que Deskhero hace de la información recibida de Google Workspace APIs se ajusta a la Política de datos de usuario de los Servicios de API de Google, incluidos sus requisitos de Uso limitado, y aplicamos los mismos principios a todas las demás integraciones de proveedores, como Microsoft Graph.

5. Finalidad y base jurídica del tratamiento

5.1 Prestación del Servicio

• Finalidad: Operar y proporcionar las funciones del Servicio.
• Base jurídica: Ejecución de un contrato (RGPD artículo 6(1)(b)).

5.2 Comunicación

• Finalidad: Comunicarnos con Clientes y Usuarios sobre el Servicio, incluidos soporte y actualizaciones.
• Base jurídica: Ejecución de un contrato e intereses legítimos (RGPD artículos 6(1)(b) y 6(1)(f)).

5.3 Cumplimiento y obligaciones legales

• Finalidad: Cumplir con obligaciones legales y responder a solicitudes legítimas.
• Base jurídica: Cumplimiento de obligaciones legales (RGPD artículo 6(1)(c)).

5.4 Mejora y analítica

• Finalidad: Analizar el uso y mejorar el Servicio.
• Base jurídica: Intereses legítimos (RGPD artículo 6(1)(f)). Cuando la ley lo exige, obtenemos consentimiento.

6. Derechos del interesado

Las personas tienen los siguientes derechos respecto a sus Datos personales:

• Derecho de acceso: Obtener confirmación y acceso a sus Datos personales.
• Derecho de rectificación: Solicitar la corrección de Datos personales inexactos.
• Derecho de supresión: Solicitar la eliminación de Datos personales en determinadas circunstancias.
• Derecho a la limitación del tratamiento: Solicitar la limitación del tratamiento en determinadas circunstancias.
• Derecho a la portabilidad de datos: Recibir sus Datos personales en un formato estructurado y de uso común.
• Derecho de oposición: Oponerse al tratamiento basado en intereses legítimos.
• Derecho a retirar el consentimiento: Retirar el consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento.

Ejercicio de derechos

• Clientes y Usuarios: Pueden contactarnos en privacy@deskhero.com para ejercer sus derechos.
• Clientes del Cliente: Deben contactar directamente al Cliente (responsable del tratamiento) para ejercer sus derechos. Ayudaremos a los Clientes a responder dichas solicitudes según lo establecido en nuestro DPA.

7. Divulgación de Datos personales

Podemos divulgar Datos personales a:

• Subprocesadores: Proveedores de servicios de terceros que ayudan a prestar el Servicio. (Consulte la Sección 8)
• Autoridades legales y regulatorias: Cuando lo exija la ley o para proteger nuestros derechos.
• Transferencias comerciales: En relación con fusiones, adquisiciones o ventas de activos.

8. Subprocesadores

Utilizamos Subprocesadores de terceros para respaldar la prestación de nuestro Servicio. La lista de Subprocesadores actuales está disponible en nuestro Registro de actividades de tratamiento (RoPA) y se actualizará cuando sea necesario. Nos aseguramos de que todos los Subprocesadores estén sujetos a obligaciones de protección de datos coherentes con esta Política de privacidad y las leyes aplicables.

9. Transferencias internacionales de datos

Los Datos personales pueden transferirse a países fuera de la Unión Europea (UE) o del Espacio Económico Europeo (EEE) que pueden tener leyes de protección de datos diferentes. Nos aseguramos de que existan las salvaguardias adecuadas, tales como:

• Cláusulas contractuales tipo (SCC): Uso de SCC aprobadas por la Comisión Europea. Consulte nuestro Acuerdo de Tratamiento de Datos (DPA) para más detalles.
• Decisiones de adecuación: Transferir a países reconocidos por la Comisión Europea como proveedores de un nivel adecuado de protección de datos.

10. Medidas de seguridad

Implementamos medidas técnicas y organizativas adecuadas para proteger los Datos personales contra el acceso, la alteración, la divulgación o la destrucción no autorizados. Estas medidas incluyen:

• Cifrado: Cifrado de datos en tránsito y en reposo.
• Controles de acceso: Restricción del acceso al personal autorizado.
• Evaluaciones periódicas: Realización de evaluaciones y auditorías de seguridad periódicas.

Para información detallada, consulte nuestro Medidas técnicas y organizativas (TOM) documento.

11. Retención de datos

Conservamos los Datos personales solo durante el tiempo necesario para cumplir los fines para los que se recopilaron, incluidos requisitos legales, contables o de informes.

• Clientes y Usuarios: Los Datos personales se conservan durante la vigencia del Acuerdo y según lo exija la ley.
• Clientes del Cliente: Los Datos personales se conservan según las instrucciones del Cliente o según lo exija la ley.

Tras la terminación del Acuerdo, los Datos personales se eliminarán o anonimizarán de acuerdo con nuestro DPA y nuestras políticas de retención de datos.

12. Cookies y tecnologías similares

Utilizamos cookies y tecnologías similares para mejorar la experiencia del Usuario. Las cookies son pequeños archivos de texto que se almacenan en su dispositivo cuando visita nuestro Servicio.

12.1 Tipos de cookies utilizadas

• Cookies esenciales: Necesarias para el funcionamiento del Servicio.
• Cookies analíticas: Nos ayudan a entender cómo se utiliza el Servicio.

12.2 Gestión de cookies

Los Usuarios pueden gestionar las preferencias de cookies a través de la configuración de su navegador. Deshabilitar las cookies puede afectar la funcionalidad del Servicio.

Para más información, consulte nuestra Política de cookies

13. Cambios en esta Política de privacidad

13.1 Notificación de cambios

Podemos actualizar esta Política de privacidad periódicamente. Notificaremos a Clientes y Usuarios los cambios significativos mediante:

• Enviando un correo electrónico a la dirección registrada.
• Mostrando un aviso en el próximo inicio de sesión en el Servicio.

13.2 Aceptación de los cambios

El uso continuado del Servicio después de que se hayan realizado cambios constituye la aceptación de la Política de privacidad actualizada. Si no está de acuerdo con los cambios, puede cerrar su cuenta.

14. Información de contacto

Para cualquier pregunta o inquietud relacionada con esta Política de privacidad o nuestras prácticas de datos, contacte a nuestro Responsable de protección de datos (DPO):

• Nombre: Klas Karlsson
• Correo electrónico: dpo@deskhero.com
• Teléfono: +46 70 601 13 22

15. Reclamaciones

Si considera que nuestro tratamiento de Datos personales infringe las leyes de protección de datos aplicables, tiene derecho a presentar una reclamación ante una autoridad de control en su país o en Suecia.

16. Ley aplicable

Esta Política de privacidad se rige e interpreta de conformidad con las leyes de Suecia.

Al utilizar el Servicio, los Clientes, Usuarios y Clientes del Cliente reconocen que han leído y comprendido esta Política de privacidad.