POLÍTICA DE PRIVACIDAD B2B - GRUPO PRAXON (TALQO)

Tratamiento de Datos Personales de Empresas Clientes

Última actualización: 12 de noviembre de 2025 Versión: 2.0

1. INTRODUCCIÓN

Esta Política de Privacidad explica cómo GRUPO PRAXON (en adelante, "nosotros", "nuestro" o "Grupo Praxon") trata los datos personales de las empresas clientes que contratan la plataforma Talqo, en nuestro rol de Responsable del Tratamiento.

Esta política se aplica exclusivamente a:

  • Datos corporativos de las empresas clientes
  • Datos personales de administradores y usuarios de las empresas clientes
  • Datos de uso de la plataforma Talqo

Esta política NO se aplica a:

  • Datos de los usuarios finales (clientes de nuestros clientes), que se rigen por el Acuerdo de Encargo de Tratamiento (DPA) integrado en nuestros Términos y Condiciones de Servicio, donde Grupo Praxon actúa como Encargado del Tratamiento

1.1. Aclaración sobre el concepto de "Empresa" en Talqo

En el contexto de la plataforma Talqo, el término "Empresa" no se refiere necesariamente a la entidad jurídica del cliente, sino a configuraciones independientes de inteligencia artificial.

Características del sistema multi-empresa:

  • 🏢 Un usuario puede pertenecer a múltiples "Empresas" simultáneamente (diferentes configuraciones de IA)
  • 🔒 Cada "Empresa" tiene sus propios datos aislados, configuraciones, suscripción y energía
  • 📊 Cada "Empresa" paga su propia suscripción de forma independiente
  • 👤 Un mismo usuario puede tener diferentes roles en cada "Empresa" (administrador en una, usuario estándar en otra)

Implicaciones para la protección de datos:

  • Los datos están segregados por "Empresa" (configuración de IA), no por persona jurídica
  • Un usuario que pertenece a múltiples "Empresas" verá sus datos de contacto replicados en cada una
  • Responsabilidad del usuario: El usuario es responsable de verificar en qué "Empresa" está trabajando al compartir información

A lo largo de esta Política de Privacidad:

  • Cuando mencionamos "empresa cliente" nos referimos a la entidad jurídica que contrata con Grupo Praxon
  • Cuando mencionamos "Empresa" (con mayúscula) nos referimos a la configuración de IA dentro de la plataforma

2. RESPONSABLE DEL TRATAMIENTO

GRUPO PRAXON

Grupo Praxon no ha designado un Delegado de Protección de Datos (DPD) al no estar obligada legalmente a ello según el Art. 37 RGPD, ya que:

  • No es autoridad u organismo público
  • Las actividades principales no requieren observación sistemática a gran escala
  • No se tratan categorías especiales de datos a gran escala

Para cualquier consulta sobre protección de datos, puede contactar directamente con nosotros en: contacto@talqo.com

3. DATOS PERSONALES QUE RECOPILAMOS

Recopilamos las siguientes categorías de datos personales de nuestros clientes:

3.1. Datos de la Persona Jurídica (Empresa Cliente)

  • Denominación social y forma jurídica
  • Número de identificación fiscal (NIF/CIF)
  • Domicilio social (dirección completa)
  • Sector de actividad empresarial
  • Tamaño de la empresa (número de empleados, facturación)

3.2. Datos Identificativos y de Contacto de Representantes

Datos de las personas físicas que representan a la empresa cliente:

Administrador Principal de la Cuenta:

  • Nombre y apellidos
  • Dirección de correo electrónico profesional
  • Número de teléfono móvil (obligatorio) - requerido para verificación mediante SMS
  • Estado de verificación de email (verificado/no verificado)
  • Estado de verificación de teléfono (verificado/no verificado)
  • Cargo o posición en la empresa
  • Fotografía de perfil (opcional)

Usuarios Adicionales de la Empresa:

  • Nombre y apellidos
  • Dirección de correo electrónico profesional
  • Número de teléfono móvil (obligatorio) - requerido para verificación mediante SMS
  • Estado de verificación de email y teléfono
  • Rol asignado en la plataforma (administrador, usuario estándar, solo lectura)
  • Permisos granulares configurados
  • Pertenencia a múltiples empresas: Registro de todas las empresas (configuraciones de IA) a las que pertenece el usuario y su rol en cada una

3.2A. Datos del Sistema de Invitaciones a Empresas

Invitaciones enviadas:

  • Dirección de correo electrónico del invitado
  • Nombre del invitado (si se proporciona)
  • Código de invitación generado
  • Fecha de envío de la invitación
  • Estado de la invitación (pendiente, aceptada, rechazada, expirada)
  • Empresa a la que se invita
  • Rol propuesto para el invitado

Solicitudes de acceso recibidas:

  • Dirección de correo electrónico del solicitante
  • Nombre del solicitante
  • Código de invitación utilizado (si aplica)
  • Fecha de la solicitud
  • Estado de la solicitud (pendiente, aprobada, rechazada)

Importante: En caso de invitaciones o solicitudes rechazadas, los datos personales del solicitante se eliminan inmediatamente tras la notificación del rechazo.

3.3. Datos Económicos y de Facturación

  • Datos de tarjeta bancaria procesados por Stripe (almacenados exclusivamente por Stripe, no por Grupo Praxon)
  • Historial de facturas emitidas (incluye facturas de suscripciones y compras de energía)
  • Historial de pagos y estado de cobros
  • Plan de suscripción contratado (Free, Básico, Profesional, Empresarial)
  • Sistema de energía: Consumo de energía mensual y energía permanente, historial de compras de paquetes de energía
  • Métodos de pago utilizados (tarjeta, Link, Apple Pay, Google Pay, Amazon Pay, etc.)
  • Customer ID de Stripe: Identificador del cliente en el sistema de Stripe (para gestión de pagos recurrentes y facturación)

3.4. Datos de Conexión y Uso de la Plataforma

Datos técnicos de acceso:

  • Dirección IP desde la que se accede a la plataforma
  • Tipo de navegador y versión
  • Sistema operativo y dispositivo utilizado
  • Resolución de pantalla y configuración regional
  • Fecha y hora de cada acceso

Datos de actividad en la plataforma:

  • Logs de actividad: Registro detallado de todas las acciones realizadas (fecha, hora, usuario, acción específica)
  • Funcionalidades utilizadas: Qué módulos y características se usan más frecuentemente
  • Configuraciones realizadas: Cambios en system prompts, documentos de IA, permisos de usuario, etc.
  • Dispositivos confiables registrados: Listado de dispositivos desde los que se ha accedido

Métricas de uso:

  • Número de conversaciones gestionadas por período
  • Volumen de mensajes de IA consumidos
  • Número de contactos almacenados
  • Número de documentos subidos
  • Número de citas creadas
  • Estadísticas de rendimiento del chatbot

3.5. Datos de Soporte y Comunicaciones

  • Contenido de comunicaciones con nuestro equipo de soporte (emails, tickets, chats)
  • Registros de incidencias reportadas
  • Historial de consultas técnicas o comerciales
  • Feedback y valoraciones sobre el servicio

4. FINALIDADES DEL TRATAMIENTO Y BASES DE LEGITIMACIÓN

Tratamos sus datos personales para las siguientes finalidades, cada una con su correspondiente base legal conforme al Art. 6.1 del RGPD:

#Finalidad del TratamientoBase de Legitimación¿Es obligatorio proporcionar los datos?
1Gestionar la relación contractual: Crear y mantener su cuenta, gestionar usuarios, prestar los servicios de la plataforma Talqo según el plan contratado, administrar el sistema de energía (consumo mensual y permanente), gestionar pertenencia a múltiples Empresas (configuraciones de IA)Ejecución del contrato (Art. 6.1.b RGPD)✅ Sí. Sin estos datos no podemos prestar el servicio
1AVerificación de identidad y seguridad de la cuenta: Verificación obligatoria de número de teléfono móvil mediante código SMS (Firebase Authentication) y verificación de dirección de correo electrónicoEjecución del contrato (Art. 6.1.b RGPD) + Interés legítimo (Art. 6.1.f RGPD) - Prevención de fraude y cuentas falsas✅ Sí. Sin verificación de teléfono no se puede usar la plataforma
2Facturación y cobros: Emitir facturas, procesar pagos mediante Stripe, gestionar suscripciones recurrentes, procesar compras de paquetes de energía permanente, gestionar impagos, llevar la contabilidadCumplimiento de obligación legal (Art. 6.1.c RGPD) - Normativa fiscal y mercantil española✅ Sí. Obligación legal
3Comunicaciones relacionadas con el servicio: Notificaciones técnicas, actualizaciones de la plataforma, avisos de mantenimiento, cambios en términos y condiciones, alertas de seguridad, notificaciones transaccionales de invitaciones a Empresas y solicitudes de acceso (emails desde no-reply@talqo.es vía Hostinger SMTP)Ejecución del contrato (Art. 6.1.b RGPD)✅ Sí. Necesarias para la correcta prestación del servicio
4Comunicaciones comerciales sobre productos similares: Información sobre nuevas funcionalidades de Talqo, planes de suscripción mejorados, servicios adicionales, eventos o promociones relacionadas con la plataformaInterés legítimo (Art. 6.1.f RGPD) - Promoción de servicios similares a clientes actuales❌ No. Puede oponerse fácilmente mediante el enlace de baja en cada email
5Análisis estadístico y mejora del servicio: Analizar el uso de la plataforma para identificar mejoras, detectar errores, optimizar funcionalidades, desarrollar nuevas características, realizar benchmarks del sectorInterés legítimo (Art. 6.1.f RGPD) - Mejora continua del servicio❌ No. Se utilizan datos agregados y anonimizados cuando es posible
6Seguridad de la plataforma y prevención de fraude: Detectar usos indebidos, prevenir fraude, proteger la integridad del sistema, investigar incidentes de seguridad, prevenir ataques cibernéticosInterés legítimo (Art. 6.1.f RGPD) - Protección de sistemas y datos✅ Sí. Necesario para mantener la seguridad
7Cumplimiento de obligaciones legales: Atender requerimientos de autoridades públicas (AEPD, tribunales, Agencia Tributaria), cumplir con auditorías legales o fiscalesCumplimiento de obligación legal (Art. 6.1.c RGPD)✅ Sí. Obligación legal
8Defensa jurídica: Ejercer o defender reclamaciones legales, gestionar litigios, demostrar cumplimiento contractualInterés legítimo (Art. 6.1.f RGPD) - Ejercicio o defensa de reclamaciones❌ No, pero puede ser necesario conservarlos bloqueados por plazos legales
9Atención de solicitudes de información comercial: Responder a consultas previas a la contratación, enviar demos, proporcionar información sobre planesMedidas precontractuales (Art. 6.1.b RGPD) o Consentimiento (Art. 6.1.a RGPD) si no hay intención clara de contratar❌ No. Voluntario si solicita información

Ponderación de Intereses Legítimos

Cuando el tratamiento se basa en nuestro interés legítimo, hemos realizado una evaluación ponderada para verificar que:

✅ El tratamiento es necesario para lograr el fin perseguido ✅ No existe una alternativa menos intrusiva razonable ✅ El interés legítimo prevalece sobre los derechos del interesado ✅ El tratamiento es predecible y transparente para el interesado ✅ Se implementan salvaguardas para proteger los derechos del interesado

Puede oponerse a cualquier tratamiento basado en interés legítimo en cualquier momento (ver sección 8).

5. PLAZOS DE CONSERVACIÓN DE DATOS

Los datos personales se conservarán durante los siguientes plazos, según la finalidad:

Categoría de DatosPlazo de ConservaciónJustificación
Datos de cuenta y contractuales (información de empresa, usuarios, configuraciones)Durante la vigencia de la relación contractual + 30 días naturales tras la finalización o baja de la cuentaPeriodo de gracia para reactivación de cuenta y resolución de incidencias finales
Datos de verificación (email, teléfono móvil, códigos SMS)Durante la vigencia de la cuenta como usuario activoNecesarios para autenticación y seguridad de la cuenta
Datos del sistema de invitaciones (invitaciones aceptadas)Durante la vigencia de la cuenta del invitadoRegistro de origen del acceso a la empresa
Datos de invitaciones rechazadasEliminación inmediata tras el rechazoNo existe finalidad legítima para conservarlos
Datos de facturación y contabilidad (facturas, pagos, Customer ID Stripe)6 años desde la última anotación contableObligación legal: Art. 30 Código de Comercio + normativa fiscal (IRPF, IS, IVA)
Datos de uso y logs de actividad12 meses desde la generaciónFinalidades de seguridad, análisis y auditoría. Posteriormente se anonimizan o eliminan
Comunicaciones de soporte técnicoDurante la vigencia del contrato + 2 añosResolución de incidencias recurrentes y mejora del servicio
Comunicaciones comerciales (si no se opone)Hasta que ejerza su derecho de oposición o cancele la cuentaMientras exista interés legítimo y no se oponga
Datos para defensa legal5 años desde la finalización del litigio o hasta la prescripción de accionesEjercicio o defensa de reclamaciones

Criterios de Determinación de Plazos

Los plazos se determinan en función de:

  • Obligaciones legales de conservación (fiscal, mercantil, laboral)
  • Plazos de prescripción de acciones legales
  • Necesidad técnica para la prestación del servicio
  • Principio de minimización (Art. 5.1.c RGPD): solo se conservan el tiempo estrictamente necesario

Supresión o Anonimización

Transcurridos los plazos establecidos:

  • Los datos serán eliminados de forma segura (sobrescritura múltiple, destrucción de claves de cifrado)
  • O bien anonimizados de forma irreversible (de modo que sea imposible re-identificar al interesado)
  • Salvo obligación legal de conservación más prolongada

6. DESTINATARIOS DE LOS DATOS (ENCARGADOS DEL TRATAMIENTO)

Sus datos personales pueden ser comunicados a las siguientes categorías de destinatarios, todos ellos actuando como Encargados del Tratamiento por cuenta de Grupo Praxon:

6.1. Proveedores de Infraestructura y Tecnología

EncargadoServicio PrestadoUbicación de DatosTransferencia Internacional
Google Cloud Platform (Google LLC)Hosting de la plataforma, almacenamiento de datos, base de datos Firestore, servicios de computaciónEspaña (Madrid) - Región europe-southwest1❌ No. Datos en UE
Google Workspace (Google LLC)Servicio de correo electrónico corporativo (contacto@talqo.com)UE❌ No

6.2. Servicios de Pago y Facturación

EncargadoServicio PrestadoUbicaciónTransferencia Internacional
Stripe, Inc.Procesamiento de pagos con tarjeta y métodos digitales (Link, Apple Pay, Google Pay, Amazon Pay, Bancontact, Blik, EPS, Klarna, Revolut Pay), gestión de suscripciones recurrentes, emisión automática de facturas, Portal de Cliente para autogestión, tokenización segura de tarjetasEstados Unidos y UE (infraestructura distribuida)⚠️ Sí - Ver sección 7.3
Entidades bancarias (según el cliente)Procesamiento de transferencias bancarias SEPA, gestión de cobrosEspaña/UE❌ No

6.2A. Servicios de Comunicación y Verificación

EncargadoServicio PrestadoUbicaciónTransferencia Internacional
Hostinger (Hostinger International Ltd.)Servicio SMTP para envío de emails transaccionales (invitaciones a empresas, notificaciones de acceso, verificación de email) desde no-reply@talqo.esUE (Lituania)❌ No
Firebase Authentication (Google LLC)Verificación de números de teléfono móvil mediante códigos SMS (One-Time Password), autenticación de usuariosEstados Unidos y UE⚠️ Sí - Ver sección 7.4

6.3. Proveedores de Servicios Empresariales

EncargadoServicio PrestadoUbicaciónTransferencia Internacional
Asesoría fiscal y contableCumplimiento de obligaciones tributarias, llevanza de contabilidadEspaña❌ No
Asesoría legalAsesoramiento jurídico, gestión de contratos, defensa legalEspaña❌ No

6.4. Herramientas de Análisis

EncargadoServicio PrestadoUbicaciónTransferencia Internacional
Google AnalyticsAnálisis de uso del sitio web corporativo talqo.es (solo datos agregados y anonimizados)Estados Unidos⚠️ Sí (ver sección 7)

6.5. Garantías de los Encargados

Todos los Encargados del Tratamiento:

  • Están contractualmente obligados a tratar los datos únicamente conforme a nuestras instrucciones
  • Deben implementar medidas de seguridad técnicas y organizativas apropiadas
  • Están sujetos a obligaciones de confidencialidad
  • Solo pueden subcontratar con nuestra autorización previa

No realizamos cesiones de datos a terceros con fines distintos a la prestación del servicio contratado.

No vendemos datos de nuestros clientes a terceros bajo ninguna circunstancia.

7. TRANSFERENCIAS INTERNACIONALES DE DATOS

7.1. ¿Se Transfieren Datos Fuera de la UE?

En general, NO. La inmensa mayoría de los datos de nuestros clientes se almacenan y procesan exclusivamente en la Unión Europea, específicamente en servidores de Google Cloud ubicados en Madrid, España (región europe-southwest1).

7.2. Excepción: Google Analytics (Sitio Web Corporativo)

Únicamente para el análisis del sitio web corporativo talqo.es (no de la plataforma de clientes), utilizamos Google Analytics, que puede implicar transferencias a Estados Unidos.

Datos transferidos:

  • Dirección IP (anonimizada)
  • Páginas visitadas en talqo.es
  • Tiempo de navegación
  • Origen del tráfico (Google, redes sociales, directo)
  • Tipo de dispositivo y navegador

⚠️ Importante: Estos datos NO incluyen información de cuentas de clientes, conversaciones, contactos ni ningún dato de la plataforma Talqo. Solo se refieren a la navegación pública en el sitio web de marketing.

Garantía de la transferencia:

Google LLC (operador de Google Analytics) está certificada en el Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework - DPF), que ha sido reconocido por la Comisión Europea mediante Decisión de Adecuación 2023/1795 como mecanismo que garantiza un nivel adecuado de protección de datos.

Verificación:

Medidas adicionales:

  • Anonimización de IPs activada
  • Uso de Google Analytics 4 con controles de privacidad mejorados
  • Desactivación de funciones de publicidad y remarketing
  • Periodo de retención de datos limitado a 14 meses

7.3. Transferencias para Procesamiento de Pagos (Stripe)

Stripe, Inc. procesa pagos con tarjeta, suscripciones y facturación, lo que implica transferencias internacionales a Estados Unidos.

Datos transferidos a Stripe:

  • Nombre y email del administrador de la cuenta
  • Datos de tarjeta bancaria (tokenizados)
  • Dirección de facturación
  • Historial de pagos y facturas
  • Customer ID de Stripe

Garantías de la transferencia:

Data Privacy Framework (DPF) UE-EE.UU.: Stripe está certificado en el Marco de Privacidad de Datos, reconocido por la Comisión Europea mediante Decisión de Adecuación 2023/1795.

PCI-DSS Level 1: Stripe cuenta con la certificación PCI-DSS Level 1, el estándar más alto de seguridad para procesamiento de pagos con tarjeta.

Verificación:

7.4. Transferencias para Verificación de Teléfono (Firebase Authentication)

Firebase Authentication (Google LLC) procesa la verificación de números de teléfono mediante SMS, lo que puede implicar transferencias a Estados Unidos.

Datos transferidos a Firebase Auth:

  • Número de teléfono móvil
  • Códigos de verificación SMS (OTP)
  • Dirección IP desde la que se solicita la verificación

Garantías de la transferencia:

Data Privacy Framework (DPF) UE-EE.UU.: Google LLC está certificado en el Marco de Privacidad de Datos UE-EE.UU.

Verificación:

7.5. Sin Transferencias de Datos Core de la Plataforma

Los datos principales que procesa la plataforma Talqo (cuentas, usuarios, configuraciones, conversaciones, contactos, documentos, métricas) NO se transfieren fuera del Espacio Económico Europeo.

Permanecen almacenados en Google Cloud - Madrid (UE) durante todo su ciclo de vida.

Única excepción: Procesamiento de pagos (Stripe) y verificación de teléfono (Firebase Auth) según se describe en las secciones 7.3 y 7.4.

7A. TRATAMIENTO DE DATOS MEDIANTE INTELIGENCIA ARTIFICIAL (IA)

7A.1. Uso de Modelos de IA de OpenAI

Talqo utiliza modelos de lenguaje de OpenAI (GPT-4, GPT-4o, etc.) para procesar las conversaciones y proporcionar respuestas inteligentes a los usuarios finales de nuestros clientes.

Importante sobre esta política:

Esta sección NO se refiere a los datos de los usuarios finales (clientes de nuestros clientes), que están cubiertos por el Acuerdo de Encargo de Tratamiento (DPA) en nuestros Términos y Condiciones de Servicio (Sección 8).

Esta sección se refiere únicamente a los datos de cuenta de empresas clientes (nombre, email, configuraciones de IA, prompts del sistema) que nosotros, como Responsables del Tratamiento, podemos enviar a OpenAI.

7A.2. Uso de Datos por OpenAI para Entrenamiento

Política actual de OpenAI:

Según la política de OpenAI, los datos enviados a través de su API pueden ser utilizados por OpenAI para entrenar y mejorar sus modelos de IA, salvo que el cliente tenga un acuerdo específico de opt-out.

🔴 Grupo Praxon actualmente NO tiene un acuerdo de opt-out con OpenAI.

Por tanto:

  • Los datos de configuración de cuenta (prompts del sistema, nombres de empresas) enviados a OpenAI pueden ser utilizados por OpenAI para entrenar sus modelos.
  • No se envían datos de pago ni datos sensibles a OpenAI.

Datos que pueden ser procesados por OpenAI:

  • Nombres de configuraciones de IA
  • System prompts personalizados
  • Nombres de empresas (configuraciones de IA)
  • Metadatos de uso (frecuencia, tipo de consultas)

Datos que NO se envían a OpenAI:

  • Datos de tarjetas bancarias
  • Números de teléfono móvil
  • Contraseñas
  • Tokens de autenticación

7A.3. Planes Futuros de Grupo Praxon

Importante: Grupo Praxon está planificando utilizar datos anonimizados de uso de la plataforma para entrenar modelos propietarios de IA en el futuro.

Esta funcionalidad:

  • Aún no está implementada
  • Se notificará a los clientes con al menos 60 días de antelación antes de su activación
  • Se actualizará esta Política de Privacidad antes de su implementación
  • Los clientes tendrán la opción de oponerse a que sus datos anonimizados se utilicen para este fin

7A.4. Medidas de Protección

Para minimizar los riesgos asociados al uso de IA:

No enviamos datos sensibles a OpenAI (no tarjetas, no contraseñas, no teléfonos) ✅ Cifrado en tránsito (TLS 1.3) en todas las comunicaciones con OpenAI ✅ Monitorización de las comunicaciones con APIs de IA ✅ Revisión continua de las políticas de privacidad de OpenAI

Ubicación de OpenAI:

  • OpenAI, Inc. - Estados Unidos
  • Transferencia garantizada mediante Data Privacy Framework (DPF) UE-EE.UU.

Verificación:

8. DERECHOS DE LOS INTERESADOS

Como titular de datos personales, usted (o sus usuarios/administradores) tienen los siguientes derechos reconocidos por el RGPD:

8.1. Catálogo de Derechos

DerechoArtículo RGPDDescripción
AccesoArt. 15Obtener confirmación de si tratamos sus datos y, en su caso, acceder a ellos y recibir una copia
RectificaciónArt. 16Solicitar la corrección de datos inexactos o incompletos
Supresión ("Derecho al olvido")Art. 17Solicitar la eliminación de sus datos cuando ya no sean necesarios, haya retirado su consentimiento, se oponga al tratamiento o el tratamiento sea ilícito
OposiciónArt. 21Oponerse al tratamiento de sus datos basado en interés legítimo (ej: comunicaciones comerciales, análisis estadísticos)
Limitación del tratamientoArt. 18Solicitar la suspensión temporal del tratamiento en determinadas circunstancias (ej: mientras se verifica la exactitud de los datos o la procedencia del tratamiento)
PortabilidadArt. 20Recibir sus datos en formato estructurado, de uso común y lectura mecánica (CSV, JSON), y transmitirlos a otro responsable cuando el tratamiento se base en consentimiento o contrato y se realice por medios automatizados
No ser objeto de decisiones automatizadasArt. 22Derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o afecten significativamente

8.2. Cómo Ejercer Sus Derechos

Puede ejercer cualquiera de estos derechos de forma gratuita mediante:

📧 Correo electrónico a: contacto@talqo.com Asunto: "Ejercicio de Derechos RGPD"

📬 Correo postal a: GRUPO PRAXON Calle Doctrinos Nº20, 2ºC 47001 Valladolid, España

Información a incluir en su solicitud:

  1. Nombre completo y email asociado a la cuenta
  2. Derecho que desea ejercer (acceso, rectificación, supresión, etc.)
  3. Motivos de la solicitud (si procede, para derechos de oposición o limitación)
  4. Copia de DNI/NIE/Pasaporte o documento identificativo válido (para verificar su identidad)

8.3. Plazo de Respuesta

Responderemos a su solicitud en un plazo máximo de 1 mes (30 días naturales) desde la recepción de la solicitud completa.

Este plazo podrá prorrogarse 2 meses adicionales en casos de solicitudes complejas o gran volumen de solicitudes, informándole de la ampliación en el primer mes y explicando los motivos.

8.4. Información que Proporcionaremos

En caso de solicitud de acceso (Art. 15 RGPD), le proporcionaremos:

  • Confirmación de si tratamos o no sus datos personales
  • Copia de los datos personales objeto de tratamiento
  • Finalidades del tratamiento
  • Categorías de datos tratados
  • Destinatarios a quienes se comunicaron los datos
  • Plazo de conservación previsto
  • Información sobre sus derechos (rectificación, supresión, oposición, limitación)
  • Derecho a reclamar ante la AEPD
  • Origen de los datos (si no se obtuvieron directamente de usted)
  • Existencia de decisiones automatizadas

Formato de la información:

  • Por defecto: PDF por correo electrónico
  • Si lo solicita expresamente: Copia física por correo postal certificado (puede aplicarse un coste razonable por gastos administrativos)

8.5. Denegación de Solicitudes

Podremos denegar el ejercicio de sus derechos cuando:

  • La solicitud sea manifiestamente infundada o excesiva (especialmente por carácter repetitivo)
  • Exista una obligación legal de conservar los datos (ej: facturas durante 6 años)
  • Los datos sean necesarios para la formulación, ejercicio o defensa de reclamaciones
  • Prevalezca un interés público o el ejercicio de poderes públicos

En caso de denegación, le informaremos de los motivos y de su derecho a reclamar ante la AEPD.

8.6. Derecho a Reclamar ante la Autoridad de Control

Si considera que el tratamiento de sus datos personales vulnera el RGPD o no está satisfecho con nuestra respuesta a su solicitud, tiene derecho a presentar una reclamación ante:

Agencia Española de Protección de Datos (AEPD)

  • 🌐 Sitio web: www.aepd.es
  • 📧 Sede electrónica: https://sedeagpd.gob.es
  • 📍 Dirección postal: C/ Jorge Juan, 6, 28001 Madrid, España
  • ☎️ Teléfono: 901 100 099 / 912 663 517

Procedimiento:

  1. Acceder a la sede electrónica de la AEPD
  2. Presentar reclamación (con certificado digital o Cl@ve)
  3. Aportar documentación justificativa del incumplimiento
  4. La AEPD investigará y resolverá la reclamación

Plazo: La AEPD debe notificar la resolución en un plazo máximo de 6 meses.

9. DECISIONES AUTOMATIZADAS Y ELABORACIÓN DE PERFILES

9.1. ¿Realizamos Decisiones Automatizadas?

NO. Grupo Praxon NO realiza decisiones automatizadas basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre nuestros clientes o les afecten significativamente de modo similar.

9.2. Decisiones con Intervención Humana

Todas las decisiones comerciales y contractuales son tomadas con intervención humana y evaluación caso por caso:

  • Aprobación de cuentas de cliente: Revisión manual del registro
  • Cambios de plan o upgrades: Procesados automáticamente pero supervisados humanamente
  • Suspensiones por impago: Proceso automatizado con revisión humana antes de la suspensión definitiva
  • Detección de fraude: Sistemas automatizados de alerta, pero decisiones finales tomadas por personas

9.3. Análisis Estadísticos Sin Efectos Individuales

Realizamos análisis estadísticos agregados sobre el uso de la plataforma (ej: funcionalidades más utilizadas, patrones de uso, métricas de rendimiento), pero estos análisis:

  • No producen efectos jurídicos sobre clientes individuales
  • No afectan significativamente a clientes individuales
  • Se utilizan exclusivamente para mejora del servicio y desarrollo de producto
  • Los datos se anonimizan cuando es posible

Por tanto, NO aplica el Art. 22 RGPD sobre decisiones automatizadas.

10. MEDIDAS DE SEGURIDAD

10.1. Compromiso de Seguridad

Grupo Praxon ha implementado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al Art. 32 RGPD, incluyendo la protección contra:

  • ❌ Acceso no autorizado
  • ❌ Pérdida accidental
  • ❌ Destrucción o alteración de datos
  • ❌ Divulgación o comunicación no autorizada

10.2. Medidas Técnicas Implementadas

Cifrado:

  • 🔒 En tránsito: TLS 1.3 para todas las comunicaciones (HTTPS, conexiones a base de datos)
  • 🔒 En reposo: Cifrado AES-256 de datos almacenados en Google Cloud Storage y Firestore
  • 🔒 Backups cifrados: Todas las copias de seguridad se cifran antes de almacenarse

Control de acceso:

  • 🔐 Autenticación multifactor (MFA/2FA): Obligatoria para todo el personal de Grupo Praxon con acceso a sistemas
  • 🔐 Control de acceso basado en roles (RBAC): Más de 13 permisos granulares configurables
  • 🔐 Principio de mínimo privilegio: Cada usuario solo tiene acceso a los datos estrictamente necesarios
  • 🔐 Gestión de dispositivos confiables: Sistema de registro y autorización de dispositivos
  • 🔐 Segregación de datos: Multi-tenancy seguro (los datos de cada cliente están aislados)

Monitorización y auditoría:

  • 👁️ Logs de auditoría completos: Registro inmutable de todas las acciones sobre datos personales
  • 👁️ Monitorización en tiempo real: Detección de intentos de acceso no autorizado o patrones sospechosos
  • 👁️ Alertas automáticas: Notificaciones ante actividades anómalas o potencialmente maliciosas
  • 👁️ Análisis de logs: Revisión periódica de registros de actividad

Resiliencia y recuperación:

  • 💾 Backups automáticos diarios: Con retención de 30 días
  • 💾 Infraestructura redundante: Múltiples zonas de disponibilidad en Google Cloud (europe-southwest1)
  • 💾 Plan de continuidad de negocio (BCP): Procedimientos documentados para recuperación ante desastres
  • 💾 Objetivos de recuperación:
    • RPO (Recovery Point Objective): 24 horas (pérdida máxima de datos)
    • RTO (Recovery Time Objective): 48 horas (tiempo máximo de recuperación del servicio)

Protección de red:

  • 🛡️ Firewalls y segmentación de red: Aislamiento de componentes críticos
  • 🛡️ Protección DDoS: A través de infraestructura de Google Cloud
  • 🛡️ Sistemas de detección de intrusiones (IDS): Monitorización de tráfico malicioso

10.3. Medidas Organizativas Implementadas

Políticas y procedimientos:

  • 📋 Política de seguridad de la información: Documentada y aprobada por dirección
  • 📋 Política de control de acceso: Definición de roles y permisos
  • 📋 Política de gestión de incidentes: Procedimiento de respuesta ante brechas de seguridad
  • 📋 Política de copias de seguridad: Frecuencia, retención y pruebas de restauración

Formación y concienciación:

  • 🎓 Formación obligatoria en protección de datos: Para todo el personal con acceso a datos
  • 🎓 Formación en ciberseguridad: Phishing, ingeniería social, mejores prácticas
  • 🎓 Actualización continua: Formaciones periódicas sobre nuevas amenazas y regulaciones

Gestión de personal:

  • 👤 Cláusulas de confidencialidad: En todos los contratos laborales y de servicios
  • 👤 Proceso de onboarding/offboarding seguro: Alta y baja de accesos documentada
  • 👤 Segregación de funciones: Separación de responsabilidades críticas

Auditorías y evaluaciones:

  • 🔍 Auditorías de seguridad trimestrales: Revisión interna de medidas y controles
  • 🔍 Pruebas de penetración: [Frecuencia según necesidad o anualmente]
  • 🔍 Evaluaciones de vulnerabilidades: Escaneos regulares de sistemas

Gestión de proveedores:

  • 🤝 Due diligence de sub-encargados: Evaluación de garantías de seguridad antes de contratación
  • 🤝 Contratos de encargo de tratamiento: Con todos los proveedores que acceden a datos
  • 🤝 Supervisión continua: Revisión del cumplimiento de obligaciones

10.4. Certificaciones y Estándares

Actualmente:

  • ISO 27001: No certificado (en evaluación para futura obtención)
  • SOC 2: No certificado

Estándares seguidos:

  • Buenas prácticas RGPD: Cumplimiento de directrices de AEPD y CEPD
  • OWASP Top 10: Protección contra vulnerabilidades web más comunes
  • Seguridad de Google Cloud: Aprovechamiento de certificaciones de infraestructura (ISO 27001, SOC 2, SOC 3 de GCP)

10.5. Seguro de Ciberriesgos

Grupo Praxon mantiene un seguro de responsabilidad civil y ciberriesgos que cubre:

  • Incidentes de seguridad y brechas de datos
  • Responsabilidad frente a terceros por violaciones de datos
  • Costes de notificación y gestión de crisis
  • Defensa legal en caso de reclamaciones

11. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

11.1. Compromiso de Notificación

En caso de producirse una brecha de seguridad que afecte a sus datos personales, Grupo Praxon se compromete a:

1. Notificación a la AEPD (Art. 33 RGPD):

  • Plazo: Máximo 72 horas desde que tengamos conocimiento de la brecha
  • Contenido: Naturaleza de la brecha, categorías y número de interesados afectados, consecuencias probables, medidas adoptadas o propuestas

2. Notificación al Cliente Afectado (Art. 34 RGPD):

  • Cuándo: Si la brecha entraña un alto riesgo para sus derechos y libertades
  • Plazo: Sin dilación indebida, en cuanto tengamos conocimiento y hayamos evaluado el riesgo
  • Medio: Email al administrador principal de la cuenta + notificación en panel de administración
  • Contenido:
    • Descripción de la naturaleza de la brecha
    • Datos afectados y alcance
    • Medidas adoptadas para mitigar los efectos
    • Recomendaciones para protegerse (ej: cambio de contraseñas)
    • Punto de contacto para más información

3. Documentación Interna:

  • Registro de todas las brechas de seguridad (incluso las que no requieran notificación)
  • Documentación de las medidas adoptadas y lecciones aprendidas
  • Disponible para la AEPD previa solicitud

11.2. Excepciones a la Notificación al Interesado

No será necesario notificar al cliente cuando:

  • Se hayan aplicado medidas de protección técnicas y organizativas apropiadas (ej: cifrado fuerte) que hagan incomprensibles los datos para terceros no autorizados
  • Se hayan tomado medidas posteriores que garanticen que el alto riesgo ya no se materializará
  • La notificación suponga un esfuerzo desproporcionado (en cuyo caso se realizará comunicación pública o medida similar)

12. COOKIES Y TECNOLOGÍAS DE SEGUIMIENTO

12.1. Aplicabilidad

Esta sección se aplica exclusivamente al sitio web corporativo público talqo.es (sitio de marketing).

La plataforma de clientes (dashboard.talqo.es) utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento del servicio (sesión, autenticación), que no requieren consentimiento según la excepción del Art. 22.2 LSSI-CE.

12.2. Cookies en el Sitio Web Corporativo (talqo.es)

CookieTipoFinalidadDuración¿Requiere consentimiento?
_gaAnalítica (Google Analytics)Distinguir usuarios únicos para estadísticas de visitas2 años✅ Sí
_ga_*Analítica (Google Analytics 4)Almacenar y contar vistas de página2 años✅ Sí
_gidAnalítica (Google Analytics)Distinguir usuarios únicos24 horas✅ Sí

12.3. Gestión de Cookies

Consentimiento: Al acceder al sitio web talqo.es, se muestra un banner de cookies conforme a la LSSI-CE, donde puede:

  • Aceptar todas las cookies
  • Rechazar cookies no esenciales (solo se usarán cookies técnicas)
  • ⚙️ Configurar preferencias de forma granular

Gestión desde el navegador: Puede configurar su navegador para:

  • Bloquear todas las cookies
  • Aceptar solo cookies de sitios de confianza
  • Eliminar cookies existentes

Instrucciones por navegador:

⚠️ Importante: El rechazo de cookies técnicas puede afectar al funcionamiento del sitio web o de la plataforma.

Para más información, consulte nuestra Política de Cookies completa [ENLACE cuando esté disponible].

13. PRIVACIDAD DESDE EL DISEÑO Y POR DEFECTO

13.1. Compromiso con la Privacidad desde el Diseño (Art. 25 RGPD)

Grupo Praxon integra la protección de datos desde la fase de diseño de la plataforma Talqo:

Principios aplicados:

  • Minimización de datos: Solo recopilamos los datos estrictamente necesarios para cada finalidad
  • Pseudonimización y cifrado: Implementados por defecto en el almacenamiento
  • Transparencia: Informamos claramente sobre todos los tratamientos
  • Control del usuario: Los clientes tienen control granular sobre sus datos y configuraciones
  • Seguridad integrada: Las medidas de seguridad se diseñan desde el inicio, no como añadido posterior

13.2. Privacidad por Defecto

La configuración predeterminada de la plataforma es la más protectora de la privacidad:

  • 🔒 Acceso restringido por defecto (principio de mínimo privilegio)
  • 🔒 Cifrado activado automáticamente (en tránsito y en reposo)
  • 🔒 Registro de auditoría habilitado desde el primer momento
  • 🔒 Retención de datos limitada a lo necesario (no se conservan indefinidamente sin motivo)
  • 🔒 Compartición de datos con terceros: solo los sub-encargados estrictamente necesarios

Sin intervención del cliente, se garantiza el nivel máximo de protección.

14. MENORES DE EDAD

14.1. Servicios No Destinados a Menores

La plataforma Talqo es un servicio B2B dirigido exclusivamente a empresas. No está destinada a menores de edad.

14.2. Usuarios Corporativos Menores de Edad

En el excepcional caso de que un usuario corporativo (empleado de una empresa cliente) sea menor de edad:

Mayores de 14 años:

  • Pueden ser usuarios de la plataforma si la empresa cliente (su empleador) lo autoriza
  • La empresa cliente es responsable de garantizar el cumplimiento de la normativa laboral y de protección de menores

Menores de 14 años:

  • No deben ser dados de alta como usuarios de la plataforma
  • Si detectamos un usuario menor de 14 años, contactaremos con el administrador de la empresa cliente para verificar la situación

Responsabilidad: La empresa cliente es responsable de garantizar que todos sus usuarios cumplen con los requisitos de edad y capacidad legal.

15. MODIFICACIONES DE ESTA POLÍTICA

15.1. Derecho a Modificar

Grupo Praxon se reserva el derecho de modificar esta Política de Privacidad en cualquier momento para reflejar:

  • Cambios en las funcionalidades de la plataforma
  • Nuevos requisitos legales o regulatorios
  • Mejoras en las medidas de seguridad
  • Cambios en sub-encargados del tratamiento
  • Actualización de buenas prácticas de protección de datos

15.2. Notificación de Cambios

Para cambios sustanciales (que afecten a derechos de los interesados, nuevas finalidades, nuevos destinatarios):

  • Notificaremos con al menos 30 días de antelación por correo electrónico al administrador principal
  • Publicaremos un aviso destacado en el panel de administración de la plataforma
  • Actualizaremos la fecha de "Última actualización" en la parte superior de esta política

Para cambios menores (correcciones, aclaraciones, reorganización):

  • Publicaremos la versión actualizada en esta misma URL
  • Modificaremos la fecha de "Última actualización"
  • Sin notificación previa, salvo que consideremos que puede ser relevante para los clientes

15.3. Aceptación de Cambios

Clientes actuales: El uso continuado de la plataforma tras la publicación de cambios constituye la aceptación de la nueva Política de Privacidad.

Si no está de acuerdo con los cambios, puede cancelar su suscripción conforme a los Términos y Condiciones de Servicio.

Nuevos clientes: La aceptación de los Términos y Condiciones de Servicio incluye la aceptación de esta Política de Privacidad en su versión vigente en ese momento.

15.4. Historial de Versiones

Mantenemos un archivo de versiones anteriores de esta política, disponible previa solicitud a contacto@talqo.com.

16. LEGISLACIÓN APLICABLE

Esta Política de Privacidad se rige por:

Normativa europea:

  • Reglamento (UE) 2016/679 - RGPD (aplicación directa)
  • Directiva 2002/58/CE - Privacidad y comunicaciones electrónicas (ePrivacy)

Normativa española:

  • Ley Orgánica 3/2018 - Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
  • Ley 34/2002 - Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE)
  • Código Civil - Contratos y obligaciones
  • Código de Comercio - Conservación de documentación mercantil

17. CONTACTO Y CONSULTAS

17.1. Para Consultas sobre Protección de Datos

Si tiene cualquier pregunta sobre esta Política de Privacidad o el tratamiento de sus datos personales:

GRUPO PRAXON

📧 Email: contacto@talqo.com 📬 Dirección postal: Calle Doctrinos Nº20, 2ºC, 47001 Valladolid, España 🌐 Sitio web: https://talqo.es

17.2. Para Ejercicio de Derechos RGPD

📧 Email: contacto@talqo.com Asunto: "Ejercicio de Derechos RGPD"

(Ver sección 8 para información detallada sobre cómo ejercer sus derechos)

17.3. Para Reclamaciones

Si considera que sus derechos han sido vulnerados:

Agencia Española de Protección de Datos (AEPD)

18. INFORMACIÓN ADICIONAL

18.1. Relación con Otros Documentos

Esta Política de Privacidad debe leerse conjuntamente con:

  • Términos y Condiciones de Servicio B2B: Regula la relación contractual completa
  • Acuerdo de Encargo de Tratamiento (DPA): Integrado en los Términos y Condiciones (sección 8), regula nuestro rol como Encargado respecto a datos de usuarios finales

18.2. Prevalencia

En caso de conflicto entre esta Política de Privacidad y los Términos y Condiciones de Servicio:

  • Para cuestiones de protección de datos: prevalece esta Política de Privacidad
  • Para cuestiones contractuales: prevalecen los Términos y Condiciones

18.3. Idioma

Esta Política de Privacidad está redactada en español. En caso de traducción a otros idiomas, prevalecerá la versión en español.

19. TRANSPARENCIA Y RENDICIÓN DE CUENTAS (ACCOUNTABILITY)

19.1. Principio de Responsabilidad Proactiva

Grupo Praxon aplica el principio de responsabilidad proactiva (accountability) establecido en el Art. 5.2 RGPD, lo que significa que:

✅ No solo cumplimos con el RGPD, sino que podemos demostrar nuestro cumplimiento en todo momento ✅ Mantenemos documentación exhaustiva de todas las medidas y decisiones de protección de datos ✅ Realizamos evaluaciones continuas del cumplimiento y los riesgos ✅ Implementamos mejoras de forma proactiva, sin esperar a incidentes

19.2. Documentación Disponible (Previa Solicitud)

Podemos proporcionar, previa solicitud justificada y sujeto a acuerdos de confidencialidad:

  • 📋 Registro de Actividades de Tratamiento (RAT) como Responsable
  • 📋 Análisis de riesgos de los tratamientos de datos de clientes
  • 📋 Informes de auditorías de seguridad (resumen ejecutivo)
  • 📋 Certificados de formación del personal en protección de datos
  • 📋 Procedimientos documentados de gestión de incidentes
  • 📋 Políticas internas de seguridad de la información

Fecha de última actualización: 12 de noviembre de 2025 Versión: 2.0

GRUPO PRAXON Calle Doctrinos Nº20, 2ºC 47001 Valladolid, España Email: contacto@talqo.com Web: https://talqo.es

Este documento está protegido por derechos de autor. © 2025 Grupo Praxon. Todos los derechos reservados.

← Volver al inicio de sesión