Política de privacidad
Cómo recogemos, usamos y protegemos tu información.
Última actualización · 13 de mayo, 2026
TL;DR — Lo más importante en 4 puntos
- Grabamos las sesiones solo mientras CauceOS está activo, con tu consentimiento y el del otro participante (el bot lo anuncia al unirse). Tú controlas esas grabaciones.
- No vendemos tus datos. Jamás. Los compartimos únicamente con los proveedores técnicos que hacen posible el servicio, todos bajo acuerdos de confidencialidad.
- Tienes control total: puedes acceder, corregir, exportar y eliminar tus datos desde
/app/ajustes/datoso escribiendo a[email protected]. Te respondemos en máximo 30 días. - Las transcripciones se eliminan automáticamente a los 90 días salvo que configures un plazo distinto. Los reportes se conservan 1 año por defecto.
Índice
- Quiénes somos
- Información que recogemos
- Cómo usamos esa información
- Compartir información con terceros
- Bases legales del tratamiento
- Tus derechos
- Conservación de datos
- Seguridad
- Transferencias internacionales
- Privacidad de menores
- Cookies y tecnologías similares
- Cambios a esta política
- Cómo contactarnos
1. Quiénes somos {#quienes-somos}
CauceOS LLC (Florida, EE. UU., en trámite de constitución formal) opera el servicio disponible en cauceos.com. CauceOS es un asistente de inteligencia artificial diseñado para profesionales de la salud mental y recursos humanos que conducen sesiones virtuales 1-a-1.
El responsable del tratamiento de tus datos es CauceOS LLC. Durante el periodo previo a la constitución formal de la LLC, el responsable individual es Felix Gonzalez.
Contactos:
- Privacidad y derechos:
[email protected] - Delegado de Protección de Datos (DPO):
[email protected] - Legal:
[email protected] - General:
[email protected] - Dirección legal: CauceOS LLC, Florida, EE. UU.
2. Información que recogemos {#informacion-que-recogemos}
2.1 Información de cuenta
Cuando te registras y configuras tu cuenta recogemos:
- Identidad profesional: nombre completo, correo electrónico, organización o clínica, rol profesional (psicólogo, terapeuta, coach, profesional de HR, etc.) y especialidad.
- Preferencias del producto: idioma de la interfaz, locale de mercado, plantillas activas, configuración de alertas.
- Información de pago: procesada directamente por nuestro proveedor de pagos certificado. Nosotros solo almacenamos los últimos cuatro dígitos del instrumento de pago, el tipo de plan, la fecha de próximo cobro y referencias de transacción.
2.2 Información de sesiones
CauceOS procesa información durante y después de cada sesión:
- Audio en tiempo real: capturado por el bot al unirse a tu sesión virtual. El audio no se almacena como fichero de audio completo; se procesa en streaming y se descarta tras la transcripción, salvo que actives la opción de grabación en tu configuración.
- Notas dictadas en la app: cuando usas la función de dictado dentro de la plataforma, capturamos audio sólo el tiempo necesario para transcribirlo. El audio se procesa de forma temporal y se elimina en menos de 60 segundos; sólo conservamos el texto transcrito y, si lo activas, la versión mejorada con IA.
- Transcripción: texto generado a partir del audio, con marcas de tiempo e identificadores de hablante (ej. "Profesional", "Participante").
- Alertas disparadas: tipo de alerta, marca de tiempo, fragmento de contexto que la activó.
- Sugerencias generadas: preguntas o apuntes sugeridos por el sistema durante la sesión.
- Reportes post-sesión: documentos generados (SOAP, DAP, evaluación de candidato, etc.) a partir de la transcripción.
2.3 Información técnica
Para operar y mejorar el servicio recogemos:
- Dirección IP, agente de usuario (navegador y sistema operativo), idioma del navegador.
- Marcas de tiempo de acceso, errores y eventos técnicos.
- Eventos de uso anonimizados: páginas visitadas, funciones utilizadas, duración de sesiones (sin contenido de conversación).
2.4 Información que no recogemos
- No recogemos datos biométricos de los participantes de la sesión.
- No creamos perfiles de los pacientes o empleados que aparecen en las sesiones: los participantes son anónimos para CauceOS.
- No accedemos a tu cámara ni a ningún contenido de vídeo de la sesión.
3. Cómo usamos esa información {#como-usamos-esa-informacion}
Usamos tu información exclusivamente para:
- Prestar el servicio: procesar el audio, generar transcripciones, disparar alertas, producir sugerencias y generar reportes post-sesión conforme a tu configuración.
- Gestionar tu cuenta y suscripción: facturación, soporte, comunicaciones transaccionales (confirmaciones de pago, avisos de renovación, alertas de seguridad).
- Mejorar el producto de forma agregada: analizamos métricas de uso anonimizadas (sin contenido de sesión ni datos identificativos) para entender qué funciones son más útiles y mejorarlas. Nunca usamos el contenido de tus sesiones para entrenar modelos de inteligencia artificial.
- Cumplir obligaciones legales: conservación de registros fiscales, respuesta a solicitudes legítimas de autoridades, y protección de derechos legales.
- Seguridad de la plataforma: detección de acceso no autorizado, prevención de fraude y protección de la disponibilidad del servicio.
4. Compartir información con terceros {#compartir-con-terceros}
No vendemos ni alquilamos tus datos a nadie.
Trabajamos con proveedores de servicios que tratan datos en nuestro nombre, en la medida mínima necesaria para operar el servicio. Todos tienen contratos de confidencialidad y procesamiento de datos equivalentes o superiores a los nuestros. La lista completa y actualizada está en /sub-procesadores.
Categorías de sub-procesadores actuales:
- Proveedor de hosting cloud (frontend y APIs): aloja la aplicación web y las API públicas.
- Proveedor de infraestructura de workers: ejecuta el procesamiento de audio, motor de reglas y generación de sugerencias en tiempo real.
- Proveedor de transcripción de voz a texto: convierte el audio de la sesión a texto. No almacena audio ni transcripciones, ni usa tu contenido para entrenar modelos.
- Proveedor de modelos de lenguaje (sugerencias en vivo): genera preguntas contextuales durante la sesión. Tiene acuerdo de no entrenamiento con tus datos.
- Proveedor de modelos de lenguaje (reportes post-sesión): genera los reportes. Tiene acuerdo de no entrenamiento con tus datos.
- Proveedor de bot virtual de video: se une a sesiones de Google Meet, Microsoft Teams y Zoom como participante para capturar el audio.
- Proveedor de almacenamiento de archivos: almacena transcripciones archivadas y reportes en PDF, cifrados con AES-256.
- Proveedor de pagos principal: procesa suscripciones y cobros recurrentes. Certificado PCI DSS Nivel 1.
- Proveedor de pagos secundario: procesador alternativo de pagos. Certificado PCI DSS Nivel 1.
- Proveedor de email transaccional: envía correos de confirmación, facturas y notificaciones. Implementa SPF/DKIM/DMARC.
- Proveedor de autenticación e identidad: gestiona el inicio de sesión, MFA y sesiones de usuario.
- Proveedor de analítica de producto: mide el uso del producto con datos anonimizados (sin contenido de sesión). Cumple con GDPR y privacidad por diseño.
- Proveedor de monitoreo de errores: registra errores técnicos. Los datos personales se filtran antes de la ingesta.
Podemos revelar información si es requerido por ley, orden judicial o autoridad competente, o para proteger derechos, propiedad o seguridad de CauceOS, nuestros usuarios o el público en general. En esos casos te notificamos cuando la ley lo permita.
5. Bases legales del tratamiento {#bases-legales}
Dependiendo de tu jurisdicción, el tratamiento de tus datos se ampara en las siguientes bases legales:
Para usuarios en la Unión Europea y el Reino Unido (GDPR / UK GDPR)
| Tipo de tratamiento | Base legal |
|---|---|
| Registro y gestión de cuenta | Ejecución de contrato (Art. 6.1.b) |
| Grabación y transcripción de sesiones | Consentimiento explícito (Art. 6.1.a) |
| Generación de alertas y reportes | Ejecución de contrato (Art. 6.1.b) |
| Analítica de producto anonimizada | Interés legítimo (Art. 6.1.f) |
| Seguridad y prevención de fraude | Interés legítimo (Art. 6.1.f) |
| Conservación de registros fiscales | Obligación legal (Art. 6.1.c) |
| Comunicaciones transaccionales | Ejecución de contrato (Art. 6.1.b) |
Para datos especiales de categoría (información de salud implícita en sesiones de psicología), el tratamiento se basa en tu consentimiento explícito (Art. 9.2.a GDPR).
Tienes derecho a retirar tu consentimiento en cualquier momento sin que eso afecte la licitud del tratamiento realizado antes de la retirada.
Para usuarios en California (CCPA / CPRA)
No vendemos ni compartimos tus datos personales tal como se define en la ley. No usamos tus datos para publicidad comportamental entre sitios. Tienes derecho a:
- Conocer qué datos personales tenemos sobre ti.
- Acceder a esos datos.
- Solicitar su eliminación.
- Opt-out de cualquier "venta" o "compartición" de datos (no aplica a nuestro modelo de negocio, pero el derecho existe).
- No ser discriminado por ejercer tus derechos.
Para usuarios en Brasil (LGPD)
El tratamiento se basa en el cumplimiento de contrato, consentimiento para el procesamiento de datos sensibles (Art. 11), e interés legítimo para seguridad y analítica agregada.
Para usuarios en otras jurisdicciones
Aplicamos los principios de protección de datos recogidos en la normativa aplicable a cada jurisdicción: consentimiento explícito, finalidad declarada, proporcionalidad, seguridad y derecho de acceso y cancelación. Si tienes dudas sobre tu jurisdicción específica, escríbenos a [email protected].
6. Tus derechos {#tus-derechos}
Tienes los siguientes derechos sobre tus datos personales, ejercibles en cualquier momento:
| Derecho | Qué significa | Cómo ejercerlo |
|---|---|---|
| Acceso | Saber qué datos tenemos sobre ti y recibir una copia | Panel /app/ajustes/datos o email a [email protected] |
| Rectificación | Corregir datos inexactos o incompletos | Panel /app/ajustes/perfil o email |
| Cancelación / Borrado | Solicitar la eliminación de tus datos ("derecho al olvido") | Panel /app/ajustes/datos → "Eliminar mi cuenta y datos" |
| Oposición | Oponerte al tratamiento basado en interés legítimo | Email a [email protected] |
| Portabilidad | Recibir tus datos en formato estructurado y legible por máquina (JSON / CSV) | Panel /app/ajustes/datos → "Exportar mis datos" |
| Limitación | Solicitar que limitemos el tratamiento mientras se resuelve una disputa | Email a [email protected] |
| No automatización | Oponerte a decisiones basadas exclusivamente en tratamiento automatizado | Email a [email protected] (aplica GDPR Art. 22) |
| Retirar consentimiento | Revocar el consentimiento dado en cualquier momento | Panel /app/ajustes/datos o email |
Plazo de respuesta: máximo 30 días. Si la solicitud es compleja, podemos extender el plazo otros 30 días notificándote el motivo.
Reclamaciones: si consideras que no hemos atendido correctamente tu solicitud, tienes derecho a presentar una reclamación ante la autoridad de protección de datos de tu jurisdicción (ej. AEPD en España, ICO en Reino Unido, CNIL en Francia, ANPD en Brasil).
6 bis. Procesamiento de invitaciones beta y referidos {#beta-invite-referral}
Si activas una invitación a la beta cerrada en /beta-invite o visitas una página de referido (/r/<código> o /p/<usuario>/<slug>), tratamos los siguientes datos:
| Dato | Cuándo se recoge | Para qué |
|---|---|---|
| Al enviar el formulario de invitación beta | Verificar que el código corresponde al destinatario invitado | |
| Hash de IP + user-agent | Al cargar una página de referido | Atribución de la conversión + protección antifraude |
Cookie cauce_ref (no esencial) | Al visitar /r/<código> o /p/<usuario>/<slug> con consentimiento | Persistir la atribución hasta el registro (30 días) |
Bases legales:
- GDPR Art. 6(1)(b) — medidas precontractuales solicitadas por el interesado (la invitación beta es paso previo al alta).
- GDPR Art. 6(1)(a) — consentimiento explícito recogido vía la casilla de aceptación.
- Ley 172-13 RD Art. 6 — consentimiento explícito y propósito determinado.
Conservación: los emails en beta_invites se reemplazan automáticamente por un hash 90 días después de que la invitación pasa a estado redeemed, expired o revoked. Las visitas de referido se conservan agregadas para reporte; los identificadores individuales se anonimizan a los 12 meses.
Cómo revocar el consentimiento: envía un correo a [email protected]. Aplicaremos la anonimización al hash inmediato y eliminaremos la cookie de tu navegador en la próxima visita.
7. Conservación de datos {#conservacion-de-datos}
Conservamos tus datos durante el tiempo mínimo necesario para cumplir la finalidad para la que fueron recogidos:
| Tipo de dato | Retención por defecto | Configurable |
|---|---|---|
| Transcripciones de sesiones | 90 días | Sí — desde /app/ajustes/datos |
| Reportes post-sesión | 1 año | Sí — desde /app/ajustes/datos |
| Audio (si la opción de grabación está activada) | 30 días | Sí |
| Backups cifrados (cold storage) | 30 días tras la eliminación activa | No |
| Audit logs internos | 2 años | No (cumplimiento) |
| Registros de facturación | 7 años | No (obligación fiscal) |
| Cuenta inactiva | Notificación a los 12 meses → eliminación a los 13 meses | No |
Cuando solicitas eliminar tu cuenta, iniciamos el proceso en un plazo máximo de 30 días. Los datos de facturación y audit logs de seguridad se conservan el tiempo mínimo legal.
8. Seguridad {#seguridad}
Implementamos medidas técnicas y organizativas robustas para proteger tu información:
- Cifrado en tránsito: TLS 1.3 en todas las comunicaciones entre tu dispositivo, nuestros servidores y sub-procesadores.
- Cifrado en reposo: AES-256 para transcripciones archivadas, reportes y backups.
- Control de acceso: principio de mínimo privilegio. Solo el personal estrictamente necesario accede a datos de producción, con autenticación multifactor (MFA) obligatoria.
- Audit logging: todos los accesos a datos sensibles quedan registrados y son auditables.
- Respuesta a incidentes: plan de respuesta documentado. En caso de brecha que afecte a tus datos, te notificamos en un plazo máximo de 72 horas tras su detección.
- Revisiones de seguridad: auditorías periódicas de código, dependencias y configuración de infraestructura.
Para más detalle técnico, visita nuestra página de Seguridad.
9. Transferencias internacionales {#transferencias-internacionales}
CauceOS está constituida en Estados Unidos y puede procesar datos en servidores ubicados en EE. UU., la Unión Europea (a través de edge nodes de algunos sub-procesadores) y otras regiones donde operan nuestros sub-procesadores.
Para transferencias de datos desde el Espacio Económico Europeo (EEE) o el Reino Unido hacia países sin decisión de adecuación, aplicamos Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea, además de medidas técnicas adicionales (cifrado extremo a extremo, minimización de datos).
Para más información sobre las garantías aplicadas a transferencias internacionales, escribe a [email protected].
10. Privacidad de menores {#privacidad-de-menores}
CauceOS está dirigido exclusivamente a profesionales adultos. No prestamos el servicio a personas menores de 18 años.
Si una sesión involucra a un menor como participante (por ejemplo, terapia familiar o terapia infantil con supervisión del profesional), la responsabilidad del consentimiento parental o tutelar recae íntegramente en ti como profesional, de acuerdo con las leyes y códigos éticos de tu jurisdicción.
Si tenemos razones para creer que un usuario ha creado una cuenta siendo menor de edad, eliminamos esa cuenta y sus datos en un plazo de 30 días.
11. Cookies y tecnologías similares {#cookies}
Usamos únicamente cookies estrictamente necesarias para el funcionamiento del servicio. No usamos cookies de seguimiento de terceros ni publicidad comportamental.
| Cookie | Propósito | Retención |
|---|---|---|
session_token | Mantener tu sesión autenticada | Duración de la sesión / 30 días si marcas "Recordarme" |
locale_preference | Recordar tu idioma de preferencia | 1 año |
csrf_token | Protección contra ataques CSRF | Duración de la sesión |
No utilizamos Google Analytics, Meta Pixel, ni ninguna tecnología de seguimiento publicitario. La analítica de producto que usamos es una solución de privacidad por diseño que no establece cookies de terceros y anonimiza las IPs antes de almacenarlas.
12. Cambios a esta política {#cambios}
Esta política está versionada. La versión actual es 1.0 (13 de mayo de 2026).
Si realizamos cambios materiales (por ejemplo, nuevas categorías de datos, nuevos sub-procesadores, cambios en tus derechos), te notificaremos por email y desde la propia aplicación con al menos 30 días de anticipación antes de que los cambios entren en vigor.
Para cambios no materiales (correcciones tipográficas, clarificaciones de redacción), actualizamos la fecha de "Última actualización" sin notificación previa.
Puedes ver el historial completo de cambios a esta política en [email protected].
13. Cómo contactarnos {#contacto}
| Canal | Uso |
|---|---|
[email protected] | Ejercer derechos ARCO, consultas sobre privacidad |
[email protected] | Delegado de Protección de Datos (consultas GDPR/LGPD) |
[email protected] | Notificaciones legales formales |
[email protected] | Soporte general |
/app/ajustes/datos | Acceso, exportación y eliminación de datos desde el panel |
Dirección legal: CauceOS LLC, Florida, EE. UU. (dirección completa disponible en [email protected]).
Para reclamos ante autoridades de control: si eres usuario en la Unión Europea o el Reino Unido, tienes derecho a presentar una reclamación ante la autoridad de protección de datos de tu país (AEPD, ICO, CNIL, etc.) sin perjuicio de cualquier otro recurso administrativo o judicial.