Política de Privacidad

Peritiq – Política de Privacidad

Fecha de entrada en vigor: 27 de diciembre de 2025

1. Introducción y Ámbito de Aplicación

La presente Política de Privacidad describe cómo Escola Amarela Serviços LTDA (en adelante, el "Prestador", "nosotros", "nuestro" o "nuestra") recopila, utiliza y protege los datos personales en relación con su uso de nuestro servicio Peritiq (en adelante, el "Servicio").

Esta política se aplica a todas las personas que interactúan con el Servicio, incluidos los visitantes del sitio web, los usuarios en período de prueba y los usuarios autorizados de un cliente de pago (en adelante, el "Cliente", "usted", "su").

Al acceder o utilizar el Servicio, usted reconoce y acepta las prácticas descritas en la presente Política de Privacidad. Esta política se incorpora por referencia a nuestros Términos y Condiciones.

2. Nuestro Rol: Responsable y Encargado del Tratamiento

Actuamos en dos calidades distintas en virtud del Reglamento General de Protección de Datos (RGPD) de la UE y de la Ley General de Protección de Datos (LGPD) brasileña:

  • Responsable del Tratamiento: Actuamos como Responsable del tratamiento de los datos personales que recopilamos directamente de usted para crear y gestionar su cuenta y procesar pagos. Esto incluye Información de la Cuenta, Información de Pago y Datos de Monitorización de Seguridad. Nosotros determinamos los fines y medios del tratamiento de estos datos.
  • Encargado del Tratamiento: Actuamos como Encargado del tratamiento de los datos que usted nos proporciona para su procesamiento a través del Servicio. Esto incluye el "Contenido Cargado" y el "Contenido Generado" derivado del mismo. Usted es el Responsable del tratamiento de estos datos. Los tratamos únicamente en su nombre y de acuerdo con sus instrucciones documentadas (según se establece en nuestros Términos y Condiciones y en la presente política).

3. Datos que Tratamos como Responsable del Tratamiento

Recopilamos y controlamos los siguientes datos:

3.1. Información de la Cuenta

  • Su nombre, dirección de correo electrónico, nombre de la empresa y cargo (si se proporciona)
  • Su contraseña cifrada mediante hash (nunca almacenamos contraseñas en texto plano)
  • Sus preferencias de idioma y comunicación
  • Fecha de creación de la cuenta, marca de tiempo del último acceso y estado de la cuenta

3.2. Información de Pago y Facturación

  • Cuando usted suscribe un plan de pago, nuestro procesador de pagos externo, Stripe, recopilará sus datos de pago (por ejemplo, número de tarjeta de crédito, dirección de facturación).
  • Nosotros no recopilamos ni almacenamos los datos completos de su tarjeta de pago.
  • Únicamente recibimos y almacenamos un identificador único de Stripe (token), los últimos cuatro dígitos de su tarjeta, la fecha de caducidad de la tarjeta y el país de facturación para la gestión de la suscripción.

3.3. Datos Técnicos de Registro

  • Dirección IP (cifrada mediante hash para proteger la privacidad)
  • Tipo de navegador, sistema operativo y tipo de dispositivo
  • URL de referencia y páginas visitadas
  • Marcas de tiempo de las solicitudes

3.4. Datos de Seguridad de Dispositivo y Sesión

  • Huellas digitales del dispositivo (un hash derivado de las características del navegador y del dispositivo) para detectar intentos de acceso no autorizado
  • Tokens de sesión y tokens CSRF para la seguridad
  • Estos datos nos ayudan a prevenir la usurpación de cuentas, detectar patrones de inicio de sesión sospechosos y proteger su cuenta.

3.5. Datos de Monitorización de Seguridad

  • Intentos de inicio de sesión fallidos (incluido hash de IP, agente de usuario y marca de tiempo)
  • Eventos de limitación de tasa (seguimiento de solicitudes excesivas a la API para prevenir abusos)
  • Historial de inicios de sesión exitosos para auditoría de seguridad
  • Estos datos se utilizan exclusivamente para la prevención del fraude, la detección de abusos y la seguridad de la cuenta.

3.6. Metadatos de Uso

  • Seguimiento del consumo de créditos (qué contenidos consulta)
  • Historial de descargas de contenido
  • Patrones de uso de funcionalidades para la mejora del servicio
  • No guardamos ni registramos el contenido de sus mensajes de chat.

3.7. Datos de Evaluación y Cuestionario

  • Cuando usted completa evaluaciones o cuestionarios a través del Servicio, almacenamos sus respuestas en asociación con su cuenta de usuario.
  • Estos datos se utilizan para generar resultados de análisis personalizados para usted.
  • Sus respuestas pueden contribuir a referencias comparativas anonimizadas y agregadas (no es posible la identificación individual).
  • Los metadatos de la sesión de evaluación (hora de inicio, hora de finalización, estado) se conservan para la funcionalidad del servicio.

3.8. Contenido Generado por el Usuario

  • Si usted envía testimonios, reseñas o recomendaciones, almacenamos: su puntuación, título, texto del comentario, nombre de visualización (nombre de pila + inicial del apellido), cargo y nombre de la empresa.
  • Su nombre completo y dirección de correo electrónico se almacenan pero no se muestran públicamente.

3.9. Comentarios Voluntarios

  • Cualquier sugerencia, comentario o idea que nos proporcione voluntariamente respecto al Servicio.

4. Datos que Tratamos como Encargado del Tratamiento

En su nombre y como su Encargado del tratamiento, tratamos los siguientes datos de los cuales usted es el Responsable:

  • Contenido Cargado: Cualquier documento, archivo o dato que usted o sus usuarios carguen, transmitan o de otro modo proporcionen al Servicio para su procesamiento por el sistema RAG.
  • Contenido Generado: Las respuestas y datos generados por IA producidos por el Servicio a partir de su Contenido Cargado.

Sus Obligaciones como Responsable del Tratamiento: Usted declara y garantiza que dispone de todos los derechos, consentimientos y una base jurídica válida necesarios para proporcionar el Contenido Cargado al Servicio para su tratamiento según se describe en la presente política y en nuestros Términos y Condiciones.

Nuestras Obligaciones como Encargado del Tratamiento: Al tratar su Contenido Cargado y Contenido Generado, nosotros: a) Trataremos estos datos únicamente para prestar, asegurar y supervisar el Servicio conforme a sus instrucciones; b) Nunca utilizaremos su Contenido Cargado o Contenido Generado para entrenar modelos de IA generales o públicos ni para ninguna finalidad distinta de la prestación directa del Servicio a usted; c) Implementaremos medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de estos datos (véase el apartado 8); d) Le proporcionaremos asistencia razonable (a su cargo) para ayudarle a cumplir sus obligaciones de responder a solicitudes de Derechos de los Interesados de sus usuarios; y e) Garantizaremos que nuestro personal autorizado para acceder a estos datos esté sujeto a obligaciones estrictas de confidencialidad.

5. Base Jurídica del Tratamiento (RGPD y LGPD)

Solo tratamos sus datos personales (como Responsable) cuando disponemos de una base jurídica válida:

Actividad de Tratamiento Datos Tratados Base Jurídica (RGPD / LGPD)
Prestación del Servicio (creación, autenticación, gestión de cuenta) Información de la Cuenta Art. 6(1)(b) RGPD / Art. 7(V) LGPD (Ejecución de un contrato)
Procesamiento de pagos y gestión de suscripciones Información de Pago, Información de la Cuenta Art. 6(1)(b) RGPD / Art. 7(V) LGPD (Ejecución de un contrato)
Seguridad de la plataforma, prevención del fraude y detección de abusos Datos Técnicos de Registro, Datos de Seguridad de Dispositivo y Sesión, Datos de Monitorización de Seguridad Art. 6(1)(f) RGPD / Art. 7(IX) LGPD (Interés legítimo)
Gestión del Sistema de Créditos Metadatos de Uso Art. 6(1)(b) RGPD (Ejecución de un contrato)
Generación de resultados de evaluación personalizados Datos de Evaluación y Cuestionario Art. 6(1)(b) RGPD / Art. 7(V) LGPD (Ejecución de un contrato)
Creación de referencias comparativas anonimizadas Datos de Evaluación (agregados, anonimizados) Art. 6(1)(f) RGPD / Art. 7(IX) LGPD (Interés legítimo)
Visualización de testimonios y reseñas Contenido Generado por el Usuario Art. 6(1)(a) RGPD / Art. 7(I) LGPD (Consentimiento)
Respuesta a sus consultas y uso de sus comentarios Información de la Cuenta, Comentarios Art. 6(1)(f) RGPD / Art. 7(IX) LGPD (Interés legítimo)
Cumplimiento de obligaciones financieras, fiscales y legales Información de Pago, Información de la Cuenta Art. 6(1)(c) RGPD / Art. 7(II) LGPD (Obligación legal)
Prevención del abuso de pruebas y aplicación de la política de prueba única Hash de correo electrónico (prevención del fraude) Art. 6(1)(f) RGPD / Art. 7(IX) LGPD (Interés legítimo en la prevención del fraude)

6. Comunicación de Datos y Subencargados

No vendemos, alquilamos ni cedemos sus datos personales. Contratamos a los siguientes subencargados externos para prestar el Servicio y hemos suscrito acuerdos de tratamiento de datos apropiados con cada uno de ellos:

  • Hostinger (UE): Proporciona alojamiento de aplicaciones y gestión de bases de datos de usuarios (para Información de la Cuenta) en sus centros de datos europeos.
  • Cloudflare (UE/Global): Proporciona procesamiento RAG, vectorización y almacenamiento para su Contenido Cargado y Contenido Generado principalmente en centros de datos europeos. Los Workers de Cloudflare pueden procesar Metadatos de Uso y tokens de sesión en su red global para respuestas de baja latencia.
  • Stripe (EE.UU.): Nuestro procesador de pagos. Su Información de Pago se envía directamente a Stripe. Stripe está certificado en el marco del EU-U.S. Data Privacy Framework.
  • Escola Amarela (Brasil): Como empresa matriz, nuestro personal administrativo, de facturación y de atención al cliente en Brasil puede acceder a la Información de la Cuenta.

7. Transferencias Internacionales de Datos

Su Contenido Cargado y Contenido Generado se procesan y almacenan exclusivamente dentro de la Unión Europea (UE) por nuestros subencargados.

Su Información de la Cuenta e Información de Pago pueden transferirse internacionalmente de la siguiente manera:

  • A Brasil: Su Información de la Cuenta puede ser accedida desde Brasil por nuestra empresa matriz con fines administrativos y de atención al cliente. Esta transferencia está protegida mediante la aplicación de las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea.
  • A EE.UU.: Su Información de Pago es procesada por Stripe, una empresa con sede en EE.UU. Esta transferencia está protegida por Cláusulas Contractuales Tipo (CCT) y el EU-U.S. Data Privacy Framework, que garantizan un nivel adecuado de protección de datos.

8. Seguridad de los Datos

Implementamos y mantenemos medidas técnicas y organizativas apropiadas (MTO) para proteger todos los datos personales contra el acceso, divulgación, alteración, destrucción o pérdida no autorizados. Estas medidas incluyen:

  • Cifrado: Las contraseñas se cifran de forma segura mediante bcrypt. Todos los datos se cifran en tránsito (TLS 1.2 o superior) y en reposo (AES-256). Los campos sensibles como las direcciones de correo electrónico se cifran a nivel de base de datos.
  • Seudonimización: Las direcciones de correo electrónico se convierten en hash con fines de búsqueda, reduciendo la exposición en caso de violación de la base de datos.
  • Separación de Datos por Cliente: Su Contenido Cargado y Contenido Generado están lógica y seguramente segregados en su propio espacio de nombres dedicado.
  • Controles de Acceso: El acceso a los datos personales está estrictamente limitado al personal autorizado según el principio de necesidad de conocimiento, y el acceso administrativo requiere autenticación multifactor.
  • Monitorización de Seguridad: Empleamos sistemas automatizados para detectar y responder a actividades sospechosas, incluidos intentos de inicio de sesión por fuerza bruta y patrones de acceso inusuales.
  • Protección CSRF: Todas las operaciones que modifican el estado requieren tokens CSRF válidos para prevenir ataques de falsificación de petición en sitios cruzados.
  • Limitación de Tasa: Los endpoints de la API están sujetos a limitación de tasa para prevenir abusos y ataques de denegación de servicio.

9. Conservación de Datos

Conservamos los datos personales únicamente durante el tiempo necesario para las finalidades para las que fueron recogidos.

Categoría de Datos Período de Conservación Base
Información de la Cuenta Duración de la suscripción + 7 años Obligación legal (registros fiscales/financieros)
Datos de Pago y Facturación 10 años desde la fecha de la transacción Obligación legal (registros fiscales/financieros)
Contenido Cargado y Contenido Generado Duración de la suscripción activa + 30 días Ejecución del contrato
Datos de Evaluación y Cuestionario Duración de la suscripción activa + 30 días Ejecución del contrato
Datos Técnicos de Registro 90 días (continuos) Interés legítimo (seguridad/depuración)
Datos de Monitorización de Seguridad (intentos de inicio de sesión, limitaciones de tasa) 30 días Interés legítimo (seguridad)
Hash de correo electrónico (prevención del fraude) Indefinidamente Interés legítimo (prevención del fraude)
Contenido Generado por el Usuario (Testimonios) Hasta la revocación del consentimiento o eliminación de la cuenta Consentimiento
Mensajes de Chat NO SE ALMACENAN No aplicable

Conservación de Copias de Seguridad: Los datos contenidos en las copias de seguridad rutinarias de la infraestructura se eliminarán de acuerdo con nuestros ciclos estándar de conservación de copias de seguridad (generalmente no superiores a 180 días) y permanecerán cifrados e inaccesibles hasta su sobrescritura.

Datos de Prevención del Fraude: Para aplicar nuestra política de prueba única y prevenir abusos, conservamos un hash criptográfico seguro y unidireccional de su dirección de correo electrónico incluso después de la eliminación de la cuenta. Tratamos estos datos exclusivamente para la prevención del fraude, según lo permitido por el RGPD (Art. 6(1)(f); Art. 17(3)(e)) y la LGPD (Art. 7, IX; Art. 16, II).

10. Sus Derechos como Interesado (RGPD y LGPD)

Sus derechos dependen de nuestro rol como Responsable o Encargado:

10.1. Datos para los que Somos el Responsable (Sus Datos de Cuenta)

Usted tiene los siguientes derechos con respecto a los datos personales que controlamos:

  • Derecho de Acceso: Solicitar una copia de sus datos personales. Puede exportar sus datos en cualquier momento a través de la configuración de su cuenta o poniéndose en contacto con nosotros.
  • Derecho de Rectificación: Solicitar la corrección de datos inexactos. Puede actualizar la mayoría de la información directamente en la configuración de su cuenta.
  • Derecho de Supresión ("Derecho al Olvido"): Solicitar la eliminación de sus datos, sujeto a nuestras obligaciones legales de conservación. Tenga en cuenta que conservaremos los hashes de correo electrónico para la prevención del fraude.
  • Derecho a la Limitación del Tratamiento: Solicitar que limitemos el uso de sus datos en determinadas circunstancias.
  • Derecho a la Portabilidad de los Datos: Solicitar sus datos en un formato estructurado, de uso común y legible por máquina (JSON).
  • Derecho de Oposición: Oponerse a nuestro tratamiento de sus datos basado en intereses legítimos. Cesaremos el tratamiento a menos que demostremos motivos legítimos imperiosos.
  • Derecho a Retirar el Consentimiento: Cuando el tratamiento se base en el consentimiento (por ejemplo, testimonios, boletín informativo), puede retirar el consentimiento en cualquier momento sin afectar a la licitud del tratamiento anterior.
  • Derecho a Presentar una Reclamación: Tiene derecho a presentar una reclamación ante una autoridad de control (por ejemplo, su autoridad local de protección de datos de la UE o la ANPD brasileña – Autoridade Nacional de Proteção de Dados).

Para ejercer estos derechos, póngase en contacto con nuestro Equipo de Protección de Datos en privacy@peritiq.com. Responderemos en un plazo de 30 días (o según lo exigido por la legislación aplicable).

10.2. Datos para los que Usted es el Responsable (Su Contenido Cargado)

Como Responsable del tratamiento de su Contenido Cargado, usted es responsable de atender las solicitudes de Derechos de los Interesados de sus propios usuarios (por ejemplo, sus empleados). Si recibimos dicha solicitud directamente, la remitiremos al Administrador de su cuenta para su tramitación. Proporcionaremos asistencia razonable según lo exigido por la ley.

11. Cookies y Tecnologías de Seguimiento

Utilizamos cookies esenciales necesarias para el correcto funcionamiento del Servicio:

  • Cookies de Sesión: Se utilizan para mantener su estado de inicio de sesión y tokens de seguridad. Estas son estrictamente necesarias y no pueden desactivarse.
  • Tokens CSRF: Se utilizan para prevenir ataques de falsificación de petición en sitios cruzados.
  • Preferencia de Idioma: Se utiliza para recordar el idioma seleccionado.

No utilizamos cookies de seguimiento de terceros, cookies publicitarias ni cookies de análisis que le rastreen en diferentes sitios web. Utilizamos la protección contra bots de Cloudflare (Turnstile), que puede establecer cookies con fines de seguridad.

12. Privacidad de los Menores

El Servicio no está destinado a personas menores de 16 años (o la edad aplicable de consentimiento digital en su jurisdicción). No recopilamos intencionadamente datos personales de menores. Si tenemos conocimiento de que hemos recopilado datos personales de un menor sin el consentimiento apropiado, tomaremos medidas para eliminar dicha información.

13. Modificaciones de la presente Política de Privacidad

Podemos actualizar la presente Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas o en la legislación aplicable. Le notificaremos cualquier modificación sustancial mediante:

  • La publicación de un aviso en el Servicio
  • El envío de un correo electrónico a la dirección asociada a su cuenta
  • La actualización de la "Fecha de entrada en vigor" en la parte superior de la presente política

Le recomendamos que revise esta política periódicamente. Su uso continuado del Servicio después de la fecha de entrada en vigor de cualquier modificación constituye su aceptación de la política actualizada.

14. Contacto

Si tiene alguna pregunta sobre la presente Política de Privacidad, sus datos personales o desea ejercer sus derechos, póngase en contacto con nosotros:

  • Equipo de Protección de Datos: privacy@peritiq.com
  • Consultas Generales: hi@peritiq.com
  • Dirección Postal: Escola Amarela Serviços Ltda, Rua da Paz 1313, São Paulo - SP, Brasil