Política de Privacidad

Última actualización: 16 de mayo de 2026

Esta Política de Privacidad explica cómo Haltless recopila, utiliza, comparte y protege los datos personales cuando usted utiliza los Servicios de Haltless, incluidos nuestro sitio web, panel, software del Edge Agent y API. Se aplica a los datos que tratamos como responsable. Cuando tratamos datos de cliente por cuenta del cliente como encargado del tratamiento, el cliente es el responsable y el Acuerdo de Procesamiento de Datos firmado rige dicho tratamiento.

1. Quiénes somos

Haltless ("nosotros") es el responsable de los datos personales descritos en esta Política de Privacidad.

  • Empresa: Haltless Kft.
  • Dirección: Budapest, Hungría
  • Contacto de privacidad: privacy@haltless.io

Cuando lo exija la legislación aplicable de protección de datos, designamos un Delegado de Protección de Datos (DPD). Puede contactarle en la dirección anterior indicando «DPD» en el asunto.

2. Información que recopilamos

Recopilamos las siguientes categorías de datos personales, todas en relación con la prestación del Servicio.

  • Información de cuenta que usted facilita directamente, nombre y apellidos, correo profesional, teléfono (opcional), cargo (opcional), empresa, NIF/CIF o número de identificación fiscal (opcional).
  • Credenciales de autenticación, contraseña con hash, secreto TOTP de MFA cifrado, dirección IP y huella de navegador/dispositivo al iniciar sesión, metadatos de sesión y de token.
  • Datos del rastro de auditoría, identificador de usuario (actor), dirección IP, acción, recurso afectado, marca de tiempo.
  • Datos operativos vinculados a personas, registros de turnos (nombres de supervisores y operadores, horarios), firmas de órdenes de trabajo (firmante, rol, IP, marca de tiempo), comentarios e hilos sobre alertas y órdenes de trabajo.
  • Comunicaciones de soporte, correspondencia por correo, historial de tickets, mensajes en producto.
  • Datos de marketing, solo con consentimiento, preferencias de comunicación con marca temporal, origen de atribución.
  • Telemetría que incidentalmente refiere a una persona, la telemetría de máquinas recopilada por el Edge Agent no es dato personal; cuando un registro queda vinculado a un operador identificado mediante los registros de turnos, ese registro se tratará como dato personal.

3. Fuentes de datos personales

Obtenemos datos personales de las siguientes fuentes.

  • Directamente de usted, al crear una cuenta, solicitar un presupuesto, contactar con soporte o enviar un formulario.
  • De sus Edge Agents, que transmiten telemetría de máquinas en la que pueden quedar referenciados operadores a través de sus registros de turnos.
  • De proveedores de identidad (Google, Microsoft) cuando inicia sesión con SSO. Recibimos su correo, nombre e identificador del proveedor.
  • De nuestro proveedor de pagos (Paddle.com Market Limited, Merchant of Record), que aporta los campos de facturación necesarios.
  • De cookies y tecnologías similares en nuestro sitio de marketing, cuando usted ha dado su consentimiento para categorías de analítica o marketing.

4. Cómo usamos su información y bases legales

Para visitantes y clientes en el Espacio Económico Europeo, Reino Unido y Suiza, nos basamos en las siguientes bases lícitas conforme a los artículos 6 y 9 del RGPD (o normativa equivalente del UK GDPR o la LPD suiza).

Finalidad Base legal (RGPD UE/UK)
Crear y operar su cuenta; prestación del Servicio Ejecución de un contrato, Art. 6.1.b
Facturación e impuestos Obligación legal, Art. 6.1.c y contrato, Art. 6.1.b
Autenticar usuarios, registrar accesos, prevenir abusos Intereses legítimos, Art. 6.1.f
Mantenimiento de la cadena de auditoría a prueba de manipulación Intereses legítimos, Art. 6.1.f; obligación legal, Art. 6.1.c
Atender solicitudes de soporte y consultas Ejecución de un contrato, Art. 6.1.b
Envío de correos transaccionales del producto Ejecución de un contrato, Art. 6.1.b
Envío de comunicaciones de marketing opcionales Consentimiento, Art. 6.1.a, revocable en cualquier momento
Mejora del Servicio con datos agregados y anonimizados Intereses legítimos, Art. 6.1.f
Obligaciones regulatorias y de auditoría (SOC 2, ISO 27001) Intereses legítimos, Art. 6.1.f; obligación legal, Art. 6.1.c

Cuando nos basamos en intereses legítimos, hemos ponderado dichos intereses frente a sus derechos y concluimos que el tratamiento no prevalece sobre sus intereses de privacidad. Puede oponerse en cualquier momento por motivos relacionados con su situación particular (véase la Sección 8).

5. Destinatarios y subencargados

Compartimos datos personales con proveedores cuidadosamente seleccionados, solo en la medida necesaria para los fines anteriores.

  • Proveedor de alojamiento e infraestructura en la nube
  • Procesador de pagos, Paddle.com Market Limited (Irlanda), Merchant of Record para impuestos y facturación
  • Proveedores de identidad, Google y Microsoft (SSO a nivel de aplicación); proveedores SAML u OIDC a nivel de inquilino que usted configure
  • Proveedores de notificación y push, servicio de entrega de correo y push de navegador (Apple, Google FCM, Mozilla autopush)
  • Herramientas de CRM y soporte
  • Proveedores de auditoría, seguridad y monitorización de errores

Una lista actualizada de subencargados está disponible bajo petición en privacy@haltless.io. Notificamos a los administradores del inquilino antes de cambios materiales. No vendemos datos personales y no los compartimos con redes publicitarias para publicidad comportamental entre contextos.

6. Transferencias internacionales

Haltless está establecida en la Unión Europea (Hungría). Los datos personales pueden transferirse fuera del Espacio Económico Europeo cuando nuestro proveedor de alojamiento opera en otra región, cuando usamos subencargados con sede en EE. UU. autocertificados bajo el EU-US Data Privacy Framework, o cuando enviamos datos a proveedores en jurisdicciones con decisión de adecuación de la UE.

Para transferencias no cubiertas por una decisión de adecuación, nos basamos en las Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914) junto con una evaluación de impacto de transferencia. Para transferencias al Reino Unido, aplicamos el UK International Data Transfer Addendum o el anexo del Reino Unido a las SCC de la UE. Para transferencias fuera de China continental, utilizamos el Contrato Estándar de China para la transferencia transfronteriza de información personal. Puede solicitar copia de las salvaguardas en privacy@haltless.io.

7. Plazos de conservación

Conservamos los datos personales solo durante el tiempo necesario para las finalidades, sujetos a obligaciones legales de conservación.

  • Datos del perfil de la cuenta, durante la vida de su cuenta; eliminados a los 90 días del cierre salvo reclamaciones legales.
  • Metadatos de autenticación, 90 días tras finalizar la sesión.
  • Datos operativos (alertas, órdenes de trabajo, registros de turnos), según el plazo seleccionado por el administrador del inquilino. Por defecto: 90 días en Pilot, 365 en Site, hasta 3.650 en Enterprise.
  • Rastro de auditoría (audit_logs), 7 años (2.555 días), a nivel de plataforma, para cumplir SOC 2 CC2.2 / CC4.1 y obligaciones análogas.
  • Registros de facturación y facturas, el periodo exigido por la legislación tributaria húngara y de la UE, habitualmente ocho años.
  • Datos de marketing, hasta que retire su consentimiento, con un breve periodo de enfriamiento.
  • Copias de seguridad, los backups completos se rotan según nuestra política (actualmente 30 días). Tras la rotación, los datos restaurados siguen las decisiones de borrado anteriores.

Cuando anonimicemos los datos de modo que no puedan identificar a una persona (por ejemplo, agregando telemetría en estadísticas de referencia), podremos conservarlos indefinidamente.

8. Sus derechos

Sujeto a su jurisdicción, dispone de los siguientes derechos sobre sus datos personales.

  • Acceso, obtener una copia de los datos personales que conservamos sobre usted.
  • Rectificación, corregir datos inexactos o incompletos.
  • Supresión (derecho al olvido), sujeta a obligaciones legales de conservación, como registros de auditoría y fiscales.
  • Limitación, restringir el tratamiento mientras se resuelve una solicitud.
  • Oposición, al tratamiento basado en intereses legítimos y en cualquier momento al marketing directo.
  • Portabilidad, recibir una copia estructurada, en formato habitual y de uso común, de los datos que nos haya facilitado.
  • Retirar el consentimiento, para cualquier tratamiento basado en consentimiento, con efecto para el futuro.
  • No ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o significativos similares.
  • Presentar una reclamación ante la autoridad de control local. En Hungría es la Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

Para ejercer cualquiera de estos derechos, escriba a privacy@haltless.io. Respondemos en 30 días. Si no podemos atender su solicitud en ese plazo, le explicaremos por qué y le indicaremos un nuevo plazo. Podemos requerir verificar su identidad para completar algunas solicitudes.

9. Datos de menores

El Servicio no está dirigido a menores. No recopilamos a sabiendas datos personales de menores de 16 años en el EEE, menores de 13 en EE. UU. (COPPA) o menores de 14 en China. Si cree que un menor nos ha facilitado datos personales, contáctenos y los eliminaremos.

10. Cookies y tecnologías similares

Nuestro Servicio utiliza cookies y tecnologías similares como se describe en nuestra Política de Cookies. Las cookies esenciales (autenticación, seguridad) están siempre presentes; las cookies analíticas y otras no esenciales requieren su consentimiento en nuestro sitio de marketing. Respetamos las señales Global Privacy Control (GPC) como preferencia de exclusión válida donde lo exija la legislación.

11. Tratamiento automatizado

El Servicio usa tres algoritmos deterministas de detección de anomalías (línea base estática, EWMA y tasa de cambio) más una fórmula transparente de health score para evaluar el estado de la máquina. Estas decisiones afectan al mantenimiento de equipos, no a personas.

La plataforma no perfila trabajadores, no evalúa el desempeño del operador ni clasifica empleados. Si un cliente utiliza el panel para supervisar a operadores en lugar de a máquinas, dicho tratamiento queda fuera del diseño del Servicio y el cliente (no Haltless) es el responsable. Bajo las obligaciones de transparencia del EU AI Act aplicables desde agosto de 2026, divulgaremos cualquier salida basada en modelo que afecte a personas físicas. Hasta la fecha, ninguna salida del Servicio está diseñada para afectar a personas físicas.

12. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas para proteger los datos personales.

  • TLS 1.3 con autenticación mutua por certificado entre los edge agents y nuestro backend.
  • Cifrado AES-256 en reposo, con claves gestionadas en un servicio de claves respaldado por hardware.
  • Políticas de seguridad a nivel de fila de PostgreSQL para aislar inquilinos.
  • Mínimo 12 caracteres de contraseña, rotación cada 90 días, MFA TOTP con secretos cifrados en reposo.
  • Tokens JWT de acceso de corta duración solo en memoria; tokens de refresco en cookies HttpOnly; revocación de sesiones por dispositivo.
  • Cadena de auditoría a prueba de manipulación (encadenamiento HMAC-SHA256 + trigger de base de datos solo-añadir).

Pese a estas medidas, ningún servicio en Internet es completamente seguro. Si tenemos conocimiento de una violación de datos personales, notificamos a los clientes afectados y a la autoridad de control competente conforme a la legislación aplicable.

13. Disposiciones específicas para UE y Reino Unido

Si reside en el Espacio Económico Europeo, el Reino Unido o Suiza, aplican adicionalmente las siguientes disposiciones. La base legal por finalidad se encuentra en la tabla de la Sección 4.

EU Data Act (Reglamento (UE) 2023/2854). Cuando es usted usuario de un producto industrial conectado servido por el Haltless Edge Agent, dispone del derecho a acceder a los datos que el producto genera en tiempo real, en formato legible por máquina y de forma gratuita. Su administrador de inquilino puede exportar esos datos desde el panel y, a petición, los entregamos vía API.

EU AI Act (Reglamento (UE) 2024/1689). Nuestro health score predictivo es determinista y explicable, no un modelo de base. Divulgamos la lógica del modelo a petición. El score no está diseñado para decisiones sobre personas físicas.

Cyber Resilience Act (Reglamento (UE) 2024/2847). Nuestro Edge Agent es un producto con elementos digitales dentro del ámbito del Reglamento. Mantenemos una política coordinada de divulgación de vulnerabilidades en security@haltless.io.

14. Residentes en California

Esta sección se aplica si reside en California, conforme al California Consumer Privacy Act (CCPA) y al California Privacy Rights Act (CPRA).

Aviso en el momento de la recopilación. Recopilamos las categorías de información personal listadas en la Sección 2 para las finalidades comerciales descritas en la Sección 4 y las divulgamos a los destinatarios indicados en la Sección 5.

Do Not Sell or Share My Personal Information. Haltless no vende información personal ni la comparte con terceros para publicidad comportamental entre contextos. Puede confirmar este estado en privacy@haltless.io.

Información personal sensible. Cuando recopilamos credenciales de autenticación (categoría sensible según §1798.140(ae)), las usamos solo en lo razonablemente necesario para prestar el Servicio. Puede indicarnos que limitemos el uso de información personal sensible escribiendo a privacy@haltless.io.

Sus derechos. Tiene derecho a saber, acceder, eliminar, corregir, optar por excluirse de la venta o compartido, limitar el uso de información personal sensible y no ser discriminado por ejercer estos derechos. Para ejercerlos, escriba a privacy@haltless.io. Puede usar un agente autorizado. Requeriremos prueba de la representación y de su identidad. En los últimos 12 meses hemos divulgado identificadores, información profesional/laboral y actividad de internet/red solo con fines comerciales, y no hemos vendido ni compartido información personal.

15. Residentes de otros estados de EE. UU.

Si reside en otro estado con ley de privacidad integral ,incluidos Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Texas, Florida, Oregón, Montana, Delaware, Nueva Hampshire, Nueva Jersey, Maryland, Minnesota, Rhode Island, Nebraska, entre otros, dispone esencialmente de los mismos derechos de acceso, corrección, supresión, portabilidad (cuando proceda) y exclusión de publicidad dirigida o venta. Para ejercerlos, escriba a privacy@haltless.io. También puede apelar una denegación de solicitud; envíe un correo con «Appeal» en el asunto y responderemos en 30 días.

16. Residentes en China

Si reside en la China continental, su información personal se rige por la Ley de Protección de Información Personal (PIPL).

Representante local. Cuando tratamos información personal de residentes en China desde fuera del país, mantenemos un representante designado. Datos de contacto disponibles en privacy@haltless.io.

Consentimiento separado. Cuando tratamos información personal sensible, transferimos información fuera de la China continental, la compartimos con otro responsable, la divulgamos públicamente o tratamos información de menores de 14 años, recabamos consentimiento separado y explícito.

Transferencia transfronteriza. Aplicamos el Contrato Estándar de China para la transferencia transfronteriza de información personal (en vigor desde junio de 2023). Cuando proceda, completamos adicionalmente una evaluación de seguridad bajo las Medidas de la CAC.

Sus derechos bajo PIPL. Tiene derecho a acceder, copiar, corregir, eliminar, retirar el consentimiento, recibir explicación de decisiones automatizadas y solicitar portabilidad (con sujeción a las normas de aplicación). Puede presentar una queja ante la Administración del Ciberespacio de China o ante su autoridad local de supervisión de mercado. Para ejercer estos derechos, escriba a privacy@haltless.io.

17. Cambios en esta Política

Podemos actualizar esta Política de Privacidad periódicamente. El número de versión actual y la fecha de actualización figuran al inicio de esta página. Para cambios materiales notificamos a los administradores con al menos 30 días de antelación mediante un banner en producto y por correo. Las versiones anteriores quedan disponibles a petición. La versión vigente cuando aceptó por primera vez nuestros Términos de Servicio queda registrada en su cuenta.

18. Contacto

Para cualquier consulta sobre esta Política de Privacidad, el ejercicio de sus derechos o el tratamiento de sus datos personales, contáctenos por correo en privacy@haltless.io.

Dirección postal: Haltless Kft., Budapest, Hungría.

Utilizamos cookies para mejorar su experiencia, analizar el tráfico del sitio y optimizar nuestro marketing. Al hacer clic en "Aceptar todo", usted acepta nuestro uso de cookies. Política de Privacidad