Anexo de Tratamiento de Datos

Respecto a información personal de clientes finales, leads, empleados, proveedores o terceros que el usuario empresarial introduce, sube, graba, envía o procesa a través de SaySo: El usuario empresarial es generalmente el controlador de la base de datos o el sujeto que determina los fines y medios del tratamiento. SaySo actúa generalmente como custodio del archivo, encargado del tratamiento o proveedor de outsourcing, según corresponda, y procesa la información por cuenta del usuario empresarial y para la prestación del servicio. Respecto a información del usuario empresarial mismo, incluida información de cuenta, pago, suscripción, uso del sistema, soporte, seguridad, facturación y comunicación con SaySo, SaySo puede actuar como controlador independiente, tal como se detalla en la Política de Privacidad.

El usuario empresarial es responsable de asegurar que: Tiene una base legal, autorización, consentimiento o fuente de competencia adecuada para el tratamiento de la información a través de SaySo. La información se entrega a SaySo conforme a derecho. Se han entregado a los titulares de la información los avisos de privacidad requeridos por ley. No se sube al sistema información que no sea necesaria para la creación de la propuesta o la gestión del contrato. No se sube información de especial sensibilidad salvo cuando sea necesario, permitido por ley, y se hayan entregado los avisos o consentimientos requeridos. Toda grabación, subida de archivo, transcripción, envío o firma se realiza conforme a la ley aplicable a él y a sus clientes. El contenido de las propuestas, los precios, las condiciones de la transacción y los compromisos comerciales son revisados por él antes del envío.

En el marco del servicio, SaySo puede tratar los siguientes tipos de información, en la medida en que hayan sido introducidos o subidos por el usuario empresarial: Nombre del cliente o destinatario. Datos de contacto, como correo electrónico, teléfono o dirección, si fueron introducidos. Detalles de la propuesta, incluidos servicios, productos, precios, condiciones de pago, fechas, notas y términos comerciales. Grabaciones de voz. Transcripciones. Información extraída de grabaciones o de texto libre. Firma, aprobación, nombre del aprobante, fecha de aprobación y datos técnicos de la acción. Datos básicos de visualización en la página de la propuesta, como fecha de apertura, duración estimada de visualización, dirección IP, tipo de navegador, tipo de dispositivo y otros datos del sistema. Archivos, logos, imágenes, marca o documentos subidos a la propuesta. Registros técnicos necesarios para seguridad, detección de incidencias y operación del servicio.

SaySo tratará la información para los siguientes fines: Operación del servicio. Creación de propuestas. Transcripción de grabaciones. Extracción de datos para la propuesta mediante herramientas de inteligencia artificial. Almacenamiento, edición y gestión de propuestas. Envío de propuestas a destinatarios. Visualización de páginas de propuesta. Recepción de aprobación o firma electrónica. Mostrar datos básicos de visualización al usuario empresarial. Soporte técnico. Seguridad de la información, prevención de uso indebido, detección de incidencias y monitoreo de integridad. Cumplimiento de requisitos legales, gestión de disputas y defensa legal. SaySo no usará información de los clientes finales para fines independientes no relacionados con la prestación del servicio, salvo cuando esté permitido por ley o acordado por separado.

SaySo tratará la información conforme a las instrucciones del usuario empresarial, en la forma en que se otorgan a través del uso del sistema, los Términos de Servicio, la Política de Privacidad y este anexo. SaySo puede tratar información también cuando sea necesario para la seguridad del servicio, prevención de fraude, corrección de incidencias, mantenimiento, copia de seguridad, cumplimiento legal o defensa de derechos legales. Si SaySo considera que una instrucción del usuario empresarial infringe la ley o crea un riesgo sustancial, podrá negarse a ejecutar la instrucción, restringir el tratamiento o solicitar aclaraciones.

SaySo restringirá el acceso a información personal a empleados, prestadores de servicios o proveedores que necesiten acceso para la prestación del servicio. El acceso a la información se otorgará según necesidad operativa, permisos adecuados y obligación de confidencialidad. SaySo adoptará medidas razonables para prevenir acceso no autorizado, uso indebido, modificación, eliminación o divulgación no autorizada de información personal.

En el marco de la prestación del servicio, personal autorizado de SaySo puede acceder a las propuestas del usuario empresarial, siempre que dicho acceso sea necesario para uno de tres propósitos definidos únicamente: soporte, seguridad o control de calidad. Antes de cada acceso, el miembro autorizado del personal debe seleccionar la razón y puede añadir notas en formato libre. La selección, las notas, el identificador del miembro del personal, el identificador de la propuesta y la fecha y hora del acceso se registran automáticamente en un log de auditoría inalterable. El usuario empresarial puede consultar los eventos de acceso recientes en el área Configuración → Cuenta, incluyendo la razón del acceso y las notas proporcionadas. El acceso está sujeto a obligaciones de confidencialidad, al principio de necesidad operativa y a procedimientos internos. SaySo no permite que su personal autorizado procese dicha información para ningún propósito distinto al declarado, ni la transfiera a terceros más allá de la lista aprobada de subcontratistas. En caso de uso indebido del acceso, SaySo actuará conforme a sus procedimientos de Recursos Humanos, notificará al usuario empresarial cuando lo exija la ley y tomará las medidas oportunas.

SaySo implementará medidas técnicas y organizativas razonables, conforme a la naturaleza del servicio, los tipos de información, el nivel de riesgo, el alcance de la actividad y los requisitos de la ley aplicable. Estas medidas pueden incluir, según corresponda: Controles de acceso y permisos. Separación entre cuentas y clientes en el sistema. Cifrado en tránsito. Uso de infraestructuras cloud seguras. Copias de seguridad. Monitoreo de incidencias y eventos atípicos. Restricción del acceso de administradores. Registros técnicos. Revisiones de seguridad periódicas según necesidad. Procedimientos internos para gestión de incidentes de seguridad.

SaySo puede apoyarse en subcontratistas para la operación del servicio, incluidos proveedores de almacenamiento, base de datos, infraestructura cloud, inteligencia artificial, transcripción, envío de correos, monitoreo, seguridad, analítica, soporte y chat de soporte. SaySo adoptará medidas razonables para que los subcontratistas traten información personal sólo para la prestación del servicio, sujetos a obligaciones adecuadas de seguridad, confidencialidad y tratamiento de información. La lista de subcontratistas principales puede incluir: Supabase: almacenamiento, base de datos, autenticación e infraestructura de información. Vercel: almacenamiento, despliegue, infraestructura y CDN. Google Gemini u otros proveedores de IA: transcripción, extracción de información y redacción. Resend u otros proveedores de correo: envío de mensajes del sistema. Crisp Chat (Crisp IM SAS): chat de soporte en vivo, servidores en la Unión Europea, activo sólo cuando se aceptan cookies funcionales. Proveedor con DPA compatible con GDPR (https://crisp.chat/en/privacy/). PostHog u otros proveedores de analítica: análisis de uso del producto, sujeto a configuraciones de consentimiento y a la Política de Privacidad. SaySo puede actualizar la lista de subcontratistas de tiempo en tiempo. En caso de añadir un subcontratista sustancial que pueda afectar materialmente el tratamiento de información del usuario empresarial, SaySo actuará para entregar un aviso razonable previo o publicar una actualización adecuada en el sistema o el sitio. Si el usuario empresarial se opone razonablemente al uso de un nuevo subcontratista, las partes intentarán encontrar una solución razonable. Si no se encuentra solución, es posible que el usuario deba dejar de usar parte del servicio o terminar la relación.

SaySo puede usar proveedores que operan fuera de Israel, incluidos países donde se ubican infraestructuras cloud, infraestructuras de IA, servicios de correo, monitoreo y almacenamiento. Cuando información personal se transfiere o es accesible fuera de Israel, SaySo actuará para adoptar medidas razonables y arreglos contractuales apropiados para proteger la información, conforme a la ley aplicable. Si la ley europea aplica a la información, podrán requerirse mecanismos adicionales de transferencia, como cláusulas contractuales tipo u otros arreglos. En tal caso aplicará un anexo o arreglo adicional adecuado.

SaySo asistirá al usuario empresarial, en medida razonable y conforme a la naturaleza del servicio, en la atención de solicitudes de titulares de información, como solicitudes de acceso, rectificación, supresión o aclaración respecto a información personal. El usuario empresarial es el principal responsable de responder a sus titulares de información. Si un titular de información contacta directamente con SaySo en relación con información introducida por un usuario empresarial, SaySo podrá derivarlo al usuario empresarial o gestionar la consulta en coordinación con el usuario empresarial, según corresponda. SaySo podrá negarse a una solicitud de eliminación o limitarla cuando exista una obligación o justificación para la conservación de la información, incluidos fines contractuales, probatorios, fiscales, contables, de seguridad, prevención de fraude, gestión de disputas o cumplimiento legal.

En caso de que SaySo detecte un incidente de seguridad relativo a información personal tratada por cuenta del usuario empresarial, SaySo actuará para evaluar el incidente, reducir el riesgo y adoptar pasos razonables para gestionarlo. Si el incidente puede afectar materialmente información personal de los clientes del usuario empresarial, SaySo notificará al usuario empresarial sin demora razonable tras conocer el incidente. El aviso incluirá, en la medida en que la información esté disponible en esa etapa: Descripción general del incidente. Tipos de información que pueden estar afectados. Alcance estimado del incidente, si se conoce. Medidas tomadas para reducir el riesgo. Recomendaciones de acción razonables, si las hay. Datos de contacto para seguimiento. SaySo podrá entregar información por etapas, conforme avanza la investigación. El usuario empresarial es responsable de evaluar si le aplica una obligación de notificación a la autoridad, a los titulares de la información o a otras partes.

Conforme a los requisitos de la ley aplicable, SaySo pondrá a disposición del usuario empresarial información razonable necesaria para evaluar su cumplimiento de las obligaciones de seguridad y tratamiento de la información. En lugar de auditoría física, SaySo podrá poner a disposición cuestionarios de seguridad, declaraciones del proveedor, documentos de política, descripción de medidas de seguridad o informes de terceros, en la medida en que estén disponibles. Una auditoría amplia o atípica se realizará sólo con coordinación previa, en horario laboral razonable, sujeta a la conservación de la confidencialidad, la seguridad de la información, la no afectación de otros usuarios y el pago de costos razonables si fuera necesario.

Durante el período de uso del servicio, la información se conservará conforme a las configuraciones del servicio, la Política de Privacidad, los Términos de Servicio y las disposiciones de la ley. Tras el término del uso del servicio o el cierre de la cuenta, SaySo actuará para eliminar, restringir o devolver información, según corresponda y conforme a las capacidades del sistema, la política de retención y la ley aplicable. Cierta información podrá conservarse incluso tras el término del contrato, incluida: Propuestas aprobadas o firmadas. Información necesaria para fines probatorios. Información necesaria para fines contractuales. Información necesaria para fines fiscales o contables. Información necesaria para fines de seguridad, prevención de fraude o gestión de disputas. Información contenida en copias de seguridad hasta el ciclo regular de eliminación. Tras la eliminación, podría no ser posible recuperar la información.

SaySo no utilizará contenido de los clientes finales para fines de marketing independientes. SaySo podrá utilizar datos técnicos, datos de uso, datos agregados o datos anonimizados para seguridad, monitoreo, mejora del servicio, desarrollo de funcionalidades y medición de rendimiento, siempre que no sea posible identificar razonablemente a una persona específica. Si se utilizan herramientas de IA para producir transcripción, extracción de información o redacción, esto se realizará para la prestación del servicio y conforme a la Política de Privacidad y a los términos de los proveedores pertinentes.

Cada parte asume su responsabilidad conforme a la ley aplicable y según su parte en el tratamiento de la información. El usuario empresarial es responsable de la legalidad de la recopilación de información, su entrega a SaySo, los avisos a los titulares de la información, las autorizaciones, los consentimientos y el contenido de las propuestas. SaySo es responsable del tratamiento de la información conforme a este anexo, los Términos de Servicio, la Política de Privacidad y la ley aplicable a ella. La responsabilidad de SaySo estará sujeta a las limitaciones de responsabilidad establecidas en los Términos de Servicio, en la máxima medida permitida por la ley.

Este anexo se aplicará mientras el usuario empresarial use SaySo para el tratamiento de información personal de clientes, leads, empleados, proveedores o terceros. Las disposiciones relativas a confidencialidad, seguridad de la información, retención, eliminación, responsabilidad y defensa legal continuarán aplicándose tras el término del uso, en la medida en que su naturaleza o la ley así lo requiera.

Este anexo se rige por las leyes del Estado de Israel. La jurisdicción sobre cualquier controversia relativa a este anexo será de los tribunales competentes del distrito de Tel Aviv, salvo que la ley imperativa disponga lo contrario.

Este anexo entra en vigor cuando un usuario empresarial crea una cuenta, usa el servicio, envía una propuesta o procesa información personal mediante SaySo. No se requiere firma manual para que el anexo aplique. Si una organización requiere una versión firmada del anexo de tratamiento de información, puede dirigirse a: niv@alma-ads.co.il SaySo podrá evaluar la solicitud y proporcionar una versión firmada, a su criterio y conforme a su proceso interno.