Política de privacidad
Esta política explica qué datos personales procesa sSystm, por qué y qué derechos tienes. Está escrita para reflejar cómo funciona sSystm de verdad — partiendo del hecho de que tus datos de negocio viven en tu propia nube, no en la nuestra.
Última actualización:
01Versión breve
sSystm es una plataforma Bring-Your-Own-Cloud. Tus registros de negocio viven en una base de datos en tu propia cuenta de Cloudflare — no guardamos una copia central. De forma central solo procesamos una pequeña cantidad de datos personales necesarios para operar la plataforma: tu identidad (de Cloudflare), tu pertenencia a la organización y metadatos operativos sobre proyectos, facturación y documentos.
02Quién es responsable
El responsable del tratamiento de los datos personales limitados que sSystm procesa de forma central es ZORC AB, Org.nr 559481-8857, Suecia. Puedes contactarnos en support@ssystm.com (marca los asuntos de privacidad como «Privacy»).
Para los datos de negocio en tu propia cuenta de Cloudflare, los roles son distintos — ver la siguiente sección.
03La distinción BYOC — quién controla qué
La arquitectura de sSystm cambia la historia habitual del tratamiento de datos, así que conviene ser precisos sobre dos conjuntos de datos:
Datos en tu propia nube (tú eres el responsable)
Los datos de negocio de tu workspace — por ejemplo contactos y oportunidades del CRM y entradas de calendario — se almacenan en una base D1 dedicada en tu propia cuenta de Cloudflare. Para estos datos eres el responsable del tratamiento y titular de la infraestructura. sSystm actúa solo como encargado, con acceso limitado, acotado por OAuth y revocable; Cloudflare es subencargado / proveedor de infraestructura. Esta relación se rige por nuestro acuerdo de tratamiento de datos.
Datos que procesamos de forma central (nosotros somos responsables)
Para operar la plataforma en sí mantenemos de forma central un conjunto limitado de datos de cuenta y operativos — descritos abajo. Para esos datos, ZORC AB es el responsable.
04Qué procesamos de forma central
- Identidad y cuenta: los identificadores de cuenta que Cloudflare comparte al iniciar sesión (ID de cuenta y correo), para crear y autenticar tu acceso a sSystm. No almacenamos contraseñas.
- Pertenencia a la organización: qué usuarios pertenecen a qué organización y su rol, para enrutar el acceso correctamente.
- Metadatos operativos: metadatos sobre proyectos, facturación y documentos necesarios para operar la plataforma y, cuando corresponda, facturar módulos premium.
- Tokens de acceso: tus tokens OAuth de Cloudflare, almacenados cifrados (AES-256-GCM) para actuar en tu nombre, revocables por ti en cualquier momento.
- Soporte y comunicaciones: mensajes que nos envías y el correo de lista de espera que proporcionas.
- Registros técnicos: registros operativos y de seguridad limitados (por ejemplo quién ejecutó qué y cuándo).
Tus registros de negocio de CRM y calendario no están en este almacén central — viven en tu propia cuenta de Cloudflare.
06Bases legales (RGPD)
- Ejecución de un contrato — para prestar el Servicio al que te has registrado (cuentas, pertenencia, aprovisionamiento, metadatos).
- Intereses legítimos — para asegurar la plataforma, prevenir abusos, mantener registros de auditoría y mejorar el Servicio, equilibrado con tus derechos.
- Consentimiento — cuando se requiera, por ejemplo al unirte a la lista de espera; puedes retirarlo en cualquier momento.
- Obligación legal — cuando debamos conservar registros para cumplir la ley.
07Procesamiento con IA
Cuando usas la Build AI integrada, el contexto relevante es procesado por modelos de Anthropic vía el AI Gateway y Workers AI de Cloudflare. Cuando conectas tu propia IA por MCP, ese proveedor procesa lo que envías según tu acuerdo con él. No usamos tus datos de negocio para entrenar modelos fundacionales. Las acciones de infraestructura asistidas por IA que no son demostrablemente de solo lectura se preparan para aprobación humana.
08Subencargados
Dependemos de un pequeño número de proveedores verificados. La lista actual — finalidad y ubicación — está en nuestra página de subencargados. En resumen:
- Cloudflare — infraestructura, hosting e IA (global, con opción de jurisdicción UE).
- Resend — correo transaccional y saliente cuando activas el complemento de correo.
- Anthropic — los modelos Claude detrás de la IA integrada (vía AI Gateway de Cloudflare).
- Meta Platforms Ireland — solo si conectas una cuenta de Instagram mediante el módulo Social opcional.
09Transferencias internacionales y residencia de datos
Al iniciar sesión puedes elegir una jurisdicción de residencia de datos en la UE para tu base de datos, aplicada a nivel de infraestructura por la garantía de jurisdicción D1 de Cloudflare — no solo una promesa de política. Cuando los datos personales se transfieren fuera del EEE (por ejemplo por un subencargado), nos apoyamos en garantías adecuadas como las cláusulas contractuales tipo de la Comisión Europea. Ver el DPA.
10Conservación
Conservamos datos centrales de cuenta, pertenencia y metadatos mientras tu workspace esté activo, y durante un periodo limitado después según sea necesario para seguridad, resolución de disputas y obligaciones legales. Tus datos de negocio en tu propia cuenta de Cloudflare los conservas tú, bajo tu control — revocar el OAuth nos excluye mientras tus datos permanecen contigo. Puedes eliminar los datos del workspace directamente en tu propia cuenta en cualquier momento.
11Tus derechos
Sujeto a la ley aplicable, puedes tener derecho a:
- acceder a los datos personales que tenemos sobre ti;
- rectificar datos inexactos;
- suprimir datos («derecho al olvido») cuando ya no exista base legal para conservarlos;
- recibir tus datos en formato portable y, cuando sea factible, que se transmitan;
- limitar u oponerte a ciertos tratamientos; y
- retirar el consentimiento cuando el tratamiento se base en él.
Para ejercer estos derechos, contacta support@ssystm.com. Para datos en tu propia cuenta de Cloudflare, también puedes actuar directamente allí. Puedes presentar una reclamación ante tu autoridad de control.
13Contacto
¿Preguntas sobre esta política o tus datos? Escribe a support@ssystm.com. No hemos designado un delegado de protección de datos; las consultas de privacidad llegan al equipo por esta dirección.
14Cambios
Podemos actualizar esta política a medida que evolucione el Servicio. Los cambios materiales actualizan la fecha «última actualización» arriba y, cuando corresponda, te notificaremos.
05Cuentas sociales conectadas (opcional)
Si un administrador de la organización conecta una cuenta social a través del módulo Social — por ejemplo Facebook Pages e Instagram Professional vía OAuth de Meta, una página de LinkedIn o una cuenta de TikTok — almacenamos, cifrados, los tokens de acceso y actualización, el identificador y nombre visible de la cuenta, la caducidad del token y los permisos concedidos. Usamos estos datos con un solo fin: publicar el contenido que creas, a tu petición explícita («Publicar ahora») o según el calendario que defines. No leemos mensajes directos, no navegamos tu feed, no moderamos comentarios ni recopilamos analíticas/insights, y nunca los usamos para publicidad o perfilado.
TikTok
La conexión TikTok usa el Login Kit y la API Content Posting de TikTok con los scopes
user.info.basicyvideo.publish. Con tu autorización accedemos a tu perfil básico y, justo antes de cada publicación, a la elegibilidad de publicación de tu cuenta — para publicar los vídeos y fotos que creas en tu propia cuenta TikTok según tus instrucciones. Nuestro acceso y uso de la información de TikTok siguen los Términos de servicio de TikTok y las políticas de TikTok. No vendemos datos de TikTok, no los compartimos con terceros ni los usamos para otro fin que la publicación que has solicitado.