Esta Política de privacidad (la "Política") explica cómo Solver (la "Compañía") trata la información personal y los datos personales en el servicio "Auto Scheduler" (el "Servicio"), una solución en la nube que optimiza automáticamente los cuadros de turnos según restricciones y preferencias. Cumple la legislación japonesa, incluida la Ley de Protección de la Información Personal (APPI). Las disposiciones relativas al Acuerdo de tratamiento de datos (DPA) figuran en los anexos siguientes.
Definiciones
Información personal / Datos personales: Según la definición del APPI.
Datos del usuario: Datos proporcionados por los usuarios a la Compañía (información del personal, condiciones de planificación, preferencias de trabajo, necesidades de personal, datos de cuenta, registros, etc.), que pueden incluir información personal.
Datos de salida: Cuadros de turnos generados por el Servicio (resultados de optimización).
Tratamiento: Cualquier operación, incluida la recopilación, registro, edición, almacenamiento, uso, suministro, eliminación, etc.
Encargados/Subencargados: Proveedores contratados por la Compañía (p. ej., AWS, Stripe).
Información de cuenta (nombre, correo electrónico, organización, función, etc.)
Información de autenticación y registros (ID de autenticación, registros de acceso, dirección IP, información del dispositivo, cookies/tecnologías similares)
Información de pago (procesada a través de Stripe; los datos de la tarjeta los gestiona Stripe)
Datos del usuario (nombres del personal, franjas disponibles, condiciones de planificación, necesidades de personal y demás datos de entrada)
Comunicaciones de soporte (contenido del chat)
Finalidades del tratamiento
Prestación, explotación, mejora de funciones y calidad del Servicio (ejecución del cálculo de optimización de turnos)
Autenticación, seguridad, respuesta a incidentes y análisis de registros
Facturación, emisión de facturas y prevención del fraude
Soporte (chat), notificaciones y actualizaciones de políticas/condiciones
Creación y publicación de información estadística (solo en forma que no identifique a personas físicas o usuarios concretos)
Cumplimiento legal y protección de derechos
Ubicación del almacenamiento, conservación y supresión
Región de almacenamiento: en principio, Japón (región de Tokio). Los cambios se notificarán con antelación.
En caso de cambio de región, en principio se notificará al menos 30 días antes por correo electrónico y/o aviso en el producto (salvo emergencias u obligaciones legales).
Periodo de conservación: los datos del entorno de pruebas (Playground) se eliminan automáticamente a las 24 horas (TTL). Los datos de los planes gratuito y de pago se eliminan tras el periodo de conservación (p. ej., 3 años).
Eliminación de cuenta: eliminación lógica tras la solicitud y eliminación definitiva a los 90 días (las copias de seguridad pueden requerir tiempo adicional).
En caso de incidencias técnicas: la Compañía puede acceder y utilizar los Datos del usuario en la medida mínima necesaria para investigar y resolver, y los eliminará o anonimizará sin demora tras la resolución.
Cesión a terceros, uso conjunto y encargo
Cesión a terceros: No sin consentimiento, salvo que la ley lo exija.
Encargo: Los encargados principales son AWS (infraestructura) y Stripe (pagos). La Compañía ejerce una supervisión adecuada.
Subencargo: No hay subencargo más allá de lo anterior sin permiso previo del usuario (si es inevitable el mantenimiento/sustitución, se aplicarán salvaguardas equivalentes o mayores y se dará aviso inmediato).
Transferencias internacionales: Debido a circunstancias como Stripe, los datos pueden almacenarse/tratarse fuera de Japón (p. ej., en EE. UU.) y se aplicarán salvaguardas legales.
Cuando se produzcan transferencias internacionales, la Compañía adopta salvaguardas adecuadas como las Cláusulas Contractuales Tipo de la UE (SCC), el Anexo UK IDTA/UK SCC y el Anexo FDPIC suizo, según corresponda (véase el Anexo B).
Uso de los datos
El Servicio no utiliza los Datos del usuario para entrenar ni mejorar modelos de IA.
Los datos de entrada se emplean únicamente para los cálculos de optimización y los resultados (cuadros de turnos) se devuelven a los usuarios.
Seguridad
Implementación de medidas de seguridad, incluidos el control de accesos, el cifrado en tránsito y en reposo, la segregación de funciones, los registros de auditoría y la gestión de vulnerabilidades.
Imposición de obligaciones de confidencialidad y formación al personal y a los encargados.
En caso de violación grave, se adoptarán medidas y se notificará a las autoridades y a los interesados según la ley.
Derechos de los usuarios
Los usuarios pueden solicitar acceso, rectificación, suplementación, supresión, limitación del uso o cese de la cesión a terceros (se requiere verificación de identidad). Contacto: connectechceomatsui@gmail.com
Base jurídica y papeles (responsable/encargado)
Para la información personal relacionada con la gestión de cuentas, la facturación y la explotación del Servicio, la Compañía actúa como "operador comercial" (equivalente al responsable).
Para los Datos del usuario confiados por los clientes (datos personales tratados dentro de los fines del cliente), la Compañía actúa como "encargado".
Cuando resulten aplicables las leyes estatales de EE. UU. (p. ej., CCPA/CPRA), la Compañía cumplirá las obligaciones como "proveedor de servicios/encargado" (véase el Anexo C).
Esta Política se basa en el derecho japonés; cuando el Servicio esté sujeto a otras jurisdicciones (p. ej., UE/EEE), se implementarán medidas adicionales (como las SCC) según sea necesario.
Cookies, analítica y monitorización del rendimiento
Podemos utilizar cookies y tecnologías similares para usabilidad, seguridad y analítica. Puede desactivarlas en la configuración del navegador, pero algunas funciones pueden verse afectadas.
[Google Analytics] Utilizamos Google Analytics para mejorar nuestro servicio. Google Analytics utiliza cookies para recopilar datos de comportamiento. Los datos se gestionan según la Política de privacidad de Google y las direcciones IP se anonimizan. La información incluye vistas de página, duración de la sesión, tipo de dispositivo, navegador, sistema operativo, ubicación geográfica (país/ciudad) y referente. Para optar por no participar, puede instalar el complemento del navegador de Google (https://tools.google.com/dlpage/gaoptout). Más información: https://policies.google.com/privacy
[Vercel Analytics / Speed Insights] Utilizamos Vercel Analytics y Vercel Speed Insights para análisis de acceso respetuoso con la privacidad y medición del rendimiento. Estas herramientas no usan cookies ni recopilan información identificable (como direcciones IP). La información incluye vistas de página, tipo de dispositivo, ubicación aproximada (país), referente, tiempos de carga e interacción. Solo se utiliza con fines estadísticos. Cumplen GDPR y CCPA.
Información personal de menores
Por regla general, no se prevé el uso del Servicio por menores sin el consentimiento de los padres o tutores.
Cambios en esta Política
Los cambios sustanciales se notificarán con antelación. El uso continuado tras la notificación implica la aceptación.
Contacto
Para consultas sobre el tratamiento de datos personales: connectechceomatsui@gmail.com. El soporte es solo por chat; objetivo de respuesta en tres días hábiles.
Anexo A | Cláusulas del Acuerdo de tratamiento de datos (DPA)
A-1. Papeles
El cliente es el responsable; la Compañía es el encargado y trata los Datos del usuario conforme a las instrucciones del cliente.
A-2. Finalidad y alcance
Finalidad: Prestación de Auto Scheduler, ejecución de cálculos de optimización de turnos, devolución/salida de resultados, mantenimiento y soporte, seguridad y facturación.
Datos: Datos personales remitidos por el cliente (pueden incluir nombres del personal, identificadores, datos de contacto, preferencias de trabajo, registros).
Interesados: Clientes, usuarios finales, empleados del cliente, etc.
A-3. Obligaciones del encargado
Tratar solo conforme a instrucciones escritas (incluidas electrónicas) del cliente.
Garantizar la confidencialidad.
Mantener medidas de seguridad técnicas y organizativas adecuadas.
Si las solicitudes de los interesados llegan directamente a la Compañía, remitirlas sin demora al cliente y cooperar.
En caso de incidente, notificar al cliente sin demora indebida y cooperar en la corrección.
Cooperar con las auditorías y solicitudes de rendición de cuentas razonables del cliente con las salvaguardas adecuadas.
Al finalizar el tratamiento, eliminar o devolver los datos personales según la elección del cliente (salvo obligación legal de conservación).
A-4. Subencargados
Subencargados actuales: AWS (infraestructura) y Stripe (pagos).
No habrá más subencargados sin permiso previo del cliente; si la sustitución es inevitable, se garantizarán salvaguardas equivalentes o mayores y aviso previo.
Imponer obligaciones de protección de datos equivalentes a las de este DPA a todos los subencargados.
A-5. Transferencias internacionales
Cuando el tratamiento tenga lugar fuera de Japón, la Compañía aplicará las salvaguardas exigidas por la ley aplicable (p. ej., cláusulas contractuales y avisos legales).
A-6. Conservación y supresión
Tras la instrucción del cliente o al finalizar el contrato, la Compañía eliminará o devolverá los datos personales en un plazo razonable. Las copias de seguridad se sobrescribirán o borrarán de forma segura.
A-7. Auditoría e información
El cliente puede realizar auditorías (p. ej., revisión documental) con aviso y alcance razonables. La Compañía cooperará facilitando la información necesaria.
A-8. Responsabilidad
Las responsabilidades se rigen por las Condiciones del servicio y este DPA. Los daños por dolo o negligencia grave (p. ej., incumplimiento de obligaciones de seguridad) se limitan conforme a las Condiciones del servicio.
A-9. Restricciones de uso de datos
El Servicio no utiliza los Datos del usuario para entrenar ni mejorar modelos de IA. Los datos de entrada se emplean únicamente para los cálculos de optimización y los resultados se devuelven a los usuarios.
Anexo B | Cláusulas de transferencia internacional (SCC/Reino Unido/Suiza)
B-1. Aplicabilidad
Para transferencias desde la UE/EEE, la Compañía adopta las SCC (2021/914).
Módulos: Responsable→Encargado (Módulo 2) y Encargado→Encargado (Módulo 3), según proceda.
Para el Reino Unido, se aplicará el UK IDTA o el Anexo UK SCC; para Suiza, el Anexo FDPIC.
B-2. Opciones principales (bajo el texto de las SCC)
Cláusula 7 (Docking): aplicable.
Cláusula 9 (Subencargado): autorización general; subencargados actuales (AWS, Stripe). Los nuevos/cambiados se notificarán en principio con 15 días de antelación.
Cláusula 11 (Reparación): no aplicable (sujeto a la ley).
Cláusula 17 (Ley aplicable): leyes de Irlanda.
Cláusula 18 (Foro): tribunales de Irlanda.
B-3. Autoridad de supervisión
La autoridad de supervisión principal prevista es la Comisión de Protección de Datos de Irlanda (DPC), salvo acuerdo distinto.
B-4. Anexo I (Detalles de la transferencia)
Partes: Exportador de datos (cliente) e importador de datos (Compañía).
Interesados: Clientes, usuarios finales, empleados del cliente, etc.
Categorías de datos: Identificadores, datos de contacto, información del personal, preferencias de trabajo, condiciones de planificación, registros, etc. (según instrucciones del cliente).
Categorías especiales: no previstas en principio; si se incluyen, se requiere acuerdo previo.
Finalidad: Prestación de Auto Scheduler, cálculo de optimización de turnos, mantenimiento y seguridad, facturación y soporte.
Plazo de conservación: Hasta el logro de los fines. Tras el fin del contrato, eliminación/devolución (salvo conservación legal).
Frecuencia de transferencia: Continua y/o ad hoc.
B-5. Anexo II (Medidas técnicas y organizativas)
Control de accesos (mínimo privilegio, MFA, segregación de funciones)
Cifrado de datos (TLS en tránsito, AES-256 en reposo)
Gestión de claves (rotación, KMS)
Registro/auditoría (resistencia a manipulación, alertas)
Desarrollo y operaciones seguros (SDLC seguro, gestión de vulnerabilidades, monitorización de dependencias)
Disponibilidad (copias de seguridad, redundancia intra-región, planes de recuperación)
Gestión de proveedores (evaluación/contratos con subencargados)
Procesos para derechos de los interesados
Respuesta a incidentes (detección, contención, análisis de causa raíz, notificación)
B-6. Anexo III (Subencargados)
AWS (infraestructura/alojamiento, región de Tokio como principal)
Stripe (pagos)
Si se añaden subencargados, se dará aviso previo y se impondrán salvaguardas equivalentes o mayores.
B-7. Solicitudes de las autoridades
Salvo prohibición legal, la Compañía notificará al exportador sin demora indebida, examinará la legalidad de la solicitud y minimizará su alcance. Puede facilitarse información de transparencia.
B-8. Evaluación de impacto de la transferencia (TIA)
Cuando sea necesario, la Compañía cooperará razonablemente con la TIA del exportador y facilitará la información pertinente.
Anexo C | Anexo de legislación estatal de EE. UU. (CCPA/CPRA, etc.)
C-1. Papeles y limitación de la finalidad
La Compañía actúa como "proveedor de servicios/encargado" y trata la información personal solo para fines comerciales del cliente.
C-2. Prohibición de venta/compartición
La Compañía no "vende" ni "comparte" información personal (incluida la publicidad conductual entre contextos).
C-3. Prohibición de uso secundario
La Compañía no utiliza la información personal para fines independientes propios (salvo uso estadístico/anónimo permitido por la ley aplicable).
C-4. Seguridad
La Compañía mantiene medidas de seguridad razonables y, en caso de incidente, notificará y ayudará al cliente.
C-5. Cooperación con derechos de los consumidores
La Compañía cooperará razonablemente con solicitudes de acceso, supresión, rectificación y exclusión. Cuando proceda, respetará las señales GPC.
C-6. Subencargados
La Compañía transmitirá obligaciones equivalentes a los subencargados y notificará cambios de forma razonable.
C-7. Registros y auditorías
La Compañía mantendrá los registros necesarios para el cumplimiento de CCPA/CPRA y cooperará razonablemente con las auditorías del cliente.