Política de Privacidad

01

Introducción y ámbito de aplicación

QReportly ("la Plataforma" o "el Proveedor") otorga una importancia fundamental a la protección de los datos personales y a la confidencialidad de las personas que utilizan sus servicios.

La presente Política de Privacidad se aplica a: (i) los tratamientos efectuados por el Proveedor como Responsable del Tratamiento para sus propias actividades (cuentas de administrador, facturación, soporte); (ii) los tratamientos efectuados por el Proveedor como Encargado (Processor) en nombre de los Clientes, para los datos incluidos en denuncias y en operaciones del canal interno de denuncia.

Para el canal público de denuncia accesible a denunciantes, el Proveedor aplica medidas técnicas y organizativas avanzadas de minimización de datos, detalladas en las secciones específicas siguientes.

02

En lo que respecta a los datos personales contenidos en las denuncias transmitidas por el canal interno, informes, mensajes, archivos adjuntos y metadatos operativos asociados a la gestión de casos, el Cliente —la Persona Jurídica incorporada— actúa como Responsable del Tratamiento (Data Controller).

QReportly actúa estrictamente como Encargado del Tratamiento (Data Processor / proveedor técnico), tratando los datos exclusivamente sobre la base de instrucciones documentadas del Cliente, para la prestación de los servicios contratados y dentro de los límites de la presente Política y del Acuerdo de Uso.

Para los datos propios de cuentas de administrador, datos de facturación y comunicaciones comerciales, el Proveedor actúa como Responsable del Tratamiento independiente, con la obligación de proporcionar a los interesados la información prevista por el RGPD.

Relación Responsable — Encargado

El Proveedor no utiliza el contenido de las denuncias para fines propios de marketing, perfilado o análisis comercial. El acceso del personal del Proveedor a los datos de los Clientes está estrictamente limitado al personal autorizado para mantenimiento, soporte técnico, seguridad y cumplimiento legal, y está sujeto a obligaciones de confidencialidad.

El Cliente responde por la licitud del tratamiento, la información a los interesados, la respuesta a solicitudes de ejercicio de derechos en relación con denuncias y la notificación a autoridades de control, cuando proceda.

03

Categorías de datos tratados

En función de la forma de uso de la Plataforma, podrán tratarse las siguientes categorías de datos:

Datos de identificación de administradores del Cliente: nombre, dirección de correo electrónico, cargo, preferencias de idioma;
Datos organizativos: denominación del workspace, país de registro, configuraciones de cumplimiento, plan tarifario;
Datos de facturación y pago: tratados principalmente por el procesador de pagos integrado; el Proveedor puede almacenar referencias de transacción, no datos completos de tarjeta;
Contenido de las denuncias: texto, categorías, archivos adjuntos, mensajes del chat seguro, estados procedimentales, marcas temporales;
Datos técnicos limitados de sesiones de administración: registros de seguridad, identificadores de sesión, eventos de autenticación;
Datos facilitados voluntariamente por denunciantes: nombre, contacto u otros elementos, exclusivamente si el denunciante opta por una denuncia identificada.

04

Arquitectura de anonimato (zero-knowledge)

La Plataforma está diseñada estructuralmente para no recopilar, registrar ni almacenar direcciones IP, datos de geolocalización ni huellas digitales (browser fingerprinting) de informantes de integridad que accedan al canal público de denuncia.

Esta arquitectura de minimización tiene como objetivo reducir el riesgo de reidentificación de denunciantes que opten por la denuncia anónima y apoyar al Cliente en el cumplimiento de sus obligaciones legales de confidencialidad.

El Proveedor no utiliza tecnologías de seguimiento conductual, perfilado publicitario ni analytics invasivo dentro del flujo de denuncia destinado a denunciantes. Cualquier herramienta analítica aplicada al sitio público de presentación está separada del canal seguro de denuncias.

Denuncia nominal

En caso de que el denunciante opte explícitamente por una denuncia identificada, los datos facilitados voluntariamente serán accesibles a la Persona Designada del Cliente y estarán protegidos mediante medidas técnicas de cifrado y control de acceso. El Cliente sigue siendo el Responsable del Tratamiento de dichos datos.

05

Metadatos, archivos adjuntos y sanitización

Todos los archivos adjuntos a denuncias (documentos PDF, DOCX, imágenes PNG/JPG/JPEG) se someten a un proceso automático de limpieza criptográfica de metadatos en el momento de la carga, incluyendo, entre otros: datos EXIF de imágenes, información sobre autoría del documento, propiedades embebidas, marcas temporales de edición y otros elementos que pudieran facilitar una reidentificación involuntaria.

El proceso de sanitización tiene lugar antes del almacenamiento definitivo de los archivos en la infraestructura de la Plataforma. El Cliente es responsable de evaluar si la información restante en el contenido visible de los documentos es adecuada para la finalidad de la investigación.

Los archivos que no puedan procesarse de forma segura o que superen los límites técnicos establecidos podrán rechazarse automáticamente, sin conservación del contenido original.

06

Retención y purga automática de datos

El Proveedor aplica políticas estrictas de retención y eliminación automática, diseñadas para limitar la exposición de datos más allá de los periodos necesarios para la prestación del servicio y el cumplimiento legal.

Archivos multimedia y documentos probatorios

Los archivos multimedia y documentos cargados como prueba dentro de denuncias se eliminan definitiva e irreversiblemente de los servidores a los 6 meses (180 días naturales) desde que el caso se marca como "Cerrado" en la Plataforma. La purga se ejecuta automáticamente, mediante procedimientos programados, sin intervención manual.

Historial textual y registro

El historial textual del chat seguro, los registros procedimentales y los datos asociados al registro oficial se conservan durante el periodo legal estándar configurado en el workspace del Cliente: 5 (cinco) años como duración predeterminada, o 3 (tres) años para jurisdicciones que establezcan ese plazo —como es el caso de Alemania—, tras lo cual se eliminan automáticamente mediante procedimiento de Hard Delete (eliminación física irreversible de sistemas activos de producción).

El Cliente puede configurar el periodo de retención dentro de los límites permitidos por la legislación aplicable a su organización. El Proveedor no garantiza la conservación de datos más allá de los plazos configurados o más allá de la terminación contractual, salvo obligaciones legales imperativas impuestas al Proveedor.

07

Bases legales del tratamiento

Como Encargado del Tratamiento, el Proveedor trata los datos de denuncias en base al contrato celebrado con el Cliente (art. 6.1.b RGPD) y a las obligaciones legales aplicables a proveedores de servicios cloud (art. 6.1.c RGPD, cuando corresponda).

Como Responsable del Tratamiento para cuentas de administración, las bases legales incluyen: ejecución del contrato; interés legítimo relativo a la seguridad de la Plataforma y prevención del fraude; obligaciones legales contables y fiscales; consentimiento, cuando se solicite expresamente (p. ej., comunicaciones de marketing, si están activadas).

08

Derechos de los interesados

Los interesados disponen de los derechos previstos por el RGPD: acceso, rectificación, supresión, limitación, portabilidad, oposición y derecho a no ser objeto de una decisión basada exclusivamente en tratamiento automatizado, en los términos de la ley.

Para los datos de denuncias, las solicitudes de ejercicio de derechos deben dirigirse en primer lugar al Cliente, en su condición de Responsable del Tratamiento. El Proveedor asistirá al Cliente, en la medida razonable y conforme al contrato, en la atención de dichas solicitudes.

Para los datos tratados por el Proveedor como Responsable del Tratamiento (cuentas de administrador, facturación), las solicitudes podrán enviarse a la dirección de contacto indicada al final del presente documento. El Proveedor responderá dentro de los plazos previstos por el RGPD.

Los interesados tienen derecho a presentar reclamación ante la autoridad de control competente del Estado miembro de su residencia habitual, lugar de trabajo o lugar de la supuesta infracción.

09

Medidas de seguridad

El Proveedor implementa medidas técnicas y organizativas adecuadas para proteger los datos, incluyendo: cifrado en tránsito (TLS), controles de acceso basados en roles, aislamiento lógico entre workspaces, monitorización de seguridad, procedimientos de respuesta a incidentes y copias de seguridad cifradas en infraestructura alojada en la Unión Europea.

Ningún sistema puede garantizar seguridad absoluta. En caso de incidente de seguridad que afecte datos de Clientes, el Proveedor notificará al Cliente sin demoras indebidas, de conformidad con las obligaciones contractuales y legales aplicables.

10

Subencargados y transferencias internacionales

El Proveedor podrá recurrir a subencargados para alojamiento, procesamiento de pagos, entrega de correo electrónico o seguridad, con obligación de imponerles garantías contractuales equivalentes a las previstas por el RGPD.

Los datos se alojan predominantemente en la Unión Europea. Si determinados servicios de terceros implican transferencias fuera del EEE, el Proveedor utilizará mecanismos de transferencia reconocidos (Cláusulas Contractuales Tipo, decisiones de adecuación u otras garantías permitidas por el RGPD).

11

Modificaciones de la Política

El Proveedor podrá actualizar la presente Política para reflejar evoluciones legislativas, técnicas u operativas. La versión vigente se publica en la Plataforma, con la fecha de actualización.

En caso de modificaciones materiales, el Cliente será informado por canales razonables (notificación en dashboard o correo electrónico). El uso continuado de los servicios tras su entrada en vigor constituye aceptación de las actualizaciones, dentro de los límites legales.