Política de Privacidad

Esta Política de Privacidad explica cómo el grupo de empresas Humind Labs AI (en conjunto, "Humind Labs AI", "nosotros", "nos" o "nuestro") recopila, usa, comparte y protege los datos personales cuando usted visita humindlabsai.com (el "Sitio Web") o interactúa con nosotros a través del formulario de contacto del Sitio Web.

"Humind Labs AI" es una marca comercial operada por cuatro entidades legales separadas, cada una actuando como responsable del tratamiento para los usuarios ubicados en su territorio:

• Octo Technologies (EE. UU. — registro en curso) — Estados Unidos — 117 NE 1st Avenue, 9th Floor, Miami, FL 33132
• Octo Technologies Inc. — Canadá — 1030 W Georgia Street, Unit 1010, Vancouver, BC V6E 2Y3 — BC Incorporation #BC1264793; Federal Business #713145670BC0001; Vancouver Business Licence #26-120552
• Octo Technologies SpA — Chile — Badajoz 100, Of. 1014, Piso 10, Las Condes, Santiago 7560908 — RUT: 77.862.182-7
• Humanify AI Ltd. — Reino Unido — 71–75 Shelton Street, Covent Garden, London WC2H 9JQ — Companies House: 16264769; Registro ICO: ZB977487

Esta Política se aplica a los datos personales que tratamos en relación con el Sitio Web y con las consultas de consultoría B2B enviadas a través del mismo. No cubre los servicios que podamos ofrecer bajo un acuerdo firmado por separado (en cuyo caso los términos de ese acuerdo prevalecerán), ni los sitios web de terceros vinculados desde el nuestro.

Su responsable del tratamiento aplicable se determina por su país de residencia. Si usted se encuentra en un país donde no tenemos una entidad dedicada, la contraparte contractual es la entidad de Humind Labs AI cuyo país usted indique en nuestro formulario de contacto o, a falta de ello, Octo Technologies (EE. UU. — registro en curso) como responsable por defecto. Los derechos y recursos específicos de cada país se describen en los Anexos por País al final de esta Política.

Recopilamos un conjunto limitado de datos personales, principalmente a través de nuestro formulario de contacto. No operamos un boletín informativo, no utilizamos analítica conductual y no colocamos cookies publicitarias. Las categorías que tratamos son:

• Envíos del formulario de contacto: nombre completo, correo electrónico laboral, nombre de la empresa, país de residencia, servicio de interés y el mensaje que nos envía. Todos los campos, excepto empresa, son obligatorios.
• Datos técnicos generados automáticamente por su navegador cuando accede a nuestros servidores: dirección IP, ubicación geográfica aproximada derivada de la IP, tipo de dispositivo, sistema operativo, tipo y versión del navegador, URL de referencia y marcas de tiempo. Estos datos son tratados por nuestro proveedor de hosting (AWS) con fines de seguridad y registros operativos.
• Preferencias de cookies: una única cookie de origen llamada cookie_consent almacena su decisión de aceptar o rechazar cookies. No se establece ni se comparte ningún identificador de seguimiento.
• Correspondencia: si nos envía un correo electrónico directamente, tratamos el contenido del mensaje y cualquier información que incluya voluntariamente.

Usamos sus datos personales para los siguientes fines, y únicamente para estos fines:

• Para responder a su consulta, preparar una propuesta y prestar los servicios de consultoría que usted solicite.
• Para enviarle un correo electrónico transaccional de confirmación acusando recibo del envío de su formulario de contacto.
• Para derivar su consulta al equipo regional correspondiente (Estados Unidos, Canadá, Chile o Reino Unido) según el país que usted indique.
• Para mantener la seguridad, disponibilidad e integridad del Sitio Web, incluyendo la prevención de abusos y la investigación de presuntos fraudes.
• Para cumplir con obligaciones legales, hacer valer nuestros Términos de Servicio, defender acciones legales y cumplir con los requisitos contables y de conservación de registros.
• Para agregar, anonimizar y disociar información con fines de análisis interno del negocio. Los datos agregados dejan de ser datos personales y no están sujetos a esta Política.

Cuando resulta aplicable el UK GDPR, el GDPR de la UE (en su forma retenida) o la Ley 21.719 de Chile, nos basamos en las siguientes bases de licitud conforme al Artículo 6 de la regulación aplicable:

• Ejecución de un contrato, o diligencias previas a la celebración de un contrato a su solicitud — cuando usted envía un formulario de contacto para consultar sobre nuestros servicios (Art. 6(1)(b) UK/EU GDPR; Art. 13(1)(b) Ley 21.719 de Chile).
• Interés legítimo — para proteger el Sitio Web, prevenir el fraude y realizar marketing directo limitado a contactos comerciales existentes (Art. 6(1)(f)). Usted tiene derecho a oponerse en cualquier momento al tratamiento basado en el interés legítimo (ver Sección 10).
• Consentimiento — para cualquier tratamiento opcional cuando lo solicitemos expresamente, como las futuras comunicaciones de marketing. El consentimiento puede ser retirado en cualquier momento sin afectar al tratamiento lícito previo (Art. 6(1)(a); Art. 7).
• Obligación legal — para cumplir con los requisitos tributarios, contables, de conservación de registros o regulatorios aplicables a cada entidad operativa (Art. 6(1)(c)).

Adoptamos un enfoque minimalista respecto a las cookies. El Sitio Web utiliza una única cookie de origen estrictamente necesaria y ninguna cookie de terceros de marketing, analítica o publicidad.

• cookie_consent — de origen, retención de 1 año — registra su decisión de aceptar o rechazar cookies no esenciales. Se almacena en el almacenamiento local de su navegador; no se transmite ningún identificador a terceros. Es estrictamente necesaria según el UK GDPR / PECR Reg. 6(4) y no requiere consentimiento previo.
• No utilizamos Google Analytics, Plausible, Mixpanel, Meta Pixel, LinkedIn Insight Tag, Hotjar ni ninguna tecnología similar de analítica o seguimiento.
• Su proveedor de hosting (AWS CloudFront / Amplify) puede establecer cookies operativas de corta duración con fines de balanceo de carga y seguridad. Estas son estrictamente necesarias y no le identifican más allá de una sesión.

No vendemos datos personales. No compartimos datos personales para publicidad conductual entre contextos ni para ningún fin descrito como "venta" o "compartición" bajo la California Consumer Privacy Act (según modificada por la CPRA).

Compartimos datos personales con un conjunto limitado de subencargados del tratamiento que prestan servicios estrictamente necesarios para operar el Sitio Web y responder a sus consultas. Cada subencargado está vinculado por un acuerdo escrito de tratamiento de datos que exige salvaguardias equivalentes a las del GDPR/UK GDPR.

• Brevo (Sendinblue SA, Francia) — entrega de correo electrónico y almacenamiento CRM de los envíos del formulario de contacto, incluidas las preferencias de consentimiento y la derivación por país. Los datos se alojan en la Unión Europea.
• Sanity Labs (Sanity.io AS, Noruega) — sistema de gestión de contenidos headless utilizado exclusivamente para publicar el blog. Sanity no trata datos personales recopilados a través del formulario de contacto.
• Amazon Web Services, Inc. (AWS Amplify + CloudFront) — hosting del Sitio Web y entrega de contenidos. Región de hosting: us-east-2 (Ohio, Estados Unidos). Los registros del servidor incluyen direcciones IP y se conservan durante 90 días.
• Google LLC (Google Workspace) — infraestructura de correo electrónico para los buzones hello@humindlabsai.com y privacy@humindlabsai.com. Se aplica solo cuando usted se comunica con nosotros por correo electrónico.
• Asesores profesionales — contadores, auditores y abogados — vinculados por el secreto profesional, contratados únicamente cuando sea necesario para operar nuestro negocio.
• Autoridades públicas, tribunales y fuerzas del orden — cuando estemos legalmente obligados a divulgar información en respuesta a un requerimiento legal válido, o cuando la divulgación sea necesaria para establecer, ejercer o defender acciones legales.

Dado que operamos en cuatro países, los datos personales pueden ser transferidos a través de fronteras. Los flujos específicos que usted debe conocer son:

• Espacio Económico Europeo / Reino Unido / Suiza → Estados Unidos: cuando los datos de contacto se almacenan en Brevo (UE) y se reenvían a nuestras operaciones en Estados Unidos, o cuando los registros del servidor de AWS se originan desde una IP de la UE/Reino Unido y se almacenan en us-east-2. Nos basamos en las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y en el International Data Transfer Agreement (IDTA) del Reino Unido o su Addendum.
• Chile → Unión Europea / Estados Unidos: datos de contacto transferidos a Brevo (UE) y AWS (EE.UU.). La Ley 21.719 de Chile exige salvaguardias equivalentes al marco chileno; nos basamos en cláusulas contractuales para garantizarlo.
• Canadá → Estados Unidos: los datos transferidos al hosting de AWS (EE.UU.) están cubiertos por acuerdos escritos que exigen una protección coherente con PIPEDA y, cuando corresponda, con Quebec Law 25.
• Previa solicitud, proporcionaremos una copia de las salvaguardias aplicables a cualquier transferencia transfronteriza específica de sus datos personales.

Conservamos los datos personales solamente durante el tiempo necesario para los fines descritos en esta Política, o según lo exija la ley aplicable.

• Envíos del formulario de contacto y registros CRM: hasta 24 meses desde su última interacción con nosotros, tras lo cual los registros son eliminados o anonimizados, salvo que se requiera un período más largo por razones legales, tributarias o contables.
• Registros del servidor (dirección IP, registros de acceso): 90 días.
• Preferencia de cookies (cookie_consent): hasta 1 año o hasta que usted borre el almacenamiento de su navegador.
• Correspondencia por correo electrónico: hasta 7 años cuando la conservación sea exigida por la legislación tributaria o comercial de la jurisdicción aplicable; en caso contrario, 24 meses.
• Copias de respaldo: las copias de respaldo operativas cifradas se rotan y se sobrescriben completamente dentro de los 35 días.

Sujeto a las leyes de su país de residencia, usted tiene los siguientes derechos en relación con sus datos personales. Responderemos a las solicitudes verificables dentro del plazo legal (generalmente 30 días; pueden aplicarse prórrogas cuando lo permita la ley).

• Derecho de acceso — solicitar la confirmación de si tratamos sus datos personales y recibir una copia de dicha información.
• Derecho de rectificación — solicitar la corrección de información inexacta o incompleta.
• Derecho de supresión ("derecho al olvido") — solicitar la eliminación de su información cuando se den los fundamentos legales para ello.
• Derecho a la limitación del tratamiento — solicitar que limitemos el uso de su información en circunstancias específicas.
• Derecho a la portabilidad de datos — recibir su información en un formato estructurado, de uso común y de lectura mecánica, y solicitar su transferencia a otro responsable cuando sea técnicamente viable.
• Derecho de oposición — oponerse en cualquier momento al tratamiento basado en el interés legítimo, incluida la elaboración de perfiles, y al marketing directo.
• Derecho a retirar el consentimiento — cuando el tratamiento se base en el consentimiento, retirarlo en cualquier momento sin afectar al tratamiento lícito previo.
• Derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado — cuando tales decisiones produzcan efectos jurídicos o le afecten significativamente de forma similar (no realizamos este tipo de decisiones; ver Sección 11).
• Derecho a presentar una reclamación ante su autoridad de control — sin perjuicio de cualquier otro recurso administrativo o judicial (ver Sección 17 y los Anexos por País).

No le sometemos a decisiones basadas únicamente en tratamiento automatizado — incluida la elaboración de perfiles — que produzcan efectos jurídicos respecto de usted o le afecten significativamente de modo similar (en el sentido del Artículo 22 del UK/EU GDPR y disposiciones equivalentes de la Ley 21.719 de Chile).

Aunque Humind Labs AI se especializa en consultoría de IA, el Sitio Web en sí mismo no utiliza inteligencia artificial para tomar decisiones sobre usted o influir sustancialmente en ellas. Todas las decisiones significativas sobre sus consultas son revisadas por un miembro humano del equipo antes de emitir cualquier respuesta comercial.

Implementamos medidas técnicas y organizativas apropiadas para proteger los datos personales contra el acceso, alteración, divulgación o destrucción no autorizados. Estas medidas incluyen, sin limitación:

• Cifrado en tránsito (TLS 1.2 o superior) para todas las comunicaciones con el Sitio Web y entre nuestros subencargados del tratamiento.
• Cifrado en reposo para los datos almacenados por Brevo, AWS y Sanity.
• Controles de acceso de mínimo privilegio; autenticación multifactor para todo el personal con acceso a datos personales; revisión trimestral de accesos.
• Acuerdos escritos de tratamiento de datos con todos los subencargados que exigen estándares de seguridad equivalentes.
• Procedimientos de respuesta a incidentes alineados con los plazos de notificación al regulador de 72 horas cuando resulten aplicables.
• Capacitación en seguridad para todo el personal que maneja datos personales.
• Nota: ningún método de transmisión o almacenamiento es 100% seguro. No podemos garantizar la seguridad absoluta, pero trabajamos continuamente para proteger su información.

El Sitio Web está dirigido a empresas y profesionales de negocios y no está dirigido a niños. No recopilamos deliberadamente datos personales de niños menores de la edad de consentimiento digital en la jurisdicción aplicable: 13 años (Estados Unidos / Reino Unido / Canadá fuera de Quebec), 14 años (Chile bajo la Ley 21.719; Quebec para servicios similares a redes sociales bajo Law 25), o 16 años cuando una edad mayor sea exigida por la ley local. Si cree que hemos recopilado inadvertidamente datos personales de un niño, por favor contáctenos y los eliminaremos a la brevedad.

Si tomamos conocimiento de una vulneración de datos personales que pueda suponer un riesgo para sus derechos y libertades, notificaremos a la autoridad de control competente sin dilación indebida y, cuando sea factible, dentro de las 72 horas siguientes a tener conocimiento, de conformidad con el Artículo 33 del UK GDPR, Quebec Law 25 y obligaciones equivalentes en nuestras demás jurisdicciones. Cuando la vulneración pueda suponer un alto riesgo para usted, también le notificaremos directamente, sin dilación indebida, en un lenguaje claro y sencillo, describiendo la naturaleza de la vulneración, las probables consecuencias y las medidas adoptadas o propuestas.

Podemos actualizar esta Política de Privacidad de tiempo en tiempo para reflejar cambios en nuestras operaciones, en la ley aplicable o en las prácticas del sector. Cuando realicemos cambios materiales, actualizaremos la fecha de "Última actualización" en la parte superior de esta Política y, cuando la ley lo exija, publicaremos un aviso destacado en el Sitio Web o nos comunicaremos directamente con usted antes de que los cambios entren en vigor. Le recomendamos revisar esta Política periódicamente.

Para cualquier consulta sobre esta Política de Privacidad, para ejercer sus derechos o para contactar con nuestro Delegado de Protección de Datos, puede comunicarse con nosotros a través de:

• Correo electrónico (principal): privacy@humindlabsai.com — supervisado por Felipe Medel, nuestro Delegado de Protección de Datos.
• Consultas generales: hello@humindlabsai.com
• Dirección postal: utilice la dirección de la entidad que le resulte aplicable (ver Sección 1 y los Anexos por País más abajo).
• Al contactarnos respecto de una solicitud de derechos, por favor incluya información suficiente para que podamos verificar su identidad y localizar sus registros. No compartiremos datos personales con ninguna persona que no pueda acreditar razonablemente ser el titular de esa información.

Usted tiene derecho a presentar una reclamación ante la autoridad de control de su país de residencia. Las vías de reclamación específicas de cada país se describen en los Anexos por País más abajo. Presentar una reclamación ante una autoridad de control es sin perjuicio de cualquier otro recurso administrativo o judicial disponible para usted, y no requiere que se contacte primero con nosotros, aunque agradeceríamos la oportunidad de atender su preocupación directamente.