Política de Privacidad - TrustThis

Cuando se registra en nuestra plataforma, recopilamos datos personales obligatorios que incluyen nombre completo, dirección de correo electrónico, contraseña (almacenada de forma cifrada), empresa/organización, cargo/función y teléfono de contacto.

Opcionalmente, puede proporcionar información adicional como foto de perfil, biografía profesional, certificaciones profesionales y redes sociales profesionales.

Cuando solicita una auditoría, recopilamos datos de la empresa auditada, como razón social, identificación fiscal, dirección comercial, sector de actividad, tamaño de la empresa y contactos responsables (nombres y correos electrónicos).

Adicionalmente, recopilamos información sobre el software o sistema a auditar, incluyendo nombre del software/sistema, tipo de aplicación, funcionalidades principales, tipos de datos procesados, número estimado de usuarios y arquitectura técnica básica.

Durante el proceso de auditoría, pueden recopilarse documentos técnicos como políticas de privacidad, términos de uso, documentación técnica, informes de seguridad, certificaciones y contratos con terceros.

También pueden recopilarse evidencias de cumplimiento, incluyendo capturas de pantalla de interfaces, registros del sistema (anonimizados), procedimientos operativos, registros de capacitación y documentación de procesos.

Recopilamos automáticamente datos técnicos durante su navegación, incluyendo dirección IP, tipo de navegador, sistema operativo, resolución de pantalla, páginas visitadas, tiempo de permanencia y origen del acceso (referrer).

También recopilamos datos de interacción con la plataforma, como clics y acciones realizadas, formularios completados, descargas realizadas, búsquedas efectuadas y preferencias de configuración.

Cuando se pone en contacto con nosotros, recopilamos información de las comunicaciones directas, incluyendo contenido de correos electrónicos, mensajes por chat, llamadas telefónicas (cuando se graban), formularios de contacto y tickets de soporte.

Base Legal: Ejecución de contrato (Art. 7, V, LGPD)

Utilizamos sus datos para realizar auditorías de privacidad y seguridad, elaborar informes de conformidad, generar puntuaciones y clasificaciones, proporcionar recomendaciones de mejora, seguir la evolución del cumplimiento y emitir certificados de auditoría.

Base Legal: Ejecución de contrato (Art. 7, V, LGPD)

Procesamos datos para crear y mantener su cuenta de usuario, autenticar el acceso a la plataforma, personalizar la experiencia del usuario, proporcionar soporte técnico, procesar pagos y gestionar suscripciones y planes.

Base Legal: Interés legítimo (Art. 7, IX, LGPD) y Consentimiento (Art. 7, I, LGPD)

Para promover la transparencia en el mercado, publicamos puntuaciones agregadas de empresas, creamos rankings sectoriales, ponemos a disposición información pública de cumplimiento, generamos estadísticas de mercado y promovemos mejores prácticas.

Base Legal: Interés legítimo (Art. 7, IX, LGPD)

Analizamos datos para mejorar las metodologías de auditoría, desarrollar nuevas funcionalidades, optimizar el rendimiento de la plataforma, identificar tendencias del mercado y mejorar la experiencia del usuario.

Base Legal: Consentimiento (Art. 7, I, LGPD)

Con su consentimiento explícito, enviamos boletines sobre privacidad, comunicamos actualizaciones de servicios, compartimos contenido educativo, promovemos eventos y seminarios web, y realizamos encuestas de satisfacción.

Base Legal: Cumplimiento de obligación legal (Art. 7, II, LGPD)

Cuando sea necesario, tratamos datos para atender solicitudes de autoridades, cumplir decisiones judiciales, responder a investigaciones regulatorias, mantener registros contables y cumplir obligaciones fiscales.

Compartimos datos con proveedores de servicios esenciales, incluyendo proveedores de infraestructura en la nube, servicios de pago, herramientas de comunicación, sistemas de análisis y monitoreo, y servicios de respaldo y seguridad.

Condiciones: Todos los proveedores firman acuerdos de procesamiento de datos con cláusulas específicas de protección y confidencialidad.

La información pública permitida incluye puntuaciones agregadas de empresas (sin detalles internos), rankings sectoriales, estadísticas de mercado anonimizadas, información ya disponible públicamente y datos con consentimiento expreso.

Por otro lado, mantenemos siempre privados los detalles específicos de vulnerabilidades, documentos internos de empresas, datos confidenciales de auditoría, información personal de empleados y procedimientos operativos específicos.

Podemos compartir datos cuando sea exigido por ley o regulación, determinado por orden judicial, solicitado por autoridades competentes, necesario para protección de derechos, o requerido para investigaciones oficiales.

Si es necesario transferir datos a otros países, utilizaremos solo países con nivel adecuado de protección, implementaremos salvaguardas contractuales apropiadas, obtendremos consentimiento específico cuando sea necesario y garantizaremos el cumplimiento de las regulaciones locales.

Los datos de cuenta de usuario se mantienen mientras la cuenta esté activa. Después de la cancelación, mantenemos los datos durante 30 días para permitir la reactivación, procediendo con la eliminación definitiva 90 días después de la cancelación.

Los datos de auditoría tienen períodos de retención diferenciados: los informes completos se mantienen durante 5 años con fines históricos, los documentos enviados durante 3 años, las puntuaciones públicas se mantienen indefinidamente en formato anonimizado, y las evidencias técnicas durante 2 años.

En cuanto a los datos de comunicación, los correos electrónicos de soporte se retienen durante 2 años, los registros del sistema durante 1 año, las grabaciones de llamadas durante 6 meses, y el historial de chat de atención durante 1 año.

Los datos financieros siguen la legislación fiscal aplicable: la información de pago se mantiene según lo exigido por ley, las facturas y recibos durante 5 años, y los datos de tarjeta no se almacenan (utilizamos tokenización).

Al definir períodos de retención, consideramos la necesidad de prestación continua de servicios, obligaciones legales y regulatorias, defensa de derechos en procesos judiciales, interés legítimo en mantener historial y solicitudes específicas del titular.

Nuestra eliminación segura de datos implica la eliminación de los datos de todos los sistemas, actualización de respaldos para reflejar la eliminación, limpieza de copias en caché, notificación a terceros para eliminación, y generación de certificado de eliminación.

Existen excepciones a la eliminación para datos anonimizados utilizados en estadísticas, información necesaria para cumplimiento legal, datos en disputa judicial e información de seguridad crítica.

Conforme a la LGPD, usted posee los siguientes derechos:

Confirmación y Acceso (Art. 18, I y II): Puede confirmar si tratamos sus datos personales, acceder a sus datos personales y obtener copia de los datos en formato estructurado.

Corrección y Actualización (Art. 18, III): Tiene el derecho de corregir datos incompletos, inexactos o desactualizados y actualizar información cuando sea necesario.

Anonimización y Eliminación (Art. 18, IV y VI): Puede solicitar anonimización de datos innecesarios, requerir eliminación de datos tratados con consentimiento y eliminar datos innecesarios o excesivos.

Portabilidad (Art. 18, V): Puede recibir datos en formato estructurado, transferir datos a otro responsable y obtener datos en formato interoperable.

Información sobre Compartición (Art. 18, VII): Tiene el derecho de saber con quién compartimos sus datos, conocer las finalidades del intercambio y entender las bases legales utilizadas.

Revocación de Consentimiento (Art. 18, IX): Puede retirar el consentimiento en cualquier momento, mantener datos tratados con otras bases legales y ser informado sobre las consecuencias de la revocación.

Puede ejercer sus derechos a través de nuestro canal principal, enviando un correo electrónico a team@trustthis.org, completando el formulario en línea en https://trustthis.org/direitos-lgpd, o accediendo al portal del usuario en la sección "Mis Derechos".

Para procesar su solicitud, necesitamos información como nombre completo, correo electrónico registrado, documento de identificación, descripción específica de la solicitud y comprobación de identidad (cuando sea necesario).

Nuestros plazos de respuesta son: confirmación de recepción en hasta 48 horas, respuesta inicial en hasta 15 días, atención completa en hasta 30 días, y para casos complejos hasta 60 días (con justificación).

Algunos derechos pueden ser limitados cuando sean necesarios para cumplimiento de obligación legal, requeridos para ejercicio regular de derechos, esenciales para protección de la vida o seguridad, indispensables para tutela de la salud, o fundamentales para atención de interés público.

Para proteger sus datos, podemos solicitar documento de identificación oficial, confirmación de información registrada, respuesta a preguntas de seguridad, verificación por correo electrónico o teléfono, y firma digital cuando sea aplicable.

Implementamos cifrado en múltiples capas: los datos en tránsito están protegidos con TLS 1.3, los datos en reposo con AES-256, las contraseñas se almacenan con hash y salt utilizando bcrypt, y las comunicaciones sensibles utilizan cifrado de extremo a extremo.

Nuestro control de acceso incluye autenticación multifactor obligatoria, control basado en roles (RBAC), aplicación del principio de menor privilegio, revisión periódica de accesos y registros de auditoría detallados.

Nuestra infraestructura cuenta con servidores en centros de datos certificados, redundancia y alta disponibilidad, monitoreo 24/7, respaldo automatizado y probado regularmente, y aislamiento de entornos.

Mantenemos políticas y procedimientos rigurosos, incluyendo Política de Seguridad de la Información, procedimientos de respuesta a incidentes, capacitación obligatoria para empleados, acuerdos de confidencialidad y revisiones periódicas de seguridad.

Nuestra gestión de personal incluye verificación de antecedentes, capacitación en protección de datos, acceso basado en necesidad, monitoreo de actividades y proceso de desvinculación seguro.

Utilizamos sistemas de monitoreo avanzados, incluyendo SIEM (Security Information and Event Management), detección de anomalías, análisis de comportamiento, alertas en tiempo real y correlación de eventos.

Realizamos pruebas de seguridad regulares, como pruebas de penetración anuales, evaluaciones de vulnerabilidad, revisiones de código, simulaciones de incidentes y auditorías de seguridad.

Seguimos un proceso estructurado de respuesta a incidentes que involucra: detección y análisis inicial, contención y erradicación, recuperación y monitoreo, comunicación a los afectados, y lecciones aprendidas con implementación de mejoras.

Nuestra comunicación de incidentes sigue los plazos establecidos: notificación a la ANPD en hasta 72 horas (cuando sea aplicable), a los titulares en plazo razonable, a las autoridades conforme legislación, a los medios cuando sea necesario, y a los socios conforme contratos.

Utilizamos cookies esenciales para autenticación de usuario, mantenimiento de sesión, preferencias de seguridad y funcionalidades básicas de la plataforma.

Las cookies de rendimiento se emplean para análisis de uso de la plataforma, optimización de rendimiento, identificación de problemas técnicos y mejora de la experiencia del usuario.

También utilizamos cookies de funcionalidad para personalización de interfaz, recuerdo de preferencias, configuraciones de idioma e historial de navegación.

Tiene control total sobre las cookies a través del banner de consentimiento, centro de preferencias, opción de aceptar o rechazar por categoría, y puede revocar el consentimiento en cualquier momento.

Además, puede configurar cookies directamente en el navegador, siguiendo las instrucciones para los principales navegadores. Informamos el impacto de la desactivación y ofrecemos alternativas disponibles.

Utilizamos Web Beacons para análisis de apertura de correos electrónicos, seguimiento de interacciones y medición de efectividad de comunicaciones.

El Local Storage se emplea para almacenamiento de preferencias, caché de datos temporales y mejora del rendimiento de la plataforma.

Como medidas preventivas, solicitamos declaración de mayoría de edad en el registro, realizamos verificación de correo electrónico corporativo, analizamos información profesional y monitoreamos indicadores de edad.

Si identificamos datos de menores, procedemos con la suspensión inmediata de la cuenta, contacto con responsables legales, eliminación de los datos recopilados, revisión de los procesos de verificación e implementación de mejoras.

Realizamos revisiones regulares de esta política a través de análisis anual obligatorio, revisiones motivadas por cambios legales, actualizaciones por nuevos servicios y mejoras basadas en comentarios.

Comunicamos cambios a través de notificación por correo electrónico, aviso en la plataforma, destacado de alteraciones principales y, cuando sea necesario, ofrecemos período de adaptación.

Para alteraciones sustanciales, se puede solicitar nuevo consentimiento, se ofrecerá período de transición, disponibilizamos opción de cancelación sin penalidades, y comunicamos con antelación mínima de 30 días.

Para cuestiones de privacidad, póngase en contacto a través del correo electrónico team@trustthis.org, teléfono [TELÉFONO], o presencialmente en nuestra dirección en Avenida Paulista, 807 – Conjunto 2315, Bela Vista, CEP: 01311-915, São Paulo – SP, Brasil. Nuestro horario de atención es de lunes a viernes, de 9h a 18h.

Para soporte general, puede ponerse en contacto por correo electrónico en team@trustthis.org, chat en línea disponible en https://trustthis.org/chat, o a través del formulario en https://trustthis.org/contato.

Para cuestiones específicas, disponibilizamos canales dedicados: security@trustthis.org para cuestiones de seguridad, compliance@trustthis.org para asuntos de cumplimiento, y parceiros@trustthis.org para oportunidades de asociación.

Mantenemos un canal independiente de defensoría a través del correo electrónico ouvidoria@trustthis.org, con formulario anónimo disponible, proceso estructurado de investigación y compromiso de respuesta en hasta 15 días hábiles.

Esta Política de Privacidad se rige por la legislación brasileña, especialmente por la Ley General de Protección de Datos (Ley nº 13.709/2018), Marco Civil de Internet (Ley nº 12.965/2014), Código de Defensa del Consumidor (Ley nº 8.078/1990) Privacidad s Código Civil Brasileño (Ley nº 10.406/2002).

La Autoridad Nacional de Protección de Datos (Autoridad Nacional de Protección de Datos (ANPD) es el órgano competente para fiscalizar el cumplimiento de la LGPD en Brasil. Para ponerse en contacto con la ANPD, acceda al sitio web gov.br/anpd o envíe un correo electrónico a atendimento@anpd.gov.br.