Siffi - Política de privacidad

Revisado el 31.12.2025

Minudoc OÜ (la  “Empresa”, “Siffi”, “nosotros” ) valora su privacidad. Este aviso explica qué datos personales procesamos cuando usted utiliza la plataforma de Siffi, por qué los procesamos, cuánto tiempo los conservamos, con quién los compartimos y qué derechos tiene usted según el RGPD.

¿Quiénes somos (Responsable) y cómo contactarnos?

Responsable: MinuDoc OÜ (operando la plataforma Siffi).
Correo electrónico: contact@siffi.com

Responsable de Protección de Datos (DPO): Tarmo Pihl
Correo electrónico del DPO: privacy@siffi.com

Importante: Siffi proporciona una plataforma de bienestar en el lugar de trabajo y no proporciona servicios de salud. Los especialistas en bienestar disponibles a través de Siffi proporcionan apoyo al bienestar (por ejemplo, asesoramiento, coaching, apoyo al estilo de terapia donde lo permita la ley y los estándares profesionales aplicables). Si necesita ayuda médica urgente, contacte con los servicios de emergencia.

Nuestro papel frente a otras partes (Responsable/Encargado)

Siffi puede actuar en diferentes roles dependiendo de la actividad de procesamiento:

1. Siffi como Responsable (operaciones de la plataforma)
   Siffi actúa como un responsable independiente para operaciones de la plataforma como:
   • creación de cuentas e inicio de sesión,
   • seguridad de la plataforma y prevención de fraudes,
   • soporte al cliente,
   • análisis de la plataforma (sin contenido),
   • facturación y contabilidad de tarifas de la plataforma (cuando aplique),
   • cumplimiento y auditoría.
2. Siffi como Encargado (transmisión de datos para especialistas)
   Cuando utiliza la plataforma para comunicarse con un especialista en bienestar, Siffi puede procesar cierto contenido en nombre del especialista para permitir mensajería segura, reservas y entrega de servicios a través de la plataforma. En esos casos, el especialista es el responsable del contenido que procesan para la entrega de servicios, y Siffi actúa como un encargado (bajo un acuerdo de procesamiento de datos).
3. Cliente empleador (donde su acceso es proporcionado por su lugar de trabajo)
   Si su empleador proporciona Siffi como un beneficio laboral, su empleador es típicamente un responsable para la elegibilidad del empleado (por ejemplo, quién puede acceder al beneficio y a qué nivel). Siffi procesa datos limitados para administrar el acceso al servicio.

Qué datos recopilamos y de dónde los obtenemos

Recopilamos datos personales directamente de usted, de su dispositivo/aplicación y de interacciones en la plataforma. También recibimos ciertos datos de su especialista en bienestar (por ejemplo, confirmaciones de reserva y metadatos del servicio) y, cuando aplicable, de su empleador (por ejemplo, estado de elegibilidad).

Categorías de datos

A) Datos de cuenta e identidad

• nombre y apellidos,
• dirección de correo electrónico, número de teléfono,
• idioma y preferencias de comunicación,
• estado de elegibilidad del empleador (si su empleador proporciona acceso).

B) Datos de servicio y transacción

• reservas (fecha/hora), duración, proveedor elegido,
• registros de transacciones (registros de facturación relacionados con la plataforma, si aplica),
• eventos de uso del servicio (por ejemplo, uso de funciones, conteo de sesiones).

C) Contenido de bienestar y sensible (puede incluir datos de categoría especial)

Debido a que Siffi se relaciona con el bienestar y la salud mental, el contenido que comparte puede incluir información relacionada con la salud (datos de categoría especial bajo el RGPD), como:

• mensajes que envía a un especialista en bienestar a través de la plataforma,
• problemas y objetivos que describe en los chats,
• información del perfil de bienestar de cuestionarios a través de múltiples dimensiones de bienestar,
• archivos adjuntos que comparte voluntariamente (fotos, videos, archivos) para mejores decisiones de apoyo,
• contenido y resúmenes de conversaciones con el consejero de IA (ver Sección 8).

D) Datos de soporte, calidad y técnicos

• solicitudes de soporte y correspondencia relacionada,
• comentarios de calidad (por ejemplo, calificaciones y comentarios, donde se proporcionen),
• registros de dispositivos y aplicaciones: modelo de dispositivo, SO, versión de la aplicación, permisos, registros relacionados con la seguridad, dirección IP (según corresponda),
• registros de diagnóstico para prevención de errores y resolución de problemas.

Datos opcionales: foto de perfil; archivos adjuntos; algunos ítems de cuestionarios (donde se marquen como opcionales).

Por qué procesamos sus datos y qué sucede si no los proporciona

Procesamos datos personales para:

• crear y gestionar su cuenta,
• habilitar reservas y comunicación con especialistas en bienestar,
• operar las funciones de chat supervisado y consejero de IA (si elige usarlas),
• proporcionar soporte al cliente y mantener la calidad del servicio,
• asegurar la seguridad de la plataforma y prevenir el uso indebido,
• cumplir con obligaciones legales y contables.

Si no proporciona los datos necesarios para crear una cuenta y usar las funciones principales (por ejemplo, detalles de contacto), no podemos proporcionar acceso a la plataforma. Si no proporciona (o retira) el consentimiento para procesar contenido relacionado con el bienestar/salud, es posible que no pueda usar funciones que requieren dicho contenido (por ejemplo, chat, consejero de IA, ciertos cuestionarios).

Bases legales para el procesamiento (RGPD)

1. Artículo 6 RGPD (datos personales generales)
   • Necesidad contractual (Art. 6(1)(b)) – para proporcionar la plataforma y los servicios solicitados (cuenta, reserva, entrega de mensajes, funciones de la plataforma).
   • Intereses legítimos (Art. 6(1)(f)) – para asegurar la plataforma, prevenir fraudes, asegurar la disponibilidad y mejorar la confiabilidad (por ejemplo, registro de seguridad, prevención de abusos).
   • Obligación legal (Art. 6(1)(c)) – para cumplir con requisitos legales (por ejemplo, contabilidad y auditoría).
2. Artículo 9 RGPD (datos de categoría especial, incl. contenido de bienestar relacionado con la salud)
   Cuando el procesamiento involucra contenido de salud/bienestar, nos basamos en:
   • Consentimiento explícito (Art. 9(2)(a)) – para procesar contenido relacionado con el bienestar/salud en chats, cuestionarios y funciones de IA, y para transmitir dicho contenido a través de la plataforma.

Con quién compartimos datos (destinatarios)

Compartimos datos solo cuando es necesario para los propósitos descritos anteriormente:

1. Especialistas en bienestar
   Para habilitar reservas y comunicación, compartimos datos relevantes con el especialista que usted elija (por ejemplo, su nombre/contacto, detalles de reserva y mensajes/archivos adjuntos que envíe).
2. Subencargados (proveedores de servicios)
   Usamos proveedores de confianza para operar la plataforma. Nuestros subencargados incluyen:
   • OpenAI (procesamiento de IA),
   • Microsoft (servicios en la nube y/o plataforma),
   • Amazon S3 (almacenamiento de datos),
   • Messente (mensajería SMS).
   Todos los anteriores usan servidores de la UE para el procesamiento de Siffi.
3. Autoridades públicas
   Podemos divulgar datos si lo requiere la ley, una orden judicial o una solicitud válida de una autoridad competente. También podemos divulgar datos limitados para establecer, ejercer o defender reclamaciones legales.
4. Cliente empleador (acceso patrocinado por el lugar de trabajo)
   No compartimos el contenido de sus mensajes, resúmenes del consejero de IA, archivos adjuntos o notas de especialistas con su empleador. Vea la Sección 7 para obtener detalles sobre lo que un empleador puede y no puede ver.

Lo que su empleador puede ver (beneficio laboral)

Si su empleador proporciona acceso a Siffi:

1. Su empleador puede ver:
   • si es elegible/activado (sí/no),
   • estadísticas de uso general agregadas y anonimizadas a nivel de empresa (por ejemplo, tasas totales de utilización, categorías de servicio más utilizadas, tendencias generales de satisfacción).
2. Su empleador no puede ver:
   • sus mensajes de chat (con especialistas o IA),
   • sus resúmenes de conversación del consejero de IA,
   • sus respuestas a cuestionarios y perfil de bienestar,
   • archivos adjuntos que comparte (fotos/videos/archivos),
   • contenido de sesión de especialistas, notas o cualquier dato sensible a nivel individual.

IA, chat supervisado y consejero de IA

Siffi utiliza IA en dos funciones: chat supervisado y consejero de IA. Estas funciones están diseñadas para apoyar la orientación y navegación de bienestar y no son un sustituto del apoyo profesional humano.

Chat supervisado (anonimizado, sin memoria)

• En el chat supervisado anonimizamos/seudonimizamos su entrada para el procesamiento de IA eliminando identificadores directos cuando es posible.
• No mantenemos una “memoria” de IA persistente para el chat supervisado. Cada conversación se procesa sin llevar su contexto de chat supervisado anterior hacia adelante.

• El consejero de IA puede crear un breve resumen de su conversación (por ejemplo, temas principales, objetivos y próximos pasos acordados).
• Este resumen se utiliza para proporcionar continuidad en futuras conversaciones con el consejero de IA.

Transferencias internacionales

No almacenamos ni transferimos sus datos personales fuera del EEE para el procesamiento de Siffi. Nuestros subencargados listados están configurados para usar servidores de la UE para el procesamiento de Siffi.

Cuánto tiempo conservamos sus datos (retención)

Conservamos los datos solo el tiempo necesario para los propósitos descritos, a menos que la ley requiera un período más largo.

Datos de cuenta

Almacenados mientras su cuenta está activa. Si elimina su cuenta, eliminamos o anonimizamos irreversiblemente los identificadores personales a menos que debamos conservar algunos datos por obligaciones legales.

Contenido de bienestar (mensajes, cuestionarios, archivos adjuntos)

El contenido de bienestar de categoría especial se almacena por 7 días desde el momento en que se ingresa en la plataforma, después de lo cual se elimina o anonimizamos irreversiblemente (a menos que elija conservar algo más tiempo, por ejemplo, un resumen del consejero de IA como se describe a continuación).

Resumen del consejero de IA

El resumen del consejero de IA se almacena para continuidad hasta que usted lo elimine o hasta que su cuenta se elimine (a menos que la ley requiera su retención).

Registros de transacciones y contabilidad

Los registros de contabilidad y auditoría se retienen por 7 años (donde lo requiera la ley aplicable).

Registros de seguridad y técnicos

Los registros de seguridad y diagnóstico se retienen por un período limitado necesario para asegurar el servicio e investigar incidentes, típicamente 24 meses dependiendo del tipo de registro y nivel de riesgo.

Eliminar su cuenta

Puede eliminar su cuenta en la aplicación o plataforma web (Perfil → Eliminar mi cuenta). Cuando elimina su cuenta:

• se borran sus identificadores personales (por ejemplo, nombre, correo electrónico, teléfono),
• cualquier estadística de plataforma restante puede conservarse solo en forma anonimizada (ya no vinculable a usted),
• los registros legalmente requeridos (por ejemplo, contabilidad) se retienen por el período requerido.

Seguridad

Usamos medidas técnicas y organizativas apropiadas para proteger sus datos, incluyendo (según corresponda):

• autenticación de dos factores,
• encriptación en tránsito y en reposo,
• controles de acceso y acceso de privilegio mínimo,
• registro y monitoreo,
• copias de seguridad seguras y recuperación,
• diligencia debida del proveedor y acuerdos de procesamiento de datos,
• procedimientos de respuesta a incidentes.

Sus derechos bajo el RGPD

Usted tiene derecho a:

• acceder a sus datos,
• rectificar datos inexactos,
• borrar datos (donde corresponda),
• restringir el procesamiento (donde corresponda),
• oponerse al procesamiento basado en intereses legítimos,
• portabilidad de datos (para datos procesados en contrato o consentimiento, donde sea técnicamente factible),
• retirar el consentimiento en cualquier momento (en la configuración de su cuenta; la retirada no afecta el procesamiento legal anterior),
• presentar una queja ante la autoridad de supervisión.

Cambios en este aviso

Revisado el 31.12.2025

Este aviso de privacidad explica cómo nosotros (el “Proveedor”) procesamos sus datos personales cuando reserva y recibe servicios de nosotros a través de la plataforma Siffi.

Importante: Siffi (Minudoc OÜ) opera la plataforma y tiene su propio aviso de privacidad. Este aviso se aplica al procesamiento del Proveedor para proporcionar servicios a usted.

Quiénes somos (Controlador de Datos) y cómo contactarnos

Nuestra información de contacto se compartirá con usted cuando realice una reserva. También puede consultar los detalles sobre el Proveedor desde la plataforma Siffi (Minudoc OÜ).

Nuestra relación con Siffi y roles (Controlador/Procesador)

El Proveedor es el controlador de datos para procesar sus datos personales con el fin de ofrecerle el servicio (incluyendo cualquier nota/registro que creemos en relación con el servicio, cuando corresponda).

Siffi (Minudoc OÜ) es una parte separada que opera la plataforma. Siffi puede procesar sus datos como un controlador independiente para las operaciones de la plataforma (cuentas, seguridad de la plataforma, soporte) y también puede actuar como un procesador donde habilita técnicamente la comunicación y los flujos de reserva seguros entre usted y el Proveedor.

Qué datos procesamos y de dónde los obtenemos

Podemos procesar las siguientes categorías de datos:

A) Datos de identidad y contacto

• nombre, datos de contacto (correo electrónico/teléfono), información del empleador

B) Datos de reserva y servicio

• hora/fecha de reserva, duración, preferencia de idioma,
• registros necesarios para entregar el servicio (por ejemplo, objetivos de la sesión),
• metadatos de entrega del servicio (por ejemplo, asistencia, cancelaciones).

C) Bienestar y contenido sensible (puede incluir datos de categoría especial)

Debido a que los servicios pueden estar relacionados con el bienestar mental, la información que comparte puede incluir información relacionada con la salud u otra información sensible (datos de categoría especial según el RGPD), como:

• problemas, síntomas o circunstancias personales que describe,
• mensajes y archivos adjuntos que envía a través de la plataforma,
• cuestionarios o evaluaciones que completa (si se utilizan)..

D) Datos de facturación y contabilidad

• precio del servicio, facturas/recibos (cuando corresponda), estado del pago (cuando corresponda).

E) Datos técnicos (limitados)

• datos mínimos necesarios para proporcionar el servicio a través de la plataforma (por ejemplo, confirmación de entrega de mensajes/reserva).

Fuentes: Recibimos datos (i) de usted, (ii) de Siffi en relación con su reserva y comunicaciones de la plataforma, y (iii) solo si es aplicable de sistemas de terceros que usted conecta explícitamente o que son requeridos por ley para proveedores regulados.

Por qué procesamos sus datos

Procesamos sus datos para:

1. Proporcionar el servicio que reserva (incluyendo preparación y seguimiento).
2. Comunicarse con usted sobre su reserva y entrega del servicio.
3. Gestionar facturación/contabilidad y cumplir con obligaciones legales.
4. Garantizar la seguridad y proteger derechos (por ejemplo, manejar quejas, prevenir el uso indebido o responder a emergencias cuando sea necesario).

Si no proporciona los datos requeridos, es posible que no podamos entregar el servicio (por ejemplo, contactarle, confirmar reservas o proporcionar el soporte adecuado).

Bases legales para el procesamiento (RGPD)

Dependiendo de la situación, nos basamos en las siguientes bases legales:

1. Datos personales generales (Artículo 6 RGPD)
   • Contrato (Art. 6(1)(b)) – para proporcionar el servicio que solicita (reserva, comunicación, entrega).
   • Obligación legal (Art. 6(1)(c)) – contabilidad, mantenimiento de registros legales (cuando corresponda).
   • Intereses legítimos (Art. 6(1)(f)) – integridad del servicio, seguridad, prevención de fraude/abuso, manejo de disputas (equilibrado con sus derechos).
   • Intereses vitales (Art. 6(1)(d)) – solo en situaciones urgentes para proteger la vida.
2. Datos de categoría especial (Artículo 9 RGPD)
   
   Debido a que los servicios de bienestar pueden involucrar información relacionada con la salud, nos basamos en una de las siguientes:
   • Consentimiento explícito (Art. 9(2)(a)) – donde procesamos contenido relacionado con el bienestar/salud (por ejemplo, discusiones detalladas, cuestionarios, archivos adjuntos) y donde el consentimiento es la base apropiada para el modelo del Proveedor; y/o
   • Provisión de cuidado / tratamiento por un profesional regulado (Art. 9(2)(h)) – solo si el Proveedor es un profesional/organización de salud regulado y esta base se aplica bajo la ley local y requisitos de secreto profesional.

Retiro del consentimiento: Si nos basamos en el consentimiento, puede retirarlo en cualquier momento. El retiro no afecta el procesamiento legal anterior. Tenga en cuenta que retirar el consentimiento puede limitar nuestra capacidad para proporcionar el servicio en el futuro.

Grabación (audio/video) y notas

• Sesiones de video: Si se utilizan sesiones de video, el audio/video se procesa para llevar a cabo la sesión.
• Grabaciones: No grabamos sesiones.
• Notas/registros: El Proveedor puede mantener notas/registros relacionados con el servicio para garantizar la continuidad y calidad del soporte y cumplir con las obligaciones legales cuando corresponda.

Con quién compartimos datos (destinatarios)

No vendemos sus datos. Podemos compartirlos solo cuando sea necesario:

• Siffi (Minudoc OÜ) – para permitir la mensajería de la plataforma, la reserva y la entrega del servicio a través de la plataforma.
• Proveedores de servicios de TI y profesionales que apoyan al Proveedor (por ejemplo, correo electrónico seguro, contabilidad, asesores legales), bajo acuerdos de confidencialidad y procesamiento de datos donde sea necesario.
• Autoridades – si lo requiere la ley, orden judicial o para proteger derechos.
• Transacciones corporativas – si el Proveedor se somete a fusión/adquisición/reestructuración; aplicaremos salvaguardias apropiadas.

Transferencias internacionales

Nuestro objetivo es mantener el procesamiento dentro del EEE. Si alguna vez transferimos datos personales fuera del EEE, lo haremos solo con las salvaguardias adecuadas (por ejemplo, Cláusulas Contractuales Estándar de la UE) y proporcionaremos información adicional a solicitud.

Cuánto tiempo conservamos sus datos (retención)

Conservamos los datos solo durante el tiempo necesario para los fines de este aviso y según lo requiera la ley:

• Datos de administración de reservas y servicios: conservados durante 7 años después de la última interacción del servicio (para gestionar seguimientos, quejas y continuidad), a menos que se aplique un período legal diferente.
• Registros contables: conservados durante 7 años.
• Notas/registros de servicio: conservados de acuerdo con los requisitos profesionales y legales aplicables. Si el Proveedor es un proveedor de atención médica regulado, los períodos de retención estatutarios pueden ser significativamente más largos.

Cuando termine la retención, eliminamos o anonimizamos irreversiblemente los datos.

Sus derechos (RGPD)

Usted tiene el derecho a:

• acceder a sus datos,
• corregir datos inexactos,
• solicitar la eliminación (cuando corresponda),
• restringir el procesamiento (cuando corresponda),
• oponerse al procesamiento basado en intereses legítimos,
• portabilidad de datos (para datos procesados en contrato/consentimiento, cuando corresponda),
• retirar el consentimiento (si el consentimiento es la base),
• presentar una queja ante su autoridad supervisora.

Cómo ejercer los derechos: contáctenos en privacy@siffi.com.

Si no está satisfecho, puede contactar a la Autoridad de Protección de Datos correspondiente en su país. En Estonia, esta es la Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon).

Seguridad

Aplicamos medidas técnicas y organizativas adecuadas para proteger los datos personales, incluidos controles de acceso, obligaciones de confidencialidad, almacenamiento seguro y procesos de manejo de incidentes.

Cambios en este aviso

Podemos actualizar este aviso de vez en cuando. La versión actualizada estará disponible antes de que reserve nuevos servicios (y/o dentro de la plataforma).