← Volver al Centro de confianza
Privacidad
Traducido para tu comodidad. La versión en inglés es la legalmente vinculante.
La proyección pública de la postura de privacidad de Syncanix. Qué datos tratamos, por qué los tratamos, cuánto tiempo los conservamos y qué derechos se les aplican. Las cifras de retención por nivel son concretas; los compromisos del RGPD por Article se nombran de forma explícita.
Funciones
Syncanix actúa como encargado del tratamiento respecto de los datos de contenido del cliente que fluyen a través del producto (conversaciones de chat, contenido de documentos, incrustaciones de recuperación, cargas útiles de llamadas a herramientas) y como responsable del tratamiento respecto de los datos de cuenta del panel (correo electrónico del operador, rol, estado de MFA, registros de auditoría de las acciones del operador). Esta separación se refleja en el DPA y en la tabla de retención por tipo de dato que figura más abajo.
Valores predeterminados de privacidad desde el diseño
- Residencia de datos en la UE para todo lo almacenado. Producción se ejecuta en la UE (Fráncfort) y todos los datos de cliente almacenados permanecen allí, salvo que usted opte explícitamente por otra región. Los mensajes de chat y el contexto recuperado los procesa de forma transitoria el proveedor del modelo de IA para generar cada respuesta �— vea «Sin entrenamiento con sus datos» más abajo.
- Sin entrenamiento de modelos fundacionales con datos de clientes. Sus prompts y respuestas nunca se utilizan para entrenar modelos de IA: según los términos de API de Anthropic y OpenAI, el tráfico de API queda excluido del entrenamiento, y estamos finalizando acuerdos de Retención Cero de Datos (Zero Data Retention, ZDR) con ambos proveedores. Las incrustaciones de recuperación y el reordenamiento se ejecutan en Amazon Bedrock en la UE (eu-central-1); AWS no entrena sus modelos con contenido de clientes.
- Valores predeterminados ajustados a la minimización. Retención predeterminada de 30-day para el contenido del chat; consentimiento por inclusión (no por exclusión) para la analítica entre clientes; exclusión predeterminada para las pruebas A/B de Prompts por cliente.
Retención (por nivel)
Los valores de retención predeterminados se aplican automáticamente según el nivel. Los clientes pueden solicitar una retención más corta en cualquier momento (los controles de autoservicio en el panel están en la hoja de ruta); los clientes Enterprise pueden ampliar la retención para obligaciones legales o regulatorias.
| Nivel | Retención de conversaciones | Retención del registro de auditoría |
|---|---|---|
| Dev (gratis) | 7 días | 30 días |
| Starter | 30 días | 90 días |
| Growth | 90 días | 1 año |
| Scale | 1 año | 2 años |
| Enterprise | Configurable por el cliente (predeterminado 90 days) | Configurable por el cliente (predeterminado 2 years) |
Derechos del RGPD
Todos los derechos del RGPD se respetan de extremo a extremo, con implementaciones específicas por Article:
- Article 15 (Acceso). Los usuarios finales pueden ver su historial de conversaciones en el widget de chat. Las solicitudes de administradores sobre el historial completo de un usuario pasan por el proceso documentado de recepción de DSAR, con exportación JSON legible por máquina entregada dentro del SLA de 30 días.
- Article 16 (Rectificación). Las solicitudes de rectificación se atienden a través del proceso documentado de recepción de DSAR, dentro de los mismos plazos de respuesta.
- Article 17 (Supresión). El borrado se propaga por los mensajes, las representaciones vectoriales (embeddings) y los índices vectoriales, y se completa dentro del SLA de 30 días.
- Article 20 (Portabilidad). La exportación se entrega como JSON legible por máquina para la portabilidad a otro proveedor; hay copias legibles por humanos disponibles bajo petición.
- Article 22 (Decisiones automatizadas). Syncanix se mantiene al margen por diseño: no hay decisiones exclusivamente automatizadas con efecto jurídico o significativo. Cada llamada a herramienta de alto impacto cuenta con un control de intervención humana (human-in-the-loop) y con barreras de autenticación reforzada (step-up).
- Article 25 (Privacidad desde el diseño). Valores por defecto: retención de 30 días, residencia en la UE para todos los datos almacenados, sin entrenamiento con datos de clientes.
- Article 32 (Seguridad). AES-256 en reposo; TLS 1.3 en tránsito; acceso de mínimo privilegio; recopilación completa de evidencias SOC 2 en curso.
- Article 33 / 34 (Notificación de violaciones). Se notifica a los clientes en un plazo de 24 hours desde la confirmación de una violación de datos personales. Las obligaciones de notificación a los usuarios finales recaen en el cliente (responsable del tratamiento).
Tratamiento de la PII
La PII se trata como un dato crítico, no como un esfuerzo razonable. Las capas de descubrimiento e ingesta marcan los campos de PII en el momento de la extracción:
- A nivel de campo (catálogo). Durante el descubrimiento, el LLM de enriquecimiento marca los campos que probablemente contengan PII (email, phone, SSN, credit card, IP). Los operadores confirman o rechazan. El renderizador redacta en función del ámbito
pii:readdel visualizador. - Texto libre (mensajes de chat). Antes del almacenamiento se ejecuta una pasada de redacción sobre el mensaje final del LLM. Los tokens se conservan (
[email],[phone]) para que el chat se lea con naturalidad sin filtrar valores en bruto. - Capa de almacenamiento. La PII se redacta en la ingesta: el valor en bruto nunca llega al disco. Los revisores sin el ámbito
pii:readven la vista redactada.
Privacidad del código fuente
La CLI de descubrimiento del lado del cliente de Syncanix se ejecuta en el propio entorno del cliente. Solo los metadatos estructurados del catálogo salen de la red del cliente: los archivos de origen nunca se cargan. El texto del manejador por endpoint (≤2 KB) enviado a Anthropic se procesa y descarta bajo su contrato de retención de datos cero (Zero Data Retention).
Syncanix nunca indexa el código fuente del lado del servidor. El descubrimiento está dirigido por eventos y es sin estado; el contenido del repositorio del cliente permanece en el repositorio del cliente.
BYOK (clave propia, bring-your-own-key). Los clientes Enterprise pueden aportar sus propias claves de Anthropic, OpenAI o Bedrock; el proveedor del LLM nunca ve a Syncanix como intermediario. .syncanixignore excluye rutas del descubrimiento de forma predeterminada ( (*.env, secrets/**, fixtures/**, __tests__/**, vendored/**, node_modules/**).
Leyes de privacidad de EE. UU.
El producto se implementa conforme a un superconjunto de RGPD + CCPA que se corresponde con las más de 19 leyes de privacidad de nivel estatal en vigor (CA CCPA / CPRA, VA VCDPA, CO CPA, CT CTDPA, UT UCPA, TX TDPSA, FL FDBR, OR OCPA, MT MCDPA, IA ICDPA, TN TIPA, IN ICDPA, DE DPDPA, NH SB 255, NJ SB 332, MN MCDPA, MD MODPA). Syncanix no vende ni comparte información personal en el sentido en que esos términos se definen en la CCPA / CPRA; los residentes de California pueden ejercer sus derechos de exclusión, acceso, corrección o supresión a través del formulario de solicitud del interesado →. Las normas ADMT de la CPPA (en vigor desde 1 Jan 2026) se gestionan con la misma postura del Article 22 indicada más arriba.
MENA e Israel
UAE Federal Decree-Law 45/2021 (PDPL) + DIFC + ADGM; KSA PDPL (plena aplicación desde 14 Sep 2024) con aviso de violación en 72-hour a SDAIA y designación de representante local cuando se superan los umbrales de ingresos; Israel Privacy Protection Law + Amendment 13 (en vigor el 15 Aug 2025) con Privacy Protection Officer obligatorio y multas de hasta el 5 % de la facturación; Egypt Law 151/2020; Qatar Law 13/2016; Bahrain PDPL 30/2018; Oman Royal Decree 6/2022; Jordan PDPL 24/2023. La residencia de datos en una región saudí (Riyadh) se activa cuando un cliente de pago de KSA lo requiere.
Aislamiento multiinquilino
Los límites entre inquilinos se aplican en todas las capas: delimitación a nivel de aplicación en cada consulta, seguridad a nivel de fila en la base de datos como defensa en profundidad y delimitación de acceso por inquilino en las rutas del LLM y de almacenamiento. Sondas sintéticas nocturnas ejercitan los límites: el usuario sintético A del inquilino A solicita los datos del usuario B; el resultado esperado es el rechazo; cualquier fallo desencadena una alerta crítica y la pausa del despliegue.
Procedimiento de DSAR
Las solicitudes de acceso del interesado (Articles 15 / 16 / 17 / 20 / 21) se acusan en un plazo de 24 hours y se atienden en un plazo de 30 days, conforme al Article 12 del RGPD. Los tipos de solicitud admitidos son acceso, supresión, portabilidad, rectificación y oposición. Utilice el formulario de DSAR de autoservicio → o escriba a admin@syncanix.com directamente: se aplican los mismos SLA en ambos casos.
Relacionado
- Lista de subencargados → — las entidades en las que se apoya Syncanix, con el propósito y el mecanismo de transferencia por fila.
- Resumen de seguridad → — cifrado, IAM, cabeceras, respuesta a incidentes.
- Estado de cumplimiento → — estado de SOC 2 / ISO 27001 / EU AI Act / GDPR / CCPA.
Contacto
- Consultas sobre DSAR, escalado del RGPD y el DPA: admin@syncanix.com.
- Compras, cuestionarios de proveedores y consultas generales de confianza: admin@syncanix.com.