LEGAL · POLÍTICA DE PRIVACIDAD

Política de Privacidad

Qué datos personales recopilamos, por qué los recopilamos, cómo los usamos y compartimos, y los derechos que tiene bajo el GDPR, la CCPA, y leyes equivalentes. Escrita para ser legible, diseñada para ser auditable.

Versión

v1.0

En vigor desde

25 may. 2026

Última actualización

23 may. 2026

Estado

v1.0 · sujeto a evolución

NOTA EN LENGUAJE CLARO

Este documento está redactado para ser legible. Es un instrumento jurídico vigente; por favor, léalo con atención. Para cualquier aclaración, escriba a [email protected] con el asunto [Legal]. EDMA Group se reserva el derecho de actualizar este documento; los cambios sustanciales se anunciarán con al menos 30 días de antelación por correo electrónico y se publicarán en /newsroom.

01 Quiénes somos

Esta Política de Privacidad se aplica a los datos personales recopilados por EDMA Group («EDMA», «nosotros», «nos») a través de la aplicación TradeOS, el Trade Marketplace, nuestros sitios web en edma.trade y edma.co, y servicios relacionados.

Para la mayoría del tratamiento descrito en esta política, EDMA es el responsable. Cuando EDMA trata datos personales en nombre de un Cliente que usa TradeOS (p. ej., datos sobre sus propios empleados, proveedores, clientes o financiadores), EDMA actúa como encargado y el Cliente es el responsable. Los términos del Acuerdo de Tratamiento de Datos rigen las relaciones de encargado.

Nuestro domicilio social y los datos de contacto para asuntos de privacidad están al pie de esta página.

02 Qué recopilamos

Recopilamos datos personales en las siguientes categorías.

Datos de cuenta e identidad

  • nombre, correo, cargo, organización, país
  • credenciales de cuenta (las contraseñas se cifran con hash; no almacenamos contraseñas en texto plano)
  • imagen de perfil, si se sube

Datos de uso y técnicos

  • dirección IP, cadena de user-agent, tipo de dispositivo, idioma del navegador, zona horaria
  • páginas visitadas, funciones usadas, acciones en el producto, marcas de tiempo
  • registros de errores e informes de fallos
  • metadatos de solicitudes de API (endpoints, códigos de estado, latencia)

Datos de negocio y comerciales

  • registros operativos que el Cliente introduce en TradeOS, que pueden incluir datos personales de los empleados, proveedores, clientes y financiadores del Cliente (controlados por el Cliente; tratados por nosotros)
  • metadatos de comunicaciones (remitente, destinatario, marca de tiempo, canal) de los mensajes intercambiados a través de los portales de TradeOS
  • cargas de documentos y sus metadatos

Marketing y correspondencia

  • mensajes enviados a través de nuestros formularios de contacto (edma.trade/contact)
  • estado de suscripción al boletín informativo del operador
  • registros a eventos de marketing y reservas de demo

Cookies y tecnologías similares

Consulte la Política de Cookies para las cookies que establecemos, sus propósitos, y cómo gestionarlas.

03 Cómo usamos los datos personales

Usamos los datos personales para:

  • Proporcionar el Servicio — autenticar usuarios, renderizar los datos correctos al inquilino correcto, enrutar documentos y notificaciones entre contrapartes, calcular cascadas de liquidación, y operar el Trade Marketplace.
  • Mejorar el Servicio — analizar patrones de uso agregados, identificar errores, priorizar funciones, y entrenar modelos de IA internos solo con datos agregados y anonimizados (no entrenamos a proveedores de IA externos con los Datos del Cliente; véase el §5).
  • Asegurar el Servicio — detectar y prevenir abuso, fraude, violaciones de sanciones, malware, raspado, y acceso no autorizado; investigar incidentes.
  • Responder a consultas y proporcionar soporte — responder a los mensajes enviados a través de los formularios de contacto o a [email protected]; enrutar las consultas al equipo interno correcto.
  • Enviar comunicaciones operativas y de marketing — anuncios de servicio, avisos de seguridad, avisos de facturación, y (con consentimiento o donde lo permita la ley) el boletín informativo del operador.
  • Cumplir con la ley — cumplir con obligaciones fiscales, contables, de sanciones, contra el blanqueo de dinero, y de protección de datos; responder a solicitudes lícitas de las autoridades.

04 Bases legales (GDPR)

Cuando se aplica el GDPR, nuestro tratamiento se basa en una o más de las siguientes:

  • Ejecución del contrato — para proporcionar el Servicio al que el Cliente se ha suscrito, y para operar el Marketplace.
  • Interés legítimo — para asegurar el Servicio, prevenir el fraude y el abuso, mejorar el producto, y llevar a cabo operaciones de negocio. Equilibramos nuestros intereses contra sus derechos y libertades.
  • Consentimiento — para las cookies no esenciales, las comunicaciones de marketing a las que se adhiere, y cualquier otro tratamiento para el que el consentimiento sea la base apropiada. Puede retirar el consentimiento en cualquier momento.
  • Obligación legal — para cumplir con la ley fiscal, contable, de sanciones, AML, y de protección de datos.

Tiene derecho a objetar al tratamiento basado en el interés legítimo. Véase el §8 para saber cómo ejercer ese derecho.

05 Con quién compartimos

Compartimos datos personales solo según se establece abajo.

Proveedores de servicios (subprocesadores)

Usamos un pequeño conjunto de subprocesadores verificados para alojar el Servicio, entregar correo, y proporcionar funciones específicas. La lista actual de subprocesadores se mantiene en el Acuerdo de Tratamiento de Datos. Los subprocesadores están vinculados por acuerdos escritos que cumplen los estándares del Artículo 28 del GDPR. Notificamos a los Clientes los nuevos subprocesadores con al menos treinta (30) días antes de que empiecen a tratar los Datos del Cliente.

Proveedores de IA

Atlas Inteligencia de Documentos, la IA de Contabilidad, el Bot Studio, y funciones similares usan uno o más proveedores de IA externos (p. ej., Anthropic, OpenAI, Google) por solicitud. Enviamos solo los datos mínimos requeridos para la tarea solicitada; usamos endpoints enterprise de Retención Cero de Datos donde están disponibles, de modo que los prompts no se retienen ni se usan para entrenamiento. El Cliente puede excluir a los proveedores de IA externos en favor del modelo Gemma alojado localmente en los niveles Soberano y Aislado.

Contrapartes del Marketplace

Cuando un Cliente (Operador) publica un listado en el Marketplace, los datos de resumen anónimos son visibles para los Financiadores verificados. Los detalles identificativos (nombre del operador, nombres de las contrapartes, ubicación de la fábrica) se revelan solo después de que el Operador apruebe la firma de un Financiador específico, bajo el protocolo de divulgación de dos pasos descrito en edma.trade/network/how-financing-works.

Autoridades

Divulgamos datos personales a tribunales, reguladores, o fuerzas del orden cuando lo requiere un proceso legal válido o para proteger nuestros derechos legales. Cuando sea lícitamente posible, notificamos a los Clientes afectados con antelación.

Transacciones corporativas

Si EDMA pasa por una fusión, adquisición, reestructuración, o venta de activos, los datos personales pueden transferirse a la entidad sucesora. La nueva entidad estará vinculada por esta Política de Privacidad o por una sucesora con protecciones materialmente equivalentes.

No vendemos ni alquilamos datos personales.

06 Transferencias internacionales

EDMA opera en múltiples jurisdicciones, incluido el Espacio Económico Europeo, el Reino Unido, y otras regiones. Los datos personales pueden transferirse a y tratarse en países distintos de aquel en el que se recopilaron.

Cuando los datos personales se transfieren fuera del EEA o del RU a un país que no se considera que proporciona protección adecuada, nos basamos en salvaguardas apropiadas, incluidas las Cláusulas Contractuales Tipo de la Comisión Europea (y el equivalente del RU), medidas técnicas suplementarias (cifrado en tránsito y en reposo), y medidas contractuales suplementarias con el encargado receptor.

La lista de regiones en las que se alojan los Datos del Cliente está documentada en el DPA.

07 Retención

Conservamos los datos personales solo el tiempo necesario para los fines establecidos en el §3, luego los eliminamos o anonimizamos. En concreto:

  • Datos de cuenta — durante la duración de la cuenta, más un periodo de archivo razonable para reclamaciones legales.
  • Datos del Cliente en TradeOS — durante la duración del Periodo de Suscripción más una ventana de exportación de 30 días, tras la cual los eliminamos (sujeto a las obligaciones de retención impuestas por ley al Cliente, p. ej., registros fiscales).
  • Registros de uso y de seguridad — típicamente 12 meses, más tiempo cuando se necesite para investigaciones.
  • Datos de marketing — hasta que el suscriptor se da de baja, más una lista de supresión para honrar la baja.
  • Registros financieros y facturas — durante el periodo requerido por la ley fiscal y contable (típicamente de 6 a 10 años según la jurisdicción).

08 Sus derechos

Si el GDPR o una ley equivalente se le aplica, tiene los siguientes derechos respecto a los datos personales que tenemos sobre usted:

  • Acceso — solicitar una copia de los datos personales que tenemos sobre usted.
  • Rectificación — pedirnos que corrijamos datos inexactos o incompletos.
  • Supresión — pedirnos que eliminemos datos personales cuando no haya una base legal prevalente para conservarlos.
  • Restricción — pedirnos que suspendamos el tratamiento mientras se resuelve una disputa.
  • Portabilidad — solicitar una copia legible por máquina de los datos que proporcionó, en un formato estructurado de uso común.
  • Oposición — oponerse al tratamiento basado en el interés legítimo, incluida la elaboración de perfiles y el marketing directo.
  • Retirar el consentimiento — cuando el tratamiento se basa en el consentimiento, puede retirarlo en cualquier momento sin afectar al tratamiento lícito previo.
  • Reclamar — presentar una reclamación ante su autoridad de control. Véase el §14.

Para ejercer estos derechos, escriba a [email protected] con el asunto [Privacy]. Respondemos dentro de treinta (30) días. Podemos pedir prueba de identidad antes de actuar sobre una solicitud. Cuando los datos son Datos del Cliente (tratados por nosotros en nombre de un Cliente), reenviamos su solicitud al Cliente-responsable correspondiente.

09 Avisos CCPA / leyes estatales de EE. UU.

Si es residente de California, la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) le otorgan derechos adicionales:

  • Derecho a saber qué categorías de información personal hemos recopilado sobre usted, las fuentes, los fines, y a quién la divulgamos.
  • Derecho a eliminar información personal, sujeto a las excepciones aplicables.
  • Derecho a corregir información personal inexacta.
  • Derecho a excluirse de la «venta» o «compartición» de información personal. No vendemos ni compartimos información personal según se definen esos términos bajo la CCPA/CPRA.
  • Derecho a limitar el uso de información personal sensible, cuando corresponda.
  • Derecho a la no discriminación por ejercer estos derechos.

Para ejercer estos derechos, contáctenos según se establece en el §8. No recopilamos a sabiendas información personal de consumidores menores de 16 años.

Si es residente de Virginia, Colorado, Connecticut, Utah, Texas, u otro estado de EE. UU. con legislación de privacidad integral, tiene derechos sustancialmente similares a los anteriores. Aplicamos los mismos procedimientos independientemente de la jurisdicción.

10 Cookies y rastreo

Usamos un pequeño número de cookies y tecnologías similares en nuestros sitios web y en el Servicio. Consulte la Política de Cookies para el inventario completo y cómo gestionarlas.

No usamos cookies publicitarias de terceros. No participamos en redes de publicidad entre sitios.

11 Seguridad

Protegemos los datos personales con salvaguardas administrativas, técnicas y físicas apropiadas al riesgo, incluido el cifrado en tránsito (TLS 1.2+) y en reposo, el control de acceso basado en roles, el acceso a producción de mínimo privilegio, el registro de auditoría, la gestión de vulnerabilidades, los procedimientos de copia de seguridad y recuperación ante desastres, y la formación del personal. Las medidas técnicas y organizativas que aplicamos se detallan en el DPA.

Ningún sistema es perfectamente seguro. Si tiene conocimiento de una vulnerabilidad o sospecha de una violación, escriba a [email protected] con el asunto [Security].

12 Menores

El Servicio está destinado al uso empresarial por adultos. No recopilamos a sabiendas datos personales de nadie menor de 16 años. Si cree que un menor nos ha proporcionado datos personales, contáctenos y los eliminaremos.

13 Cambios

Podemos actualizar esta Política de Privacidad de vez en cuando. La versión actual siempre se publica en edma.trade/legal/privacy con la fecha de «Última actualización» en la parte superior. Los cambios materiales —aquellos que reducen significativamente sus derechos o añaden nuevas categorías de tratamiento— se notificarán a los administradores de cuenta por correo con al menos 30 días antes de que surtan efecto.

14 Contacto y reclamaciones

Para preguntas, solicitudes o reclamaciones de privacidad, contáctenos en [email protected] con el asunto [Privacy]. Respondemos dentro de un día hábil en el primer acuse de recibo y dentro de treinta (30) días en la resolución sustantiva.

Si está en el EEA, el RU, o Suiza y no está satisfecho con nuestra respuesta, tiene derecho a presentar una reclamación ante su autoridad de control de protección de datos local.

PREGUNTAS

Escríbanos.

Para aclaraciones, reclamaciones o para ejercer un derecho sobre sus datos en virtud de este documento, escriba a [email protected] con el asunto [Legal]. Respondemos en un día hábil.

ENTIDAD JURÍDICA

EDMA Group

La entidad detrás de TradeOS, el marketplace y las operaciones más amplias de EDMA Group. Los datos registrales de la empresa están disponibles a petición en la dirección indicada arriba. edma.co →

ARCHIVO

Versiones anteriores.

Las versiones anteriores de este documento están archivadas. Para solicitar una versión concreta, escriba a [email protected] con el asunto [Legal archive].

Política de Privacidad | TradeOS