Siesta AI
Empezar
Iniciar sesión Programar demo Empieza gratis

PRIVACY POLICY

Última actualización: 09/03/2026

Quiénes somos

Esta Política de Privacidad describe cómo Siesta AI s.r.o., con domicilio social en:

Bruselská 266/14, Vinohrady, 120 00 Praga 2, República Checa

NIF (IČO): 23855312

(«Siesta AI», «nosotros», «nos» o «nuestro»)

procesa datos personales en relación con:

  • nuestro sitio web disponible en https://siesta.ai

  • nuestra plataforma de Software como Servicio («Plataforma»)

  • y servicios relacionados.

Siesta AI s.r.o. es una sociedad constituida conforme a la legislación de la República Checa.

Información de contacto

Si tiene alguna pregunta sobre esta Política de Privacidad o el procesamiento de sus datos personales, puede contactarnos en:

Correo electrónico: info@siesta.ai

Dirección postal:

Siesta AI s.r.o.

Bruselská 266/14

120 00 Praga 2

República Checa

Contacto RGPD

Para asuntos específicamente relacionados con la protección de datos y el ejercicio de sus derechos en virtud del Reglamento General de Protección de Datos (UE) 2016/679 («RGPD»), puede contactar a:

Jan Mudroch

Correo electrónico: info@siesta.ai

Siesta AI no ha designado un Delegado de Protección de Datos (DPD), ya que no es obligatorio según la legislación aplicable. No obstante, hemos designado una persona responsable del cumplimiento de la protección de datos.

Alcance de esta Política

Para garantizar la transparencia y la simplicidad, Siesta AI mantiene esta Política de Privacidad única que cubre todas las interacciones con nuestros servicios. Distinguimos entre los datos recopilados a través de nuestro sitio web público (donde actuamos como Responsable del tratamiento), los datos administrativos necesarios para el acceso a la plataforma y la facturación (donde actuamos como Responsable del tratamiento) y el contenido real procesado dentro de nuestra plataforma de IA (donde actuamos únicamente como Encargado del tratamiento). Esta estructura garantiza que tanto los visitantes ocasionales del sitio web como los usuarios empresariales de la plataforma comprendan exactamente cómo se manejan sus datos y quién es responsable de su protección.

Esta Política se estructura en tres categorías principales:

Datos del sitio web

Incluyen datos personales recopilados cuando:

  • visita nuestro sitio web,

  • utiliza formularios de contacto,

  • se suscribe a comunicaciones,

  • interactúa con cookies o herramientas de análisis.

En este contexto, Siesta AI actúa como Responsable del tratamiento.

Datos de cuenta de la Plataforma

Incluyen datos personales procesados cuando:

  • una organización crea una cuenta,

  • los usuarios se registran dentro de un espacio de trabajo,

  • se realiza la facturación y gestión de suscripciones,

  • se generan registros del sistema y metadatos técnicos.

En este contexto, Siesta AI actúa como Responsable del tratamiento de datos de cuenta y administrativos.

Contenido del cliente

Incluyen datos personales contenidos en:

  • documentos cargados en la Plataforma,

  • indicaciones de chat e interacciones con IA,

  • grabaciones y transcripciones de reuniones,

  • bases de conocimiento indexadas,

  • embeddings vectoriales derivados de dicho contenido.

En este contexto:

  • el Cliente (organización) actúa como Responsable del tratamiento,

  • Siesta AI actúa únicamente como Encargado del tratamiento, procesando dichos datos exclusivamente según las instrucciones documentadas del Cliente y de acuerdo con el Anexo de Procesamiento de Datos (DPA) aplicable.

No utilizamos el Contenido del cliente para el entrenamiento de modelos ni para nuestros propios fines independientes.

Cuando actuamos como Encargado del tratamiento

En el contexto del uso de la Plataforma por clientes organizacionales, Siesta AI procesa ciertos datos personales exclusivamente en nombre y según las instrucciones del Cliente.

En este contexto:

  • el Cliente actúa como Responsable del tratamiento, y

  • Siesta AI actúa exclusivamente como Encargado del tratamiento en el sentido del Artículo 4(8) del RGPD.

Nuestro procesamiento de dichos datos se rige por el Anexo de Procesamiento de Datos (DPA) aplicable entre Siesta AI y el Cliente.

Categorías de datos procesados como Encargado

Al proporcionar la Plataforma, podemos procesar datos personales contenidos en:

Contenido del cliente

Incluye todos los datos cargados, transmitidos o puestos a disposición en la Plataforma por el Cliente o en su nombre, incluyendo:

  • documentos (PDF, DOCX, XLSX, TXT, CSV),

  • contenido de bases de conocimiento,

  • páginas wiki,

  • tickets,

  • registros de bases de datos,

  • documentación empresarial interna.

Dicho contenido puede incluir datos personales de empleados, clientes, contratistas u otras personas.

Indicaciones e interacciones con IA

Procesamos:

  • entradas de chat enviadas por usuarios,

  • instrucciones a asistentes de IA,

  • consultas contextuales,

  • historiales de conversación.

Estas indicaciones pueden contener datos personales introducidos por los usuarios.

Archivos cargados y fuentes de datos conectadas

Cuando la Plataforma se integra con sistemas externos (p. ej., herramientas de colaboración, repositorios de documentos, bases de datos), podemos procesar:

  • archivos sincronizados,

  • transcripciones y grabaciones de reuniones,

  • datos CRM,

  • comunicaciones internas.

El procesamiento se realiza exclusivamente con el fin de habilitar la búsqueda, recuperación y flujos de trabajo asistidos por IA.

Embeddings y datos vectorizados

Como parte de la funcionalidad de Generación Aumentada por Recuperación (RAG) y búsqueda semántica, los datos de texto pueden transformarse en:

  • embeddings vectoriales,

  • representaciones indexadas almacenadas en una base de datos vectorial.

Aunque los embeddings no son directamente legibles por humanos, representan formas derivadas de los datos originales y, por lo tanto, se tratan como datos personales cuando corresponda.

Naturaleza y finalidad del procesamiento

Procesamos el Contenido del cliente exclusivamente con el fin de:

  • proporcionar la Plataforma y sus funcionalidades,

  • habilitar respuestas asistidas por IA,

  • indexar y recuperar contenido relevante,

  • mantener la seguridad y estabilidad de la plataforma.

Nosotros:

  • no determinamos las finalidades del procesamiento del Contenido del cliente,

  • no utilizamos el Contenido del cliente para nuestros propios fines comerciales,

  • no vendemos ni licenciamos el Contenido del cliente,

  • no utilizamos el Contenido del cliente para entrenar modelos de IA fundacionales.

Base jurídica del procesamiento (contexto de Encargado)

Cuando Siesta AI actúa como Encargado del tratamiento, no determina de forma independiente la base jurídica del procesamiento.

La base jurídica aplicable para el procesamiento de datos personales en el Contenido del cliente es determinada por el Cliente como Responsable del tratamiento.

Según el caso de uso específico del Cliente, la base jurídica puede incluir:

  • Artículo 6(1)(b) del RGPD – Ejecución de un contrato

  • Artículo 6(1)(c) del RGPD – Obligación legal

  • Artículo 6(1)(f) del RGPD – Interés legítimo

  • Artículo 6(1)(a) del RGPD – Consentimiento

El Cliente es el único responsable de:

  • identificar y documentar la base jurídica adecuada,

  • garantizar la transparencia hacia los interesados,

  • cumplir con todas las leyes de protección de datos aplicables.

Procesamiento según instrucciones documentadas

Siesta AI procesa el Contenido del cliente exclusivamente:

  • de acuerdo con las instrucciones documentadas del Cliente,

  • según lo establecido en el acuerdo de servicio aplicable,

  • de conformidad con el Anexo de Procesamiento de Datos (DPA).

Implementamos medidas técnicas y organizativas adecuadas para garantizar que el procesamiento cumpla con los requisitos del RGPD.

Subencargados

Para proporcionar la Plataforma, podemos contratar subencargados, incluyendo:

  • proveedores de infraestructura en la nube,

  • proveedores de modelos de IA,

  • servicios de almacenamiento y bases de datos,

  • proveedores de monitorización de seguridad.

Contratamos subencargados exclusivamente sobre la base de acuerdos escritos que requieren:

  • procesamiento conforme al RGPD,

  • obligaciones de confidencialidad,

  • implementación de medidas técnicas y organizativas adecuadas,

  • cumplimiento de los requisitos de transferencia internacional de datos.

Todos los subencargados están sujetos a obligaciones contractuales que proporcionan garantías de protección de datos equivalentes a las de nuestro DPA.

Una lista actualizada de subencargados está disponible en: https://siesta.ai/trust/subprocessors

Transferencias internacionales de datos

Cuando los subencargados están establecidos fuera del Espacio Económico Europeo (EEE), nos aseguramos de que se implementen las salvaguardas adecuadas, incluyendo:

  • cláusulas contractuales tipo (CCT),

  • u otros mecanismos de transferencia reconocidos legalmente.

Cuando los clientes configuran integraciones con proveedores de IA de terceros de forma independiente, el Cliente como Responsable sigue siendo responsable de evaluar la legalidad de dichas transferencias.

Cuando actuamos como Responsable del tratamiento

En los siguientes casos, Siesta AI determina los fines y medios del procesamiento de datos personales y, por lo tanto, actúa como Responsable del tratamiento en virtud del RGPD.

Datos del sitio web

Cuando visita nuestro sitio web (https://siesta.ai), podemos procesar ciertos datos personales.

Categorías de datos y base jurídica

Registros del servidor y direcciones IP

Al acceder a nuestro sitio web, nuestros servidores procesan automáticamente:

  • dirección IP

  • fecha y hora de la solicitud

  • tipo y versión del navegador

  • sistema operativo

  • URL de referencia

  • páginas solicitadas

Finalidad:

  • garantizar la seguridad del sitio web

  • prevenir el abuso y el fraude

  • mantener la estabilidad del sistema

  • diagnosticar problemas técnicos

Base jurídica:

Artículo 6(1)(f) del RGPD – Interés legítimo (garantizar la seguridad, estabilidad e integridad de nuestro sitio web)

Los datos de registro se conservan durante un período limitado necesario para fines de seguridad y operativos.

Formularios de contacto y comunicación directa

Cuando envía un formulario de contacto o nos contacta por correo electrónico, procesamos:

  • nombre

  • apellido

  • dirección de correo electrónico

  • nombre de la empresa (si se proporciona)

  • contenido de su mensaje

Finalidad:

  • responder a consultas

  • comunicación precontractual

  • comunicación comercial

Base jurídica:

  • Artículo 6(1)(b) del RGPD – Ejecución de un contrato o medidas precontractuales

  • Artículo 6(1)(f) del RGPD – Interés legítimo (responder a consultas comerciales)

Conservamos estos datos durante el período necesario para gestionar su consulta y hasta tres (3) años después, a menos que se establezca una relación contractual.

Cookies

Nuestro sitio web utiliza cookies y tecnologías de seguimiento similares.

Las cookies pueden clasificarse como:

  • cookies estrictamente necesarias (esenciales),

  • cookies analíticas,

  • cookies de preferencias.

Las cookies estrictamente necesarias son imprescindibles para el funcionamiento y la seguridad del sitio web y se procesan sobre la base del interés legítimo.

Las cookies analíticas solo se utilizan cuando se ha otorgado el consentimiento requerido a través de nuestro banner de cookies. Puede revocar su consentimiento para cookies no esenciales en cualquier momento a través de la interfaz de configuración de cookies.

Base jurídica:

  • Cookies esenciales – Artículo 6(1)(f) del RGPD – Interés legítimo

  • Cookies analíticas – Artículo 6(1)(a) del RGPD – Consentimiento

Información detallada sobre:

  • los tipos de cookies utilizadas y sus finalidades,

  • períodos de conservación,

  • y cómo gestionar su consentimiento

se encuentra disponible en nuestra Política de Cookies separada en: https://siesta.ai/trust

Herramientas de análisis

Cuando se emplean herramientas de análisis (p. ej., herramientas de monitorización del rendimiento del sitio web), procesamos:

  • identificadores pseudonimizados

  • datos de uso

  • datos de interacción

Finalidad:

  • mejorar la funcionalidad del sitio web

  • optimización del rendimiento

  • comprender las tendencias de uso agregadas

Base jurídica:

Artículo 6(1)(a) del RGPD – Consentimiento (cuando lo exija la legislación aplicable)

Los datos de análisis se procesan de forma pseudonimizada y no se utilizan para identificar a visitantes individuales.

Datos de cuenta de la Plataforma

Cuando una organización se registra en la Plataforma, procesamos ciertos datos personales relacionados con la gestión de cuentas y la prestación de servicios.

En este contexto, Siesta AI actúa como Responsable del tratamiento de datos de cuenta y administrativos.

Categorías de datos y base jurídica

Datos de registro de cuenta

Procesamos:

  • nombre

  • dirección de correo electrónico

  • afiliación organizacional

  • rol dentro de la organización (p. ej., Administrador, Usuario)

Finalidad:

  • creación y gestión de cuentas de usuario

  • autenticación de usuarios

  • proporcionar acceso a la Plataforma

  • gestión de suscripciones

Base jurídica:

Artículo 6(1)(b) del RGPD – Ejecución de un contrato

Datos de facturación y suscripción

Procesamos:

  • datos de contacto de facturación

  • datos de identificación de la empresa

  • información de facturación

  • estado del pago

Finalidad:

  • facturación y procesamiento de pagos

  • cumplimiento de las obligaciones contables y fiscales

Base jurídica:

  • Artículo 6(1)(b) del RGPD – Ejecución de un contrato

  • Artículo 6(1)(c) del RGPD – Obligación legal (leyes contables y fiscales)

Los datos de facturación se conservan durante el período exigido por la normativa contable aplicable (normalmente diez (10) años).

Registros de seguridad y auditoría

Procesamos datos técnicos y de seguridad, incluyendo:

  • dirección IP utilizada para acceder a la Plataforma

  • marcas temporales de inicio de sesión

  • registros de actividad

  • pistas de auditoría

Finalidad:

  • garantizar la seguridad de la plataforma

  • detección de accesos no autorizados

  • cumplimiento de requisitos de seguridad y conformidad

Base jurídica:

Artículo 6(1)(f) del RGPD – Interés legítimo (proteger la integridad y seguridad de nuestros servicios)

Los registros de seguridad se conservan durante un período limitado (normalmente de 6 a 12 meses), a menos que se requiera una conservación más prolongada por razones legales o de seguridad.

Telemetría y metadatos de uso del servicio

Podemos procesar metadatos técnicos limitados relacionados con el uso de la plataforma, como:

  • métricas de rendimiento del sistema

  • registros de errores

  • estadísticas de uso de tokens

  • frecuencia de uso de funciones

Estos datos no incluyen Contenido del cliente.

Finalidad:

  • mejorar el rendimiento de la plataforma

  • garantizar la disponibilidad del servicio

  • desarrollo de productos

  • planificación de capacidad

Base jurídica:

Artículo 6(1)(f) del RGPD – Interés legítimo (mejorar y mantener los servicios)

Los datos de telemetría se procesan de forma agregada o pseudonimizada siempre que sea posible.

Conservación de datos

Conservamos los datos personales solo durante el tiempo necesario para cumplir los fines para los que fueron recopilados, cumplir con las obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos.

Los períodos de conservación varían según el tipo de datos y nuestro rol (Responsable o Encargado del tratamiento).

Conservación como Responsable

Datos del sitio web

Registros del servidor (incluidas las direcciones IP)
Se conservan durante un período limitado para fines de seguridad y operativos, normalmente no más de 6 meses, a menos que se requiera una conservación más prolongada para investigaciones de seguridad.

Envíos de formularios de contacto y comunicación comercial
Se conservan durante el período necesario para gestionar la consulta y hasta 3 años después, a menos que se establezca una relación contractual.

Datos de análisis
Se conservan de forma pseudonimizada o agregada durante el período necesario para analizar y mejorar el rendimiento del sitio web, normalmente no más de 24 meses, según la configuración de la herramienta y los ajustes de consentimiento.

Datos de cuenta de la Plataforma

Datos de registro de cuenta (nombre, correo electrónico, rol, afiliación organizacional)
Se conservan durante la vigencia de la relación contractual y hasta 3 años después de su terminación, a menos que se requiera una conservación más prolongada por razones legales o de resolución de disputas.

Datos de facturación e invoices
Se conservan durante 10 años de conformidad con la normativa contable y fiscal aplicable.

Registros de seguridad y auditoría
Se conservan de 6 a 12 meses, a menos que se requiera una conservación prolongada para investigaciones de seguridad, procedimientos legales o fines de conformidad.

Telemetría y metadatos de uso del servicio
Se conservan para fines operativos y de mejora del producto, normalmente no más de 12 meses, y se procesan de forma agregada o pseudonimizada siempre que sea posible.

Conservación como Encargado

Al procesar Contenido del cliente en nombre del Cliente, la conservación se rige principalmente por las instrucciones del Cliente y el DPA aplicable.

Contenido del cliente

El Contenido del cliente (incluidos documentos, indicaciones, transcripciones, datos conectados y embeddings) se conserva:

  • durante la vigencia de la suscripción activa del Cliente, y

  • se elimina tras la finalización del contrato.

Salvo acuerdo escrito en contrario, el Contenido del cliente se elimina de forma permanente dentro de los 30 días posteriores a la finalización de la relación contractual.

Copias de seguridad

El Contenido del cliente puede permanecer en copias de seguridad cifradas del sistema durante un período limitado después de la eliminación.

Las copias de seguridad se conservan hasta 30 días adicionales, después de los cuales se sobrescriben automáticamente o se eliminan de forma permanente.

Los datos de copias de seguridad no se procesan activamente y solo son accesibles para fines de recuperación ante desastres.

Embeddings y datos derivados

Los embeddings vectoriales y las representaciones indexadas derivadas del Contenido del cliente se eliminan de acuerdo con la eliminación del Contenido del cliente subyacente. La eliminación incluye la supresión de bases de datos activas e índices asociados.

Obligaciones legales de conservación

Podemos conservar ciertos datos más allá de los períodos mencionados cuando sea necesario:

  • para cumplir con obligaciones legales,

  • para establecer, ejercer o defender reclamaciones legales,

  • para cumplir con requisitos regulatorios o de conformidad.

Cuando la conservación sea exigida por ley, el procesamiento se limitará a dichos fines.

Transferencias internacionales de datos

Siesta AI procesa datos personales principalmente dentro del Espacio Económico Europeo (EEE).

Nos comprometemos a garantizar que cualquier transferencia de datos personales fuera del EEE se realice de conformidad con el Capítulo V del RGPD.

Ubicación principal de alojamiento – Azure UE

De forma predeterminada, la Plataforma se aloja en la infraestructura de Microsoft Azure dentro de la Unión Europea.

Esto significa que:

  • el Contenido del cliente se almacena en centros de datos de la UE,

  • las bases de datos y los servicios de almacenamiento están ubicados en la UE,

  • se aplica cifrado tanto en tránsito (TLS 1.2+) como en reposo (AES-256).

Para implementaciones SaaS, la región de la UE es la configuración predeterminada.

Para implementaciones privadas o alojadas por el cliente, los datos pueden permanecer íntegramente dentro de la infraestructura controlada por el cliente.

Transferencias fuera del EEE

En circunstancias limitadas, los datos personales pueden transferirse fuera del EEE, incluyendo cuando:

  • los subencargados operan desde jurisdicciones fuera del EEE,

  • los proveedores de modelos de IA están establecidos fuera de la UE,

  • los clientes configuran integraciones con servicios de terceros fuera de la UE.

Cuando se produzcan dichas transferencias, Siesta AI se asegurará de que se implementen las salvaguardas adecuadas de conformidad con el Artículo 46 del RGPD.

Estas salvaguardas pueden incluir:

  • cláusulas contractuales tipo (CCT) adoptadas por la Comisión Europea,

  • recurso a una decisión de adecuación de la Comisión Europea,

  • medidas técnicas y organizativas complementarias, cuando sea necesario.

Proveedores de modelos de IA

La Plataforma puede estar integrada con proveedores de modelos de IA de terceros.

Cuando dichos proveedores procesan datos personales fuera del EEE:

  • el procesamiento está sujeto a salvaguardas contractuales,

  • incluidas cláusulas contractuales tipo (CCT) o mecanismos de transferencia equivalentes.

Siesta AI se asegura de que, al actuar como Encargado, las transferencias se rijan por nuestro DPA y las salvaguardas asociadas.

Cuando un cliente configure o active de forma independiente integraciones con proveedores de IA externos, el cliente como Responsable sigue siendo responsable de evaluar la legalidad de dichas transferencias.

Evaluaciones de riesgos de transferencia

Cuando lo exija la legislación aplicable, Siesta AI realiza evaluaciones del impacto de la transferencia para valorar:

  • el marco jurídico del país de destino,

  • el riesgo de acceso gubernamental,

  • la adecuación de las salvaguardas contractuales.

Cuando sea necesario, se implementarán salvaguardas adicionales para mitigar los riesgos identificados.

Derechos de los interesados

Las personas cuyos datos personales procesamos tienen los siguientes derechos en virtud del RGPD, sujetos a las limitaciones legales aplicables.

Las solicitudes pueden enviarse a: info@siesta.ai

Responderemos sin demora indebida y, en cualquier caso, dentro de un (1) mes desde la recepción de la solicitud, a menos que se permita una prórroga en virtud de la legislación aplicable.

Derecho de acceso

Tiene derecho a obtener confirmación sobre si estamos procesando sus datos personales y, en su caso, acceso a los mismos, incluida información sobre:

  • las finalidades del procesamiento,

  • las categorías de datos personales,

  • los destinatarios o categorías de destinatarios,

  • los períodos de conservación,

  • sus derechos en virtud del RGPD.

Derecho de rectificación

Tiene derecho a solicitar la rectificación de datos personales inexactos y la complementación de datos personales incompletos.

Derecho de supresión («derecho al olvido»)

Tiene derecho a solicitar la supresión de sus datos personales cuando:

  • los datos ya no sean necesarios para los fines para los que fueron recopilados,

  • retire su consentimiento (si el procesamiento se basa en el consentimiento),

  • los datos hayan sido procesados ilícitamente,

  • la supresión sea necesaria para el cumplimiento de una obligación legal.

Este derecho está sujeto a las obligaciones legales de conservación y otras excepciones lícitas.

Derecho a la limitación del tratamiento

Puede solicitar la limitación del tratamiento cuando:

  • impugne la exactitud de los datos,

  • el tratamiento sea ilícito pero se oponga a la supresión,

  • ya no necesitemos los datos, pero usted los necesite para reclamaciones legales.

Derecho a la portabilidad de los datos

Cuando el tratamiento se base en un contrato o consentimiento y se realice de forma automatizada, tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitir dichos datos a otro responsable del tratamiento.

Derecho de oposición

Cuando el tratamiento se base en un interés legítimo, tiene derecho a oponerse al tratamiento por motivos relacionados con su situación particular.

Dejaremos de procesar los datos a menos que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses, derechos y libertades.

Derecho a presentar una reclamación

Tiene derecho a presentar una reclamación ante una autoridad de control.

En la República Checa, la autoridad de control competente es:

Oficina para la Protección de Datos Personales (Úřad pro ochranu osobních údajů)

Pplk. Sochora 27

170 00 Praga 7

https://www.uoou.cz

Aclaración en el contexto de Encargado

Cuando Siesta AI actúa exclusivamente como Encargado del tratamiento (p. ej., respecto al Contenido del cliente), los interesados deben dirigirse directamente al Cliente pertinente (el Responsable del tratamiento).

Asistimos a los Clientes en la gestión de las solicitudes de los interesados de conformidad con el DPA aplicable.

Toma de decisiones automatizada

La Plataforma no realiza toma de decisiones automatizada con efectos legales o igualmente significativos en el sentido del Artículo 22 del RGPD. Los resultados generados por IA son de naturaleza auxiliar y no producen decisiones legalmente vinculantes de forma independiente.

Procesamiento de datos de menores

La Plataforma y el sitio web están destinados al uso empresarial.

Nuestros servicios no están dirigidos a personas menores de 18 años.

No recopilamos deliberadamente datos personales de menores.

Actualizaciones de esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente para reflejar:

  • cambios en los requisitos legales,

  • cambios en nuestros servicios,

  • evolución tecnológica.

La versión actualizada se publicará en nuestro sitio web con una fecha revisada de «Última actualización».

Cuando lo exija la ley, proporcionaremos un aviso adecuado sobre los cambios significativos.