Q
iso

Política de Privacidad

Última actualización: mayo 2026

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de Qiso es el titular del servicio, con domicilio en España, actuando como Encargado del Tratamiento respecto a los datos de los usuarios de cada organización (Responsable del Tratamiento).

2. Datos que recopilamos

  • Datos de registro: nombre, correo electrónico, nombre de empresa.
  • Datos operativos del SGC: documentos, no conformidades, auditorías, KPIs y demás registros que el usuario introduce.
  • Datos técnicos: dirección IP, tipo de navegador, registros de acceso (logs).
  • Datos de facturación: procesados por Stripe (no almacenamos datos de tarjeta).

3. Finalidad del tratamiento

Los datos se utilizan para:

  • Prestar el servicio de plataforma SaaS para la gestión de SGC ISO 9001.
  • Gestionar suscripciones y facturación.
  • Enviar comunicaciones operativas del servicio (alertas, recordatorios de caducidad).
  • Mejorar la seguridad y el rendimiento de la plataforma.

4. Base legal

El tratamiento se basa en la ejecución del contrato (prestación del servicio), el interés legítimo (seguridad e integridad) y, en su caso, el consentimiento expreso del usuario.

5. Subencargados y terceros

Qiso recurre a proveedores de confianza que pueden tratar datos por nuestra cuenta (subencargados, Art. 28 RGPD), entre otros:

  • Railway: hosting del backend y base de datos PostgreSQL (datos en la UE — Ámsterdam).
  • Cloudflare R2: almacenamiento de documentos y copias de seguridad (datos en la UE — Europa Occidental).
  • Vercel: hosting del frontend.
  • Resend: envío de correo transaccional.
  • Groq: modelo de lenguaje del asistente IA (modo Zero Data Retention; las consultas no se usan para entrenar ni se conservan).
  • Stripe: pagos y suscripciones (no almacenamos datos de tarjeta).
  • Sentry: monitorización de errores (datos en la UE — Alemania).

Los datos en reposo (base de datos, documentos y copias de seguridad) residen en la Unión Europea. Las transferencias a proveedores con entidad fuera del EEE están amparadas por Cláusulas Contractuales Tipo (SCC) y, en su caso, el EU-US Data Privacy Framework. Consulte la lista completa y actualizada, con ubicación y garantías, en la página de subencargados.

6. Derechos del usuario (RGPD)

De conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), el usuario puede ejercer los siguientes derechos:

  • Acceso (Art. 15 RGPD): solicitar confirmación de qué datos tratamos y obtener una copia.
  • Rectificación (Art. 16 RGPD): corregir datos inexactos.
  • Supresión / Derecho al olvido (Art. 17 RGPD): solicitar la eliminación de todos sus datos personales y registros.
  • Portabilidad (Art. 20 RGPD): recibir sus datos en formato estructurado y legible por máquina.
  • Limitación del tratamiento (Art. 18 RGPD): solicitar que suspendamos temporalmente el tratamiento.
  • Oposición (Art. 21 RGPD): oponerse al tratamiento basado en interés legítimo.

Ejercicio en la propia plataforma:

Los usuarios autenticados pueden ejercer directamente los derechos de portabilidad y supresión desde la aplicación:

  • Exportar mis datos (Art. 20): disponible en Ajustes de cuenta → Exportar datos. Genera un archivo JSON con toda su información personal y los registros de su organización.
    Endpoint técnico: GET /api/account/export
  • Solicitar eliminación de cuenta (Art. 17): disponible en Ajustes de cuenta → Eliminar cuenta y datos. Su cuenta queda suspendida de inmediato y se eliminan todos los datos en un plazo máximo de 30 días.
    Endpoint técnico: POST /api/account/request-deletion

Para el resto de derechos o si necesita asistencia, escriba a: privacy@qiso.es. Responderemos en el plazo máximo de 30 días hábiles. Si no queda satisfecho con nuestra respuesta, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

7. Conservación de datos

Los datos se conservan durante la vigencia del contrato y 3 años adicionales, salvo obligación legal distinta. Los datos de cuentas trial no activadas se eliminan a los 30 días de la expiración del período de prueba.

8. Seguridad

Los datos se transmiten cifrados mediante TLS (HTTPS con HSTS) y se almacenan cifrados en reposo (AES-256 en ficheros y copias de seguridad; base de datos sobre disco cifrado). Las contraseñas se guardan con hash salteado (ASP.NET Core Identity) y la verificación en dos pasos (2FA) está disponible para todas las cuentas y es obligatoria para administradores. El acceso a los datos está aislado por organización. Más detalle en Seguridad y cumplimiento.

Seguridad y cumplimientoSubencargadosTérminos y CondicionesPlanes y precios