Política de Privacidad
Última actualización: 15 de mayo de 2026 · Fecha de vigencia: 15 de mayo de 2026
En PulseWork ("nosotros", "nuestro" o "el Servicio") nos tomamos en serio la privacidad de los datos personales que tratamos en nombre de nuestros clientes y de sus empleados. Esta Política de Privacidad describe que datos recolectamos, con que finalidad, con quien los compartimos, cuanto tiempo los conservamos y como puedes ejercer tus derechos como titular de la información.
Al usar el sitio web pulsework.ai, la aplicación app.pulsework.ai u otros canales relacionados (en conjunto, el "Servicio"), aceptas las prácticas descritas en esta política.
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recolectados a traves del Servicio es:
- PulseWork (en proceso de constitución como persona jurídica).
- Representante legal a la fecha: Juan Manuel Méndez.
- Correo electrónico de contacto para asuntos de privacidad: privacy@pulsework.ai.
En el caso de empleados de empresas clientes (los "Tenants") que usan PulseWork como herramienta de gestión humana, PulseWork actua como encargado del tratamiento y el Tenant como responsable. Es decir, el Tenant decide que datos cargar a la plataforma y para que finalidad, y PulseWork los trata por cuenta del Tenant siguiendo sus instrucciones documentadas en los Términos de Uso.
2. Datos personales que recolectamos
Recolectamos distintas categorías de datos personales según tu relación con el Servicio.
2.1 Datos que tú o tu empleador suministran
- Identificación: nombres, apellidos, tipo y número de documento, fecha de nacimiento.
- Contacto: correo electrónico corporativo, teléfono, dirección, ciudad, país.
- Datos laborales: cargo, área, equipo, líder directo, fecha de ingreso, salario base (cuando aplica).
- Imagen de perfil: fotografía subida por el empleado o por el administrador HR.
- Solicitudes de ausencia: tipo de licencia, fechas, motivos, comentarios.
- Respuestas a encuestas: respuestas a encuestas de pulso (anónimas o identificadas según configuración del Tenant).
- Evaluaciones de desempeño: respuestas a evaluaciones 360, retroalimentación entre pares.
2.2 Datos generados por el uso del Servicio
- Datos de autenticación: identificador de sesión, tokens JWT, fechas de inicio/cierre de sesión, dirección IP, agente de usuario del navegador.
- Bitácoras técnicas: registros de operaciones realizadas en la plataforma con fines de auditoría, seguridad y soporte (sin contenido sensible). Identificadores UUID y fechas, mas no datos personales en texto libre.
- Metadatos de archivos: nombre, tamaño, fecha de carga y tipo de archivos subidos (por ejemplo plantillas Excel de onboarding).
2.3 Datos de cuentas de terceros vinculadas (opcional)
Si decides conectar voluntariamente una cuenta de terceros, recolectamos solo los datos necesarios para la funcionalidad correspondiente:
- Google Calendar: dirección de correo de tu cuenta de Google, identificador único de Google (campo
subdel id_token) y tokens OAuth (access token y refresh token) necesarios para crear, actualizar y eliminar eventos en tu calendario que correspondan a tus solicitudes de ausencia aprobadas en PulseWork. Consulta la Sección 11 para más detalle. - Slack: identificador del workspace, token de bot y mapping de tu identificador Slack al de PulseWork, para entregar notificaciones por Slack en lugar (o además) de correo.
2.4 Datos que NO recolectamos
- No recolectamos datos de menores de edad de manera directa. Si descubrimos que hemos recibido datos de un menor sin autorización de su representante legal, los eliminamos sin demora.
- No usamos cookies de terceros con fines publicitarios. Solo usamos cookies técnicas estrictamente necesarias para el funcionamiento de la sesión.
- No vendemos datos personales a terceros bajo ninguna circunstancia.
3. Finalidades del tratamiento
Tratamos los datos personales únicamente para las siguientes finalidades:
- Prestación del Servicio: crear, autenticar y mantener tu cuenta; permitir la gestión de empleados, ausencias, encuestas, evaluaciones y módulos relacionados.
- Notificaciones operativas: enviar correos transaccionales y mensajes Slack relacionados con eventos del Servicio (aprobaciones, recordatorios, invitaciones a encuestas, restablecimiento de contraseña).
- Sincronización con Google Calendar: cuando lo autorizas explícitamente, reflejar tus ausencias aprobadas como eventos en tu calendario personal de Google.
- Soporte y atención al usuario: responder a tus consultas, reportes de errores y solicitudes de soporte.
- Mejoras del producto: análisis agregados y anonimizados de uso del producto para identificar funcionalidades a mejorar (nunca con datos identificables).
- Cumplimiento legal: atender solicitudes de autoridades competentes, requerimientos judiciales y obligaciones tributarias o laborales aplicables.
- Seguridad: detectar y prevenir fraude, accesos no autorizados, abuso del Servicio y vulneraciones de seguridad.
No usaremos tus datos para finalidades distintas a las anteriores sin obtener tu consentimiento previo y expreso, salvo que la ley lo autorice o lo exija.
4. Base legal del tratamiento
El tratamiento se fundamenta, según el caso, en una o varias de las siguientes bases:
- Consentimiento previo, expreso e informado del titular (por ejemplo, al aceptar esta política al registrarte o al conectar tu cuenta de Google).
- Ejecución de un contrato en el que el titular es parte, o gestiones precontractuales a solicitud del titular.
- Cumplimiento de una obligación legal a cargo del responsable.
- Interés legítimo de PulseWork en operar, asegurar y mejorar el Servicio, cuando dicho interés no prevalezca sobre los derechos del titular.
Para los empleados de Tenants, la base legal principal es la relación laboral o de prestación de servicios entre el empleado y el Tenant, complementada con el consentimiento dado al aceptar los términos del Tenant que usa PulseWork como herramienta interna.
5. Encargados y sub-encargados del tratamiento
Para operar PulseWork nos apoyamos en proveedores de servicios tecnológicos confiables que actúan como encargados o sub-encargados del tratamiento. Cada uno solo accede a los datos estrictamente necesarios para prestar su servicio, bajo acuerdos contractuales que garantizan estándares de seguridad y confidencialidad equivalentes a los nuestros.
| Proveedor | Servicio | Datos tratados | Ubicación |
|---|---|---|---|
| Supabase | Base de datos PostgreSQL, autenticación, almacenamiento de archivos | Todos los datos del Servicio | Estados Unidos / Singapur (según región del Tenant) |
| Amazon Web Services (AWS) | Hospedaje de servidores backend (EC2), gestión de secretos (Parameter Store) | Datos en transito y procesamiento | us-east-2 (Ohio, Estados Unidos) |
| SendGrid (Twilio) | Envío de correos transaccionales | Dirección de correo del destinatario, contenido de la notificación | Estados Unidos |
| Slack Technologies | Envío de notificaciones por Slack (cuando el Tenant lo configura) | Identificadores Slack, contenido de la notificación | Estados Unidos |
| Google LLC | Sincronización opcional con Google Calendar (cuando el empleado lo autoriza) | Eventos de calendario correspondientes a tus ausencias | Estados Unidos |
La lista vigente de sub-encargados puede ser solicitada en cualquier momento escribiendo a privacy@pulsework.ai.
6. Transferencias internacionales
Algunos de nuestros sub-encargados están ubicados fuera del país de residencia del titular (principalmente Estados Unidos). Cuando esto ocurre, garantizamos que las transferencias se realizan bajo cláusulas contractuales que protegen los datos personales con un nivel equivalente al exigido por la normatividad colombiana de protección de datos (Ley 1581 de 2012 y Decreto 1377 de 2013) y al nivel del Reglamento General de Protección de Datos europeo (GDPR), cuando aplique.
7. Tiempo de conservación
Conservamos los datos personales solo durante el tiempo necesario para cumplir las finalidades para las que fueron recolectados, o según lo exija la ley aplicable:
- Datos de empleados activos: durante toda la vigencia de la relación laboral del empleado con el Tenant, más el período necesario para cumplir obligaciones legales (típicamente hasta 10 años tras la terminación del vínculo).
- Solicitudes de ausencia: 5 años desde la fecha de fin de la solicitud (soporte de nómina y obligaciones laborales).
- Bitácoras técnicas: 90 días con detalle, datos agregados por hasta 1 año.
- Tokens OAuth de Google Calendar: hasta que el empleado desconecte su cuenta o el Tenant termine su suscripción al Servicio. Se eliminan inmediatamente al desconectar.
- Respuestas a encuestas anónimas: indefinidamente en forma agregada; sin identificador del respondiente.
Si el Tenant termina su contrato con PulseWork, sus datos se conservan por 90 días adicionales para permitir exportación antes de su eliminación definitiva, salvo que la ley exija un plazo distinto.
8. Medidas de seguridad
Aplicamos medidas técnicas y organizativas razonables para proteger los datos personales contra acceso no autorizado, pérdida, alteración o divulgación indebida. Algunas de estas medidas incluyen:
- Cifrado en transito: todo el trafico al Servicio viaja sobre TLS 1.2 o superior.
- Cifrado en reposo: la base de datos está cifrada a nivel de disco. Los tokens OAuth de Google se cifran adicionalmente con AES-256-GCM antes de ser persistidos.
- Row-Level Security (RLS): la base de datos aplica políticas que aislan los datos por empresa cliente (Tenant).
- Autenticación: los tokens de sesión son JWT firmados (algoritmo ES256). Las contraseñas se almacenan con hash adecuado.
- Control de acceso por roles: PLATFORM_ADMIN, ACCOUNT_ADMIN, HR_ADMIN, LEADER y EMPLOYEE; cada rol solo accede a los datos pertinentes.
- Bitácoras de auditoría: registramos eventos relevantes (logins, cambios de rol, accesos administrativos, suplantación controlada de usuarios para soporte).
- Sub-encargados certificados: nuestros principales sub-encargados (Supabase, AWS, SendGrid, Slack, Google) cuentan con certificaciones SOC 2 Tipo II, ISO 27001 y equivalentes.
Ninguna medida de seguridad es absoluta. Si llegara a producirse un incidente de seguridad que afecte tus datos personales, te lo notificaremos sin demora indebida y al tiempo informaremos a las autoridades competentes cuando lo exija la ley.
9. Derechos del titular
Como titular de los datos personales tienes derecho a:
- Conocer, actualizar y rectificar tus datos personales.
- Acceder de manera gratuita a tus datos que estén siendo objeto de tratamiento.
- Solicitar prueba de la autorización otorgada para el tratamiento de tus datos.
- Ser informado, previa solicitud, sobre el uso que se ha dado a tus datos personales.
- Revocar la autorización y/o solicitar la supresión de tus datos cuando no se respeten los principios, derechos y garantías legales.
- Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) en Colombia, o ante la autoridad competente en tu país de residencia, por infracciones a la normativa de protección de datos.
Para ejercer cualquiera de estos derechos, escribe a privacy@pulsework.ai indicando claramente tu solicitud, tu identificación y los medios para responderte. Atenderemos tu petición dentro de los plazos legales aplicables (generalmente 10 días hábiles para consultas y 15 días hábiles para reclamos en Colombia).
Si eres empleado de una empresa cliente, te recomendamos primero acudir al área de Talento Humano de tu empleador, ya que ellos son el responsable principal de tus datos en la plataforma. Si no obtienes respuesta satisfactoria, puedes escribirnos directamente.
10. Cookies y tecnologias similares
El Servicio usa únicamente cookies estrictamente necesarias para su funcionamiento:
- Cookies de sesión: mantienen tu sesión activa mientras navegas en la aplicación.
- Preferencias locales: guardan tu elección de tema (claro/oscuro) y de idioma usando
localStorageen tu navegador.
No usamos cookies de seguimiento publicitario, ni cookies de terceros con fines de marketing. No vinculamos tu actividad en PulseWork con otras páginas web o servicios externos.
11. Uso de datos de Google (Google API Services User Data Policy)
Cuando un empleado decide conectar voluntariamente su cuenta de Google a PulseWork para sincronizar ausencias con Google Calendar, solicitamos los siguientes scopes de OAuth:
openidyemail— para identificar la cuenta Google que se está conectando y mostrar su correo en la pantalla de gestión de la conexión.https://www.googleapis.com/auth/calendar.events— para crear, modificar y eliminar exclusivamente los eventos correspondientes a las ausencias aprobadas en PulseWork. No accedemos al resto de eventos del calendario del empleado.
11.1 Compromiso de Uso Limitado (Limited Use)
El uso que PulseWork hace de la información recibida de las APIs de Google se adhiere a la Política de Datos del Usuario de los Servicios de API de Google, incluyendo los requisitos de Uso Limitado (Limited Use). En particular:
- Usamos los datos de Google únicamente para proveer y mejorar las funcionalidades visibles al usuario, en este caso la sincronización de ausencias con Google Calendar.
- No vendemos los datos de Google.
- No transferimos los datos de Google a terceros, salvo: (i) cuando sea necesario para proveer o mejorar funcionalidades visibles al usuario, (ii) por razones de seguridad (por ejemplo, investigar abuso), (iii) por cumplimiento de leyes aplicables, o (iv) como parte de una fusión, adquisición o venta de activos con notificación previa a los usuarios.
- No usamos los datos de Google para publicidad de ningún tipo, incluyendo publicidad reorientada o personalizada.
- No permitimos que humanos accedan a los datos de Google, salvo: (i) con tu consentimiento explícito y específico, (ii) por razones de seguridad (investigar abuso), (iii) por cumplimiento de leyes aplicables, o (iv) cuando los datos hayan sido agregados y anonimizados de manera que ya no puedan vincularse a un usuario individual.
- No usamos los datos de Google para entrenar o mejorar modelos de inteligencia artificial generalizados, modelos de lenguaje (LLMs) ni cualquier modelo de IA externo a las funcionalidades visibles al usuario.
11.2 Cómo revocar el acceso
Puedes revocar el acceso de PulseWork a tu cuenta de Google en cualquier momento por dos vías:
- Desde la propia aplicación: ve a tu perfil en app.pulsework.ai y selecciona Desconectar Google Calendar. Esto elimina los tokens OAuth de nuestra base de datos y revoca el refresh token frente a Google.
- Desde tu cuenta Google: visita myaccount.google.com/permissions, selecciona PulseWork y revoca el acceso.
Tras la revocación, los eventos previamente creados por PulseWork en tu calendario permanecerán allí hasta que tu los elimines manualmente. Las nuevas ausencias dejaran de sincronizarse de inmediato.
12. Cambios a esta política
Podemos actualizar esta Política de Privacidad ocasionalmente para reflejar cambios en el Servicio, en la regulación aplicable o en nuestras prácticas de tratamiento. Cuando los cambios sean sustanciales, te lo notificaremos por correo electrónico con al menos 15 días calendario de antelación a su entrada en vigencia.
La versión vigente siempre estara disponible en pulsework.ai/es/privacy.html con la fecha de la última actualización en el encabezado.
13. Contacto
Si tienes preguntas sobre esta Política de Privacidad, sobre el tratamiento de tus datos o quieres ejercer cualquier derecho como titular:
- Correo electrónico: privacy@pulsework.ai
- Sitio web: pulsework.ai
Atenderemos tu solicitud dentro de los plazos legales aplicables.