Politica de Privacidad
Ultima actualizacion: 15 de mayo de 2026 · Fecha de vigencia: 15 de mayo de 2026
En PulseWork ("nosotros", "nuestro" o "el Servicio") nos tomamos en serio la privacidad de los datos personales que tratamos en nombre de nuestros clientes y de sus empleados. Esta Politica de Privacidad describe que datos recolectamos, con que finalidad, con quien los compartimos, cuanto tiempo los conservamos y como puedes ejercer tus derechos como titular de la informacion.
Al usar el sitio web pulsework.ai, la aplicacion app.pulsework.ai u otros canales relacionados (en conjunto, el "Servicio"), aceptas las practicas descritas en esta politica.
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recolectados a traves del Servicio es:
- PulseWork (en proceso de constitucion como persona juridica).
- Representante legal a la fecha: Juan Manuel Mendez.
- Correo electronico de contacto para asuntos de privacidad: privacy@pulsework.ai.
En el caso de empleados de empresas clientes (los "Tenants") que usan PulseWork como herramienta de gestion humana, PulseWork actua como encargado del tratamiento y el Tenant como responsable. Es decir, el Tenant decide que datos cargar a la plataforma y para que finalidad, y PulseWork los trata por cuenta del Tenant siguiendo sus instrucciones documentadas en los Terminos de Uso.
2. Datos personales que recolectamos
Recolectamos distintas categorias de datos personales segun tu relacion con el Servicio.
2.1 Datos que tu o tu empleador suministran
- Identificacion: nombres, apellidos, tipo y numero de documento, fecha de nacimiento.
- Contacto: correo electronico corporativo, telefono, direccion, ciudad, pais.
- Datos laborales: cargo, area, equipo, lider directo, fecha de ingreso, salario base (cuando aplica).
- Imagen de perfil: fotografia subida por el empleado o por el administrador HR.
- Solicitudes de ausencia: tipo de licencia, fechas, motivos, comentarios.
- Respuestas a encuestas: respuestas a encuestas de pulso (anonimas o identificadas segun configuracion del Tenant).
- Evaluaciones de desempeno: respuestas a evaluaciones 360, retroalimentacion entre pares.
2.2 Datos generados por el uso del Servicio
- Datos de autenticacion: identificador de sesion, tokens JWT, fechas de inicio/cierre de sesion, direccion IP, agente de usuario del navegador.
- Bitacoras tecnicas: registros de operaciones realizadas en la plataforma con fines de auditoria, seguridad y soporte (sin contenido sensible). Identificadores UUID y fechas, mas no datos personales en texto libre.
- Metadatos de archivos: nombre, tamaño, fecha de carga y tipo de archivos subidos (por ejemplo plantillas Excel de onboarding).
2.3 Datos de cuentas de terceros vinculadas (opcional)
Si decides conectar voluntariamente una cuenta de terceros, recolectamos solo los datos necesarios para la funcionalidad correspondiente:
- Google Calendar: direccion de correo de tu cuenta de Google, identificador unico de Google (campo
subdel id_token) y tokens OAuth (access token y refresh token) necesarios para crear, actualizar y eliminar eventos en tu calendario que correspondan a tus solicitudes de ausencia aprobadas en PulseWork. Consulta la Seccion 11 para mas detalle. - Slack: identificador del workspace, token de bot y mapping de tu identificador Slack al de PulseWork, para entregar notificaciones por Slack en lugar (o ademas) de correo.
2.4 Datos que NO recolectamos
- No recolectamos datos de menores de edad de manera directa. Si descubrimos que hemos recibido datos de un menor sin autorizacion de su representante legal, los eliminamos sin demora.
- No usamos cookies de terceros con fines publicitarios. Solo usamos cookies tecnicas estrictamente necesarias para el funcionamiento de la sesion.
- No vendemos datos personales a terceros bajo ninguna circunstancia.
3. Finalidades del tratamiento
Tratamos los datos personales unicamente para las siguientes finalidades:
- Prestacion del Servicio: crear, autenticar y mantener tu cuenta; permitir la gestion de empleados, ausencias, encuestas, evaluaciones y modulos relacionados.
- Notificaciones operativas: enviar correos transaccionales y mensajes Slack relacionados con eventos del Servicio (aprobaciones, recordatorios, invitaciones a encuestas, restablecimiento de contrasena).
- Sincronizacion con Google Calendar: cuando lo autorizas explicitamente, reflejar tus ausencias aprobadas como eventos en tu calendario personal de Google.
- Soporte y atencion al usuario: responder a tus consultas, reportes de errores y solicitudes de soporte.
- Mejoras del producto: analisis agregados y anonimizados de uso del producto para identificar funcionalidades a mejorar (nunca con datos identificables).
- Cumplimiento legal: atender solicitudes de autoridades competentes, requerimientos judiciales y obligaciones tributarias o laborales aplicables.
- Seguridad: detectar y prevenir fraude, accesos no autorizados, abuso del Servicio y vulneraciones de seguridad.
No usaremos tus datos para finalidades distintas a las anteriores sin obtener tu consentimiento previo y expreso, salvo que la ley lo autorice o lo exija.
4. Base legal del tratamiento
El tratamiento se fundamenta, segun el caso, en una o varias de las siguientes bases:
- Consentimiento previo, expreso e informado del titular (por ejemplo, al aceptar esta politica al registrarte o al conectar tu cuenta de Google).
- Ejecucion de un contrato en el que el titular es parte, o gestiones precontractuales a solicitud del titular.
- Cumplimiento de una obligacion legal a cargo del responsable.
- Interes legitimo de PulseWork en operar, asegurar y mejorar el Servicio, cuando dicho interes no prevalezca sobre los derechos del titular.
Para los empleados de Tenants, la base legal principal es la relacion laboral o de prestacion de servicios entre el empleado y el Tenant, complementada con el consentimiento dado al aceptar los terminos del Tenant que usa PulseWork como herramienta interna.
5. Encargados y sub-encargados del tratamiento
Para operar PulseWork nos apoyamos en proveedores de servicios tecnologicos confiables que actuan como encargados o sub-encargados del tratamiento. Cada uno solo accede a los datos estrictamente necesarios para prestar su servicio, bajo acuerdos contractuales que garantizan estandares de seguridad y confidencialidad equivalentes a los nuestros.
| Proveedor | Servicio | Datos tratados | Ubicacion |
|---|---|---|---|
| Supabase | Base de datos PostgreSQL, autenticacion, almacenamiento de archivos | Todos los datos del Servicio | Estados Unidos / Singapur (segun region del Tenant) |
| Amazon Web Services (AWS) | Hospedaje de servidores backend (EC2), gestion de secretos (Parameter Store) | Datos en transito y procesamiento | us-east-2 (Ohio, Estados Unidos) |
| SendGrid (Twilio) | Envio de correos transaccionales | Direccion de correo del destinatario, contenido de la notificacion | Estados Unidos |
| Slack Technologies | Envio de notificaciones por Slack (cuando el Tenant lo configura) | Identificadores Slack, contenido de la notificacion | Estados Unidos |
| Google LLC | Sincronizacion opcional con Google Calendar (cuando el empleado lo autoriza) | Eventos de calendario correspondientes a tus ausencias | Estados Unidos |
La lista vigente de sub-encargados puede ser solicitada en cualquier momento escribiendo a privacy@pulsework.ai.
6. Transferencias internacionales
Algunos de nuestros sub-encargados estan ubicados fuera del pais de residencia del titular (principalmente Estados Unidos). Cuando esto ocurre, garantizamos que las transferencias se realizan bajo clausulas contractuales que protegen los datos personales con un nivel equivalente al exigido por la normatividad colombiana de proteccion de datos (Ley 1581 de 2012 y Decreto 1377 de 2013) y al nivel del Reglamento General de Proteccion de Datos europeo (GDPR), cuando aplique.
7. Tiempo de conservacion
Conservamos los datos personales solo durante el tiempo necesario para cumplir las finalidades para las que fueron recolectados, o segun lo exija la ley aplicable:
- Datos de empleados activos: durante toda la vigencia de la relacion laboral del empleado con el Tenant, mas el periodo necesario para cumplir obligaciones legales (tipicamente hasta 10 anos tras la terminacion del vinculo).
- Solicitudes de ausencia: 5 anos desde la fecha de fin de la solicitud (soporte de nomina y obligaciones laborales).
- Bitacoras tecnicas: 90 dias con detalle, datos agregados por hasta 1 ano.
- Tokens OAuth de Google Calendar: hasta que el empleado desconecte su cuenta o el Tenant termine su suscripcion al Servicio. Se eliminan inmediatamente al desconectar.
- Respuestas a encuestas anonimas: indefinidamente en forma agregada; sin identificador del respondiente.
Si el Tenant termina su contrato con PulseWork, sus datos se conservan por 90 dias adicionales para permitir exportacion antes de su eliminacion definitiva, salvo que la ley exija un plazo distinto.
8. Medidas de seguridad
Aplicamos medidas tecnicas y organizativas razonables para proteger los datos personales contra acceso no autorizado, perdida, alteracion o divulgacion indebida. Algunas de estas medidas incluyen:
- Cifrado en transito: todo el trafico al Servicio viaja sobre TLS 1.2 o superior.
- Cifrado en reposo: la base de datos esta cifrada a nivel de disco. Los tokens OAuth de Google se cifran adicionalmente con AES-256-GCM antes de ser persistidos.
- Row-Level Security (RLS): la base de datos aplica politicas que aislan los datos por empresa cliente (Tenant).
- Autenticacion: los tokens de sesion son JWT firmados (algoritmo ES256). Las contrasenas se almacenan con hash adecuado.
- Control de acceso por roles: PLATFORM_ADMIN, ACCOUNT_ADMIN, HR_ADMIN, LEADER y EMPLOYEE; cada rol solo accede a los datos pertinentes.
- Bitacoras de auditoria: registramos eventos relevantes (logins, cambios de rol, accesos administrativos, suplantacion controlada de usuarios para soporte).
- Sub-encargados certificados: nuestros principales sub-encargados (Supabase, AWS, SendGrid, Slack, Google) cuentan con certificaciones SOC 2 Tipo II, ISO 27001 y equivalentes.
Ninguna medida de seguridad es absoluta. Si llegara a producirse un incidente de seguridad que afecte tus datos personales, te lo notificaremos sin demora indebida y al tiempo informaremos a las autoridades competentes cuando lo exija la ley.
9. Derechos del titular
Como titular de los datos personales tienes derecho a:
- Conocer, actualizar y rectificar tus datos personales.
- Acceder de manera gratuita a tus datos que esten siendo objeto de tratamiento.
- Solicitar prueba de la autorizacion otorgada para el tratamiento de tus datos.
- Ser informado, previa solicitud, sobre el uso que se ha dado a tus datos personales.
- Revocar la autorizacion y/o solicitar la supresion de tus datos cuando no se respeten los principios, derechos y garantias legales.
- Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) en Colombia, o ante la autoridad competente en tu pais de residencia, por infracciones a la normativa de proteccion de datos.
Para ejercer cualquiera de estos derechos, escribe a privacy@pulsework.ai indicando claramente tu solicitud, tu identificacion y los medios para responderte. Atenderemos tu peticion dentro de los plazos legales aplicables (generalmente 10 dias habiles para consultas y 15 dias habiles para reclamos en Colombia).
Si eres empleado de una empresa cliente, te recomendamos primero acudir al area de Talento Humano de tu empleador, ya que ellos son el responsable principal de tus datos en la plataforma. Si no obtienes respuesta satisfactoria, puedes escribirnos directamente.
10. Cookies y tecnologias similares
El Servicio usa unicamente cookies estrictamente necesarias para su funcionamiento:
- Cookies de sesion: mantienen tu sesion activa mientras navegas en la aplicacion.
- Preferencias locales: guardan tu eleccion de tema (claro/oscuro) y de idioma usando
localStorageen tu navegador.
No usamos cookies de seguimiento publicitario, ni cookies de terceros con fines de marketing. No vinculamos tu actividad en PulseWork con otras paginas web o servicios externos.
11. Uso de datos de Google (Google API Services User Data Policy)
Cuando un empleado decide conectar voluntariamente su cuenta de Google a PulseWork para sincronizar ausencias con Google Calendar, solicitamos los siguientes scopes de OAuth:
openidyemail— para identificar la cuenta Google que se esta conectando y mostrar su correo en la pantalla de gestion de la conexion.https://www.googleapis.com/auth/calendar.events— para crear, modificar y eliminar exclusivamente los eventos correspondientes a las ausencias aprobadas en PulseWork. No accedemos al resto de eventos del calendario del empleado.
11.1 Compromiso de Uso Limitado (Limited Use)
El uso que PulseWork hace de la informacion recibida de las APIs de Google se adhiere a la Politica de Datos del Usuario de los Servicios de API de Google, incluyendo los requisitos de Uso Limitado (Limited Use). En particular:
- Usamos los datos de Google unicamente para proveer y mejorar las funcionalidades visibles al usuario, en este caso la sincronizacion de ausencias con Google Calendar.
- No vendemos los datos de Google.
- No transferimos los datos de Google a terceros, salvo: (i) cuando sea necesario para proveer o mejorar funcionalidades visibles al usuario, (ii) por razones de seguridad (por ejemplo, investigar abuso), (iii) por cumplimiento de leyes aplicables, o (iv) como parte de una fusion, adquisicion o venta de activos con notificacion previa a los usuarios.
- No usamos los datos de Google para publicidad de ningun tipo, incluyendo publicidad reorientada o personalizada.
- No permitimos que humanos accedan a los datos de Google, salvo: (i) con tu consentimiento explicito y especifico, (ii) por razones de seguridad (investigar abuso), (iii) por cumplimiento de leyes aplicables, o (iv) cuando los datos hayan sido agregados y anonimizados de manera que ya no puedan vincularse a un usuario individual.
- No usamos los datos de Google para entrenar o mejorar modelos de inteligencia artificial generalizados, modelos de lenguaje (LLMs) ni cualquier modelo de IA externo a las funcionalidades visibles al usuario.
11.2 Como revocar el acceso
Puedes revocar el acceso de PulseWork a tu cuenta de Google en cualquier momento por dos vias:
- Desde la propia aplicacion: ve a tu perfil en app.pulsework.ai y selecciona Desconectar Google Calendar. Esto elimina los tokens OAuth de nuestra base de datos y revoca el refresh token frente a Google.
- Desde tu cuenta Google: visita myaccount.google.com/permissions, selecciona PulseWork y revoca el acceso.
Tras la revocacion, los eventos previamente creados por PulseWork en tu calendario permaneceran alli hasta que tu los elimines manualmente. Las nuevas ausencias dejaran de sincronizarse de inmediato.
12. Cambios a esta politica
Podemos actualizar esta Politica de Privacidad ocasionalmente para reflejar cambios en el Servicio, en la regulacion aplicable o en nuestras practicas de tratamiento. Cuando los cambios sean sustanciales, te lo notificaremos por correo electronico con al menos 15 dias calendario de antelacion a su entrada en vigencia.
La version vigente siempre estara disponible en pulsework.ai/privacidad.html con la fecha de la ultima actualizacion en el encabezado.
13. Contacto
Si tienes preguntas sobre esta Politica de Privacidad, sobre el tratamiento de tus datos o quieres ejercer cualquier derecho como titular:
- Correo electronico: privacy@pulsework.ai
- Sitio web: pulsework.ai
Atenderemos tu solicitud dentro de los plazos legales aplicables.