Resumen
Esta página consolida todo lo que Rush Studio hace para cumplir con el Reglamento General de Protección de Datos de la UE (RGPD), el RGPD del Reino Unido y leyes de protección de datos equivalentes en otros lugares. También sirve como nuestro Anexo de Tratamiento de Datos (DPA) estándar — consulta la sección 9 para conocer las condiciones contractuales.
Quién es el responsable y quién el encargado
Según la terminología del RGPD:
- Para los datos de tu propia cuenta (nombre, correo electrónico, facturación) — Rush Studio es el responsable. Nosotros decidimos qué datos recopilar y por qué.
- Para el contenido que introduces en Rush Studio (tus archivos, segmentos, glosarios, MT) — Rush Studio es el encargado. Tú eres el responsable; nosotros actuamos según tus instrucciones.
Esta página cubre ambas relaciones. Las condiciones contractuales de la sección 9 nos rigen como tu encargado del tratamiento.
Base legal
Nos basamos en estas bases del Artículo 6 del RGPD, según la actividad:
- Contrato (art. 6(1)(b)) — prestar el Servicio para ti.
- Interés legítimo (art. 6(1)(f)) — seguridad, prevención de fraude, mejora del producto, marketing a clientes existentes.
- Consentimiento (art. 6(1)(a)) — funciones opcionales, marketing a clientes potenciales.
- Obligación legal (art. 6(1)(c)) — fiscal, auditoría, normativa.
Categorías de datos personales
Rush Studio maneja las siguientes categorías de datos personales:
- Datos de la cuenta — nombre, correo electrónico de trabajo, empresa, cargo, hash de contraseña, preferencias de perfil.
- Datos de autenticación — marcas de tiempo de inicio de sesión, IP, dispositivo, tokens de MFA.
- Contenido del cliente — archivos, segmentos, memoria de traducción, glosarios, comentarios. Puede contener datos personales según lo que subas.
- Datos de uso — uso de funciones, informes de errores, duración de la sesión.
- Datos de facturación — nombre de la empresa, dirección de facturación, número de IVA, método de pago (no almacenamos números de tarjeta completos; lo hace Stripe).
- Datos de soporte — correos electrónicos y tickets que nos envías.
Interesados
Las personas cuyos datos personales podemos tratar incluyen:
- Tu equipo — colegas que invitas a tu espacio de trabajo.
- Tus revisores y traductores — autónomos o agencias a los que asignas trabajo.
- Personas nombradas en tu contenido — cualquiera mencionado en los archivos que subes (empleados, clientes, terceros).
Si subes contenido que contiene datos personales, tú eres responsable de asegurar que dispones de una base legal para compartirlos con nosotros. Los tratamos según tus instrucciones, conforme al DPA.
Subencargados
Utilizamos los siguientes subencargados para prestar el Servicio. Tenemos un acuerdo de tratamiento de datos por escrito con cada uno. Damos un aviso de 30 días antes de añadir o reemplazar cualquiera de ellos; puedes oponerte a través de privacy@rush-studio.com.
En cuanto a los subencargados de IA en concreto: enviamos el segmento que se está procesando y el contexto limitado que la tarea necesita — segmentos contiguos para dar continuidad, tus términos de glosario y tus ajustes de voz de marca / tono. Nunca enviamos datos de cuenta, facturación o autenticación. Las solicitudes a OpenAI se envían con el almacenamiento desactivado (store: false) para que no se conserven con fines de entrenamiento o evaluación de modelos; los clientes de nuestro plan Scale pueden solicitar además un acuerdo de Retención Cero de Datos a nivel de cuenta. DeepL y Google tratan el contenido bajo sus condiciones comerciales estándar sin entrenamiento.
Transferencias internacionales
El almacenamiento principal de datos permanece en la Unión Europea. Algunos subencargados (en particular proveedores de IA con sede en EE. UU. y nuestro servicio de envío de correos) implican transferir datos personales fuera de la UE/RU.
Para estas transferencias nos basamos en:
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, con las revisiones de 2021.
- Anexo de Transferencia Internacional de Datos del Reino Unido para datos de origen británico.
- Marco de Privacidad de Datos UE-EE. UU. para subencargados certificados bajo él (actualmente AWS, OpenAI, Google).
Las evaluaciones de impacto de las transferencias están disponibles bajo acuerdo de confidencialidad — escribe a privacy@rush-studio.com.
Derechos de los interesados
Conforme al RGPD, las personas tienen derecho a acceder, rectificar, suprimir, limitar, portar y oponerse al tratamiento de sus datos personales, además del derecho a retirar el consentimiento y a presentar una reclamación ante una autoridad de control.
Si eres nuestro cliente directo: la mayoría de los derechos se pueden ejercer desde los ajustes de tu cuenta. Para cualquier otra cosa, escribe a privacy@rush-studio.com; respondemos en un plazo de 30 días.
Si no eres cliente nuestro pero tus datos están en el espacio de trabajo de un cliente: dirigiremos tu solicitud al cliente correspondiente (el responsable). Se aplicará su política de privacidad.
Anexo de Tratamiento de Datos (DPA)
Esta sección es nuestro DPA estándar, que forma parte de tus Términos del servicio cuando usas Rush Studio con datos personales.
9.1 Alcance. Actuamos como encargado en tu nombre respecto al contenido de cliente que subes al Servicio. Tratamos ese contenido únicamente según tus instrucciones documentadas, tal como se establece en estos Términos y en la documentación del Servicio.
9.2 Confidencialidad. Nos aseguramos de que el personal autorizado a tratar tus datos esté sujeto a obligaciones de confidencialidad.
9.3 Seguridad. Implementamos las medidas técnicas y organizativas descritas en la sección 11, que consideramos adecuadas al riesgo.
9.4 Subencargados. Nos otorgas una autorización general para contratar subencargados. La lista actual está en la sección 6. Daremos un aviso de 30 días antes de realizar cambios e impondremos obligaciones equivalentes a cada subencargado.
9.5 Solicitudes de los interesados. Te ayudaremos a responder a las solicitudes de los interesados, teniendo en cuenta la naturaleza del tratamiento. Te reenviaremos cualquier solicitud que recibamos directamente y que se refiera a tu contenido.
9.6 Incidentes. Te notificaremos una violación de datos personales sin dilación indebida y, en todo caso, dentro de las 72 horas siguientes a tener conocimiento de ella. Consulta la sección 10.
9.7 Auditorías. Una vez al año, podrás auditar nuestro cumplimiento de este DPA, con un aviso razonable y sujeto a confidencialidad. Los informes SOC 2 y similares se aceptan en lugar de una auditoría in situ en la mayoría de los casos.
9.8 Devolución / eliminación. Al finalizar, eliminaremos o devolveremos tu contenido de cliente en un plazo de 30 días, sujeto a la retención exigida por la ley.
9.9 Transferencias internacionales. Cuando se produzcan transferencias fuera del EEE, se aplican las CCT de la Decisión de Ejecución 2021/914 de la Comisión de la UE, con los módulos y opciones indicados en el anexo de nuestro DPA estándar. Solicita el anexo para obtener la copia formal.
Respuesta a incidentes
Si un incidente de seguridad afecta a tus datos, notificamos a los clientes afectados sin dilación indebida y, en todo caso, dentro de las 72 horas siguientes a tener conocimiento de ello. La notificación incluye:
- La naturaleza del incidente y las categorías de datos afectadas.
- El número aproximado de interesados afectados.
- Las probables consecuencias.
- Las medidas que hemos tomado o proponemos para mitigarlo.
- El contacto en Rush Studio al que puedes hacer preguntas de seguimiento.
Los incidentes graves también se divulgan públicamente en nuestra página de estado en un plazo de 24 horas.
Medidas de seguridad
Nuestras medidas técnicas y organizativas incluyen (de forma no exhaustiva):
- Cifrado TLS 1.3 en tránsito; AES-256 en reposo.
- Control de acceso basado en roles con valores predeterminados de mínimo privilegio.
- MFA obligatorio para todo acceso a producción.
- Registro de auditoría centralizado, conservado durante 13 meses.
- Prueba de penetración anual por un proveedor externo (último informe disponible bajo acuerdo de confidencialidad).
- Certificación SOC 2 Type II, ISO 27001 en proceso.
- Copias de seguridad cifradas diarias con replicación entre regiones, recuperación a un punto en el tiempo de 30 días.
- Simulacros trimestrales de recuperación ante desastres.
- Formación en seguridad para todos los empleados al contratarlos y anualmente.
Delegado de Protección de Datos
Rush Studio ha designado un Delegado de Protección de Datos (DPD) según lo exige el Artículo 37 del RGPD (tratamos datos personales a gran escala y, por tanto, estamos obligados a designar uno).
DPD: Pedro Almeida
Correo electrónico: privacy@rush-studio.com
Dirección postal: Rush Studio Ltd., 12 Hatton Garden, London EC1N 8AT, UK
Nuestro representante en la UE según el Artículo 27 del RGPD está designado en Berlín y es contactable a través del mismo correo del DPD.
Si algo aquí no está claro, díganoslo — lo reescribiremos en la próxima revisión.
