LicenseGuard for Jira — Política de Privacidad

1. Introducción

En EvolRed ("nosotros", "nuestro") nos comprometemos a proteger la privacidad y la seguridad de todos los usuarios de nuestras aplicaciones del Atlassian Marketplace. Esta Política de Privacidad explica a qué datos personales acceden nuestras aplicaciones, cómo se tratan esos datos, la base jurídica del tratamiento, tus derechos y cómo ponerte en contacto con nosotros.

Esta política se aplica a la aplicación concreta indicada en la parte superior de esta página. La sección Resumen de datos de la aplicación que figura más arriba describe los datos exactos a los que accede esa aplicación. Si buscas una política de privacidad general de la empresa, visita evolred.com/privacy.

2. Quiénes somos

EvolRed actúa como encargado del tratamiento de los datos personales gestionados por nuestras aplicaciones de Atlassian Forge. Atlassian Pty Ltd actúa como responsable del tratamiento de los datos almacenados dentro de la plataforma de Atlassian. El administrador de Atlassian de tu organización determina cómo se utilizan la plataforma y sus aplicaciones.

Para consultas sobre privacidad, escríbenos a: [email protected]

3. Datos a los que accedemos

Los tipos de datos a los que accede esta aplicación se enumeran en la sección Resumen de datos de la aplicación que figura en la parte superior de esta página. En general, nuestras aplicaciones pueden acceder a las siguientes categorías de datos en función de su funcionalidad:

• Metadatos de incidencias de Jira, como las claves de incidencia, los títulos, los estados, los niveles de prioridad, las etiquetas, los puntos de historia y la información de la persona asignada. No accedemos ni almacenamos el contenido completo de las incidencias, salvo que la funcionalidad de la aplicación lo requiera específicamente (según se describe en el Resumen de datos de la aplicación).
• Identificadores de cuenta de usuario, como los ID de cuenta de Atlassian, los nombres mostrados y las direcciones de correo electrónico, utilizados para asociar las acciones a los usuarios, mostrar la información de usuario dentro de la aplicación y verificar las licencias.
• Metadatos de proyectos y tableros, como las claves de proyecto, las configuraciones de tablero y los datos de sprint, utilizados para acotar la funcionalidad de la aplicación al contexto correcto.
• Configuración y preferencias de la aplicación, como los ajustes de reglas, las plantillas o las preferencias de visualización, almacenados en el almacenamiento KV de Forge y acotados al proyecto o usuario correspondiente.

Solicitamos únicamente los permisos mínimos de Forge necesarios para ofrecer la funcionalidad de cada aplicación. Todos los permisos están documentados en el archivo manifest.yml de la aplicación y son revisados por el equipo de seguridad de Atlassian antes de su publicación.

4. Cómo utilizamos tus datos

Los datos a los que acceden nuestras aplicaciones se utilizan exclusivamente para:

• Proporcionar la funcionalidad principal de la aplicación, tal como se describe en su lista de características y documentación
• Almacenar las preferencias y la configuración del usuario para personalizar la experiencia de la aplicación
• Aplicar las licencias comprobando los derechos del usuario actual a través de la API de licencias de Atlassian
• Mantener registros de auditoría cuando proceda (por ejemplo, registros de acciones o historiales de análisis)

Nunca utilizamos tus datos para:

• Fines publicitarios, de marketing o promocionales
• Elaboración de perfiles, análisis de comportamiento o seguimiento de usuarios
• Entrenamiento de modelos de aprendizaje automático o sistemas de IA
• Venta, alquiler o intercambio comercial con terceros
• Cualquier finalidad ajena a la funcionalidad declarada de la aplicación

5. Base jurídica del tratamiento (RGPD)

Si te encuentras en el Espacio Económico Europeo (EEE), el Reino Unido o Suiza, tratamos los datos personales sobre las siguientes bases jurídicas:

• Interés legítimo (artículo 6, apartado 1, letra f, del RGPD): el tratamiento es necesario para proporcionar la funcionalidad de la aplicación que tu organización ha decidido instalar y utilizar. Nuestro interés legítimo consiste en prestar el servicio que ha solicitado tu administrador.
• Ejecución de un contrato (artículo 6, apartado 1, letra b, del RGPD): cuando hayas adquirido una aplicación de pago, el tratamiento es necesario para cumplir nuestras obligaciones en virtud del acuerdo de licencia.
• Consentimiento: no nos basamos en el consentimiento como base jurídica. Si en algún momento introducimos un tratamiento que requiera consentimiento, lo obtendremos de forma expresa antes de proceder.

6. Almacenamiento y ubicación de los datos

Todos los datos tratados por nuestras aplicaciones se almacenan y tratan íntegramente dentro de la infraestructura de Forge de Atlassian. La plataforma Forge se ejecuta sobre infraestructura de AWS gestionada por Atlassian, en las regiones que determine la configuración de tu instancia de Atlassian Cloud.

• No se transmite ningún dato a los servidores de EvolRed. Nuestras aplicaciones no tienen permisos de salida y no pueden comunicarse fuera del entorno aislado (sandbox) de Forge.
• No se utilizan bases de datos ni servicios de almacenamiento externos. Todos los datos persistentes se almacenan en el almacenamiento KV de Forge, acotados a tu instancia de Atlassian Cloud.
• No se almacena ningún dato en caché fuera del entorno de Forge. Cuando se desinstala la aplicación, Atlassian elimina de forma permanente todos los datos asociados del almacenamiento KV de Forge.

Para más información sobre la infraestructura y la residencia de datos de Atlassian, consulta la página de seguridad de Atlassian Cloud.

7. Conservación de los datos

No mantenemos bases de datos, copias de seguridad ni archivos independientes de tus datos. La conservación de los datos se rige íntegramente por la plataforma Forge:

• La configuración y las preferencias se conservan durante toda la vida de la instalación de la aplicación y se eliminan cuando esta se desinstala.
• Los datos calculados o en caché (como las puntuaciones de salud, los informes o los resultados de análisis) se almacenan en el almacenamiento KV de Forge y se eliminan al desinstalar la aplicación.
• Las entradas del registro de auditoría (cuando proceda) se conservan durante toda la vida de la instalación de la aplicación para dar respuesta a los requisitos de cumplimiento.

Tras la desinstalación, Atlassian elimina de forma permanente todos los datos del almacenamiento KV de Forge asociados a la aplicación. EvolRed no conserva ninguna copia.

8. Comunicación de datos y terceros

No vendemos, alquilamos, intercambiamos ni compartimos de ningún otro modo tus datos con terceros.

La única entidad implicada en el tratamiento de datos es Atlassian Pty Ltd, que proporciona la infraestructura de la plataforma Forge. Las prácticas de tratamiento de datos de Atlassian se rigen por:

• Política de Privacidad de Atlassian
• Adenda de Tratamiento de Datos de Atlassian

Cuando una aplicación utiliza las capacidades de IA de Rovo de Atlassian (según se indique en el Resumen de datos de la aplicación), los datos tratados por el agente de IA se gestionan dentro de la infraestructura de IA de Atlassian, conforme a las condiciones de tratamiento de datos de la propia Atlassian.

Nuestras aplicaciones no incluyen ni se integran con:

• Servicios de analítica o telemetría (sin Google Analytics, Mixpanel, Amplitude, etc.)
• Redes publicitarias o píxeles de seguimiento
• Widgets de redes sociales o botones para compartir
• API externas, webhooks o servicios de terceros de ningún tipo

9. Seguridad de los datos

Nuestras aplicaciones se desarrollan con la plataforma Forge de Atlassian, que proporciona controles de seguridad de nivel empresarial:

• Ejecución en entorno aislado: las aplicaciones de Forge se ejecutan en un entorno aislado (sandbox) sin acceso a la red del host, al sistema de archivos ni a otras aplicaciones.
• Sin salida de red por defecto: nuestras aplicaciones no tienen acceso de red saliente. No pueden enviar datos a servidores externos.
• Permisos acotados: cada aplicación solicita únicamente los permisos mínimos necesarios. Los permisos son revisados por el equipo de seguridad de Atlassian durante el proceso de revisión del Marketplace.
• Almacenamiento cifrado: el almacenamiento KV de Forge está cifrado en reposo y en tránsito mediante el cifrado de la infraestructura de Atlassian.
• Sin secretos en el código: no almacenamos claves de API, tokens, contraseñas ni otros secretos en el código de la aplicación ni en los recursos del lado del cliente.

Además, EvolRed sigue prácticas de desarrollo seguro que incluyen el modo estricto de TypeScript, la validación de entradas en cada frontera de resolver, la ausencia de registro de datos personales en producción y auditorías periódicas de dependencias.

10. Tus derechos en virtud del RGPD

Si te encuentras en el EEE, el Reino Unido o Suiza, dispones de los siguientes derechos:

Derecho	Qué significa	Cómo ejercerlo
Acceso	Solicitar una copia de los datos personales que tratamos sobre ti	Escribe a [email protected]
Rectificación	Solicitar la corrección de datos inexactos	Actualiza tus datos en la aplicación o contacta con nosotros
Supresión	Solicitar la eliminación de tus datos personales	Desinstala la aplicación (se eliminan todos los datos de Forge) o escríbenos para una eliminación específica
Limitación del tratamiento	Solicitar que limitemos el tratamiento de tus datos	Escribe a [email protected]
Portabilidad	Recibir tus datos en un formato legible por máquina	Escribe a [email protected]
Oposición	Oponerte al tratamiento basado en el interés legítimo	Escribe a [email protected]
Retirada del consentimiento	Retirar el consentimiento cuando el tratamiento se base en él	No aplicable (no nos basamos en el consentimiento)

Para ejercer tus derechos como interesado en virtud del RGPD (acceso, portabilidad, supresión), utiliza el portal de privacidad de Atlassian en privacy.atlassian.com. Tramitamos todas las solicitudes recibidas a través de la infraestructura automatizada de Atlassian.

Todas nuestras aplicaciones de Forge implementan los hooks de privacidad del RGPD de Atlassian (onPersonalDataRequest y onPersonalDataDelete). Cuando ejerces tu derecho de acceso o supresión a través de las herramientas de portabilidad de datos de Atlassian, nuestras aplicaciones responden automáticamente con los datos correspondientes o los eliminan.

Responderemos a todas las solicitudes de privacidad en un plazo de 30 días. Si necesitamos más tiempo debido a la complejidad de la solicitud, te lo notificaremos en un plazo de 30 días y te explicaremos el motivo del retraso.

11. Tus derechos en virtud de la CCPA/CPRA (California)

Si resides en California, dispones de los siguientes derechos adicionales en virtud de la Ley de Privacidad del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA):

• Derecho a saber: puedes solicitar que te informemos de las categorías y los elementos concretos de información personal que hemos recopilado.
• Derecho a la supresión: puedes solicitar la eliminación de la información personal que tengamos sobre ti.
• Derecho a no consentir la venta: no vendemos información personal. No es necesario optar por la exclusión.
• Derecho a la no discriminación: no te discriminaremos por ejercer tus derechos de privacidad.

Para ejercer cualquiera de estos derechos, escribe a [email protected] con el asunto "CCPA Request".

12. Transferencias internacionales de datos

Nuestras aplicaciones tratan los datos exclusivamente dentro de la infraestructura de Forge de Atlassian. No realizamos transferencias de datos transfronterizas de forma independiente. Cualquier transferencia internacional de datos es gestionada por Atlassian como parte del funcionamiento de su plataforma y está sujeta a la Adenda de Tratamiento de Datos y a las Cláusulas Contractuales Tipo de Atlassian.

13. Cookies y seguimiento

Nuestras aplicaciones de Forge no establecen, leen ni utilizan cookies. No emplean almacenamiento local, almacenamiento de sesión ni ningún mecanismo de seguimiento basado en el navegador. No se utilizan técnicas de huella digital (fingerprinting) ni de identificación de dispositivos.

14. Privacidad de los menores

Nuestras aplicaciones están diseñadas para su uso por empresas y profesionales en un contexto laboral. No recopilamos ni tratamos de forma consciente datos de menores de 16 años. Si crees que se han tratado los datos de un menor a través de alguna de nuestras aplicaciones, contacta con nosotros de inmediato en [email protected] y tomaremos las medidas necesarias para eliminarlos.

15. Notificación de violaciones de seguridad de los datos

En el improbable caso de que se produzca una violación de seguridad que afecte a datos personales tratados por nuestras aplicaciones:

1. Notificaremos a la autoridad de control competente en un plazo de 72 horas desde que tengamos conocimiento de la violación, cuando así lo exija el RGPD
2. Notificaremos a los usuarios afectados sin dilación indebida cuando la violación entrañe probablemente un alto riesgo para sus derechos y libertades
3. Documentaremos la violación, sus efectos y las medidas correctoras adoptadas

Dado que nuestras aplicaciones tratan los datos exclusivamente dentro de la infraestructura de Atlassian, la mayoría de los supuestos de violación recaerían bajo la responsabilidad de notificación de Atlassian. Cooperaremos plenamente con Atlassian en cualquier investigación de violaciones y complementaremos su notificación cuando proceda.

16. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, requisitos legales o funcionalidad de la aplicación. Cuando lo hagamos:

• Se actualizará la fecha de entrada en vigor que se muestra en el Resumen de datos de la aplicación en la parte superior de esta página
• Los cambios sustanciales se reflejarán en el historial de cambios (changelog) de la aplicación
• No reduciremos tus derechos en virtud de esta política sin obtener tu consentimiento expreso

Te recomendamos revisar esta página periódicamente. El uso continuado de la aplicación tras los cambios constituye la aceptación de la política actualizada.

17. Contacto

Para preguntas relacionadas con la privacidad, solicitudes de los interesados o reclamaciones:

Correo electrónico: [email protected]

Nuestro objetivo es responder a todas las consultas sobre privacidad en un plazo de 5 días hábiles y resolver todas las solicitudes de los interesados en un plazo de 30 días.

Si no estás satisfecho con nuestra respuesta, tienes derecho a presentar una reclamación ante tu autoridad de control en materia de protección de datos. En España, dicha autoridad es la Agencia Española de Protección de Datos (AEPD).