NordixSystems

Política de privacidad

Cómo Nordix Systems trata los datos personales en la web y los Servicios — responsables, IA, subencargados, transferencias, conservación, tus derechos y nuestro DPO.

Esta es una traducción de cortesía. La versión en inglés es la versión jurídicamente prevaleciente y, en caso de discrepancia, prevalece sobre esta traducción.

1. Introducción

Nordix Systems ("Nordix Systems", "nosotros" o "nuestro") forma parte del grupo NCS (NCS — Nordic Compute System, operado por Easy Drift AS, Noruega) y se compromete a proteger la privacidad y los datos personales de quienes interactúan con nuestra web, plataformas, aplicaciones y Servicios. Esta Política de privacidad explica qué datos recogemos, cómo y por qué los usamos, con quién los compartimos y los derechos que tienes sobre tu información.

Cubre la web nordixsystems.com y los Servicios — incluidos Nordix BIOS, Nordix POS, Nordix Booking, Nordix Loyalty, la app de consumo Nex, los servicios gestionados de ION Consulting (ION Virtual Workers, FinanceFlow) y nuestras herramientas de automatización de marketing — junto con sus API asociadas.

2. Ámbito y nuestro papel

Nordix Systems actúa con distintos roles según los datos y el Servicio:

  • Como responsable del tratamiento, decidimos cómo y por qué se tratan los datos personales para nuestros propios fines — por ejemplo, los datos recogidos a través de esta web, los formularios de contacto y de reserva de demo, las suscripciones a la newsletter, el registro de cuenta, la facturación y la seguridad.
  • Como encargado (o subencargado), tratamos datos personales por cuenta y siguiendo las instrucciones de nuestros clientes empresariales y Socios — por ejemplo, los datos operativos que fluyen por Nordix BIOS, Nordix POS, Booking, los programas de fidelización y los agentes de IA que actúan por cuenta de un cliente. En esos casos, el cliente o Socio es el responsable y es quien debe garantizar la base jurídica del tratamiento y su propio aviso de privacidad a los usuarios finales. Ese tratamiento se rige por nuestro Acuerdo de Tratamiento de Datos (DPA).

Esta Política describe nuestras prácticas como responsable y explica, cuando procede, cómo apoyamos a clientes y Socios cuando actuamos como encargados.

3. Responsable del tratamiento y contacto

El responsable del tratamiento a efectos del Reglamento General de Protección de Datos de la UE (RGPD), el RGPD del Reino Unido, la Ley General de Protección de Datos de Brasil (LGPD) y demás normativa de protección de datos aplicable es:

Nordix Systems, parte de NCS — Nordic Compute System (operado por Easy Drift AS, Noruega). Postal: Nordix Systems, c/o NCS group, Oslo, Noruega (dirección completa a petición).

Para cualquier consulta de privacidad, contacta privacy@nordixsystems.com. Nuestro contacto de Protección de Datos es dpo@ncsengine.com.

4. Qué datos recogemos

Según los Servicios que uses, podemos recoger las siguientes categorías de datos personales:

Información que facilitas directamente:

  • Datos de contacto e identidad (nombre, correo profesional, empresa opcional, cargo, mensaje) enviados a través de formularios, registros o interacciones de venta y soporte, incluida la fecha y hora que eliges al reservar una demo.
  • Información de cuenta y perfil cuando te registras en una plataforma o app.
  • Datos de facturación (empresa, contacto de facturación, identificadores fiscales); los datos de tarjetas e instrumentos financieros los recogen y tratan nuestros procesadores de pago, no se almacenan en su totalidad por nosotros.
  • Comunicaciones y contenido que envías, incluidos mensajes de soporte, solicitudes de demo y comentarios.

Información generada por el uso de los Servicios:

  • Logs del servidor y datos de uso (URL de la petición, dirección IP (truncada), user agent, referrer, código de respuesta, tipo de navegador y dispositivo, páginas y funciones usadas, marcas de tiempo). Los logs del servidor se conservan 30 días por motivos de seguridad y planificación de capacidad.
  • Datos de cuenta, transacción y operativos, como reservas, pedidos, transacciones de TPV y actividad de fidelización (puntos, niveles, ofertas, canjes, historial de visitas) — normalmente tratados por cuenta de un cliente empresarial.
  • Datos de conversación y prompts intercambiados con asistentes y agentes de IA en distintos canales (chat, widget web, correo y, cuando esté habilitado, plataformas de mensajería como WhatsApp, Telegram e Instagram).
  • Datos de llamadas de voz, incluidas grabaciones y transcripciones, cuando uses funciones de voz/telefonía.
  • Datos de cuentas conectadas e integraciones, incluidos tokens de acceso y configuración de los servicios de terceros que autorices (TPV, pagos, publicidad, mensajería, calendarios, gestión de contenido, contabilidad y analítica). Las credenciales se almacenan de forma segura y se muestran enmascaradas.
  • Para el uso B2B2C de los Socios, identificadores de usuario final de los canales de mensajería (como un ID de usuario específico del canal o un número de teléfono) necesarios para enrutar y autorizar interacciones.
  • Datos de desarrollador y de API, incluidas claves de API y metadatos de las solicitudes.
  • Analítica con Plausible — eventos de páginas vistas anónimos, sin cookies y conformes al RGPD: URL, país (geo-IP), referrer, tipo de dispositivo. Sin identificadores personales y sin fingerprinting.
  • Señales antifraude y anti-bot (como la dirección IP y tokens CAPTCHA/anti-bot).

Información de terceros:

  • Datos de contacto profesional de directorios profesionales públicos para captación B2B, y datos de las integraciones y proveedores que conectes.

5. Categorías especiales y datos sensibles

Algunos Servicios pueden ser usados por clientes profesionales para tratar información que podría incluir categorías sensibles (por ejemplo, cuando la operativa de un cliente afecte a datos de salud o de carácter jurídico). En estos casos, Nordix Systems normalmente actúa como encargado por cuenta del cliente, que es responsable de establecer una base jurídica (incluido cualquier consentimiento explícito o base de secreto profesional requerido) y de sus propios avisos a los interesados. Aplicamos salvaguardas técnicas y organizativas reforzadas a tales datos y solo los tratamos para prestar el Servicio. No buscamos recoger datos de categorías especiales a través de nuestra propia actividad de marketing o de la web.

6. Cómo usamos tus datos

Cuando actuamos como responsable, tratamos los datos personales para:

  • Prestación del servicio: proporcionar, operar, proteger y mantener nuestra web, plataformas, modelos de IA, agentes y aplicaciones.
  • Cuentas y facturación: crear y gestionar cuentas, procesar suscripciones y pagos (mediante procesadores) y prevenir el fraude en los pagos.
  • Comunicación: responder a tu consulta, mantener un registro de la solicitud en nuestro pipeline comercial, enviar notificaciones de servicio y transaccionales y prestar soporte. Podemos contactarte por correo hasta dos veces para hacer seguimiento de una consulta.
  • Mejora: analizar el uso para mejorar nuestras plataformas, funciones, modelos y documentación, usando datos agregados o desidentificados cuando sea factible.
  • Seguridad y prevención de abusos: detectar, prevenir y responder a incidentes de seguridad, fraude, abuso y problemas técnicos (rate-limiting, spam, abuso automatizado).
  • Cumplimiento legal: cumplir la legislación, la reglamentación y las solicitudes legítimas aplicables.
  • Marketing: con tu consentimiento o según se permita, enviar información relevante sobre productos y servicios del grupo NCS. Puedes darte de baja en cualquier momento.

Cuando actuamos como encargado, tratamos los datos personales únicamente para prestar los Servicios conforme a las instrucciones documentadas del cliente o Socio y al DPA.

7. Bases jurídicas del tratamiento

Conforme al RGPD, el RGPD del Reino Unido y normas equivalentes (incluida la LGPD), nos basamos en:

  • Necesidad contractual: el tratamiento necesario para prestar los Servicios que has solicitado o contratado.
  • Interés legítimo: mejorar y proteger nuestros Servicios y realizar marketing B2B, siempre que estos intereses no prevalezcan sobre tus derechos fundamentales.
  • Consentimiento: cuando hayas dado un consentimiento claro para actividades específicas (por ejemplo, cierto marketing o el tratamiento de categorías especiales). Puedes retirar el consentimiento en cualquier momento.
  • Obligación legal: cuando el tratamiento sea necesario para cumplir la ley aplicable.

8. IA y tratamiento automatizado

Varios Servicios se basan en inteligencia artificial, incluidos proveedores de modelos de IA de terceros contratados como subencargados.

  • Sin entrenamiento con tus datos sin consentimiento: no usamos los Datos del Cliente para entrenar modelos de IA compartidos o fundacionales, y nuestros subencargados de IA (como OpenAI y Anthropic) se contratan bajo acuerdos que prohíben usar tu contenido para entrenar sus modelos, salvo que des una instrucción o consentimiento expresos.
  • Subencargados de IA: el contenido de conversaciones y prompts puede transmitirse a proveedores de modelos de IA únicamente para generar respuestas y ejecutar las tareas que solicites.
  • Acciones automatizadas de los agentes: cuando los agentes de IA (como Nordix BIOS o ION Virtual Workers) actúan por cuenta de un cliente, dichas acciones siguen la configuración del cliente, con un registro de auditoría disponible. Los clientes son responsables de mantener la supervisión humana de las acciones de alto impacto.
  • Decisiones automatizadas: no usamos los Servicios para tomar decisiones que produzcan efectos jurídicos o significativos similares sobre ti basadas únicamente en tratamiento automatizado sin las garantías adecuadas. Cuando hay elaboración de perfiles (por ejemplo, segmentación de fidelización u ofertas personalizadas), la opera el negocio pertinente o se realiza por su cuenta y está sujeta a tus derechos aplicables.

9. Pagos y datos financieros

Cuando pagas por un Servicio, o cuando los Servicios facilitan pagos en local o de marketplace, los datos de tarjetas e instrumentos financieros los recogen y tratan procesadores de pago externos autorizados y conformes con PCI-DSS (como Stripe, Adyen, MercadoPago y PayPal). Solo recibimos datos de transacción limitados (como una referencia tokenizada, los últimos dígitos de una tarjeta, el contacto de facturación y el estado del pago) necesarios para la facturación, la contabilidad, la prevención del fraude y el soporte. No almacenamos números completos de tarjeta en nuestros sistemas.

10. Cookies y rastreo

Nuestra web usa cookies y tecnologías similares únicamente para:

  • Funciones esenciales: gestión de sesión, seguridad y tokens anti-bot (como CAPTCHA).
  • Analítica: usamos Plausible — analítica respetuosa con la privacidad y sin cookies — para entender cómo interactúan los visitantes con la web.

No usamos cookies de marketing ni publicitarias y no hay rastreo publicitario entre sitios en esta web. No hay banner de consentimiento porque no hay trackers que requieran consentimiento. Puedes gestionar tus preferencias en la configuración del navegador.

11. Compartición de datos, subencargados y transferencias

No vendemos datos personales. Podemos compartir datos con:

  • Proveedores de infraestructura y alojamiento que operan bajo acuerdos de tratamiento de datos.
  • Proveedores de servicios y subencargados que ayudan con analítica, entrega de correo y mensajería, telefonía/SMS, pagos, tratamiento por modelos de IA y soporte al cliente, cada uno obligado por compromisos contractuales de confidencialidad y protección de datos.
  • Servicios de terceros que conectes (TPV, pagos, publicidad, mensajería, calendarios, gestión de contenido y contabilidad), a los que enviamos datos según sea necesario para prestar los Servicios que configures.
  • Filiales del grupo NCS, para operar y dar soporte a los Servicios.
  • Autoridades legales, cuando lo exija la ley, una orden judicial o para establecer, ejercer o defender derechos legales.
  • Transmisiones empresariales, en el marco de una fusión, adquisición o venta de activos, con sujeción a esta política.

Mantenemos una lista actualizada de subencargados — consulta la lista de subencargados. Cuando los datos se transfieren fuera del Espacio Económico Europeo (EEE) o del Reino Unido, garantizamos salvaguardas adecuadas, incluidas decisiones de adecuación de la Comisión Europea o Cláusulas Contractuales Tipo (CCT), junto con medidas suplementarias cuando sea necesario.

12. Conservación de los datos

Conservamos los datos personales solo durante el tiempo necesario para cumplir las finalidades descritas en esta política, salvo que la ley exija o permita un periodo de conservación mayor.

DatoConservación
Envío de formulario almacenado como correo electrónico24 meses desde el envío
Registros de comunicacionesHasta 3 años
Analítica anónima36 meses en agregado
Logs del servidor30 días
Datos de cuentaDuración de la relación comercial más hasta 5 años por motivos legales y de auditoría
Datos operativos y de conversación del tenantSegún se define en tu DPA — normalmente el periodo de suscripción activa más 90 días de retención de backup

Puedes solicitar la supresión en cualquier momento, con sujeción a las obligaciones legales de conservación y, cuando actuamos como encargados, a las instrucciones del cliente responsable.

13. Tus derechos

Conforme al RGPD, el RGPD del Reino Unido, la LGPD y demás normativa de protección de datos aplicable, puedes tener derecho a:

  • Acceder a los datos personales que tengamos sobre ti y obtener una copia.
  • Rectificar datos inexactos o incompletos.
  • Suprimir tus datos ("derecho al olvido") cuando proceda, con sujeción a obligaciones legales de conservación.
  • Limitar u oponerte al tratamiento en determinadas circunstancias, incluida la mercadotecnia directa.
  • Portabilidad de los datos — recibir tus datos en un formato estructurado y legible por máquina.
  • Retirar el consentimiento en cualquier momento cuando el tratamiento se base en él.
  • Presentar una reclamación ante tu autoridad local de protección de datos (España: AEPD; Portugal: CNPD; Brasil: ANPD; Noruega: Datatilsynet; Reino Unido: ICO).

Para ejercer estos derechos, contacta privacy@nordixsystems.com. Responderemos en el plazo exigido por la ley aplicable (generalmente en 30 días). Cuando tratamos tus datos por cuenta de un cliente o Socio (como encargados), remitiremos tu solicitud a ese responsable y le ayudaremos a responder.

14. Medidas de seguridad

Implementamos medidas técnicas y organizativas estándar del sector para proteger tus datos, entre ellas:

  • Cifrado en tránsito (TLS) y en reposo (AES-256).
  • Controles de acceso basados en roles y principio de mínimo privilegio.
  • Aislamiento multi-tenant, registro de auditoría y secretos almacenados en un vault/KMS gestionado.
  • Evaluaciones de seguridad periódicas.
  • Procedimientos de respuesta a incidentes y de notificación de brechas conformes a los artículos 33/34 del RGPD y normas equivalentes.

Comunica cualquier sospecha de incidente de seguridad a security@nordixsystems.com.

15. Dónde los almacenamos

Por defecto, todos los datos se almacenan dentro de la Unión Europea (región de Irlanda o Estocolmo, según el servicio). Para clientes fuera de la UE podemos negociar una residencia distinta. Podemos atender a usuarios en el EEE, el Reino Unido, Noruega, Brasil y otros lugares; para usuarios en Brasil tratamos los datos personales conforme a la LGPD, para usuarios en el Reino Unido conforme al RGPD del Reino Unido, y para usuarios en el EEE y Noruega conforme al RGPD y a la legislación noruega de aplicación.

16. Privacidad de menores

Nuestros Servicios están diseñados para uso empresarial y profesional y no están dirigidos a menores de 16 años (o la edad aplicable en tu jurisdicción). No recogemos a sabiendas datos personales de menores. Si crees que hemos recogido inadvertidamente tales datos, contáctanos para que podamos tomar las medidas oportunas.

17. Enlaces y servicios de terceros

Nuestra web y nuestros Servicios pueden enlazar o integrarse con sitios y servicios de terceros que no controlamos. Esta Política de privacidad no se aplica a esos terceros y no somos responsables de sus prácticas de privacidad. Te animamos a revisar los avisos de privacidad de cualquier servicio de terceros que uses o conectes.

18. Cambios en esta política

Podemos actualizar esta Política de privacidad de vez en cuando para reflejar cambios en nuestras prácticas, Servicios o requisitos legales. Publicaremos la política actualizada con una fecha de entrada en vigor revisada y, cuando los cambios sean sustanciales, daremos aviso adicional a través de los Servicios o por correo; los cambios sustanciales también se anuncian en la cabecera de esta página y van fechados.

19. Contacto

Si tienes preguntas sobre esta Política de privacidad o nuestras prácticas de datos, contacta:

También tienes derecho a presentar una reclamación ante tu autoridad local de protección de datos (por ejemplo, la AEPD española, la CNPD portuguesa, la ANPD brasileña, la Datatilsynet noruega o la ICO del Reino Unido) si crees que tus datos se han tratado infringiendo la ley aplicable.

Esta política se actualizó por última vez el 2026-06-21. Los cambios sustanciales se anuncian en la cabecera de esta página y van fechados.