Política de privacidad

Actualizado: 17 de abril de 2026

1. Responsable a efectos del RGPD

El responsable del tratamiento de datos en este sitio web y dentro de la aplicación SaaS «Temporalis EMS» es:

Representada por el administrador: Raphael J. N. Hettich, M. Sc.

Teléfono: +49 721 619329 0
Correo: info@temporalis.io
Registro Mercantil: Amtsgericht Mannheim, HRB 753583

El desarrollo de la aplicación corre a cargo de la sociedad vinculada Consiliari GmbH (Amtsgericht Mannheim, HRB 727046, misma dirección). Consiliari Software GmbH actúa como contraparte contractual de los clientes y es responsable a efectos del RGPD respecto de todos los tratamientos descritos.

2. Delegado de protección de datos

Nuestro delegado de protección de datos es:

El Sr. Berger desempeña dentro del grupo Consiliari (Consiliari Software GmbH y Consiliari GmbH) exclusivamente la función de delegado de protección de datos. No ejerce funciones de dirección, desarrollo, ventas, administración de TI ni otras funciones operativas de dirección. Con ello queda garantizada la independencia y la ausencia de conflictos de intereses en el sentido del art. 38 ap. 6 RGPD y de las directrices del CEPD WP 243 rev.01.

3. Principios generales

Tratamos los datos personales únicamente en el marco de las disposiciones legales, en particular el Reglamento General de Protección de Datos (RGPD), la Ley Federal alemana de Protección de Datos (BDSG) así como la Ley de protección de datos de telecomunicaciones y servicios digitales (TDDDG). Esta declaración les informa sobre la naturaleza, alcance y finalidad del tratamiento de datos personales al visitar nuestro sitio (temporalis.io) y al utilizar nuestra aplicación SaaS «Temporalis EMS».

Nuestra oferta se dirige a empresarios (§ 14 BGB) y sus empleados a partir de 16 años. No se realiza un tratamiento consciente de datos de menores de 16 años (art. 8 RGPD); tales datos serán suprimidos sin demora en cuanto los identifiquemos.

4. Derechos de los interesados

Conforme al RGPD, ostentan los siguientes derechos frente a nosotros:

• Acceso (art. 15) a los datos almacenados sobre su persona
• Rectificación (art. 16) de datos inexactos
• Supresión (art. 17) («derecho al olvido»)
• Limitación del tratamiento (art. 18)
• Portabilidad de los datos (art. 20) en un formato estructurado y de uso común
• Revocación de los consentimientos otorgados (art. 7 ap. 3) con efectos para el futuro
• Reclamación ante una autoridad de control (art. 77)

Derecho de oposición (art. 21 RGPD): Tienen derecho, por motivos relativos a su situación particular, a oponerse en cualquier momento al tratamiento de datos personales que les conciernan basado en el art. 6 ap. 1 let. f RGPD (intereses legítimos). Si tratamos sus datos con fines de marketing directo, tienen derecho a oponerse en cualquier momento a dicho tratamiento. Tras su oposición no trataremos más sus datos personales, salvo que podamos acreditar motivos legítimos imperiosos que prevalezcan sobre sus intereses, derechos y libertades, o que el tratamiento sirva para la formulación, ejercicio o defensa de pretensiones jurídicas.

Competencia y plazo de respuesta: Respondemos a las solicitudes en el plazo de un mes desde su recepción (art. 12 ap. 3 RGPD). Si su solicitud se refiere a datos tratados en su condición de usuario de un tenant de cliente (es decir, como empleado de un mandante de Consiliari Software GmbH), reenviaremos la solicitud al cliente correspondiente (responsable) en un plazo de 5 días hábiles y se lo comunicaremos.

La autoridad de control en materia de protección de datos competente para nosotros es:

Para ejercer sus derechos basta con un mensaje informal a: dsb@temporalis.io

5. Tratamiento al visitar nuestro sitio (temporalis.io)

5.1 Archivos de registro del servidor

Al acceder a nuestro sitio, nuestro proveedor de hosting recoge automáticamente información que transmite su navegador:

• Dirección IP (almacenada acortada/anonimizada, salvo que sea necesario para la defensa frente a ataques)
• Fecha y hora de acceso
• Volumen de datos transmitidos
• URL referente
• Navegador y sistema operativo utilizados

Base jurídica: art. 6 ap. 1 let. f RGPD (interés legítimo en la estabilidad y seguridad de la oferta web).
Plazo de conservación: 14 días como máximo, después supresión o anonimización.

5.2 Hosting del sitio (Hetzner Online GmbH)

Nuestro sitio se aloja en:

Los servidores están exclusivamente en Alemania (centros de datos de Núremberg/Falkenstein). Con Hetzner existe un contrato de encargo de tratamiento conforme al art. 28 RGPD. Hetzner está certificado conforme a ISO/IEC 27001.

Base jurídica: art. 6 ap. 1 let. f RGPD.

5.3 Cifrado SSL

Por motivos de seguridad y para proteger la transmisión de contenidos confidenciales utilizamos cifrado TLS/SSL (reconocible por el «https://» en la barra de direcciones y por el icono de candado).

5.4 Medición de audiencia con Plausible Analytics

En nuestro sitio utilizamos Plausible Analytics, un servicio de análisis de Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estonia.

Plausible es un servicio de análisis sin cookies, respetuoso con la privacidad. No se establecen cookies, no se almacenan direcciones IP de forma duradera y no se transmiten datos personales a terceros. Los datos se evalúan exclusivamente de forma agregada y anonimizada (visitas a páginas, referente, región geográfica aproximada a nivel de país, tipo de dispositivo). No se realiza ningún reconocimiento de visitantes individuales.

El alojamiento del análisis tiene lugar en servidores dentro de la UE (Alemania/Finlandia).

Base jurídica: art. 6 ap. 1 let. f RGPD (interés legítimo en la evaluación estadística para mejorar la oferta); según nuestra valoración jurídica, no es necesario un consentimiento conforme al § 25 TDDDG, dado que Plausible no almacena ni lee información en el equipo terminal: no se establecen cookies, no se genera identificador permanente del dispositivo y no hay reconocimiento de visitantes individuales entre sesiones. Un eventual hash de salt rotativo diario para el conteo agregado diario no constituye una posibilidad estable de reconocimiento y sirve exclusivamente para la evaluación estadística. El tratamiento es por tanto estrictamente necesario para la prestación del servicio «sitio web» expresamente solicitado por el usuario, en el sentido del § 25 ap. 2 n.º 2 TDDDG. Seguimos así la opinión dominante de las autoridades de control alemanas; la situación jurídica se vigila de forma continua.

Más información: https://plausible.io/data-policy

5.5 Contacto

Cuando se ponen en contacto con nosotros por correo electrónico, formulario de contacto o a través de Microsoft Bookings (véase 5.7), tratamos los datos que faciliten (nombre, dirección de correo, asunto y, en su caso, nombre de la empresa y número de teléfono) para gestionar su solicitud.

Base jurídica: art. 6 ap. 1 let. b RGPD (medidas precontractuales o ejecución de un contrato) o art. 6 ap. 1 let. f RGPD (interés legítimo en una comunicación eficaz).
Plazo de conservación: hasta la resolución completa de la solicitud, más los plazos de conservación legales (en particular § 257 HGB, § 147 AO: máx. 10 años para correspondencia de relevancia mercantil).

5.6 Correos transaccionales / envío de correos

Para el envío de correos transaccionales (confirmación de prueba, facturas, restablecimiento de contraseña, notificaciones del sistema) utilizamos los servicios de un proveedor especializado de correo:

Base jurídica: art. 6 ap. 1 let. b RGPD.
Existe un contrato de encargo de tratamiento conforme al art. 28 RGPD.

5.7 Reserva de citas con Microsoft Bookings

Para la concertación de citas de demo y conversaciones de asesoramiento utilizamos el servicio Microsoft Bookings, que forma parte de nuestro tenant de Microsoft 365.

Proveedor: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublín 18, D18 P521, Irlanda.

Los datos de reserva se almacenan en nuestro entorno de Microsoft 365 (Exchange Online) dentro de la EU Data Boundary. Microsoft implementó completamente la EU Data Boundary para sus servicios cloud en febrero de 2025; el tratamiento de datos de cliente se realiza por tanto exclusivamente en servidores dentro de la Unión Europea.

Al reservar una cita se recogen los siguientes datos: nombre, dirección de correo, momento elegido y datos adicionales voluntarios (p. ej., nombre de empresa, asunto, número de empleados). Antes de finalizar la reserva, deben aceptar de forma activa el tratamiento de datos mediante una casilla correspondiente.

En nuestra página de demo (/demo) la página de reserva está integrada como iframe. Los contenidos y cookies de Microsoft solo se cargan cuando hacéis clic activamente en «Cargar calendario de Bookings» (procedimiento click-to-load). Antes de ese clic no se transmite ningún dato a Microsoft. Tras la carga, Microsoft establece cookies técnicamente necesarias (p. ej., para la sesión y el balanceo de carga); estas cookies se utilizan exclusivamente por Microsoft para la operación del servicio de reserva.

Base jurídica: art. 6 ap. 1 let. b RGPD (medidas precontractuales / preparación del contrato).
Existe un contrato de encargo de tratamiento conforme al art. 28 RGPD en forma del Microsoft Online Services Data Protection Addendum.

Información de protección de datos de Microsoft: https://privacy.microsoft.com/de-de/privacystatement

6. Tratamiento al utilizar la aplicación SaaS «Temporalis EMS»

6.1 Registro y acceso de prueba de 14 días

El uso de nuestra aplicación SaaS requiere la creación de una cuenta. En este proceso recogemos los siguientes datos:

• Nombre, dirección de correo profesional
• Nombre de la empresa
• Contraseña elegida (almacenada como hash, nunca en claro)
• Voluntario: número de teléfono, número de empleados, sector

El acceso de prueba de 14 días se activa sin facilitar tarjeta de crédito y finaliza automáticamente al expirar, salvo que se contrate una suscripción de pago.

Base jurídica: art. 6 ap. 1 let. b RGPD (ejecución de un contrato de uso).

6.2 Uso continuo (datos del tenant)

En el marco del uso, vosotros y, en su caso, vuestros empleados introducís datos en el sistema (p. ej., proyectos, registros horarios, contactos, datos de RR. HH., justificantes). Estos datos se tratan por nuestra parte como encargado del tratamiento por cuenta vuestra (art. 28 RGPD); el responsable sigue siendo el cliente. La base es el contrato de encargo de tratamiento (AVV) celebrado entre vosotros y nosotros, que celebramos por defecto como parte integrante del contrato principal.

Un contrato modelo y las medidas técnicas y organizativas (TOM) correspondientes se ponen a disposición en https://temporalis.io/trust.

6.3 Hosting de la aplicación SaaS

El hosting de la aplicación SaaS se realiza exclusivamente en servidores de Hetzner Online GmbH en Alemania (centros de datos de Núremberg y/o Falkenstein). Los datos de los clientes no salen del EEE. Las copias de seguridad también se almacenan cifradas dentro de Alemania.

6.4 Procesamiento de pagos con Stripe

Para el procesamiento de las suscripciones de pago utilizamos la pasarela de pago:

Al contratar una suscripción de pago, los datos de pago (número de tarjeta, datos SEPA, dirección de facturación, importe) se transmiten directamente a Stripe. Nosotros mismos no almacenamos datos completos de tarjeta de crédito. Stripe trata los datos bajo su propia responsabilidad y conforme al estándar PCI-DSS.

Stripe Payments Europe Ltd. es una sociedad con domicilio en Irlanda; una transmisión a Stripe Inc. (EE. UU.) solo se produce en la medida estrictamente necesaria para la ejecución del pago y sobre la siguiente base jurídica:

• EU-US Data Privacy Framework (decisión de adecuación de la Comisión UE de 10/07/2023); Stripe Inc. está incluida en la Data Privacy Framework List;
• complementariamente, cláusulas contractuales tipo de la UE conforme a la decisión de ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021;
• hemos realizado, conforme a las recomendaciones del CEPD 01/2020 en su versión de 18/06/2021, una Transfer Impact Assessment (TIA) y la hemos asegurado con medidas técnicas y organizativas adicionales (sin transmisión a Stripe de categorías especiales de datos, finalidad limitada al procesamiento de pago, cifrado en tránsito TLS 1.2+). La TIA está disponible en nuestro Trust Center.

Base jurídica: art. 6 ap. 1 let. b RGPD (ejecución del contrato); art. 45 RGPD (DPF) y art. 46 ap. 2 let. c RGPD (CCT) para la transferencia a tercer país.
Más información:https://stripe.com/de/privacy

6.5 Comunicación de soporte

Realizáis las solicitudes de soporte por correo a support@temporalis.io o desde la propia aplicación. No utilizamos ninguna herramienta externa de helpdesk/ticketing; el tratamiento se realiza exclusivamente en nuestros servidores en Hetzner Online GmbH en Alemania y en nuestro sistema interno de correo electrónico.

6.6 Cesión de datos a empresas vinculadas

Consiliari GmbH (Amtsgericht Mannheim, HRB 727046, Brauerstraße 12, 76135 Karlsruhe) desarrolla la aplicación «Temporalis EMS» y presta a Consiliari Software GmbH servicios de desarrollo y mantenimiento. En este marco, Consiliari GmbH puede acceder a niveles técnicos del sistema, p. ej., para corrección de errores y desarrollo.

En la medida en que esto afecte a datos personales de cliente, se realizará exclusivamente en el marco de un contrato de encargo de tratamiento intragrupo (art. 28 RGPD); Consiliari GmbH actúa entonces como subencargada del tratamiento de Consiliari Software GmbH y queda sujeta a los mismos requisitos de seguridad establecidos en el anexo 1 del contrato de encargo. El acceso a datos productivos se asegura adicionalmente mediante un Privileged-Access-Management con autorización just-in-time, limitación temporal y grabación de sesión (más detalles en el anexo 1 del contrato de encargo). Consiliari GmbH figura en el anexo 2 del contrato de encargo como subprocesador (véase § 7 de esta declaración).

6.7 Funciones de asistencia basadas en IA

El servicio incluye funciones de asistencia basadas en IA (p. ej., para el rellenado automático de formularios, sugerencias de filtro, búsqueda en texto completo, traducciones). Estas funciones no toman decisiones con efectos jurídicos en el sentido del art. 22 RGPD ni sustituyen la valoración humana; únicamente preparan entradas que el usuario revisa y aprueba antes de su asunción. No se produce decisión individual totalmente automatizada.

Los proveedores de LLM utilizados se enumeran íntegramente en el anexo 2 del contrato de encargo (sede, ubicación de los datos, mecanismo de transferencia). No se utilizan datos personales de cliente para el entrenamiento de los modelos de IA de los proveedores (opt-out asegurado contractualmente en la tarifa Enterprise de los respectivos proveedores). El cliente puede desactivar las funciones de IA a nivel de tenant.

En la medida en que las funciones de IA estén comprendidas en el AI Act (Reglamento (UE) 2024/1689), cumplimos las obligaciones de transparencia y documentación aplicables; según la valoración actual, las funciones se clasifican mayoritariamente como sistemas de riesgo limitado.

7. Lista de subencargados del tratamiento (subprocesadores)

Los siguientes prestadores tratan datos por encargo nuestro o como terceros responsables (en el procesamiento de pagos):

Una lista actualizada y completa figura en nuestro Trust Center en https://temporalis.io/trust. Informamos a los clientes existentes sobre las modificaciones con un preaviso de 30 días; los clientes disponen de un derecho de oposición con derecho de resolución extraordinaria.

8. Plazo de conservación y supresión

Conservamos los datos personales solo el tiempo necesario para los fines correspondientes o conforme a las obligaciones legales de conservación:

• Logs del servidor: 14 días
• Estadísticas de Plausible: agregadas, sin asociación a personas
• Cuentas de prueba sin conversión: supresión automática 30 días tras finalizar la prueba
• Datos de cliente tras finalizar el contrato: entrega/exportación en 30 días, después supresión definitiva en otros 60 días
• Datos relevantes para facturación: 10 años (§ 147 AO, § 257 HGB)
• Correspondencia contractual: 6 años (§ 257 HGB)
• Documentación de candidatos: 4 meses tras la denegación (plazo de demanda AGG más margen); conservación más larga solo con consentimiento expreso para la inclusión en el pool de talento o en caso de litigio pendiente

9. Sin decisión individual automatizada / elaboración de perfiles

No se produce decisión automatizada con efectos jurídicos o que afecte significativamente de modo similar en el sentido del art. 22 RGPD. En la medida en que utilizamos funciones de asistencia basadas en IA (cf. § 6.7), estas no toman tales decisiones, sino que únicamente preparan contenidos o sugerencias que el usuario evalúa y aprueba.

9a. Protección de datos de los empleados en el módulo RR. HH.

Si un cliente utiliza el módulo RR. HH. del servicio, trata, en su rol de responsable, datos de sus empleados en el sentido del § 26 BDSG o sobre la base de un acuerdo colectivo (§ 26 ap. 4 BDSG). El cliente está obligado a:

• informar a los empleados conforme al art. 13 RGPD,
• obtener los derechos de cogestión laboral (§ 87 ap. 1 n.º 6 BetrVG en caso de control de comportamiento/rendimiento por registro horario), siempre que exista comité de empresa,
• introducir datos sensibles (art. 9 RGPD, p. ej., datos de salud) en el servicio únicamente sobre una base jurídica sólida.

Consiliari Software GmbH apoya al cliente, a petición, en el cumplimiento de estas obligaciones en el marco del contrato de encargo (art. 28 ap. 3 let. e y f RGPD).

9b. Origen de los datos en importaciones de terceros (art. 14 RGPD)

Cuando un cliente carga en el servicio datos de contacto de terceros (p. ej., datos de clientes, proveedores o interesados) procedentes de fuentes externas (importación de CRM, exportaciones de LinkedIn, escaneos de tarjetas de visita), es responsable a efectos del RGPD y cumple por sí mismo las obligaciones de información frente a los afectados conforme al art. 14 RGPD. Consiliari Software GmbH actúa al respecto exclusivamente como encargada del tratamiento.

10. Seguridad

Adoptamos medidas técnicas y organizativas adecuadas para proteger sus datos (entre otras, cifrado TLS en tránsito, copias de seguridad cifradas, controles de acceso need-to-know, autorizaciones basadas en roles, actualizaciones periódicas, autenticación de 2 factores para administradores, test de intrusión externo anual). Encontrarán los detalles en nuestras medidas técnicas y organizativas (TOM) como anexo del contrato de encargo.

11. Modificaciones de esta política

Adaptamos la presente política cuando varía la situación jurídica o nuestros servicios. La versión actualmente en vigor está disponible en esta URL. Sobre modificaciones sustanciales informamos adicionalmente a los clientes activos por correo electrónico.

Contacto para consultas de protección de datos:dsb@temporalis.io