Política de Privacidad

Última actualización: 16 de mayo de 2026

1. Nuestro compromiso con tu privacidad

En talyzr entendemos que los datos de Recursos Humanos son la información más sensible de tu organización. Diseñamos nuestra plataforma de People Intelligence con la privacidad como fundamento (Privacy by Design), en cumplimiento de la Ley N.° 19.628 y la Ley 21.719 de Chile, la LGPD de Brasil y el GDPR de la Unión Europea cuando aplica. El Sistema de Gestión de Seguridad de la Información (SGSI) de talyzr — 16 políticas formales SEC-001 a SEC-015 ratificadas por la dirección el 2026-05-15 — está alineado con ISO/IEC 27001:2022.

2. Qué información recopilamos

Recopilamos datos personales de los colaboradores de tu organización, ingresados directamente en la plataforma o importados desde tus sistemas HRIS (Buk, Talana, SAP SuccessFactors, Workday, Rankmi). Las categorías de datos que podemos procesar incluyen:

Datos identificativos: nombre, correo electrónico, cargo, área, nivel jerárquico, fecha de ingreso.
Datos laborales: historial de desempeño, antigüedad, asignaciones de sucesión, evaluaciones de skills.
Datos de riesgo de talento: factores configurados por el cliente (señales de flight risk, proximidad a retiro, brechas de cobertura) para el cálculo del Talent Risk Index.
Datos de cuenta: nombre, correo electrónico y configuración de los usuarios administradores de la plataforma.

El cliente actúa como controlador de datos y es responsable de contar con las bases legales necesarias para procesar los datos de sus colaboradores. talyzr actúa como encargado de tratamiento (procesador) según las instrucciones del cliente, formalizadas en el Acuerdo de Procesamiento de Datos (DPA).

3. Subprocesadores

Para prestar el servicio, talyzr trabaja con 11 subprocesadores externos, todos sujetos a contratos de protección de datos (DPA) y, cuando aplica, a cláusulas contractuales tipo (SCCs) para transferencias internacionales. La infraestructura principal de cómputo y base de datos opera en AWS región sa-east-1 (São Paulo, Brasil) — los datos del cliente residen en Brasil por defecto.

Ver la lista completa de subprocesadores →

Nota sobre el uso de IA generativa: Cuando la plataforma genera recomendaciones de acciones o perfiles de skills, envía contexto estructurado (datos de rol, área, industria y gap de sucesión) a la API de Anthropic. Antes del envío, un módulo de guardrails (PII redaction + detección de prompt injection) limpia el contenido. Anthropic confirma contractualmente que los datos enviados no se usan para entrenar modelos y son procesados de forma efímera, sin persistencia.

Cualquier alta o baja de subprocesador se notifica a los clientes con al menos 30 días de antelación. Consultas sobre subprocesadores: privacy@talyzr.com.

4. Datos que NO procesamos

talyzr deliberadamente no recolecta ni almacena las siguientes categorías de datos. Si el cliente intenta importarlos, el comportamiento esperado del sistema es rechazar la importación con un error claro:

Datos biométricos (huellas digitales, reconocimiento facial, escaneo de iris).
Datos de salud (información médica, condiciones psiquiátricas, registros clínicos).
Datos sensibles de identidad (orientación sexual, religión, origen étnico, afiliación política o sindical).
Datos genéticos.
Datos de menores de edad sin consentimiento parental verificable. El producto está diseñado para gestión de colaboradores adultos.

5. Cómo protegemos tus datos

Cifrado en tránsito: TLS 1.3 (fallback TLS 1.2) para todas las comunicaciones. HSTS preload-ready con max-age de 2 años.
Cifrado en reposo: AES-256-GCM para PII a nivel campo (email del colaborador, RUT, secretos TOTP, tokens HRIS). AES-256 a nivel de almacenamiento para todo lo demás.
Autenticación robusta: JWT (15 min) + refresh tokens opacos con detección de reutilización. 2FA TOTP obligatorio para personal interno; activable como política por empresa cliente. Brute-force protection (5 intentos → lockout 15 min). Verificación de contraseñas contra Have I Been Pwned.
Aislamiento multi-tenant: RBAC en aplicación + Row-Level Security (RLS) a nivel PostgreSQL en todas las tablas con datos por tenant. companyId siempre del JWT validado, nunca del cuerpo de la solicitud.
Audit log inmutable: registro de todas las acciones administrativas con autor, timestamp y diff before/after. Retención 5 años.
AI guardrails: antes de cada llamada a un modelo de lenguaje, los inputs pasan por redacción de PII (email, RUT, teléfono, salario) y detección de patrones de prompt injection (18 reglas).
SDLC seguro: SAST (Semgrep + reglas OWASP Top 10), dependency scanning (audit-ci) y secret scanning bloquean el merge ante hallazgos HIGH/CRITICAL. Branch protection en GitHub con code review obligatorio.

6. Retención de datos

Los datos del cliente se retienen durante la vigencia del contrato. Tras la cancelación o vencimiento del plan, los datos permanecen disponibles para exportación por un período de <strong>90 días</strong>, transcurridos los cuales son anonimizados y eliminados de los sistemas de producción. Las copias de respaldo se purgan dentro del ciclo automático del proveedor de base de datos. Los datos sujetos a obligaciones legales de retención (facturación electrónica DTE Chile — 6 años por requisito SII; audit logs — 5 años) se conservan en el plazo mínimo legal y luego se eliminan.

7. Tus derechos

Conforme a la Ley N.° 19.628 y la Ley 21.719 de Chile, la LGPD de Brasil y el GDPR de la Unión Europea, tienes los siguientes derechos respecto a los datos personales tratados en la plataforma:

Acceso: solicitar información sobre qué datos personales están siendo tratados.
Rectificación: corregir datos inexactos o incompletos.
Eliminación (derecho al olvido): solicitar la supresión física de registros con cascada y audit trail inmutable.
Portabilidad: exportar los datos en formato ZIP con JSON estructurado.
Oposición / restricción del tratamiento: oponerse a usos específicos de los datos o restringir su procesamiento.
Revocación del consentimiento: para datos tratados sobre la base de consentimiento (por ejemplo, leads capturados en la landing), revocar en cualquier momento.

Las solicitudes deben remitirse a privacy@talyzr.com. Plazo máximo de respuesta: 30 días desde la solicitud verificada (objetivo interno: 15 días hábiles).

8. Modificaciones a esta política

talyzr puede actualizar esta política periódicamente. Cuando los cambios sean materiales, se notificará a los clientes con al menos 15 días de anticipación por correo electrónico. El uso continuado de la plataforma tras la fecha de vigencia constituye aceptación de la política actualizada.

9. Recursos disponibles

Documentación pública y entregables bajo NDA para due-diligence de seguridad:

Trust Center — vista pública de los 27 controles de seguridad y privacidad implementados.
Lista de subprocesadores — tabla pública actualizada con ubicación, servicio y mecanismo legal de transferencia.
Acuerdo de Procesamiento de Datos (DPA) — DPA estándar listo para firma bilateral, incluye SCCs UE/UK para transferencias internacionales.

Bajo NDA: CAIQ Lite (Cloud Security Alliance) y SIG Lite (Shared Assessments) pre-rellenados, evidencia de controles técnicos y reportes de auditoría a medida que se obtengan. Solicitar a privacy@talyzr.com.

Consultas sobre privacidad: privacy@talyzr.com · Reporte de vulnerabilidades: security@talyzr.com