Seguridad, privacidad y cumplimiento de Todoist


El objetivo de este artículo es responder todas las preguntas que puedas tener sobre cómo manejamos tu información personal, las medidas de seguridad que tenemos implementadas y nuestro cumplimiento de normativas mundiales como el RGPD.

Consejo rápido

Consulta nuestras exhaustivas Privacy Policy y Security Policy, que explican en detalle las medidas que tomamos para proteger tu información.

Seguridad

La seguridad se refiere a las medidas y los protocolos que aplicamos para proteger tu información de accesos no autorizados, infracciones y otras amenazas. Abarca las medidas técnicas y de procedimiento que aplicamos para garantizar que tu información siga siendo confidencial, integral y accesible.

Restringimos el acceso a datos personales a un número muy reducido de empleados que lo necesitan específicamente para mejorar Todoist y Twist.

Probamos, evaluamos y valoramos regularmente la efectividad de nuestros procesos y tecnología.

Utilizamos cifrado para salvaguardar los datos.

Cuando los datos de usuario se almacenan en servidores y bases de datos, Doist utiliza el cifrado AES 256. Cuando los datos se envían o reciben, se cifran con TLS 1.1 o superior. Las copias de seguridad de los datos en nuestros servidores se cifran con AES256 y se firman con RSA con una longitud de clave de 2048.

Adicionalmente, Todoist crea copias de seguridad automáticas dentro de la aplicación para usuarios Pro y Business todos los días. Tomamos las medidas de seguridad necesarias para garantizar que estén bien protegidas manteniendo un sistema de seguridad que evita el acceso no autorizado.

Dado que el RGPD tiene varios requisitos, tus necesidades de cumplimiento dependerán de tus circunstancias particulares. Si tienes preguntas o necesidades específicas, por favor contáctanos.

Cuando usas Todoist en un plan individual dentro de un espacio de trabajo personal, Doist se considera un Procesador de datos, lo que significa que controlamos cómo se procesa tu información de usuario y somos responsables de que los datos se procesen dentro de los parámetros del RGPD. Al utilizar nuestro servicio, le otorgas a Doist el derecho de compartir tu contenido con otros usuarios autorizados dentro del contexto de nuestras características y funcionalidades de colaboración.

Al compartir tu contenido con otros usuarios de Todoist (incluyendo los espacios de trabajo en equipo o los proyectos compartidos dentro de un espacio de trabajo personal), concedes a cada uno de esos usuarios el derecho a acceder a tu contenido a través de nuestro servicio, y a utilizar, reproducir, distribuir, mostrar, editar, ejecutar e interactuar de cualquier otra forma con dicho contenido. Cuando creas o te unes a un espacio de trabajo de equipo (que en este caso se considera organizacional), aceptas cumplir con las políticas de la organización aplicables y con cualquier acuerdo entre tú y esa organización. Significa que la organización es propietaria de todo el contenido del usuario en el espacio de trabajo respectivo. Todo el contenido del usuario en el espacio de trabajo de la organización se puede compartir con la organización y la organización puede modificarlo, eliminarlo o acceder a él. La organización puede cancelar tu acceso al espacio de trabajo de la organización en cualquier momento y es posible que no puedas acceder a tu contenido en ese espacio de trabajo. Al transferir cualquier contenido al espacio de trabajo de la organización, otorgas a la organización amplios derechos sobre tu contenido de usuario.

Proveemos acceso total a los datos mediante nuestra API, permitiéndote obtener los datos personales que se nos proporcionaron y/o transferirlos a otro controlador. Puedes encontrar nuestra API para Twist y Todoist aquí:

https://developer.todoist.com/sync/v7/#getting-started

https://developer.twistapp.com/v2/

Ten en cuenta que la información de pago y las integraciones no están disponibles a través de nuestra API. En caso de que quieras obtener esta información o si necesitas exportarla, por favor contáctanos.

El contenido de los usuarios, como las tareas y los comentarios, se aloja en nuestros almacenes de datos, los cuales están blindados del tráfico de internet y tienen una política de acceso estricta dentro de nuestra compañía.

El acceso a esta información se audita, requiere varios pasos de autenticación y solo está permitido cuando tiene un propósito válido. En otras palabras, no hay forma de que ningún empleado interno autorizado acceda a él sin que los demás lo sepan. Muy raramente es necesario acceder al contenido del usuario.

Sí, después de un tiempo. El sistema primero marca los registros como eliminados antes de eliminarlos realmente. Las eliminaciones temporales garantizan que las aplicaciones del cliente no puedan acceder al contenido. La eliminación definitiva ocurre más adelante, diferida en el tiempo. El comportamiento del sistema es compatible con nuestros mecanismos de sincronización de varios dispositivos. Los registros marcados como eliminados ayudan a los algoritmos de sincronización a llevar a cabo la resolución de conflictos del estado de datos.

El contenido de los usuarios también se puede encontrar en las copias de seguridad de la base de datos. Existen para garantizar la continuidad de la empresa, en caso de que alguna vez tuviéramos que enfrentar un escenario desastroso de pérdida de datos, un periodo extenso en el que los datos no estuvieran disponibles, o bien, en el caso de corrupción de datos. Todos los datos, incluyendo las copias de seguridad, se mantienen cifrados en reposo. Hasta la fecha, sin embargo, nunca hemos necesitado utilizar copias de seguridad provenientes de las bases de datos.

Las copias de seguridad de la base de datos no permiten el acceso a los datos de cada usuario. En cambio, podemos restaurarlos en una base de datos de acceso en tiempo real, donde se aplican los controles normales de acceso a los datos. Las copias de seguridad se rotan automáticamente y no durarán más de 94 días.

Privacidad

La privacidad se refiere a cómo recopilamos, utilizamos, compartimos y gestionamos tu información personal. Implica garantizar que tus datos personales se utilicen de manera que se respeten tus derechos y expectativas.

Los datos que recopilamos son necesarios para poder proporcionarte nuestros servicios y se utilizan para mejorar Twist y Todoist.

Cuando te registras en Todoist y/o Twist, voluntariamente nos das datos como tu nombre y dirección de email. Puedes consultar y actualizar esta información en cualquier momento desde el menú de Configuración de tu cuenta personal.

Adicionalmente, cuando utilizas nuestros servicios, nos das tu consentimiento para usar la siguiente información:

  • Email
  • Dirección IP
  • ID del dispositivo
  • Nombre y apellido (opcional, no procesados)
  • Función (opcional, no procesada)
  • Número telefónico (opcional, no procesado)
  • ID de IVA (opcional)
  • Dirección de facturación (para cuentas Pro y Business)

Para exportar tus datos personales, por favor contáctanos.

Proveemos acceso total a los datos mediante nuestra API, permitiéndote obtener los datos personales que se nos proporcionaron y/o transferirlos a otro controlador. Puedes encontrar nuestra API para Twist y Todoist aquí:

Ten en cuenta que la información de pago y las integraciones no están disponibles a través de nuestra API. En caso de que quieras obtener esta información, por favor contáctanos.

No, nunca vendemos datos.

Tras eliminar tu cuenta, todos tus datos personales se eliminan de nuestros sistemas de producción. Solo una copia cifrada de tus datos permanecerá en nuestros archivos de respaldo por 90 días. Después de este período, todos los datos asociados a tu cuenta se eliminarán permanentemente. Por favor ten en cuenta que no proporcionamos la copia cifrada de nuestros archivos de respaldo a pedido.

Usamos cookies para recopilar información sobre tus actividades de navegación y para diferenciarte de otros usuarios de Todoist. Esto mejora tu experiencia al usar nuestra aplicación y nos permite mejorar su funcionalidad.

Utilizamos las siguientes cookies:

  • Cookies estrictamente necesarias: necesarias para llevar a cabo funciones de inicio de sesión, autenticación de usuario y seguridad.
  • Cookies funcionales: Cookies funcionales: se utilizan para reconocerte cuando regresas a nuestro sitio web y para personalizar el contenido que te ofrecemos, saludarte por tu nombre y recordar tus preferencias.
  • Cookies analíticas y publicitarias: se utilizan para ayudarnos a comprender cómo los usuarios interactúan con nuestro producto. Usamos un puñado de cookies de terceros: Google Analytics (analiza el tráfico del sitio web y el comportamiento del usuario), Datadog (supervisa el rendimiento web y la experiencia del usuario), Stripe (gestiona pagos y precios/página de actualización), Zendesk (carga de imágenes y soporte o Centro de ayuda), YouTube (muestra videos en las páginas del Centro de ayuda), Cloudinary (carga y optimiza imágenes).

Utilizamos servicios de terceros y socios de hosting que cumplen con el RGPD, como Stripe, AWS y Google Workspace. En estos casos, tomamos las medidas de seguridad necesarias para garantizar que cumplamos con el RGPD al enviar y recibir datos de un tercero. Consulta las políticas de seguridad y privacidad de Todoist y las políticas de seguridad y privacidad de Twist para obtener más información.

Cuando es necesario, utilizamos los siguientes servicios de terceros que cumplen con el RGPD:

  • Amazon Web Services
  • ChartMogul
  • CloudBees Rollout
  • Datadog
  • Dosu
  • Meta (Facebook)
  • Firebase
  • Google Analytics
  • MailChimp
  • Mailgun
  • Microsoft Azure
  • Microsoft Visual Studio App Center
  • PartnerStack
  • ProfitWell
  • Qualaroo
  • RequestMetrics
  • SendGrid
  • Sentry
  • Stripe
  • Zendesk

Sí, lo hacemos. Procesamos datos en Virginia del Norte, Estados Unidos, mediante los Amazon Web Services (AWS). Recopilamos la menor cantidad de datos posible, y todos los datos se encriptan mediante el cifrado AES 256.

Cumplimiento

El cumplimiento se refiere a nuestra adhesión a las leyes, reglamentos y normas que rigen la manera como manejamos tu información. Garantiza que nuestras prácticas se ajusten a los requisitos legales y reglamentarios para proteger tus derechos como usuario/a. El cumplimiento implica demostrar que seguimos estas normas y que podemos responsabilizarnos de mantenerlas.

RGPD

En Doist, cumplimos plenamente desde el 25 de mayo de 2018. El Reglamento general de protección de datos (RGPD) es una regulación que ayuda a los ciudadanos y residentes de la Unión Europea (UE) a proteger su información personal al especificar cómo se pueden recopilar, procesar y almacenar dichos datos.

Por nuestra parte, sí. Por supuesto, si tus clientes se encuentran en un lugar donde rige el RGPD, ellos deben garantizar que su operación comercial cumpla con el RGPD por derecho propio.

Sí, ofrecemos un APD que está prefirmado de parte de Doist. Puedes completarlo con tus datos y firmarlo aquí.

HIPAA y SOC 2

Aunque de momento no hemos obtenido la certificación SOC2 o la HIPAA, nos encantaría saber sobre cualquier certificación de cumplimiento que tú y tu equipo necesiten para adoptar Todoist. ¡Cuéntanos!

Contáctanos

¿Tienes preguntas sin resolver? ¡Contáctanos. Nosotros (Pierre, Marco, Diane o cualquiera de nuestros 14 compañeros/as de equipo) estaremos felices de responderlas.