Política de Privacidad
Cómo OORT Labs recopila, utiliza, almacena, comparte y protege los datos personales en el contexto del producto OORT Flows.
Este documento es un modelo técnico que refleja las prácticas actuales de tratamiento de datos del producto. No sustituye la revisión jurídica. Antes de publicarlo, sométalo al departamento legal y al Delegado de Protección de Datos (DPO) de OORT Labs para su adecuación a la LGPD (Ley 13.709/2018), GDPR (Reglamento 2016/679), CCPA y demás normas aplicables.
1.Introducción
Esta Política de Privacidad describe cómo OORT Labs ("OORT", "nosotros") recopila, utiliza, almacena, comparte y protege los datos personales en el contexto del producto OORT Flows ("Servicio", "Plataforma").
Esta Política debe leerse junto con los Términos de Uso y con la Política de Privacidad de OORT Hub, responsable de la identidad y autenticación de los usuarios.
2.Responsable y Delegado (DPO)
- Responsable: OORT Labs, [CNPJ 00.000.000/0001-00], con sede en [dirección completa].
- Delegado de Protección de Datos (DPO): [Nombre] — [dpo@oortlabs.com].
Para usuarios europeos, el representante en la Unión Europea es: [nombre y dirección del representante, si aplica].
3.Roles en el Tratamiento
OORT Flows actúa en roles distintos según la naturaleza del dato:
| Escenario | Rol de OORT | Rol del Usuario/Organización |
|---|---|---|
| Datos de cuenta recibidos de OORT Hub (identificadores, correo, rol) | Corresponsable con OORT Hub | Titular |
| Contenido del Usuario procesado por los flujos (archivos, documentos, datos de integraciones de terceros, datos personales de clientes de la Organización) | Encargado (data processor) | Responsable |
| Registros operativos y métricas de uso | Responsable | Titular |
Cuando OORT actúa como Encargado, el tratamiento se realiza estrictamente conforme a las instrucciones de la Organización, registradas mediante la configuración de los flujos.
4.Datos Recopilados
4.1.Datos Recibidos de OORT Hub
OORT Flows no crea cuentas propias. Los siguientes datos llegan mediante JWT emitido por el Hub:
user_id— identificador del usuariotenant_id— identificador del tenantemail— dirección de correo electrónicorole— rol del usuario en el tenant (ej.:tenant_admin)product_access— lista de productos a los que el usuario tiene accesojti,exp,iat— claims estándar de JWT
4.2.Datos Proporcionados por el Usuario
Al utilizar la Plataforma, el Usuario puede proporcionar:
- Definiciones de flujos: nombre, descripción, nodos, conexiones, parámetros;
- Credenciales de integraciones: tokens OAuth (Google, Microsoft, Slack, Jira, Zendesk, DocuSign, Notion, etc.), almacenados cifrados en reposo con Fernet/AES;
- Archivos enviados: PDFs, hojas de cálculo, imágenes y otros archivos cargados como entradas de flujos;
- Mensajes intercambiados con agentes de IA (Ortis, Flow Builder, agentes especializados);
- Preferencias del usuario (tema, idioma, configuraciones de UI);
- Configuraciones del tenant: límites de crédito, políticas internas.
4.3.Datos Generados por el Servicio
- Registros de ejecución de flujos: entradas, salidas intermedias, marcas de tiempo, duración, estado;
- Registros de auditoría (MongoDB `audit_events`): acción, tenant, actor, resultado, IP, marca de tiempo — eventos como inicio/cierre de sesión, conexión/desconexión de integraciones, cambios de configuración, fallos de autenticación;
- Métricas de uso y facturación: créditos consumidos, llamadas a proveedores de IA, llamadas a integraciones de terceros;
- Datos técnicos: dirección IP, user-agent, identificadores de sesión (cookie
oort_flows_session), telemetría de rendimiento (vía Logfire).
4.4.Datos Procesados a través de Flujos
Cuando el Usuario configura flujos, datos personales de terceros (clientes, leads, empleados del Usuario) pueden circular por el Servicio. En estos casos, OORT actúa como Encargado, y el Usuario/Organización es el Responsable.
5.Finalidades y Bases Legales
El tratamiento se realiza con las siguientes finalidades y bases legales (LGPD art. 7 / GDPR art. 6):
| Finalidad | Base Legal |
|---|---|
| Autenticar el acceso y aplicar control de permisos | Ejecución de contrato (LGPD VII / GDPR 6(1)(b)) |
| Ejecutar flujos configurados por el Usuario | Ejecución de contrato |
| Almacenar credenciales de integraciones de forma segura | Ejecución de contrato |
| Enviar datos a proveedores de IA para procesamiento | Ejecución de contrato |
| Generar registros de auditoría de seguridad | Obligación legal / Interés legítimo (seguridad) |
| Aplicar límites de tasa y prevenir abuso | Interés legítimo (integridad del Servicio) |
| Realizar facturación y gestión financiera | Ejecución de contrato / Obligación legal (fiscal) |
| Comunicaciones operativas y de soporte | Ejecución de contrato |
| Mejorar el Servicio (métricas agregadas, sin reidentificación) | Interés legítimo |
| Atender requisiciones legales y defensa en procesos | Obligación legal / Ejercicio regular de derechos |
OORT Flows no utiliza el Contenido del Usuario para entrenar sus propios modelos de IA.
6.Compartición con Terceros
Los datos pueden compartirse con las siguientes categorías de terceros, estrictamente para las finalidades anteriores:
6.1.Proveedores de IA
Los datos que circulan por nodos de IA se envían al proveedor seleccionado por el Usuario, entre:
| Proveedor | Finalidad |
|---|---|
| OpenAI | Inferencia de LLM |
| Anthropic | Inferencia de LLM |
| Google Gemini | Inferencia de LLM y embeddings |
| AWS Bedrock | Inferencia de LLM gestionada |
| Cohere | Inferencia y embeddings |
| Groq | Inferencia de LLM acelerada |
Cada proveedor cuenta con su propia política de retención y uso. El Usuario debe consultarlas y seleccionar proveedores compatibles con su política interna.
6.2.Servicios Integrados por el Usuario
Cuando el Usuario conecta una integración (Google Workspace, Slack, Jira, Zendesk, Microsoft Dynamics, Microsoft Teams, DocuSign, Notion, entre otras), los datos relevantes se transmiten al servicio correspondiente según los alcances OAuth concedidos.
6.3.Infraestructura en la Nube
- AWS S3 — almacenamiento de archivos;
- Microsoft Azure — infraestructura de alojamiento (según documentación operativa);
- MongoDB Atlas / Postgres gestionado / Redis — bases de datos operativas (según el entorno);
- Logfire (Pydantic) — observabilidad y telemetría.
Estos proveedores actúan como sub-encargados, vinculados por contratos de tratamiento de datos (DPA) y cláusulas contractuales compatibles con LGPD/GDPR.
6.4.OORT Hub
OORT Hub recibe y emite datos de identidad y permisos (JWT). Las políticas del Hub se aplican como complemento a esta Política.
6.5.Autoridades Competentes
Podremos divulgar datos cuando lo exija una orden judicial, requerimiento de autoridad competente o para el ejercicio regular de derechos en procesos.
6.6.Operaciones Societarias
En caso de fusión, adquisición, reorganización o venta de activos, los datos podrán transferirse al sucesor, manteniendo una protección equivalente a la de esta Política.
No vendemos datos personales.
7.Transferencias Internacionales
OORT Flows puede transferir datos fuera de Brasil y del Espacio Económico Europeo, especialmente para:
- Ejecución en proveedores de IA ubicados en EE. UU. y otros países;
- Almacenamiento en infraestructura de nube global.
Las transferencias siguen las salvaguardas previstas por la LGPD (art. 33) y el GDPR (Capítulo V), incluyendo Cláusulas Contractuales Estándar (SCC), países con decisión de adecuación o garantías específicas acordadas con el sub-encargado.
8.Retención
| Categoría | Período |
|---|---|
| Credenciales de integración (cifradas) | Mientras la integración esté activa; hasta 30 días tras la revocación |
| Datos de flujos y configuraciones | Mientras el tenant esté activo |
| Archivos cargados por el Usuario | Según configuración del tenant; por defecto hasta eliminación explícita |
| Registros de ejecución | Hasta [90] días, salvo configuración específica |
| Registros de auditoría de seguridad | Hasta [12] meses, o más si lo exige la ley |
| Datos de facturación y fiscales | Por el plazo legal aplicable (mínimo 5 años, LGPD art. 16 / legislación fiscal) |
| Datos tras el cierre de la cuenta | Eliminación o anonimización en hasta 90 días, salvo obligaciones legales |
El Usuario puede solicitar eliminación anticipada, respetando las bases legales que exijan retención.
9.Seguridad
OORT Flows adopta controles técnicos y organizativos compatibles con CASA Tier 2 / OWASP ASVS Nivel 2, incluyendo:
- Cifrado en tránsito: TLS 1.2+ en toda la comunicación;
- Cifrado en reposo: credenciales de integración cifradas con Fernet (AES-128-CBC + HMAC-SHA256), con claves gestionadas vía
TOKEN_ENCRYPTION_KEYSy rotación soportada; - Cookies:
HttpOnly,Secure,SameSite=Lax; - Validación de JWT local vía
oort-shared(HS256), sin dependencia de llamada remota al Hub por cada petición; - Aislamiento multi-tenant: toda consulta incluye
WHERE tenant_id = :tid, con pruebas automatizadas detenant_isolationcomo gate de despliegue; - Control de acceso basado en roles (ej.:
tenant_adminpara cambios de configuración); - Protección contra fuerza bruta (5 fallos → bloqueo de 15 minutos), mitigación de timing attacks con dummy password hash;
- Validación de cargas por magic bytes (vía
python-magic), no solo Content-Type; - Cabeceras de seguridad: HSTS, X-Content-Type-Options, X-Frame-Options, CSP, Referrer-Policy, Permissions-Policy, Cache-Control
no-storeen rutas sensibles; - Enmascaramiento de PII en logs;
- Análisis estático con Bandit y Ruff en cada commit;
- Rate limiting por tenant/usuario, escalado por tipo de operación;
- Auditoría de eventos sensibles en MongoDB (
audit_events).
Ningún sistema es 100% inmune. En caso de incidente de seguridad con riesgo o daño relevante a titulares, OORT notificará a la ANPD y, cuando sea exigido, a los titulares afectados, conforme a la LGPD art. 48 y al GDPR arts. 33–34.
10.Cookies
OORT Flows utiliza cookies estrictamente necesarias para la operación:
| Cookie | Finalidad | Atributos |
|---|---|---|
oort_flows_session | Sesión autenticada (JWT emitido por el Hub) | HttpOnly, Secure, SameSite=Lax |
Cookie de state OAuth | Protección CSRF durante el flujo OAuth | HttpOnly, Secure, short-lived |
No utilizamos cookies de seguimiento publicitario en el producto.
11.Derechos de los Titulares
Conforme a la LGPD (art. 18) y al GDPR (arts. 15 a 22), usted puede ejercer:
- Confirmación de la existencia de tratamiento;
- Acceso a sus datos;
- Corrección de datos incompletos, inexactos o desactualizados;
- Anonimización, bloqueo o eliminación de datos innecesarios o tratados en desconformidad;
- Portabilidad de los datos;
- Eliminación de los datos tratados con base en el consentimiento;
- Información sobre entidades públicas y privadas con las que compartimos datos;
- Información sobre la posibilidad de no otorgar consentimiento y sus consecuencias;
- Revocación del consentimiento;
- Oposición al tratamiento realizado con base en interés legítimo;
- Revisión de decisiones automatizadas que afecten sus intereses (LGPD art. 20 / GDPR art. 22).
Cómo ejercer
- Envíe solicitud a [dpo@oortlabs.com];
- Para titulares cuyos datos hayan sido enviados por una Organización (actuando como Responsable), OORT remitirá la solicitud a la Organización o la atenderá según el contrato.
Responderemos en hasta 15 (quince) días (LGPD) o 1 (un) mes (GDPR), prorrogables conforme a la ley.
También puede presentar reclamación ante la Autoridad Nacional de Protección de Datos (ANPD), la autoridad de control de su país (UE) u otra autoridad competente.
12.Menores
OORT Flows no está destinado a menores de 18 años y no está diseñado para tratar datos de niños y adolescentes. Si identificamos tratamiento inadvertido de datos de menores, procederemos a su eliminación, salvo obligación legal en contrario.
13.Decisiones Automatizadas e IA
Las funcionalidades de IA pueden sugerir o ejecutar acciones de forma automatizada. Recomendamos encarecidamente mantener supervisión humana en decisiones que produzcan efectos jurídicos o relevantes sobre terceros.
Los titulares tienen derecho a solicitar revisión humana de decisiones automatizadas, conforme a la LGPD art. 20 y el GDPR art. 22.
14.Cambios en esta Política
Podremos actualizar esta Política periódicamente. Los cambios materiales se comunicarán vía Plataforma, correo electrónico u OORT Hub. La fecha de la última actualización consta en la parte superior de este documento.
El historial de versiones puede consultarse en [dirección del repositorio / enlace].
15.Contacto
Para consultas sobre privacidad y protección de datos:
- Delegado (DPO): [Nombre] — [dpo@oortlabs.com]
- Correo general: [privacy@oortlabs.com]
- Dirección: [dirección completa de OORT Labs]