Última actualización: 13 de febrero de 2026

Esta Política de Privacidad (“Política”) describe cómo se tratan los datos personales cuando utilizas Cardus AI (la “Plataforma”), incluyendo (i) datos de usuarios que administran proyectos, y (ii) datos contenidos en entrevistas, transcripciones, narrativas y, cuando corresponda, audios cargados o generados dentro de un proyecto (el “Contenido del Usuario”).

Cardus AI ofrece una plataforma para investigación cualitativa y análisis de narrativas organizacionales. Nuestro objetivo es facilitar la recolección y el análisis de historias de trabajo real, con controles para minimizar datos identificables cuando sea posible.

1) Responsable, Encargado y datos de contacto

1.1 Cardus como Responsable (datos de cuenta y operación)

Para los datos de tu cuenta y la operación del sitio/plataforma, el responsable del tratamiento es:

Rodrigo Bastos ME (“Cardus”)
Domicilio: Rua Arthur Ramozzi, 460 - Campos do Jordão - SP - Brasil
Correo de privacidad: privacy@cardus.ai
Correo general: contact@cardus.ai

1.2 Cardus como Encargado (proyectos de clientes)

Cuando una organización crea un proyecto en la Plataforma (el “Responsable del Proyecto”), dicha organización normalmente determina las finalidades y medios del tratamiento del Contenido del Usuario dentro del proyecto. En esos casos, Cardus actúa como encargado/subencargado, tratando los datos únicamente conforme a las instrucciones del Responsable del Proyecto y el contrato aplicable.

Importante: si participas en una entrevista de un proyecto de un cliente (por ejemplo, como empleado/participante), el aviso aplicable principal puede ser el del Responsable del Proyecto. Esta Política explica el rol de Cardus como proveedor.

2) Datos personales que tratamos

Podemos tratar las siguientes categorías de datos:

2.1 Datos de cuenta (usuarios de la Plataforma)

• Nombre, email, país/idioma (cuando se solicite), autenticación (p. ej., Google o magic link).
• Información de facturación y suscripción (procesada principalmente por proveedores de pago).
• Configuración del proyecto (p. ej., idioma del proyecto, parámetros de entrevistas, permisos de acceso).

2.2 Contenido del Usuario (dentro de proyectos)

• Transcripciones, narrativas, respuestas a entrevistas y mensajes.
• Si el proyecto lo habilita: audio de entrevistas o fragmentos necesarios para transcripción/procesamiento.
• Metadatos asociados al proyecto (p. ej., fecha/hora de una entrevista, identificadores internos del participante).

Minimización: el Contenido del Usuario no necesita incluir identificadores directos (como nombres, documentos de identidad o direcciones). Recomendamos a los Responsables del Proyecto configurar e instruir a participantes para evitar compartir datos innecesarios.

2.3 Datos técnicos y de uso

• Dirección IP, tipo de dispositivo/navegador, eventos de uso, registros de seguridad, y métricas generales para estabilidad y prevención de abuso.
• Cookies u otras tecnologías similares (cuando corresponda).

3) Datos personales sensibles

Cardus no solicita datos personales sensibles como requisito del servicio. Sin embargo, es posible que un participante incluya información sensible voluntariamente en una entrevista (por ejemplo, datos de salud, creencias, vida sexual, origen racial/étnico, datos biométricos).

Cuando el tratamiento de datos sensibles sea aplicable:

• El Responsable del Proyecto debe contar con el consentimiento expreso u otra base legal válida cuando así lo exija la ley aplicable, y limitar el tratamiento a las finalidades autorizadas.
• Cardus tratará dichos datos únicamente para prestar el servicio y bajo medidas de seguridad reforzadas, conforme a instrucciones contractuales.

4) Finalidades del tratamiento

4.1 Finalidades cuando Cardus actúa como Encargado (proyectos)

Tratamos el Contenido del Usuario para:

• Procesar entrevistas (incluida la conducción por IA cuando el proyecto lo habilite).
• Transcribir (si aplica), extraer narrativas, clasificar, agrupar (clustering) y generar análisis y reportes para el proyecto.
• Proveer funcionalidades de consulta, exploración y comparación de hallazgos.
• Mantener la seguridad, integridad y funcionamiento del servicio para el proyecto.

4.2 Finalidades cuando Cardus actúa como Responsable (cuentas y operación)

Tratamos datos de cuenta y uso para:

• Crear y administrar cuentas, autenticación y acceso.
• Proveer soporte, comunicaciones administrativas y actualizaciones relevantes del servicio.
• Operar, mantener, mejorar y asegurar la Plataforma (incluyendo prevención de fraude/abuso).
• Cumplir obligaciones legales y atender solicitudes de autoridades competentes, cuando corresponda.

5) Bases legales (según corresponda)

Las bases legales pueden variar según el país y el rol en el tratamiento:

• Proyectos (Cardus como Encargado): el Responsable del Proyecto define la base legal aplicable (por ejemplo, consentimiento del titular, relación contractual, obligaciones legales u otras permitidas por la legislación aplicable).
• Cuentas/operación (Cardus como Responsable): normalmente tratamos datos para la ejecución del contrato, el cumplimiento de obligaciones legales, y/o el interés legítimo en operar y proteger el servicio, según corresponda.

6) Transferencias, encargados y tratamiento internacional

Para prestar el servicio, Cardus utiliza proveedores de infraestructura y procesamiento que pueden tratar datos como encargados/subencargados, bajo obligaciones contractuales de confidencialidad y seguridad, tales como:

• Infraestructura y almacenamiento: Firebase / Google Cloud (por ejemplo, Firestore y almacenamiento).
• Vectorización/embeddings y búsqueda: Pinecone (u otros, según configuración del proyecto).
• Procesamiento por modelos (LLM) vía API: por ejemplo, Gemini u otros proveedores integrados por API.

Estos proveedores pueden operar en distintos países, por lo que puede existir tratamiento internacional de datos dependiendo de la región del proyecto y de la configuración.

No entrenamiento: Cardus no utiliza el Contenido del Usuario para entrenar modelos de IA. El contenido se procesa para prestar el servicio del proyecto.

7) Conservación y eliminación

• Durante el proyecto: conservamos el Contenido del Usuario para operar el servicio y permitir análisis y reportes.
• Al finalizar el proyecto: el Responsable del Proyecto puede solicitar la eliminación del Contenido del Usuario, y Cardus eliminará los datos conforme a los plazos y mecanismos acordados contractualmente.
• Podemos conservar información mínima necesaria por razones legales, de seguridad o auditoría, cuando sea aplicable.

8) Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger los datos contra acceso no autorizado, pérdida, alteración o divulgación. Esto puede incluir controles de acceso, registros de auditoría, cifrado en tránsito y en reposo (según el proveedor), y prácticas de minimización.

Ningún sistema es 100% seguro, pero trabajamos para mantener estándares adecuados al tipo de información tratada.

9) Derechos ARCO, revocación y oposición (México) y derechos equivalentes

Cuando Cardus actúe como Responsable, puedes solicitar el ejercicio de tus derechos de Acceso, Rectificación, Cancelación u Oposición (ARCO), así como revocar tu consentimiento u oponerte al tratamiento cuando aplique.

Cómo solicitarlo: envía un correo a privacy@cardus.ai con:

1. Nombre y medio para responder;
2. Documentos que acrediten tu identidad (y, en su caso, representación);
3. Descripción clara del derecho que deseas ejercer y los datos involucrados;
4. Cualquier información adicional que facilite la localización de los datos.

Plazos: comunicaremos la determinación en un plazo máximo de 20 días hábiles y, de resultar procedente, la haremos efectiva dentro de los 15 días hábiles siguientes, salvo que la legislación aplicable establezca otros plazos o excepciones.

Si eres participante de un proyecto de un cliente: normalmente el Responsable del Proyecto es quien debe atender tus solicitudes ARCO sobre el Contenido del Usuario del proyecto. Si nos contactas, podemos ayudarte a canalizar tu solicitud cuando sea posible.

10) Cookies y analítica

Podemos usar cookies o tecnologías similares para autenticación, seguridad, medición de rendimiento y analítica. Dependiendo del país, podríamos mostrar un aviso de cookies y/o permitir ajustes.

11) Cambios a esta Política

Podemos actualizar esta Política para reflejar cambios legales, técnicos u operativos. Publicaremos la versión vigente en esta página indicando la fecha de última actualización y, cuando corresponda, notificaremos cambios materiales por medios razonables.

12) Contacto

Para preguntas sobre privacidad o esta Política, contáctanos en: privacy@cardus.ai.
Para soporte general: contact@cardus.ai