📅 Última actualización: Febrero 2026📋 Versión: 1.0🌍 Idioma: Español
1. Resumen Ejecutivo
Nuestro Compromiso: Efficient AI Algorithms se compromete a cumplir plenamente con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la legislación nacional aplicable en cada Estado miembro donde operamos.
Quiénes Somos
Efficient AI Algorithms (nombre comercial, DBA) es una empresa con sede en Maricopa County, Arizona, Estados Unidos. Operamos como controlador de datos cuando ofrecemos servicios directamente a consumidores en la UE, y como encargado del tratamiento cuando procesamos datos en nombre de clientes empresariales europeos.
Ámbito de Aplicación
Esta política aplica al tratamiento de datos personales de:
Residentes de la Unión Europea y el Espacio Económico Europeo (UE/EEE)
Usuarios de ProtectTrack que se encuentren en territorio de la UE
Empleados y familiares monitoreados por empresas u organizaciones europeas
Contacto del Delegado de Protección de Datos
Para cualquier consulta relacionada con la protección de sus datos personales:
Plazo de respuesta: 1 mes (extensible a 3 meses en casos complejos)
2. Definiciones
Conforme al Artículo 4 del GDPR, los siguientes términos tienen el significado indicado:
Términos Principales
Término
Definición
Datos personales
Toda información sobre una persona física identificada o identificable. Incluye expresamente los datos de localización (Art. 4.1 GDPR).
Datos de localización
Coordenadas GPS, historial de ubicaciones, velocidad, altitud y cualquier dato que indique la posición geográfica de una persona o dispositivo.
Categorías especiales
Datos que revelan origen étnico, opiniones políticas, creencias religiosas, afiliación sindical, datos genéticos, biométricos, de salud o vida sexual (Art. 9 GDPR).
Controlador
Quien determina los fines y medios del tratamiento de datos personales.
Encargado
Quien trata datos personales por cuenta del controlador.
Interesado
La persona física cuyos datos personales son objeto de tratamiento.
Consentimiento
Manifestación de voluntad libre, específica, informada e inequívoca (Art. 4.11 GDPR).
⚠️ Nota sobre datos de geolocalización: El EDPB (Directrices 01/2020) advierte que los datos de ubicación son "particularmente reveladores de los hábitos de vida" y pueden inferir información sensible como religión, orientación sexual o estado de salud. Por ello, aplicamos medidas de protección reforzadas.
3. Datos que Recopilamos
ProtectTrack recopila las siguientes categorías de datos personales:
Categoría
Datos Específicos
Finalidad
Base Legal
Retención
Ubicación
GPS tiempo real, historial de ubicaciones, velocidad, altitud, precisión
Mostrar ubicación, alertas de geocercas, historial de rutas
Consentimiento (Art. 6.1.a)
30 días
Cuenta
Email, nombre, contraseña (hash), preferencias
Autenticación, gestión de cuenta, comunicaciones del servicio
Contrato (Art. 6.1.b)
Mientras cuenta activa + 30 días
Dispositivo
Modelo, sistema operativo, IP, identificadores técnicos
Funcionalidad de la app, seguridad, diagnóstico
Interés legítimo (Art. 6.1.f)
90 días
Menores
Ubicación GPS del menor
Seguridad familiar, localización
Consentimiento parental (Art. 8)
30 días
Personas vulnerables
Ubicación GPS de paciente con Alzheimer/demencia
Protección, localización en emergencias
Consentimiento representante + Art. 9
30 días
🔒 Principio de Minimización: Solo recopilamos los datos estrictamente necesarios para proporcionar el servicio. Los datos de ubicación se eliminan automáticamente a los 30 días.
Datos que NO Recopilamos
No vendemos datos personales a terceros
No recopilamos datos biométricos
No realizamos perfilado con fines de marketing
No compartimos ubicaciones con anunciantes
4. Bases Legales por Caso de Uso
Conforme al GDPR, cada tratamiento debe vincularse a una base legal específica. A continuación detallamos las bases aplicables a cada caso de uso de ProtectTrack:
👶 Familias — Seguimiento de Menores
Base legal principal: Consentimiento del titular de la patria potestad (Art. 6.1.a + Art. 8 GDPR)
Umbrales de edad por país (Art. 8 GDPR)
País
Edad de consentimiento digital
🇪🇸 España
14 años (Art. 7 LOPDGDD)
🇩🇪 Alemania
16 años
🇫🇷 Francia
15 años
🇮🇹 Italia
14 años
🇮🇪 Irlanda
16 años
🇧🇪 Bélgica
13 años
🇵🇹 Portugal
13 años
Por debajo del umbral nacional, se requiere consentimiento del padre, madre o tutor legal.
🧓 Familias — Pacientes con Alzheimer
Base legal principal: Consentimiento del curador o representante legal (Art. 6.1.a)
⚠️ Aplicabilidad del Art. 9: El seguimiento GPS de pacientes con demencia probablemente revela datos de salud por la propia naturaleza del servicio, activando las protecciones del Artículo 9 GDPR.
Marco legal español (Ley 8/2021)
La Ley 8/2021 elimina la incapacitación judicial, estableciendo un sistema de apoyos
Se presume la capacidad legal de las personas con discapacidad
Alzheimer temprano: Debe intentarse obtener consentimiento directo del paciente
Alzheimer avanzado: El curador representativo puede consentir respetando la voluntad y preferencias previamente expresadas
Interés vital (Art. 6.1.d + Art. 9.2.c)
Solo aplicable en emergencias donde la persona está física o legalmente incapacitada para consentir. No es apto para monitoreo continuo rutinario.
👔 Monitoreo de Empleados
⛔ IMPORTANTE: El consentimiento del empleado es generalmente inválido debido al desequilibrio de poder inherente a la relación laboral. El WP29 (Dictamen 2/2017) establece que "los empleados casi nunca están en posición de otorgar, rechazar o revocar libremente el consentimiento."
Bases legales preferidas:
Ejecución de contrato (Art. 6.1.b) + Art. 20.3 del Estatuto de los Trabajadores + Art. 90 LOPDGDD — Base primaria en España
Interés legítimo (Art. 6.1.f) — Viable para gestión de flotas con test de ponderación documentado (LIA)
Obligación legal (Art. 6.1.c) — Aplicable en sectores regulados de transporte (Reglamento UE 165/2014 sobre tacógrafos)
Ver Sección 10 para requisitos detallados del monitoreo laboral.
🚚 Gestión de Flotas
Base legal principal: Interés legítimo (Art. 6.1.f)
El WP29 (Dictamen 5/2005) reconoce expresamente que "el procesamiento de datos de localización puede justificarse cuando se realiza como parte del monitoreo del transporte de personas o mercancías."
Finalidades legítimas:
Optimización de rutas y logística
Seguridad del vehículo y protección antirrobo
Cumplimiento de tiempos de entrega
Gestión de activos empresariales
Requisito: Debe realizarse una Evaluación de Interés Legítimo (LIA) documentada antes del despliegue.
5. Consentimiento Granular
Conforme a las Directrices EDPB 05/2020, si un controlador ha "fusionado varias finalidades sin buscar consentimiento separado para cada una, no existe libertad de elección."
Categorías de datos GPS (coordenadas, marcas temporales, velocidad)
Destinatarios de los datos
Transferencias internacionales y mecanismo legal
Período de retención (30 días)
Derechos del interesado
Derecho a retirar el consentimiento
Derecho de reclamación ante la autoridad supervisora
Existencia de decisiones automatizadas
Fuente de los datos (si no se obtienen del interesado)
Revocación del Consentimiento
Art. 7.3 GDPR: "Será tan fácil retirar el consentimiento como darlo."
ProtectTrack implementa:
Botón "Detener seguimiento" de un solo clic en la aplicación
Cese inmediato de la recolección GPS (en segundos, no en días)
Eliminación de datos si no existe otra base legal
Confirmación por email de la revocación
6. Transferencias Internacionales
Como empresa con sede en Estados Unidos, las transferencias de datos desde la UE requieren mecanismos legales específicos bajo el Capítulo V del GDPR.
EU-US Data Privacy Framework (DPF)
✅ Mecanismo Principal: Efficient AI Algorithms opera bajo el EU-US Data Privacy Framework.
Decisión de adecuación: Adoptada el 10 de julio de 2023 por la Comisión Europea
Cobertura: El DPF cubre todos los tipos de datos personales, incluidos datos de localización (FAQ EDPB julio 2024)
Estado: Válido, aunque bajo impugnación judicial (recurso Latombe desestimado septiembre 2025; apelación pendiente)
Cláusulas Contractuales Tipo (SCCs) — Mecanismo de Respaldo
Como medida de seguridad adicional, implementamos las Cláusulas Contractuales Tipo de 2021 (Decisión 2021/914):
Módulo 2 (Controlador a Procesador): Cuando clientes europeos actúan como controladores
Evaluación de Impacto de Transferencia (TIA): Completada conforme a las Cláusulas 14 y 15
Medidas Suplementarias (EDPB 01/2020)
Cifrado de datos con claves retenidas exclusivamente en la UE
Pseudonimización antes de la transferencia cuando sea técnicamente viable
Controles de acceso estrictos para personal con acceso a datos de la UE
⚠️ Precedentes de Sanciones:
€290 millones a Uber (2024) — DPA neerlandesa, por transferir datos de localización de conductores europeos sin mecanismos adecuados
€1.2 mil millones a Meta (2023) — DPC irlandesa, por transferencias sin mecanismo válido
Estos precedentes demuestran la severidad de la aplicación del GDPR en materia de transferencias internacionales.
7. Evaluación de Impacto en Protección de Datos (EIPD)
Conforme al Artículo 35 del GDPR, ProtectTrack requiere una EIPD obligatoria.
Criterios EDPB Cumplidos (WP 248 rev.01)
El EDPB establece que la EIPD es obligatoria cuando se cumplen 2 o más de 9 criterios. ProtectTrack cumple al menos 6:
Criterio
Aplicabilidad
Monitoreo sistemático
✅ Sí — Seguimiento GPS continuo en tiempo real
Datos altamente personales
✅ Sí — Datos de localización
Personas vulnerables
✅ Sí — Pacientes con Alzheimer, menores, empleados
Evaluación/perfilado
✅ Sí — Patrones de movimiento, alertas de geocercas
Gran escala
✅ Sí — Potencialmente miles de usuarios en la UE
Nuevas tecnologías
✅ Sí — Plataforma PWA para streaming GPS en tiempo real
Lista AEPD (Art. 35.4)
La Agencia Española de Protección de Datos incluye en su Criterio 3: "tratamientos que impliquen observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática."
Contenido de Nuestra EIPD
Nuestra Evaluación de Impacto incluye:
Descripción sistemática del procesamiento de datos GPS
Evaluación de necesidad y proporcionalidad
Evaluación de riesgos a derechos y libertades
Medidas para mitigar los riesgos identificados
Revisión: Cada 3 años o ante cambios significativos en el tratamiento (recomendación CNIL).
8. Derechos de los Interesados
Conforme a los Artículos 15-22 del GDPR, usted tiene los siguientes derechos:
Derecho
Descripción
Plazo
Acceso (Art. 15)
Obtener copia de todos sus datos, incluyendo historial completo de ubicaciones GPS, coordenadas, marcas temporales y configuraciones
1 mes
Rectificación (Art. 16)
Corregir datos personales inexactos o incompletos
1 mes
Supresión (Art. 17)
Eliminar todos los puntos de ubicación, historiales, configuraciones de geocercas, historiales de alertas y analítica derivada
1 mes
Limitación (Art. 18)
Restringir el tratamiento mientras se verifica una reclamación
1 mes
Portabilidad (Art. 20)
Recibir sus datos de ubicación en formato estructurado y legible por máquina
1 mes
Oposición (Art. 21)
Oponerse al tratamiento basado en interés legítimo; el seguimiento cesa inmediatamente
Sin dilación
Formatos de Portabilidad Disponibles
Conforme al WP29 (Directrices WP242), los datos de ubicación GPS están incluidos en el derecho de portabilidad. Ofrecemos:
GPX — GPS Exchange Format (estándar abierto XML universal)
GeoJSON — Formato ligero JSON para datos geográficos
CSV — Con columnas: timestamp, latitud, longitud, altitud, velocidad, precisión
JSON — Exportación completa con metadatos
⚠️ Dualidad de Interesados: Tanto el rastreador (titular de la cuenta) como la persona rastreada son interesados con derechos independientes bajo el GDPR. ProtectTrack respeta y equilibra ambos conjuntos de derechos.
Cómo Ejercer Sus Derechos
Puede ejercer cualquiera de estos derechos:
Enviando un email a legal@algoritmos.io con el asunto "Ejercicio de Derechos GDPR"
Indicando claramente qué derecho desea ejercer
Proporcionando información suficiente para verificar su identidad
Responderemos en un plazo máximo de 1 mes, extensible a 3 meses para solicitudes complejas (con notificación previa).
9. Protección de Personas Vulnerables
ProtectTrack implementa salvaguardas reforzadas para menores de edad y personas con capacidad reducida.
Menores de Edad
⚠️ Exención doméstica (Art. 2.2.c): Puede aplicar al padre/madre que realiza el seguimiento, pero nunca se extiende al proveedor del servicio. El Considerando 18 es explícito: las exenciones no cubren a controladores o procesadores que proporcionan los medios para el procesamiento personal.
Medidas implementadas:
Verificación de edad: Sistema para confirmar edad del menor y del titular de la patria potestad
Consentimiento parental verificable: Mecanismos para confirmar la identidad del padre/madre/tutor
Avisos adaptados al menor: Conforme al Art. 12, información en "lenguaje claro y sencillo que el menor pueda entender fácilmente"
Controles graduales: Mayor autonomía conforme el menor se acerca a la edad de consentimiento digital
Privacidad por defecto: Configuraciones de alta privacidad activadas por defecto (ICO Age Appropriate Design Code)
Pacientes con Alzheimer y Demencia
Marco legal español (Ley 8/2021)
La incapacitación judicial ha sido eliminada
Se establece un sistema de apoyos (curatela, guarda de hecho)
Se presume la capacidad legal de las personas con discapacidad
El curador representativo solo existe para casos excepcionales
Nuestra aproximación:
Alzheimer temprano: Intentamos obtener consentimiento directo del paciente
Alzheimer avanzado: El curador puede consentir respetando la voluntad y preferencias previamente expresadas
Enfoque geocercas primero: Opción menos intrusiva que el seguimiento continuo
Revisión periódica: Evaluación de la necesidad del seguimiento
Respeto a directrices anticipadas: Preferencias expresadas cuando la persona tenía plena capacidad
Principio ético: Conforme a la investigación de Oxford University (PubMed 2011), "las preferencias y mejores intereses de las personas con demencia deben ser centrales" y "nadie debe ser coaccionado para usar tecnología de seguimiento."
10. Monitoreo de Empleados
El seguimiento GPS de empleados está sujeto a requisitos especialmente estrictos bajo el GDPR y la legislación laboral española.
Principio rector del WP29 (Dictamen 2/2017):
"Los dispositivos de seguimiento de vehículos no son dispositivos de seguimiento de personal" — los empleadores no deben considerarlos herramientas para monitorear el comportamiento o paradero de conductores.
Reglas Estrictas
Requisito
Detalle
Seguimiento fuera del horario laboral
PROHIBIDO — "Es improbable que exista base legal para monitorizar la ubicación de los vehículos de empleados fuera del horario de trabajo acordado"
Desactivación temporal
Los empleados deben poder desactivar temporalmente el GPS en circunstancias especiales (visitas médicas, gestiones personales durante uso permitido del vehículo)
Limitación de finalidad
Los datos de ubicación no pueden usarse para finalidades distintas a las originalmente comunicadas
Información previa
Art. 90 LOPDGDD: informar de manera "expresa, clara e inequívoca" antes del despliegue
Triple Test de Proporcionalidad (Tribunal Constitucional Español)
Idoneidad: La medida debe ser adecuada para el fin perseguido
Necesidad: No debe existir alternativa menos intrusiva
Proporcionalidad: Los beneficios deben superar los costes para los derechos del trabajador
Jurisprudencia Relevante
Bărbulescu v. Rumanía (TEDH 2017): Estableció 6 criterios para evaluar la vigilancia laboral: información previa, alcance del monitoreo, razones legítimas, alternativas menos intrusivas, consecuencias para el empleado y salvaguardas disponibles
Florindo Gramaxo v. Portugal (TEDH 2022): Primer caso del TEDH que aborda directamente el GPS como vigilancia laboral, confirmando que los datos de localización constituyen datos personales incluso desde teléfonos de trabajo
Sanciones por Incumplimiento
CNIL (2023): 10 sanciones totalizando €97.000 por violaciones de geolocalización laboral
CNIL — Cityscoot: €125.000 por recopilar datos de geolocalización cada 30 segundos (considerado desproporcionado)
11. Seguridad de Datos
Conforme al Artículo 32 del GDPR, implementamos medidas técnicas y organizativas apropiadas al riesgo elevado inherente a los datos de geolocalización.
Medidas Técnicas
Medida
Implementación
Cifrado en tránsito
TLS 1.3 para todas las comunicaciones API y conexiones WebSocket de streaming GPS
Cifrado en reposo
AES-256 para coordenadas GPS, perfiles de usuario y metadatos
Pseudonimización
Conforme a guías ENISA (2019, 2021): reemplazo de identificadores con tokens, separación de datos de identidad y ubicación
Control de acceso
RBAC (Role-Based Access Control) con permisos granulares por rol
Autenticación
MFA obligatorio para todos los accesos, especialmente administradores
Mínimo privilegio
Cada rol solo tiene acceso a los datos estrictamente necesarios
Privacidad por Diseño y por Defecto (Art. 25)
Seguimiento desactivado por defecto: El usuario debe activar explícitamente el seguimiento
Precisión reducida: Cuando la exactitud completa no es necesaria
Frecuencia ajustable: El usuario puede elegir la frecuencia de actualización
Retención mínima: 30 días con eliminación automática
12. Notificación de Brechas de Seguridad
Las brechas de datos de localización casi siempre cumplen el umbral de "riesgo" para notificación obligatoria.
Plazos de Notificación
Destinatario
Plazo
Base legal
Autoridad supervisora
72 horas máximo
Art. 33 GDPR
Interesados afectados
Sin dilación (si alto riesgo)
Art. 34 GDPR
⚠️ CRÍTICO — Sin Ventanilla Única:
Al no tener establecimiento en la UE, el mecanismo de ventanilla única NO aplica a ProtectTrack. Esto significa que ante una brecha, debemos notificar a cada autoridad supervisora de cada Estado miembro donde residan los interesados afectados — potencialmente hasta 27 notificaciones separadas en 72 horas.
Riesgos Específicos de Datos de Ubicación
Seguridad física: Riesgo de acoso o secuestro si se exponen ubicaciones de menores o pacientes vulnerables
Vigilancia no autorizada: Acceso a datos GPS en tiempo real por terceros malintencionados
Exposición de patrones de vida: Rutinas diarias, direcciones, visitas médicas
Discriminación: Explotación de datos de empleados para decisiones laborales injustas
Contenido de la Notificación
Toda notificación incluirá:
Naturaleza de la brecha
Categorías y número aproximado de afectados
Contacto del DPO
Consecuencias probables
Medidas adoptadas o propuestas
13. Representante en la UE
Conforme al Artículo 27 del GDPR, los controladores sin establecimiento en la UE que procesan datos de residentes europeos deben designar un representante en la Unión.
Estado actual: Pendiente de designación formal.
Mientras completamos este proceso, todas las comunicaciones pueden dirigirse a: Email:legal@algoritmos.io
Una vez designado, el representante:
Actuará como punto de contacto para autoridades supervisoras e interesados
Estará establecido en uno de los Estados miembros donde residen los interesados
Sus datos de contacto serán publicados en esta política
14. Cambios a Esta Política
Podemos actualizar esta política para reflejar cambios en nuestras prácticas, requisitos legales o servicios.
Proceso de Actualización
Notificación previa: Informaremos de cambios materiales con al menos 30 días de antelación
Nuevo consentimiento: Si los cambios afectan tratamientos basados en consentimiento de forma retroactiva, solicitaremos nuevo consentimiento
Historial de versiones: Mantenemos un registro público de todas las versiones anteriores
Historial de Versiones
Versión
Fecha
Cambios
1.0
Febrero 2026
Versión inicial
15. Contacto
Delegado de Protección de Datos
Para consultas sobre protección de datos, ejercicio de derechos o reclamaciones: