Política de Privacidad

Última actualización: julio de 2026

Esta Política de Privacidad explica cómo Ampliro AB (“Ampliro”, “nosotros”, “nuestro” o “nos”) recoge, utiliza, divulga y protege datos personales en relación con la plataforma Diplino y los servicios disponibles en diplino.com (el “Servicio”).

Ampliro AB es una sociedad registrada en Suecia (n.º reg. 559488-1517), con domicilio social en Warfvinges väg 31, 112 51 Stockholm, Sweden.

Esta Política de Privacidad se aplica a:

  • Personas que crean y utilizan cuentas Diplino (p. ej., administradores, instructores, emisores),
  • Personas cuyos datos aparecen en certificados o credenciales emitidos a través de Diplino (p. ej., participantes en cursos, empleados),
  • Visitantes de nuestro sitio web y aplicaciones web relacionadas.

Para residentes de California, consulte también nuestro Aviso de Privacidad de California separado.


1. ¿Quién es responsable de sus datos?

La función de Ampliro y de su organización puede variar en función de cómo interactúe con Diplino:

  • Clientes organizacionales (p. ej., empresas, proveedores de formación)
    Cuando su organización utiliza Diplino para emitir certificados, su organización es normalmente el responsable del tratamiento de los datos personales relacionados con certificados. Ampliro actúa como encargado del tratamiento en nombre de su organización, de conformidad con nuestro Acuerdo de Encargo del Tratamiento de Datos (DPA).

  • Usuarios de la plataforma y visitantes del sitio web
    Para determinados tipos de datos (p. ej., facturación, gestión de cuentas, registros de seguridad, nuestras propias analíticas del servicio y comunicaciones), Ampliro actúa como responsable independiente del tratamiento.

Si se le ha emitido un certificado por una organización que utiliza Diplino (por ejemplo, su empleador o un proveedor de formación), esa organización suele ser su principal punto de contacto para preguntas sobre cómo se utilizan sus datos en relación con dicho certificado.


2. Información que recogemos

Los datos personales exactos que recogemos dependen de cómo utilice el Servicio, pero pueden incluir las siguientes categorías:

2.1 Información de la cuenta (Administradores, Instructores, Emisores)

Cuando usted o su organización crean una cuenta para utilizar Diplino, podemos recoger:

  • Nombre
  • Dirección de correo electrónico
  • Contraseña (almacenada únicamente en forma de hash)
  • Nombre de la organización y función (p. ej., admin, instructor)
  • Idioma preferido y configuración
  • Actividad de la cuenta y marcas temporales de inicio de sesión

2.2 Datos de certificados y credenciales

Cuando se emiten certificados o credenciales a través de Diplino, podemos tratar:

  • Nombre del destinatario del certificado
  • Dirección de correo electrónico del destinatario (si se proporciona)
  • Nombre de la empresa/organización
  • Cargo o función (si se incluye en el certificado)
  • Información sobre curso, formación o programa
  • Fechas de emisión y caducidad
  • Identificadores únicos de certificado y datos de verificación
  • Firmas criptográficas y hashes utilizados para verificar la autenticidad de los certificados

El alcance y el tipo de datos incluidos en un certificado los determina la organización emisora (el Responsable del Tratamiento).

2.3 Datos de uso y técnicos

Cuando visita diplino.com o utiliza el Servicio, recogemos automáticamente determinada información, como:

  • Dirección IP y ubicación aproximada (basada en la IP)
  • Tipo y versión del navegador, tipo de dispositivo, sistema operativo
  • URL de referencia y páginas visualizadas
  • Fecha y hora de acceso
  • Ficheros de registro y datos de eventos (p. ej., intentos de inicio de sesión, cambios de configuración)
  • Información sobre cómo interactúa con el Servicio (p. ej., funcionalidades utilizadas, clics, patrones de navegación)

Esta información nos ayuda a operar, proteger y mejorar el Servicio.

Utilizamos Plausible Analytics para comprender cómo los visitantes utilizan nuestro sitio web y para mejorar nuestro contenido, estructura, rendimiento y experiencia de usuario. Plausible Analytics proporciona estadísticas agregadas del sitio web respetuosas con la privacidad, como visualizaciones de páginas, fuentes de tráfico, páginas populares, tipo de dispositivo, navegador, país y patrones generales de uso.

Plausible Analytics no utiliza cookies y no rastrea a los visitantes en distintos sitios web. Utilizamos esta información para evaluar y mejorar nuestro sitio web y nuestros servicios sobre la base de nuestro interés legítimo en mantener y mejorar nuestra presencia digital.

Dentro de la aplicación web Diplino (app.diplino.com), también utilizamos PostHog para analíticas de producto con el fin de comprender cómo los usuarios que han iniciado sesión interactúan con el producto — por ejemplo, progreso de incorporación, uso de funcionalidades, activación y retención — para que podamos mejorar el Servicio. A través de PostHog podemos tratar un identificador de usuario seudónimo y la dirección de correo electrónico, el identificador de su organización y eventos de uso del producto (como páginas visualizadas, acciones realizadas como la emisión de un certificado, información del dispositivo y del navegador, y ubicación aproximada derivada de su dirección IP). PostHog está alojado en la Unión Europea (PostHog EU Cloud), y los datos de analíticas se almacenan en la UE. Dado que PostHog utiliza cookies y almacenamiento local, solo lo cargamos cuando usted ha otorgado su consentimiento para cookies de analíticas; nuestra base jurídica para este tratamiento es su consentimiento, que puede retirar en cualquier momento a través de nuestra configuración de cookies.

2.4 Datos de comunicación y soporte

Si contacta con nosotros (por ejemplo, por correo electrónico o canales de soporte), podemos tratar:

  • Nombre y datos de contacto
  • Organización y función
  • Contenido de su mensaje y cualquier seguimiento
  • Metadatos relativos a casos de soporte (p. ej., marcas temporales, estado)

2.5 Información de pago y facturación

Si adquiere una suscripción de pago:

  • Podemos recoger datos de contacto de facturación (nombre, correo electrónico, organización, dirección).
  • Los pagos son tratados por proveedores terceros de pagos (p. ej., procesadores de tarjetas). No almacenamos números completos de tarjetas de pago en Diplino. Pueden conservarse identificadores limitados de transacciones e información de estado para facturación y contabilidad.

No recogemos intencionadamente datos personales sensibles (p. ej., información sanitaria, categorías especiales de datos) a través de Diplino y solicitamos a los clientes que no carguen dichos datos en el Servicio.


3. Cómo utilizamos su información

Utilizamos datos personales para las siguientes finalidades y con arreglo a las bases jurídicas establecidas en el GDPR:

3.1 Para prestar y operar el Servicio

(Base jurídica: Ejecución de un contrato, artículo 6, apartado 1, letra b); intereses legítimos, artículo 6, apartado 1, letra f).)

  • Crear y gestionar cuentas de usuario y organizaciones.
  • Emitir, almacenar y gestionar certificados y credenciales.
  • Proporcionar funcionalidad de verificación de certificados.
  • Permitir acceso basado en funciones y administración a nivel de organización.

3.2 Para comunicarnos con usted

(Base jurídica: Ejecución de un contrato; intereses legítimos.)

  • Enviar mensajes importantes relacionados con el servicio (p. ej., avisos de cuenta, alertas de seguridad, actualizaciones operativas).
  • Responder a solicitudes de soporte, consultas y comentarios.
  • Proporcionar incorporación e información relevante para su uso de Diplino.

También podemos enviar actualizaciones opcionales de producto o correos electrónicos informativos. Cuando lo exija la ley, solicitaremos su consentimiento y podrá darse de baja en cualquier momento.

3.3 Para mantener la seguridad y prevenir abusos

(Base jurídica: intereses legítimos; obligaciones legales.)

  • Proteger cuentas frente a acceso no autorizado y abuso.
  • Implementar limitación de tasa y protección contra fuerza bruta.
  • Supervisar y registrar accesos para detectar actividad sospechosa.
  • Responder a incidentes de seguridad e investigarlos.

3.4 Para mejorar y desarrollar el Servicio

(Base jurídica: intereses legítimos.)

  • Analizar patrones de uso y rendimiento para mejorar la estabilidad y la usabilidad.
  • Desarrollar nuevas funcionalidades y mejorar funcionalidades existentes.
  • Agregar y anonimizar datos para estadísticas internas y desarrollo de producto.

3.5 Para cumplir obligaciones legales y reglamentarias

(Base jurídica: obligaciones legales, artículo 6, apartado 1, letra c).)

  • Contabilidad, fiscalidad y mantenimiento de registros societarios.
  • Responder a solicitudes lícitas de autoridades públicas.
  • Hacer cumplir nuestros Términos de Servicio y otros derechos legales.

Cuando nos basamos en el consentimiento (p. ej., determinadas cookies o comunicaciones de marketing, cuando sea necesario), puede retirar su consentimiento en cualquier momento utilizando los mecanismos descritos en esta política o en la interfaz correspondiente.


4. Cookies y tecnologías similares

Utilizamos cookies y tecnologías similares para operar y proteger el Servicio, recordar sus preferencias y comprender cómo se utiliza nuestro sitio. Para obtener información detallada sobre los tipos de cookies que utilizamos y sus opciones, consulte nuestra Política de Cookies separada.


5. Cómo compartimos su información

No vendemos sus datos personales.

Podemos compartir datos personales en las siguientes circunstancias limitadas:

5.1 Proveedores de servicios (Subencargados del Tratamiento)

Contratamos proveedores terceros de servicios cuidadosamente seleccionados para ayudarnos a operar Diplino, tales como:

  • Proveedores de alojamiento e infraestructura en la nube
  • Proveedores de autenticación y bases de datos (p. ej., Supabase)
  • Proveedores de seguridad y CAPTCHA/antiabuso (p. ej., Cloudflare Turnstile)
  • Procesadores de pagos y plataformas de facturación
  • Herramientas de registro, supervisión y soporte

Estos proveedores actúan como encargados del tratamiento o subencargados del tratamiento y solo pueden tratar datos personales siguiendo nuestras instrucciones documentadas, para las finalidades que especificamos y con arreglo a obligaciones contractuales que aseguren una protección de datos y seguridad adecuadas.

Se mantiene una lista actualizada de los subencargados principales en nuestra Lista de Subencargados del Tratamiento.

5.2 Su organización y otros usuarios

Si utiliza Diplino como parte de una organización:

  • Otros usuarios autorizados dentro de esa organización (p. ej., administradores, instructores) pueden ver su nombre, dirección de correo electrónico y función dentro del entorno Diplino de la organización.
  • Cuando se emite un certificado, determinada información (p. ej., su nombre, detalles del certificado) puede ser visible para:
    • La organización emisora,
    • Usted como destinatario, y
    • Terceros que verifiquen el certificado, dependiendo de la configuración de la organización.

5.3 Asesores profesionales y autoridades

Podemos divulgar datos personales a:

  • Asesores profesionales (p. ej., abogados, contables) cuando sea necesario para fines empresariales legítimos.
  • Autoridades policiales, reguladores o tribunales cuando estemos legalmente obligados a hacerlo o cuando la divulgación sea necesaria para proteger nuestros derechos, propiedad o seguridad, o los de nuestros usuarios o terceros.

5.4 Transmisiones empresariales

En caso de fusión, adquisición, reestructuración o venta de la totalidad o parte de nuestro negocio, los datos personales pueden transferirse como parte de esa transacción. Nos aseguraremos de que cualquier destinatario de ese tipo esté sujeto a obligaciones adecuadas de confidencialidad y protección de datos.


6. Transferencias internacionales

Estamos establecidos en Suecia, y muchos de nuestros sistemas están alojados dentro de la UE/EEE. Algunos de nuestros proveedores de servicios pueden tratar datos personales en países fuera de la UE/EEE o del Reino Unido.

Cuando los datos personales se transfieren a un país que no ofrece un nivel adecuado de protección de datos, implementamos garantías adecuadas, tales como:

  • Las Cláusulas Contractuales Tipo de la Comisión Europea (SCCs), y/o
  • Mecanismos de transferencia equivalentes reconocidos por las leyes de protección de datos aplicables.

Puede contactarnos para obtener más información sobre los mecanismos específicos de transferencia en los que nos basamos.


7. Seguridad de los datos

Nos tomamos la seguridad muy en serio e implementamos medidas técnicas y organizativas adecuadas para proteger los datos personales frente a acceso no autorizado, pérdida, uso indebido o alteración. Estas medidas incluyen, entre otras:

  • Cifrado

    • Cifrado de datos en tránsito (p. ej., TLS 1.3 o equivalente).
    • Cifrado de datos en reposo en bases de datos y sistemas de almacenamiento.
    • Uso de firmas criptográficas Ed25519 para la integridad y verificación de certificados.
  • Control de acceso

    • Control de acceso basado en funciones (RBAC) y principios de mínimo privilegio.
    • Autenticación fuerte para acceso administrativo.
    • Segregación entre entornos (p. ej., desarrollo, staging, producción).
  • Supervisión y registro

    • Registro de auditoría de acciones relevantes relacionadas con cuentas y certificados.
    • Mecanismos de limitación de tasa y protección contra fuerza bruta.
    • Sistemas de supervisión de actividad inusual o sospechosa.
  • Medidas organizativas

    • Obligaciones de confidencialidad para personal y contratistas.
    • Formación en seguridad y privacidad para el personal pertinente.
    • Políticas internas para respuesta a incidentes, manejo de datos y conservación.

Aunque nos esforzamos por proteger sus datos personales utilizando prácticas estándar del sector, ningún sistema puede garantizarse como 100% seguro. Mejoramos continuamente nuestros controles de seguridad de acuerdo con las mejores prácticas y amenazas en evolución.


8. Conservación de datos

Conservamos datos personales solo durante el tiempo necesario para las finalidades descritas en esta Política o según lo exija la ley. En general:

  • Datos de cuenta y organización
    Conservados durante la vida de la cuenta y durante un período razonable posteriormente (p. ej., para copias de seguridad, resolución de litigios y fines de cumplimiento).

  • Datos de certificados y credenciales
    Normalmente conservados durante el período en que pueda ser necesario verificar los certificados, lo cual está vinculado a la duración del uso de Diplino por su organización y a cualquier requisito legal o contractual aplicable. Los períodos exactos de conservación son determinados por la organización emisora y nuestros acuerdos con ella.

  • Registros de auditoría
    Conservados durante aproximadamente 90 días, salvo que se requiera un período más largo por motivos de seguridad, investigación de incidentes, legales o de cumplimiento.

  • Datos de limitación de tasa y eventos de seguridad
    Conservados durante aproximadamente 7 días, salvo que se necesiten durante más tiempo para investigar o mitigar actividad sospechosa.

Podemos conservar datos anonimizados o agregados (que no puedan utilizarse para identificar a una persona) durante períodos más largos con fines estadísticos y analíticos.


9. Sus derechos en virtud del GDPR y otras leyes

Si se encuentra en la UE/EEE, el Reino Unido o una jurisdicción similar, tiene determinados derechos en relación con sus datos personales con arreglo a las leyes de protección de datos aplicables, incluidos:

  • Derecho de acceso
    Obtener confirmación de si tratamos sus datos personales y, en tal caso, acceder a dichos datos y a determinada información.

  • Derecho de rectificación
    Que se corrijan o completen datos personales inexactos o incompletos.

  • Derecho de supresión (“derecho al olvido”)
    Solicitar la supresión de sus datos personales en determinadas circunstancias, por ejemplo, cuando ya no sean necesarios para los fines para los que fueron recogidos.

  • Derecho a la limitación del tratamiento
    Solicitar que limitemos el tratamiento de sus datos personales en determinadas situaciones.

  • Derecho a la portabilidad de los datos
    Recibir los datos personales que nos proporcionó en un formato estructurado, de uso común y lectura mecánica, y transmitir esos datos a otro responsable del tratamiento cuando sea técnicamente viable.

  • Derecho de oposición
    Oponerse, por motivos relacionados con su situación particular, al tratamiento basado en nuestros intereses legítimos (incluida la elaboración de perfiles). También tiene derecho a oponerse en cualquier momento al tratamiento de sus datos personales con fines de marketing directo.

  • Derecho a retirar el consentimiento
    Cuando nos basamos en el consentimiento, puede retirar dicho consentimiento en cualquier momento. Esto no afectará a la licitud del tratamiento basado en el consentimiento antes de su retirada.

Ejercicio de sus derechos

Si es administrador o usuario de Diplino, es posible que pueda acceder a algunos de sus datos personales y actualizarlos directamente en la configuración de su cuenta.

De lo contrario, o si es destinatario de un certificado, puede ejercer sus derechos contactando con:

  • Su organización (el emisor del certificado), cuando actúe como responsable del tratamiento; y/o
  • Ampliro, utilizando los datos de contacto de la Sección 11.

Responderemos a su solicitud de conformidad con las leyes aplicables y, cuando sea necesario, en cooperación con su organización.

Reclamaciones

También tiene derecho a presentar una reclamación ante una autoridad de protección de datos. En Suecia, esta es:

Integritetsskyddsmyndigheten (IMY)
www.imy.se

También puede contactar con la autoridad de control de su país de residencia o lugar de trabajo.


10. Servicios de terceros

Dependemos de servicios de terceros para operar Diplino, tales como:

  • Supabase – autenticación, base de datos e infraestructura backend.
  • Cloudflare Turnstile – funcionalidad de seguridad y antiabuso (similar a CAPTCHA).
  • Procesadores de pagos – para gestionar pagos de suscripciones y facturación.
  • Otros proveedores de alojamiento, registro y supervisión, según se enumeran en nuestra Lista de Subencargados del Tratamiento.

Estos proveedores tratan datos personales únicamente para las finalidades especificadas por Ampliro y con arreglo a contrato. Sus propias políticas de privacidad también pueden aplicarse cuando actúan como responsables independientes del tratamiento para determinadas actividades (por ejemplo, procesamiento de pagos).

Le recomendamos revisar las políticas de privacidad de estos terceros para obtener más detalles sobre sus prácticas de tratamiento de datos.


11. Privacidad de los menores

El Servicio no está dirigido a menores de 16 años, y no recogemos conscientemente datos personales directamente de menores de 16 años sin el consentimiento adecuado de un progenitor, tutor u organización responsable (como una escuela o proveedor de formación).

Si cree que hemos recogido datos personales de un menor de una forma que no cumple las leyes aplicables, póngase en contacto con nosotros, y adoptaremos medidas adecuadas para investigar y, si procede, suprimir los datos.


12. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en:

  • Nuestro Servicio o prácticas empresariales,
  • Los servicios de terceros que utilizamos, o
  • Requisitos legales o reglamentarios aplicables.

Cuando realicemos cambios materiales, actualizaremos la fecha de “Última actualización” en la parte superior de esta página y podremos proporcionar aviso adicional (por ejemplo, a través del Servicio o por correo electrónico, cuando proceda).

Le recomendamos revisar esta Política de Privacidad periódicamente para mantenerse informado sobre cómo tratamos datos personales.


13. Contacto

Si tiene preguntas sobre esta Política de Privacidad, nuestras prácticas de datos o sus derechos, puede contactarnos en:

  • Correo electrónico: privacy@diplino.com
  • Dirección postal:
    Ampliro AB
    Attn: Privacy / Diplino
    Warfvinges väg 31
    112 51 Stockholm
    Sweden