Política de Privacidad

Última actualización: 9 de marzo de 2026

1. Responsable del Tratamiento

Yellowhak OÜ actúa como Responsable del Tratamiento de los datos personales de sus Clientes (personas de contacto de empresas) y de los visitantes de su sitio web. Cuando Yellowhak OÜ accede o procesa sistemas, redes o datos del cliente durante compromisos de ciberseguridad (Red Teaming, pruebas de penetración, auditorías de seguridad de IA), actúa como Encargado del Tratamiento bajo un Acuerdo de Procesamiento de Datos (DPA) firmado con cada Cliente.

2. Ámbito de Aplicación

Esta Política se aplica al tratamiento de datos personales en relación con: (i) la contratación de servicios de consultoría en ciberseguridad de Yellowhak OÜ; (ii) la navegación por el sitio web yellowhak.com; (iii) la comunicación con nuestros equipos de ventas, soporte o legal. No cubre las prácticas de privacidad de herramientas o plataformas de terceros utilizadas durante los compromisos.

3. Datos que Recogemos

3.1 Datos que nos proporciona directamente

• Datos de contacto: nombre completo, nombre de empresa, correo electrónico corporativo, número de teléfono y país enviados a través de formularios de solicitud de evaluación.
• Datos de compromiso: documentos de alcance, diagramas de red, credenciales proporcionadas para pruebas autorizadas y comunicaciones relacionadas con proyectos en curso.
• Datos de facturación: dirección de facturación, identificación fiscal (IVA/NIF/RUC). No almacenamos datos de tarjeta de crédito; los pagos son procesados por proveedores de pago terceros.

3.2 Datos generados por el uso

• Datos de uso: páginas visitadas, enlaces clicados, duración de sesión y fuentes de referencia en yellowhak.com.
• Datos técnicos: dirección IP, tipo y versión de navegador, sistema operativo, zona horaria e identificadores de dispositivo.
• Logs de auditoría: registros de acceso, envíos de formularios y eventos de seguridad.

4. Finalidades del Tratamiento

• Prestación del servicio: gestionar solicitudes de compromiso, realizar evaluaciones de seguridad autorizadas y entregar informes.
• Comunicación: enviar actualizaciones de compromiso, facturas y — con su consentimiento — comunicaciones de marketing.
• Seguridad: detectar, investigar y prevenir accesos no autorizados o abusos de nuestros sistemas.
• Mejora continua: analizar patrones de uso anonimizados para mejorar nuestro sitio web y servicios.
• Cumplimiento legal: cumplir con obligaciones fiscales, contables y legales aplicables.
• Investigación interna: Yellowhak OÜ puede utilizar datos de compromiso anonimizados y agregados para mejorar herramientas y metodologías internas. Los hallazgos específicos de clientes nunca se comparten sin consentimiento explícito.

5. Destinatarios y Transferencias Internacionales

5.1 Subencargados

Yellowhak OÜ puede compartir datos con proveedores de infraestructura cloud (ej. AWS, Google Cloud) ubicados en el EEE o con garantías adecuadas, procesadores de pago, proveedores de correo electrónico y herramientas de analítica — todos bajo contratos con cláusulas de protección de datos apropiadas.

5.2 Transferencias Internacionales

Cuando los datos se transfieran fuera del Espacio Económico Europeo (EEE) a países sin nivel de protección adecuado, Yellowhak OÜ garantiza salvaguardas apropiadas mediante: (i) Cláusulas Contractuales Tipo aprobadas por la Comisión Europea; (ii) decisiones de adecuación; u (iii) otras garantías aceptadas por el RGPD. Puede solicitar una copia escribiendo a legal@yellowhak.com.

6. Período de Retención

Los datos personales se conservan durante la relación comercial y, posteriormente, por el período requerido por la ley aplicable (ej. 7 años para registros de facturación bajo la legislación fiscal estonia). Los datos de compromiso (informes, hallazgos) se conservan por 2 años post-compromiso salvo acuerdo distinto en el DPA. Los datos procesados en nombre de Clientes durante compromisos se devuelven o eliminan dentro de los 30 días posteriores a la finalización.

7. Sus Derechos bajo el RGPD (Clientes UE/EEE)

• Acceso (Art. 15): Obtener confirmación de si tratamos sus datos y una copia de los mismos.
• Rectificación (Art. 16): Corregir datos inexactos o incompletos.
• Supresión / Derecho al Olvido (Art. 17): Solicitar la eliminación de sus datos cuando dejen de ser necesarios o retire su consentimiento.
• Limitación (Art. 18): Solicitar la restricción del tratamiento en determinadas circunstancias.
• Portabilidad (Art. 20): Recibir sus datos en formato estructurado, de uso común y lectura mecánica.
• Oposición (Art. 21): Oponerse al tratamiento basado en interés legítimo, incluido el marketing directo.
• Decisiones automatizadas (Art. 22): No ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos significativos.
• Retirada del consentimiento: Retirar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo.

Para ejercer cualquiera de estos derechos, envíe su solicitud a legal@yellowhak.com con asunto "Ejercicio de Derechos RGPD". Responderemos en el plazo máximo de 30 días (prorrogables 60 días más en casos complejos). También tiene derecho a presentar reclamación ante la Autoridad de Protección de Datos de Estonia (AKI) en www.aki.ee.

8. Sus Derechos bajo la Ley 29733 (Clientes en Perú)

• Acceso: Conocer qué datos personales suyos obran en los bancos de datos de Yellowhak OÜ, la finalidad y el origen de dichos datos.
• Rectificación: Actualizar, modificar o completar sus datos cuando sean parciales, inexactos o erróneos.
• Cancelación: Solicitar la supresión de sus datos cuando hayan dejado de ser necesarios para la finalidad que justificó su tratamiento.
• Oposición: Oponerse al tratamiento de sus datos en los supuestos previstos por la Ley N.° 29733.

Para ejercer estos derechos, remita su solicitud a legal@yellowhak.com con asunto "Ejercicio de Derechos — Ley 29733 Perú". Atenderemos su solicitud en el plazo de 20 días hábiles.

9. Cookies y Tecnologías de Seguimiento

yellowhak.com utiliza cookies propias y de terceros. Las cookies esenciales son necesarias para el funcionamiento del sitio y no pueden desactivarse. Las cookies de analítica y preferencias requieren su consentimiento previo, informado y libre, que puede gestionar a través del banner de cookies o escribiendo a legal@yellowhak.com.

10. Menores de Edad

Los servicios de YellowHak no están dirigidos a menores de 18 años. No recogemos conscientemente datos personales de menores. Si tiene conocimiento de que un menor nos ha proporcionado datos personales, contacte con nosotros inmediatamente para proceder a su eliminación.

11. Seguridad

Yellowhak OÜ implementa medidas técnicas y organizativas adecuadas para proteger los datos personales frente a accesos no autorizados, pérdida, destrucción o alteración accidental, incluyendo: cifrado en tránsito (TLS 1.3) y en reposo (AES-256), controles de acceso basados en roles (RBAC), autenticación multifactor (MFA), auditorías de seguridad periódicas y planes de respuesta ante incidentes.

12. Notificación de Brechas de Seguridad

En caso de brecha de seguridad que afecte a datos personales, Yellowhak OÜ notificará a la autoridad supervisora competente en un plazo máximo de 72 horas desde que tenga conocimiento, conforme al Art. 33 RGPD. Cuando la brecha entrañe un alto riesgo para los derechos y libertades de los interesados, también notificará a los afectados sin dilación indebida (Art. 34 RGPD).

13. Modificaciones

Yellowhak OÜ puede actualizar esta Política de Privacidad periódicamente. Los cambios materiales se notificarán por correo electrónico o aviso destacado en el sitio web con al menos 30 días de antelación.

14. Contacto y DPO

Para cualquier consulta, solicitud de ejercicio de derechos o reclamación: Correo electrónico (DPO): legal@yellowhak.com — Entidad: Yellowhak OÜ — Domicilio: Harju maakond, Tallinn, Lasnamäe linnaosa, Lõõtsa tn 5, 11415, Estonia — Autoridad supervisora UE: Autoridad de Protección de Datos de Estonia (AKI) — www.aki.ee — Autoridad supervisora Perú: Dirección de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.