Política de privacidad de Thrive

Última actualización: 2 de julio de 2025

Te damos la bienvenida

Te damos la bienvenida a Thrive Global Holdings, Inc. («Thrive Global», «Thrive», «nosotros» o «nuestro/s»). Thrive ofrece soluciones de cambio de comportamiento respaldadas por la ciencia diseñadas para mejorar el bienestar mental, emocional y físico. Nuestro sitio web («Sitio»), aplicación móvil («Aplicación») e integraciones con plataformas de terceros (como Slack o Microsoft Teams) les permiten a los usuarios («usted», «su» o «Usuarios») acceder a herramientas, recursos y contenido personalizados, como Micropasos, evaluaciones, experiencias educativas y funciones de apoyo al comportamiento, que ayudan a desarrollar hábitos sostenibles y mejorar el bienestar general. En conjunto, los servicios que brindamos a través del Sitio, la Aplicación y las experiencias digitales relacionadas se denominan «Servicio(s)».

Para brindar y mejorar estos Servicios, podemos recopilar y procesar varios tipos de información, incluida información de identificación personal (IIP), datos de participación (como la forma en que interactúas con el contenido y las funciones), información de comportamiento, información relacionada con la salud y otras categorías de datos confidenciales, según lo definen las leyes aplicables. Lo hacemos de conformidad con las bases legales apropiadas y obtenemos tu consentimiento cuando es necesario.

Thrive se compromete a proteger tu privacidad y manejar tus datos de manera responsable. Seguimos principios de privacidad y seguridad desde el diseño y de forma predeterminada, e implementamos medidas de seguridad técnicas y organizativas adecuadas. Nuestras prácticas de datos están diseñadas para cumplir con las regulaciones de privacidad aplicables, incluidas la Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA), el Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR), la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act, CCPA) y la Ley de Derechos de Privacidad de California (California Privacy Rights Act, CPRA), así como otros marcos regionales que puedan aplicarse según tu ubicación y la naturaleza de tu interacción con nuestros Servicios.

Acceso rápido: Ejerce tus derechos de privacidad en https://preferences.thriveglobal.com/privacy o consulta la Información de contacto que figura más abajo.

Objetivo de esta Política de privacidad

La presente Política de privacidad explica qué datos personales recopilamos a través de los Servicios, cómo utilizamos y compartimos dichos datos, y tus opciones respecto a nuestras prácticas de manejo de datos. Esta Política de privacidad forma parte de nuestro Acuerdo de Términos y condiciones, que está disponible en https://www.thriveglobal.com/terms.

Los Usuarios de diferentes regiones pueden estar sujetos a distintas normas de protección de datos, según el Acuerdo de protección de datos (Data Protection Agreement, DPA) que tenga su empleador con Thrive Global. Este documento incluye secciones dedicadas a los consumidores del Espacio Económico Europeo (EEE), el Reino Unido (RU), Suiza y California, y sus derechos de privacidad.

Cambios en la Política de privacidad

Es posible que actualicemos esta Política de privacidad a medida que los Servicios evolucionen. Los cambios sustanciales se notifican por correo electrónico 30 días antes de que entren en vigencia. Las actualizaciones menores se publican con nuevas fechas de «Última actualización». El uso continuado implica la aceptación de los cambios.

Marco de cumplimiento legal

Cumplimos con las leyes de privacidad aplicables, incluido el GDPR, las CCPA/CPRA, las leyes de privacidad estatales y otros requisitos jurisdiccionales. Nuestro programa de cumplimiento incluye revisiones legales periódicas, evaluaciones de control y actualizaciones de las prácticas de privacidad a medida que las leyes evolucionan. Trabajamos con asesores legales para garantizar que nuestras prácticas cumplan con los estándares regulatorios vigentes.

Gobernanza de la privacidad

Nuestro programa de privacidad incluye oficiales de privacidad designados que se encargan del cumplimiento normativo, la capacitación y la respuesta a incidentes relacionados con la privacidad. Realizamos capacitaciones periódicas sobre privacidad para nuestro personal e implementamos medidas de responsabilidad para garantizar el cumplimiento continuo de las obligaciones de privacidad y la protección de tu información personal.

Principios de protección de datos

Recopilamos, usamos y procesamos información personal únicamente para fines legítimos que se alinean con nuestras operaciones comerciales y obligaciones legales. Especificamos claramente los fines de la recopilación en el momento de la recopilación o antes de realizarla, limitamos la recopilación a los datos necesarios y aplicamos principios de minimización de datos. Revisamos periódicamente nuestras prácticas de datos para eliminar el procesamiento innecesario e implementar medidas técnicas y organizativas para proteger tu privacidad.

Derechos de acceso principales

Nos comprometemos a garantizar que las personas tengan acceso adecuado a su información personal. Si lo solicitas, te brindaremos acceso a tus datos personales de manera oportuna, sujeto a la verificación de identidad y a los requisitos legales aplicables. Podemos denegar el acceso en circunstancias limitadas, como cuando lo exige la ley o cuando el acceso comprometería la privacidad de otros.

Evaluaciones de impacto en la privacidad

Realizamos evaluaciones de impacto en la privacidad para identificar y mitigar los riesgos relacionados con la información personal. Estas evaluaciones analizan nuestras actividades de procesamiento de datos, incluidos nuevos proyectos, sistemas o tecnologías, para garantizar el cumplimiento de las leyes de privacidad y los requisitos de seguridad. Cuando se identifican riesgos, implementamos medidas de seguridad adecuadas para proteger tus datos y tu privacidad.

Detalles de la limitación de la recopilación

Limitamos la recopilación de información personal a lo que es necesario para los fines identificados. Solo recopilamos datos que sean relevantes, que sean adecuados y que estén directamente relacionados con los fines legítimos descritos en esta política. La recopilación de datos se realiza a través de medios legales y transparentes, con el aviso y consentimiento adecuados cuando la ley aplicable lo requiera.

Base legal para el procesamiento

Procesamos la información personal según las siguientes bases legales en virtud de las leyes de privacidad aplicables:

• Consentimiento: cuando hayas dado tu consentimiento libre, específico e informado para actividades de procesamiento, como comunicaciones de marketing o recopilación opcional de datos.
• Ejecución del contrato: procesamiento necesario para cumplir con nuestro contrato de Servicios contigo o para tomar medidas que nos solicites antes de formalizar un contrato.
• Obligación legal: procesamiento necesario para cumplir con las leyes, las reglamentaciones o los procedimientos legales aplicables.
• Intereses legítimos: procesamiento necesario para nuestros intereses comerciales legítimos, como la seguridad, la prevención de fraudes y la mejora de nuestros servicios, siempre que dichos intereses no se vean anulados por tus derechos de privacidad.

Información que recopilamos

Usuarios de aplicaciones

• Información de la cuenta: nombre, dirección de correo electrónico y otros datos de contacto.
• Información del perfil: foto de perfil, biografía, información del país e información demográfica.
• Información sobre la interacción con la aplicación: tus respuestas y tu interacción con encuestas de bienestar, seminarios web y actividades de aprendizaje.
• Información de salud y actividad: datos sobre el sueño, el movimiento, la frecuencia cardíaca y otros datos de bienestar (incluidos los indicadores físicos, conductuales o emocionales) solo si decides proporcionarlos directamente o a través de un dispositivo portátil conectado.
• Comunicaciones: mensajes con nosotros o dentro de la aplicación, incluidas las solicitudes de soporte y las funciones sociales.
• Nota para usuarios menores de edad (de 13 a 15 años): Si los Servicios están disponibles para dependientes o familiares de entre 13 y 15 años a través de un programa patrocinado o autorizado por el empleador, Thrive procesa su información personal solo con el consentimiento verificado de los padres o tutores o mediante el consentimiento proporcionado por la organización patrocinadora, de conformidad con las leyes de privacidad infantil aplicables. Todo acceso de este tipo queda sujeto a la sección «Privacidad de los niños» de esta Política de privacidad.

Usuarios del sitio

• Datos personales que nos proporcionas: información ingresada durante el registro en el sitio (correo electrónico/contraseña) o enviada electrónicamente a través de formularios, solicitudes de contacto, registros de eventos o suscripciones por correo electrónico, que, generalmente, incluyen el nombre, detalles de contacto, información de la empresa y el número de teléfono.

Información recopilada de manera automática

• Datos de registro: dirección IP, tipo y configuración del navegador, fecha y hora de las solicitudes, y patrones de interacción.
• Cookies: información proveniente de las cookies y demás tecnologías (consulta la sección «Cookies»).
• Información del dispositivo: tipo de dispositivo, sistema operativo, configuraciones, identificadores únicos e información de la red.
• Información de uso: contenido visualizado, funciones usadas, acciones realizadas, interacciones del usuario y duración del uso.

Aviso de clasificación regulatoria

La plataforma de Thrive está diseñada como una solución de bienestar general que ayuda a las personas a desarrollar hábitos saludables y mejorar sus resultados de vida en general. Si bien podemos procesar información relacionada con la salud cuando eliges proporcionarla, nuestros Servicios:

• No pretenden diagnosticar, tratar, curar ni prevenir ninguna enfermedad o afección médica y no pretenden reemplazar el diagnóstico, el tratamiento ni el consejo de un profesional médico autorizado. Si tienes inquietudes sobre tu salud física o mental, consulta a un proveedor de atención médica calificado.
• No constituyen dispositivos médicos según las regulaciones de la Administración de Alimentos y Medicamentos (Food and Drug Administration, FDA).
• Proporcionan información general sobre el bienestar, no recomendaciones clínicas sobre la salud.
• Pueden ofrecerse a través de programas de bienestar del empleador sujetos a las regulaciones de la Comisión para la Igualdad de Oportunidades en el Empleo (Equal Employment Opportunity Commission, EEOC).
• Cuando nuestros Servicios se ofrecen a través del programa de bienestar de tu empleador, cumplimos con todas las regulaciones aplicables, incluidas la HIPAA (cuando actuamos como socio comercial), la Ley de Estadounidenses con Discapacidades (Americans with Disabilities Act, ADA), la Ley de No Discriminación por Información Genética (Genetic Information Nondiscrimination Act, GINA) y los requisitos de la EEOC para programas de bienestar.

Cómo usamos la información

Principios de limitación de uso

Limitamos estrictamente el uso de la información personal a los fines autorizados según se define en el momento de la recopilación. El uso de los datos sigue estando alineado con las justificaciones de la recopilación original y las bases legales. No procesamos información personal para fines incompatibles con aquellos para los que fue recopilada originalmente sin obtener el consentimiento correspondiente o establecer una nueva base legal.

Interés comercial legítimo

Mejora del servicio:

• Responder consultas y atender solicitudes de servicio.
• Personalizar los Servicios según patrones de uso y preferencias.
• Enviar información administrativa sobre los Servicios, los términos y los cambios en las políticas.
• Proporcionar, mantener y mejorar el contenido y la funcionalidad.

Investigación y gestión de datos:

• Realizar investigaciones y proporcionar información sobre el uso de manera agregada y anonimizada.
• Mantener datos básicos para evitar el procesamiento no deseado después de solicitudes de eliminación.

Seguridad y cumplimiento legal:

• Prevenir el fraude, la actividad delictiva y el uso indebido del servicio.
• Garantizar la seguridad de los sistemas de TI y cumplir con las obligaciones legales.
• Responder a solicitudes legales y hacer cumplir nuestros Términos y condiciones.
• Proteger nuestras operaciones, derechos y la seguridad de los usuarios.

Sistemas de IA que implementamos

Utilizamos la inteligencia artificial (IA), incluidas las tecnologías de aprendizaje automático, para mejorar nuestros Servicios. Los sistemas de IA que implementamos se clasifican de la siguiente manera:

Sistemas de IA de riesgo limitado (se aplican obligaciones de transparencia):

• Sistemas de generación de contenido: IA que crea contenido y recomendaciones de bienestar personalizados.
• Motores de recomendación: algoritmos de aprendizaje automático que sugieren micropasos y características.
• Chatbots y asistentes virtuales: herramientas de soporte impulsadas por IA.

Sistemas de IA de riesgo mínimo:

• Detección de fraude: IA que identifica actividades sospechosas y amenazas a la seguridad.
• Optimización del sistema: aprendizaje automático que mejora el rendimiento de las aplicaciones y la experiencia del usuario.
• Procesamiento de los análisis de datos: IA que genera información de uso anonimizada.

Cumplimiento de la Ley de IA de la UE

• Medidas de transparencia: divulgación clara a través de notificaciones apropiadas cuando la IA está involucrada en tu experiencia.
• Supervisión humana: todos los sistemas de IA funcionan bajo una supervisión humana significativa, con personal calificado que controla el rendimiento y la posibilidad de que los usuarios soliciten intervención humana.
• Precisión y robustez: las medidas adecuadas garantizan la confiabilidad de la IA, incluida la validación del rendimiento, el monitoreo de errores y sesgos, y la mejora continua.
• Gestión de riesgos: procedimientos de evaluación y mitigación de riesgos, que incluyen la evaluación de los sistemas, la documentación de capacidades y la respuesta ante incidentes.

Gobernanza de datos para el entrenamiento de la IA

• Datos de entrenamiento: utilizamos datos de usuarios de manera agregada y anonimizada, cumpliendo con las normativas de privacidad y seguridad.
• Modelos de terceros: no utilizamos tus datos personales para entrenar modelos de IA externos sin consentimiento explícito.
• Calidad de los datos: implementamos medidas para garantizar la precisión, representatividad y mitigación de sesgos en los datos de entrenamiento.

Tus derechos y controles sobre la IA

• Derechos de información: solicitar detalles sobre los sistemas de IA que te afectan significativamente, comprender la lógica de decisiones automatizadas y acceder a la información de datos de entrenamiento.
• Derechos de control: rechazar la personalización con IA, solicitar revisión humana, cuestionar el contenido generado por la IA.

Marketing

Es posible que nos comuniquemos contigo para informarte acerca de contenidos, servicios o productos que creemos que serán de tu interés. Cuando lo requiera la ley (por ejemplo, para los usuarios de la UE), solo enviaremos información de marketing con tu consentimiento.

Opciones de exclusión voluntaria: Sigue las instrucciones para cancelar la suscripción incluidas en los correos electrónicos, actualiza tus preferencias de usuario o contáctanos.

Las comunicaciones necesarias para brindar el servicio no se ven afectadas por las preferencias de exclusión de los mensajes de marketing.

Actualiza tu información

Brindamos acceso apropiado a la información personal a pedido, sujeto a la verificación de identidad y los requisitos legales. Implementamos medidas razonables para garantizar la precisión y la calidad de los datos. Si crees que la información es inexacta, contáctanos para corregirla.

Para ejercer los derechos de privacidad: visita https://preferences.thriveglobal.com/privacy o consulta la Información de contacto.

Resolución de quejas

Nos tomamos muy en serio los reclamos sobre nuestras prácticas de privacidad. Si tienes inquietudes sobre cómo manejamos tu información personal, contáctanos utilizando los datos que figuran en la sección «Información de contacto». Investigaremos rápidamente, confirmaremos recepción dentro de los siete días hábiles siguientes y trataremos de resolver los problemas en un plazo de 30 días. También puedes tener derecho a presentar un reclamo ante una autoridad supervisora.

Derechos de participación y reparación

Respetamos tu derecho a participar en las decisiones sobre tu información personal. Puedes solicitar el acceso a tus datos, que se corrijan o que se eliminen, sujeto a las leyes aplicables y a la verificación de identidad. Responderemos a las solicitudes dentro de plazos razonables y brindaremos soluciones o explicaciones, según lo exija la ley. Tienes derecho a impugnar nuestras decisiones de procesamiento y buscar reparación a través de los canales adecuados.

Marco de privacidad de datos

Participamos voluntariamente y cumplimos con el Marco de privacidad de datos (Data Privacy Framework, DPF) entre la UE y los EE. UU., incluida su extensión al Reino Unido, y el Marco de privacidad de datos entre Suiza y los EE. UU. Estamos sujetos a la supervisión de la Comisión Federal de Comercio (Federal Trade Commission, FTC) y seguimos siendo responsables si un proveedor o prestador de servicios procesa datos de manera incompatible con los principios del DPF.

Resolución de controversias: Contáctanos primero si tienes algún reclamo relacionado con el DPF. Los reclamos no resueltos se remiten a JAMS (Judicial Arbitration and Mediation Services) para una resolución alternativa de disputas, sin ningún costo para ti.

Datos de uso y programas de Thrive Global

Obtenemos información a partir del uso que haces de los Servicios y podemos crear datos agregados o anonimizados para análisis operativos, informes financieros, funciones de auditoría y otros fines comerciales. Al procesar datos de los programas de bienestar de los empleadores, nos aseguramos de que todos los informes agregados mantengan estándares de desidentificación adecuados para evitar la reidentificación individual.

En el caso de los programas de Thrive (seminarios web, eventos, concursos), la participación nos otorga el derecho de utilizar el contenido enviado para fines comerciales legítimos. La participación indica la aceptación de estos términos.

Compartir y divulgar información

Divulgación con fines comerciales legítimos

Vendedores y proveedores de Servicios: Compartimos datos con terceros para servicios de alojamiento, comunicaciones por correo electrónico, atención al cliente y análisis de datos (por ejemplo, Google Analytics, Google Cloud, Microsoft Azure). Todos los proveedores cumplen con estrictos estándares de privacidad a través de acuerdos escritos.

Transferencias comerciales: Los datos personales podrán transferirse en caso de fusiones, adquisiciones o ventas de activos.

Requisitos legales: Podemos divulgar datos para cumplir con obligaciones legales, proteger derechos/propiedad o garantizar la seguridad pública.

Intercambio de información según tus indicaciones

Podemos compartir datos cuando autorizas el acceso de terceros o eliges compartir informes de participación con clientes empresariales. Puedes compartir información voluntariamente con otros usuarios a través de las funciones comunitarias de la aplicación.

Reglamento General de Protección de Datos (GDPR), GDPR del Reino Unido y Ley de Protección de Datos de Suiza

Alcance y transferencias de datos

Esta sección se aplica a los usuarios del EEE, el Reino Unido y Suiza. Cuando accedes a nuestros Servicios, tus datos personales se transmiten a nuestros servidores en los EE. UU. con las garantías adecuadas, que incluyen las cláusulas contractuales estándares, las certificaciones del Marco de privacidad de datos, y medidas de seguridad técnicas y organizativas.

Roles de controlador y procesador de datos

Controlador de datos: Cuando proporcionas datos personales a través de nuestra plataforma, nosotros determinamos los fines del procesamiento y cumplimos con las leyes aplicables, incluida la realización de evaluaciones de impacto en la protección de datos, cuando sea necesario.

Procesador de datos: Al procesar datos para clientes empresariales, actuamos de acuerdo con sus instrucciones, según las obligaciones del procesador aplicables.

Tus derechos en virtud del GDPR

• Derecho de acceso: obtener confirmación del procesamiento y recibir copias de tus datos personales.
• Derecho a la rectificación: solicitar la corrección de datos personales inexactos o incompletos.
• Derecho a la supresión: solicitar la eliminación de tus datos cuando se cumplan determinadas condiciones.
• Derecho a la limitación del procesamiento: solicitar que limitemos el uso que hacemos de tus datos.
• Derecho a la portabilidad de datos: recibir datos en un formato estructurado y legible por máquina.
• Derecho a la oposición: oponerse al procesamiento que hacemos de tus datos personales en cualquier momento.
• Derecho a retirar el consentimiento: retirar el consentimiento previamente otorgado en cualquier momento.
• Derechos en relación con la toma de decisiones automatizada: no ser objeto de decisiones basadas únicamente en el procesamiento automatizado.
• Derecho a presentar un reclamo: presentar una reclamo ante la autoridad local encargada de la protección de datos.

Procedimientos de solicitud de acceso

Brindamos acceso apropiado a la información personal a pedido, sujeto a la verificación de identidad y los requisitos legales aplicables. Para solicitar acceso, contáctanos utilizando los datos que figuran en la sección «Información de contacto». Podemos denegar el acceso en circunstancias limitadas, como cuando lo exige la ley o cuando el acceso comprometería la privacidad de otros. En caso de rechazar el acceso, responderemos dentro de los plazos aplicables y proporcionaremos explicaciones.

Procedimientos para los derechos del titular de los datos

• Procesamiento de solicitudes: Mantenemos procedimientos estandarizados para gestionar las solicitudes relacionadas con los derechos de privacidad, que incluyen la verificación de identidad, la validación de la solicitud, la evaluación de excepciones y la coordinación de respuestas entre los distintos departamentos.
• Plazos de respuesta: Las solicitudes estándares reciben respuesta en un plazo de 30 días, con posibles extensiones de 60 días para solicitudes complejas. Te notificaremos de cualquier retraso y te explicaremos el motivo.
• Requisitos de verificación: La verificación de identidad puede incluir la confirmación por correo electrónico, la autenticación de la cuenta o un pedido de documentación adicional en el caso de solicitudes de alto riesgo para evitar el acceso fraudulento.

Transferencias internacionales de datos

Implementamos garantías apropiadas, que incluyen cláusulas contractuales estándares, decisiones de adecuación y medidas complementarias según lo exige el Artículo 46 del GDPR. Para las transferencias a países sin decisiones de adecuación, evaluamos el impacto de la transferencia e implementamos medidas técnicas y organizativas adicionales que incluyen encriptación mejorada, controles de acceso y protecciones contractuales para garantizar una protección adecuada.

Retención de datos

Conservamos los datos personales solo el tiempo que sea necesario para fines de recopilación, cumplimiento legal o resolución de disputas. Los datos se eliminan de forma segura mediante métodos estándares en la industria para borrar o anonimizar datos. Los períodos de retención se documentan y revisan anualmente.

Precisión y calidad de los datos

Nos esforzamos por mantener la precisión, integridad y relevancia de la información personal que guardamos. Implementamos medidas razonables para garantizar la calidad de los datos, como la actualización de los registros cuando se identifican inexactitudes. Si crees que tu información personal es inexacta o está incompleta, comunícate con nosotros para realizar correcciones utilizando los datos que figuran en la sección «Información de contacto».

Limitaciones de uso

Utilizamos información personal únicamente para los fines especificados en el momento de la recopilación y para fines compatibles. No utilizamos tus datos para fines no relacionados sin obtener el consentimiento correspondiente o establecer una nueva base legal. Nuestras actividades de procesamiento se documentan y revisan periódicamente para garantizar que sigan estando alineadas con los fines declarados.

Procesamiento de PHI y cumplimiento de la HIPAA

Podemos procesar información médica protegida (Protected Health Information, PHI) de conformidad con la HIPAA. La PHI incluye datos de salud tales como antecedentes médicos, datos biométricos e información de actividades relacionadas con la salud recopilados a través de programas de bienestar patrocinados por el empleador o cuando eliges explícitamente proporcionar dicha información. El procesamiento se limita estrictamente a respaldar nuestros Servicios bajo las garantías adecuadas, y la PHI solo se comparte con entidades autorizadas en virtud de Acuerdos de asociación comercial (Business Associate Agreements, BAA).

Períodos de retención de datos

• Registros de PHI y de PHI electrónica: un mínimo de seis años, según lo exige la HIPAA § 164.316(b)(2)(i), con requisitos específicos de cada estado que rigen en los casos en que se aplican períodos más largos.
• Registros de auditoría de la PHI: un mínimo de seis años para todos los sistemas que contienen o procesan PHI electrónica (ePHI), incluidos los registros de acceso, los registros de modificaciones y los registros de eventos de seguridad.
• Documentación de la HIPAA: seis años para toda la documentación relacionada con el cumplimiento de la HIPAA, lo que incluye políticas, procedimientos, evaluaciones de riesgo, registros de capacitación e informes de incidentes.

Retención general de datos:

• Datos de la cuenta: el periodo activo más un plazo de 90 días después de la eliminación, por motivos de seguridad.
• Datos de seguimiento del bienestar: hasta la finalización del contrato más un plazo de 90 días.
• Preferencias de marketing: hasta la cancelación de la suscripción, más cualquier período legalmente requerido.
• Comunicaciones de soporte: un año para ayudarnos a mejorar nuestros servicios.
• Registros de seguridad (no PHI): un año para protección del sistema y respuesta a incidentes.
• Registros comerciales: siete años según lo exigen las regulaciones financieras y fiscales.

Procedimientos de retención legal: Es posible que necesitemos conservar los datos durante más tiempo si es necesario para procedimientos legales, investigaciones o cuestiones regulatorias. Estas retenciones legales tienen prioridad sobre los plazos estándares de eliminación de datos, hasta que nuestro equipo legal las libere.

Subprocesadores

La siguiente es nuestra lista completa de subprocesadores y procesadores externos, cada uno sujeto a estrictos requisitos de privacidad y seguridad a través de acuerdos escritos. Esta lista se actualiza periódicamente; puedes unirte a nuestra lista de correo para recibir notificaciones de los cambios.

Todos los servicios:

• Coda*: participación del usuario y gestión de proyectos. 888 Villa St, piso 4, Mountain View, CA 94041
• Datagrail: automatización de la privacidad. 164 Townsend Street, Suite 12, San Francisco, CA 94107, EE. UU.
• Fivetran: canal de extracción, transformación y carga de datos. 405 14th St, piso 11, Oakland, CA 94612, EE. UU.
• Google Cloud Platform: almacén de datos. 1600 Amphitheatre Pkwy, Mountain View, CA 94043, EE. UU.
• Google Workspace*: creación de contenido. 1600 Amphitheatre Pkwy Mountain View, CA 94043, EE. UU.
• HubSpot: marketing por correo electrónico. 25 First Street, 2nd Floor Cambridge, MA 02141
• Looker: análisis de datos. 101 Church Street, 4.º piso, Santa Cruz, CA 95060, EE. UU.
• Microsoft Azure: proveedor de servicios de alojamiento en la nube. One Microsoft Way, Redmond, WA 980527, EE. UU.
• Rethink Autism*: proveedor de atención a personas neurodivergentes. 49 West 27th Street, Nueva York, NY 10001
• Salesforce: gestión de relaciones con el cliente. The Landmark @ One Market, Suite 300 San Francisco, CA 94105, EE. UU.
• Segment: análisis de datos de usuarios. 100 California Street, Suite 700 San Francisco, CA 94111, EE. UU.
• Typeform*: plataforma de encuestas. Calle de Pallars 108 (Aticco), 08018, Barcelona (España)
• Zapier*: automatización del flujo de trabajo. 548 Market St. #62411, San Francisco, CA 94104
• Zendesk: software de soporte al usuario. 450 Park Ave S, Nueva York, NY 10016

Subprocesadores de sitios únicamente:

• Webflow: alojamiento web de marketing. 398 11th Street, 2.º piso, San Francisco, CA 94103

Subprocesadores de aplicaciones únicamente:

• Amazon Web Services*: SFTP. 410 Terry Avenue North, Seattle, WA 98109, EE. UU.
• Datadog: plataforma de monitoreo de infraestructura y seguridad. 620 8th Avenue, Piso 45, Nueva York, NY 10018
• HumanAPI*: integración con dispositivos portátiles. 951 Mariners Island Blvd., Suite 300
• Qualtrics: plataforma de encuestas. 333 W River Park Dr, Provo, UT 84604, EE. UU.
• Mailgun: correo electrónico transaccional . 112 E Pecan Street, San Antonio, TX 78205, EE. UU.

* Es posible que no aplique para todos los usuarios.

Requisitos de privacidad para contratistas y procesadores

Todos los contratistas y procesadores cumplen con estándares estrictos a través de acuerdos escritos que exigen el cumplimiento del GDPR, la CCPA y la HIPAA, medidas de seguridad adecuadas, notificaciones de infracciones en un plazo de 72 horas, auditorías periódicas, y la devolución o destrucción de datos al finalizar el contrato.

Informe de incidentes de privacidad

Mantenemos mecanismos de informes transparentes para documentar y abordar incidentes, consultas y actividades normativas en relación con la privacidad. Revisamos periódicamente nuestras prácticas de privacidad e informamos a las partes interesadas relevantes, incluidos los reguladores, según lo exige la ley. En caso de una violación de datos, notificaremos rápidamente a las personas y autoridades afectadas, de acuerdo con las obligaciones legales aplicables.

Divulgación de privacidad de California

Indicaciones de No rastrear y CCPA

No respondemos a las indicaciones de «No rastrear». No vendemos información personal a cambio de una contraprestación monetaria, pero la definición amplia de «venta» de la ley de California requiere la divulgación del intercambio de datos de cookies con proveedores externos.

Derechos del consumidor de California

Derechos de información: categorías y fuentes de información personal recopilada, fines de procesamiento, categorías de intercambio con terceros y fines de divulgación comercial.

Derechos de control: exclusión voluntaria de la «venta» de datos, solicitud de eliminación (sujeto a excepciones) y no discriminación en el ejercicio de derechos.

Cómo ejercer derechos: visita https://preferences.thriveglobal.com/privacy o consulta la Información de contacto.

Privacidad de los niños

Los servicios de Thrive están destinados a ser utilizados por personas de 16 años o más a través de programas patrocinados por el empleador. No recopilamos intencionalmente información personal de niños menores de 16 años sin el consentimiento correspondiente de un padre, tutor o empleado autorizado de la organización participante. Si nos damos cuenta de que se ha recopilado información personal de un niño sin el consentimiento necesario, eliminaremos dicha información de inmediato y tomaremos medidas para evitar futuras recopilaciones. Para los usuarios menores de 18 años, el acceso a los Servicios puede requerir el permiso de los padres o tutores, de acuerdo con las leyes aplicables, como la Ley de Protección de la Privacidad Infantil en Línea (Children's Online Privacy Protection Act, COPPA), la CCPA/CPRA y el GDPR. Thrive no comercializa sus Servicios directamente a niños ni permite el autorregistro por parte de menores. Si crees que es posible que hayamos recopilado información de un niño en violación de esta sección, comunícate con nosotros de inmediato a privacy@thriveglobal.com.

Programa de cumplimiento de la HIPAA

Cumplimiento normativo de la HIPAA

• Cumplimiento de las normas de privacidad: Cumplimos con los requisitos de la Norma de privacidad de la HIPAA, incluidos los derechos individuales, los estándares mínimos necesarios, el aviso de prácticas de privacidad, y las salvaguardas administrativas, físicas y técnicas.
• Cumplimiento de las normas de seguridad: Implementamos las especificaciones de implementación requeridas y direccionables según la Regla de seguridad de HIPAA, con decisiones documentadas respecto a las especificaciones direccionables basadas en evaluaciones de riesgos y capacidades organizacionales.
• Aplicación y sanciones: Reconocemos la autoridad de cumplimiento de la HIPAA por parte de la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos, y mantenemos programas de cumplimiento para prevenir infracciones que puedan ocasionar sanciones monetarias civiles o procesos penales.
• Cumplimiento de la ley estatal: Cumplimos con las leyes de privacidad y seguridad estatales aplicables que pueden brindar protecciones adicionales para la información de salud más allá de los requisitos de la HIPAA.

Responsable de privacidad y Responsable de seguridad

Responsable de privacidad: responsable de desarrollar, implementar y mantener políticas y procedimientos de privacidad, realizar capacitaciones sobre privacidad, investigar reclamos y garantizar el cumplimiento de los requisitos de la Normativa de privacidad de la HIPAA.

Responsable de seguridad: responsable de desarrollar, implementar y mantener políticas y procedimientos de seguridad, ofrecer capacitación en seguridad, gestionar controles de acceso y garantizar el cumplimiento de los requisitos de la Normativa de seguridad de la HIPAA.

Gestión de asociaciones comerciales

Acuerdos de asociaciones comerciales (BAA): Todos los proveedores, contratistas y subprocesadores que manejan PHI en nuestro nombre deben celebrar Acuerdos de asociaciones comerciales que incluyan lo siguiente:

• Usos y divulgaciones permitidos de la PHI.
• Medidas de seguridad para evitar el uso o la divulgación no autorizados.
• Requisitos de notificación de infracciones.
• Devolución o destrucción de la PHI al finalizar el contrato.
• Derechos de supervisión del cumplimiento y auditoría.

Supervisión de subcontratistas: Los socios comerciales deben obtener nuestra aprobación antes de contratar subcontratistas y garantizar la ejecución adecuada de los BAA con todos los subcontratistas que manejen PHI.

Evaluación de riesgos y supervisión del cumplimiento de la HIPAA

Evaluaciones de riesgos anuales: Realizamos evaluaciones de riesgos anualmente para identificar vulnerabilidades, evaluar las protecciones actuales y determinar medidas de seguridad adicionales necesarias para la protección de la ePHI.

Capacitación de la fuerza laboral: Todos los miembros del personal reciben capacitación sobre privacidad y seguridad de la HIPAA al momento de ser contratados y anualmente a partir de entonces, con capacitación específica para cada función para el personal con responsabilidades de acceso a PHI.

Monitoreo del cumplimiento: Mantenemos un seguimiento continuo del cumplimiento a través de lo siguiente:

• Revisiones periódicas de registros de auditoría y monitoreo de acceso.
• Revisiones trimestrales de control de acceso y validación de privilegios.
• Revisiones y actualizaciones anuales de políticas y procedimientos.
• Seguimiento de incidentes y gestión de acciones correctivas.

Estándar mínimo necesario: Limitamos el uso, la divulgación y las solicitudes de PHI al mínimo necesario para lograr el fin previsto, excepto las divulgaciones al individuo o cuando estén específicamente autorizadas.

Derechos individuales en virtud de la HIPAA. Tienes derecho a lo siguiente:

• Acceder y obtener copias de tu PHI.
• Solicitar modificaciones a PHI inexacta o incompleta.
• Solicitar restricciones sobre el uso o la divulgación de PHI.
• Solicitar comunicaciones confidenciales.
• Recibir un recuento de las divulgaciones de PHI.
• Presentar quejas sobre el manejo de PHI.

Medidas de seguridad de la HIPAA

Garantías administrativas:

• Oficial de seguridad de la HIPAA designado responsable de la seguridad de la ePHI.
• Procedimientos de capacitación de la fuerza laboral y gestión del acceso.
• Gestión del acceso a la información basada en principios mínimos necesarios.
• Procedimientos de incidentes de seguridad y planificación de contingencias.
• Evaluaciones de seguridad y evaluaciones de riesgos periódicas.

Medidas de seguridad físicas:

• Controles de acceso a las instalaciones que restringen el acceso físico a los sistemas de ePHI.
• Controles de dispositivos y medios para la creación, la recepción y el mantenimiento de la ePHI.
• Procedimientos de eliminación segura de dispositivos y medios que contienen ePHI.

Salvaguardias técnicas:

• Identificación de usuario única y procedimientos de cierre de sesión automático.
• Cifrado de ePHI en reposo (AES-256) y en tránsito (TLS 1.2+).
• Controles de auditoría que rastrean el acceso y las modificaciones de ePHI.
• Controles de integridad que previenen la alteración no autorizada de ePHI.
• Seguridad de transmisión para comunicaciones de ePHI.

Seguridad

Revisamos y actualizamos periódicamente nuestras prácticas de seguridad para cumplir con las amenazas cambiantes y las expectativas regulatorias. Si bien tomamos medidas estrictas para proteger tu información, ninguna transmisión por Internet o correo electrónico es completamente segura. Ten cuidado al compartir información confidencial por correo electrónico o mediante canales de comunicación abiertos. Thrive no puede garantizar las acciones de otros usuarios con quienes elijas compartir información y no somos responsables de ninguna elusión de las configuraciones de privacidad o las funciones de seguridad dentro de los Servicios. Para obtener información adicional sobre la postura de seguridad y la certificación de Thrive, consulta https://thriveglobal.com/security.

Cookies

Utilizamos cookies y otras tecnologías para operar los Servicios, mejorar la experiencia del usuario y recopilar datos de uso.

Tipos de cookies

Cookies necesarias (siempre activas):

• HubSpot: preferencias de privacidad (__hs_do_not_track, __hs_cookie_cat_pref)
• Cloudflare: protección de seguridad (_cfuvid)

Cookies de funcionalidad (opcionales):

• Spotify: preferencias musicales (sp_landing, sp_t)

Cookies de análisis de datos (opcionales):

• HubSpot: seguimiento de uso (hubspotutk, __hstc, __hssrc, __hssc)
• Thrive Global: seguimiento de la interacción (ajs_anonymous_id)
• Google Analytics: análisis de tráfico (_gat_gtag_UA_87667366_5, _ga_C4ZNYJBEB7, _ga_0S15647RW6, _ga, _gid)
• Rippling: monitoreo del rendimiento (__cf_bm)
• YouTube: análisis de video (YSC)
• Motor de WordPress: pruebas de funcionalidad (wordpress_test_cookie)

Cookies publicitarias (opcionales):

• YouTube: personalización de anuncios (VISITOR_INFO1_LIVE)

Tus opciones

La mayoría de los navegadores permiten controlar las cookies a través de la configuración. Limitar las cookies puede afectar la funcionalidad del sitio. El control del seguimiento de dispositivos móviles puede ser limitado.

Enlaces a otros sitios web

Los Servicios pueden contener enlaces a sitios de terceros que no controlamos. El intercambio de información de sitios de terceros se rige por sus propias políticas de privacidad, no por las nuestras. No implicamos ninguna aprobación de los sitios vinculados.

Información de contacto

Equipo de privacidad

• Correo electrónico: privacy@thriveglobal.com
• Portal de privacidad: https://preferences.thriveglobal.com/privacy
• Teléfono: 1-888-700-8474

Delegado de protección de datos

• Correo electrónico: dpo@thriveglobal.com

Equipo de seguridad

• Correo electrónico: security@thriveglobal.com

Dirección postal

Thrive Global Holdings, Inc.
599 Broadway, 6th Floor
New York, NY 10012

Tel.: 1-888-700-8474

Residentes de la UE/Reino Unido/Suiza (DataRep)

• Formulario en línea: www.dpr.eu.com/thriveglobal
• Correo electrónico: thriveglobal@datarep.com
• Irlanda: DataRep, Phoenix House, Monahan Road, Cork, T12 H1XY, República de Irlanda
• Islandia: DataRep, Laugavegur 13, 101 Reykjavik, Islandia

---

© 2025 Thrive Global Holdings, Inc. Todos los derechos reservados.