Política de Privacidad
Última actualización: 26 de junio de 2026
1. Introducción e identificación
La NexTool Soluções em TI LTDA, inscrita en el CNPJ con el nº 38.239.534/0001-48 ("NexTool", "NexTool Solutions", "nosotros" o "nuestro"), responsable del dominio nextoolsolutions.com y de los servicios asociados a él, respeta la privacidad de los titulares de datos y está comprometida con la protección de los datos personales que trata, en conformidad con la Ley nº 13.709/2018 (Ley General de Protección de Datos Personales - LGPD).
Esta Política de Privacidad describe cómo tratamos los datos personales en los tres frentes de nuestro ecosistema:
- Sitio institucional (nextoolsolutions.com): páginas informativas, blog, formulario de contacto y newsletter;
- Portal de clientes (app.nextoolsolutions.com): registro, autenticación, gestión de cuenta, contratación, pago y licenciamiento de módulos;
- Plugin NexTool para GLPI y sus módulos: software instalado en la infraestructura del cliente, incluyendo funcionalidades de inteligencia artificial, mensajería e integraciones con servicios externos.
Al utilizar cualquiera de estos frentes, declaras estar al tanto de esta Política. Te recomendamos su lectura íntegra. En caso de duda, utiliza el canal del Encargado indicado en la sección 14.
2. Roles en el tratamiento: Responsable y Encargado
La LGPD distingue al Responsable (a quien competen las decisiones sobre el tratamiento - Art. 5º, VI) del Encargado (quien trata datos en nombre del Responsable - Art. 5º, VII). En nuestro ecosistema, NexTool actúa en los dos roles, dependiendo del frente:
| Frente | Rol de NexTool | Responsable de los datos |
|---|---|---|
| Sitio institucional | Responsable | NexTool |
| Portal de clientes (cuenta, pago, licenciamiento) | Responsable | NexTool |
| Plugin y módulos ejecutándose dentro del GLPI del cliente | Encargado | El cliente (organización que opera la instancia GLPI) |
Lo que esto significa en la práctica: cuando navegas en nuestro sitio o creas una cuenta en el Portal, NexTool decide las finalidades y los medios del tratamiento y es tu interlocutora directa. En cambio, los datos que viven dentro de la instancia GLPI del cliente (usuarios, tickets, adjuntos) pertenecen al cliente, que es el Responsable; en esos casos NexTool actúa como Encargada, tratando los datos por cuenta y orden del cliente, conforme al contrato e instrucciones. Si eres colaborador de una organización cliente y deseas ejercer derechos sobre datos tratados dentro de su GLPI, tu solicitud debe dirigirse primero a tu organización (Responsable); NexTool dará soporte en su calidad de Encargada.
3. Datos que tratamos, por frente
3.1 Sitio institucional (NexTool como Responsable)
- Datos del formulario de contacto: nombre, e-mail, teléfono, asunto y contenido del mensaje (texto libre, que puede contener otros datos que decidas informar).
- Newsletter: dirección de e-mail y fecha de la suscripción, cuando optas por recibirla.
- Datos técnicos de navegación: dirección IP, User-Agent (navegador y sistema operativo), páginas accedidas, fecha y hora, estado y tiempo de respuesta.
- Métrica de audiencia del blog: identificadores de visualización para el conteo de accesos por publicación. Cuando utilizamos la dirección IP para esa finalidad, esta se anonimiza/trata de forma que no permita la identificación directa del visitante.
- Comentarios del blog: cuando comentas a través del sistema de comentarios integrado (GitHub Discussions/giscus), tu login, avatar y el contenido del comentario son tratados directamente por la plataforma GitHub.
- Datos de medición y publicidad: identificadores y cookies de medición (Google Analytics) y de publicidad (Google AdSense), cargados solo después de tu consentimiento (ver sección 6).
3.2 Portal de clientes (NexTool como Responsable)
- Datos de cuenta y contacto: nombre, e-mail, teléfono (e indicación de si es WhatsApp), empresa, cargo y foto de perfil (cuando se envía).
- Datos fiscales: CPF y/o CNPJ y, cuando corresponda, fecha de nacimiento, solicitados en el momento de la contratación/checkout para la emisión de cobro y el cumplimiento de obligaciones fiscales.
- Credenciales y secretos de autenticación: contraseña (almacenada de forma cifrada), tokens de "recordarme" y secretos de autenticación en dos factores (2FA/MFA). Estos datos se mantienen cifrados y no son accesibles en texto claro por nuestro equipo.
- Identidad de login social (cuando usas SSO): al ingresar con Google, GitHub, Microsoft o LinkedIn, recibimos del proveedor tu nombre, e-mail y un identificador de la cuenta.
- Datos de pago: el procesamiento de la tarjeta lo realiza Stripe. No almacenamos el número completo de la tarjeta; mantenemos solo un espejo mínimo (identificador del cliente en Stripe, marca y los cuatro últimos dígitos) y los datos de la suscripción.
- Datos de licenciamiento: clave y situación de la licencia, plan, módulos habilitados, vínculo entre tu cuenta y el entorno GLPI al que se aplica la licencia, y registros de transacciones.
- Datos de sesión, dispositivo y auditoría: dirección IP, User-Agent, registros de acceso y traza de auditoría de las acciones relevantes (ej.: login, vínculo de entorno, alteración de licencia).
- Preferencias y comunicación: preferencias de visualización y opción (opt-in) de recepción de comunicados y novedades.
3.3 Plugin NexTool y módulos (NexTool como Encargado)
El plugin NexTool y sus módulos se ejecutan dentro de la instancia GLPI del cliente, sobre los datos que pertenecen al cliente (usuarios, tickets, adjuntos). En esos tratamientos NexTool actúa como Encargada. Las categorías de datos involucradas dependen de los módulos activados por el cliente e incluyen:
- Identificación de usuarios de GLPI (nombre, e-mail, login) de técnicos, agentes y solicitantes;
- Contenido de tickets ITIL (descripciones, seguimientos, tareas, soluciones y adjuntos), que puede contener datos personales de terceros informados por el solicitante;
- Identidad corporativa vía Microsoft Teams/Azure AD (nombre, e-mail corporativo, identificador de la cuenta y tenant) y contenido de los mensajes, cuando el cliente activa el asistente de atención por Teams;
- Teléfono/WhatsApp, identificador de Telegram y contenido de los mensajes, cuando se activan los módulos de mensajería;
- Geolocalización (coordenadas), capturada solo mediante autorización explícita del usuario en el navegador, cuando se activa el módulo de geolocalización;
- Datos de firmante (nombre, e-mail, CPF, documento y teléfono para validación) cuando se activa el módulo de firma digital;
- Datos de solicitante/aprobador en integraciones de compra B2B;
- Datos de tickets sincronizados entre instancias GLPI, cuando se activa la sincronización.
Además, para viabilizar el licenciamiento (relación en la que NexTool es Responsable), el plugin se comunica con nuestra infraestructura (ContainerAPI) enviando datos técnicos de la instalación, como un identificador del entorno, el dominio de la instancia y contadores de validación de licencia. Estos datos se destinan al control de licencia, distribución de módulos y prevención de fraude.
4. Finalidades del tratamiento
Tratamos datos personales para las siguientes finalidades, según el frente:
- Sitio: responder solicitudes de contacto (con apertura de ticket en nuestro GLPI), llevar a cabo diligencias precontractuales y comerciales, enviar newsletter mediante consentimiento, garantizar la seguridad y prevenir fraude/abuso, medir audiencia (mediante consentimiento) y viabilizar comentarios en el blog.
- Portal: crear y mantener la cuenta, autenticar el acceso (incluyendo 2FA y login social), procesar la contratación y el pago, emitir y gestionar licencias, vincular la cuenta al entorno GLPI, prestar soporte, cumplir obligaciones fiscales y legales, prevenir fraude y mantener traza de auditoría.
- Plugin/módulos: ejecutar las funcionalidades contratadas por el cliente (asistencia por IA, mensajería, firma digital, sincronización, geolocalización, etc.) por cuenta y orden del cliente Responsable, y operar el control de licencia.
5. Bases legales
El tratamiento se fundamenta en las bases legales de la LGPD aplicables a cada finalidad:
- Ejecución de contrato y diligencias precontractuales (Art. 7º, V): cuenta, autenticación, contratación, pago, licenciamiento y vínculo de entorno; atención al contacto comercial; ejecución de los módulos por cuenta del cliente.
- Cumplimiento de obligación legal o regulatoria (Art. 7º, II): datos fiscales (CPF/CNPJ, transacciones) y guarda de registros de acceso a aplicaciones, en los términos del Marco Civil da Internet (Lei nº 12.965/2014).
- Interés legítimo (Art. 7º, IX): seguridad de la información, prevención del fraude, auditoría, telemetría de uso y métricas, siempre mediante evaluación de proporcionalidad y respeto a tus expectativas y derechos.
- Consentimiento (Art. 7º, I, y Art. 8º): newsletter y comunicaciones de marketing, cookies de medición y publicidad, captura de geolocalización y tratamientos específicos que lo exijan. El consentimiento puede revocarse en cualquier momento.
Cuando NexTool actúa como Encargada (plugin/módulos), la base legal la define el cliente Responsable; NexTool trata los datos conforme a las instrucciones y el contrato.
6. Cookies y tecnologías de rastreo
Utilizamos cookies y tecnologías similares clasificadas por categoría. Las cookies no esenciales (medición y publicidad) se cargan solo después de tu consentimiento, manifestado en el banner de consentimiento, que permite aceptar o rechazar por categoría y cambiar la elección en cualquier momento.
Sitio institucional:
| Cookie/tecnología | Categoría | Finalidad |
|---|---|---|
| Preferencia de tema (localStorage) | Necesario | Recordar el modo claro/oscuro; no sale del navegador |
| cookie_consent | Necesario | Registrar tus preferencias de consentimiento |
| Cloudflare Turnstile | Funcional | CAPTCHA del formulario de contacto |
| Cloudflare (CDN/seguridad) | Necesario | Distribución y protección del sitio |
| giscus (GitHub) | Funcional | Comentarios del blog (login gestionado por GitHub) |
| Google Analytics (_ga, _ga_*) | Medición | Medición de audiencia - cargado solo después del consentimiento |
| Google AdSense (__gads, __gpi etc.) | Publicidad | Anuncios y perfilado - cargado solo después del consentimiento |
Portal de clientes: utiliza cookies estrictamente necesarias para el funcionamiento (sesión autenticada, protección CSRF, "recordarme" y estado del flujo de login social). Por ser esenciales para la prestación del servicio, no requieren consentimiento, pero se listan aquí por transparencia.
7. Tratamiento automatizado e Inteligencia Artificial
Algunos módulos del plugin ofrecen funcionalidades basadas en inteligencia artificial (por ejemplo, resumen de tickets, sugerencia de respuesta, análisis de sentimiento, búsqueda semántica y traducción) y asistentes de atención automatizada (chatbots en Teams, WhatsApp y Telegram).
- Estos recursos procesan el contenido de los tickets para generar la asistencia solicitada, pero no toman decisiones automatizadas con efectos jurídicos o que afecten significativamente al titular (Art. 20 de la LGPD); la atención la conduce un equipo humano, y puedes solicitar revisión humana.
- En varios módulos se adopta el modelo BYOK ("trae tu propia clave"): el proveedor de IA es contratado y configurado por el propio cliente, que determina a qué servicio se envía el contenido.
- Cuando estos recursos envían datos a proveedores externos, se aplican las secciones 8 (subencargados) y 9 (transferencia internacional).
8. Compartición, encargados y subencargados
No vendemos tus datos personales. Compartimos datos solo con encargados y socios necesarios para la prestación de los servicios, dentro de los límites de las finalidades de esta Política. Los principales son:
| Socio | Función | Frente |
|---|---|---|
| Cloudflare | CDN, seguridad, CAPTCHA | Sitio |
| Google Analytics | Medición de audiencia (tras consentimiento) | Sitio |
| Google AdSense | Publicidad (tras consentimiento) | Sitio |
| GitHub (giscus) | Comentarios del blog | Sitio |
| Google / GitHub / Microsoft / LinkedIn | Login social (SSO) | Portal |
| Stripe | Procesamiento de pago y suscripciones | Portal |
| Brevo | Envío de e-mails transaccionales (verificación, restablecimiento de contraseña) | Portal |
| Hostinger | Alojamiento de infraestructura | Portal/infra |
| OpenAI, Google, Anthropic | Proveedores de IA (resumen, respuesta, traducción, embeddings) | Módulos |
| NexSuite (api-chat) | Orquestación del asistente de chat | Módulos |
| Microsoft 365/Teams | Canal e identidad del asistente por Teams | Módulos |
| WhatsApp/Meta, Telegram | Mensajería | Módulos |
| DeepL, Google Translate | Traducción | Módulos |
| Mercado Eletrônico | Solicitudes de compra B2B | Módulos |
| Autentique | Firma digital | Módulos |
| Proveedores de geocodificación | Conversión de coordenadas en dirección | Módulos |
La lista detallada y actualizada de encargados puede solicitarse al Encargado (sección 14). En los tratamientos en los que NexTool es Encargada, los socios anteriores actúan como subencargados, y la compartición ocurre por cuenta y orden del cliente Responsable.
9. Transferencia internacional de datos
Algunos encargados y socios están ubicados o procesan datos fuera de Brasil (por ejemplo, en Estados Unidos y en la Unión Europea), entre ellos Google, Microsoft, Stripe, Brevo, OpenAI, Anthropic, DeepL, Meta, Telegram y proveedores de geocodificación. El backend de orquestación de chat (NexSuite) también puede procesar datos fuera de Brasil. En esos casos, la transferencia internacional observa lo dispuesto en los Arts. 33 a 36 de la LGPD, mediante garantías de nivel adecuado de protección, como cláusulas contractuales estándar y los compromisos de privacidad de los propios proveedores.
La infraestructura operada por la propia NexTool se mantiene en Brasil, sin transferencia de esos datos a terceros para finalidades propias: la instancia GLPI del sitio, la infraestructura de licenciamiento (ContainerAPI) y el gateway de mensajería WhatsApp. Los módulos de firma digital (Autentique) y de compra B2B (Mercado Eletrônico) son proporcionados por empresas brasileñas; en la medida en que cualquier procesamiento ocurra fuera de Brasil, se aplica igualmente el régimen de transferencia internacional anterior.
10. Retención y eliminación
Mantenemos los datos personales solo durante el tiempo necesario para las finalidades para las que fueron recogidos, observados los plazos legales. Criterios por categoría:
| Categoría | Criterio de retención |
|---|---|
| Contacto/ticket (sitio) | Mientras dure la atención y por el plazo de guarda contractual/legal aplicable |
| Newsletter | Hasta la revocación del consentimiento (baja), que puede hacerse en cualquier momento |
| Logs de acceso | Por el plazo de seguridad/diagnóstico, observado el mínimo legal del Marco Civil |
| Métricas de audiencia | Por un período limitado, de forma agregada/anonimizada |
| Cuenta y licenciamiento (portal) | Durante la vigencia de la relación contractual y por los plazos legales subsiguientes |
| Datos fiscales y transacciones | Por los plazos exigidos por la legislación fiscal/contable |
| Traza de auditoría | Por un período compatible con las finalidades de seguridad y prueba |
Finalizados los plazos, los datos se eliminan o anonimizan, salvo en los supuestos de guarda obligatoria (Art. 16 de la LGPD).
11. Derechos del titular
En los términos del Art. 18 de la LGPD, puedes, en cualquier momento:
- confirmar la existencia de tratamiento y acceder a tus datos;
- corregir datos incompletos, inexactos o desactualizados;
- solicitar la anonimización, el bloqueo o la eliminación de datos innecesarios, excesivos o tratados en disconformidad;
- solicitar la portabilidad de los datos;
- solicitar la eliminación de los datos tratados con base en el consentimiento;
- obtener información sobre la compartición de tus datos;
- revocar el consentimiento;
- oponerte a un tratamiento realizado con base en el interés legítimo.
En el Portal, ponemos a disposición medios para la actualización de los datos de cuenta y para la solicitud de eliminación/anonimización de la cuenta, salvo los datos que debemos retener por obligación legal (ej.: registros fiscales).
Para los datos tratados dentro del GLPI del cliente (en los que NexTool es Encargada), dirige la solicitud a la organización Responsable; NexTool dará soporte a la atención.
Para ejercer tus derechos, utiliza el canal del Encargado (sección 14).
12. Seguridad de la información
Adoptamos medidas técnicas y organizativas para proteger los datos, incluyendo: conexión HTTPS/TLS; almacenamiento con cifrado y controles de acceso; autenticación en dos factores y secretos cifrados en el Portal; aislamiento por instancia y por base de datos de cada cliente; comunicación firmada (HMAC) entre componentes; principio del menor privilegio; y registros de auditoría. Los accesos administrativos a datos de clientes (incluyendo la funcionalidad de visualización asistida de cuenta en el Portal) son controlados y auditados.
13. Gestión de incidentes
Mantenemos procesos para la detección, respuesta y contención de incidentes de seguridad. En caso de que ocurra un incidente que pueda acarrear riesgo o daño relevante a los titulares, comunicaremos a la Autoridad Nacional de Protección de Datos (ANPD) y a los titulares afectados, en los términos del Art. 48 de la LGPD. Cuando actuamos como Encargada, comunicaremos al cliente Responsable para que él cumpla sus deberes.
14. Encargado del Tratamiento de Datos (DPO)
NexTool pone a disposición un canal de contacto con su Encargado para aclaraciones sobre esta Política y para el ejercicio de derechos:
- Encargado: Richard Loureiro Leite
- E-mail: privacidade@nextoolsolutions.com
15. Cambios en esta Política
Podemos actualizar esta Política en cualquier momento. En caso de cambios relevantes, revisaremos la fecha de "última actualización" en la parte superior y, cuando sea apropiado, lo comunicaremos por los canales disponibles. El uso continuado tras la vigencia de los cambios implica el conocimiento de la versión actualizada.
16. Contacto y foro
Para cuestiones sobre esta Política, contáctanos en privacidade@nextoolsolutions.com. Esta Política se rige por la legislación brasileña. Se elige el foro de la Comarca de São João del-Rei/MG para dirimir controversias, con renuncia a cualquier otro.