TRACIO está diseñado con la privacidad como principio arquitectónico central. El sistema identifica dispositivos sin recopilar ninguna información de identificación personal (PII). TRACIO es un servicio cloud gestionado: procesa datos en su nombre en la región que elija (UE o EE. UU.), y usted sigue siendo el responsable del tratamiento (data controller).
TRACIO recopila únicamente señales técnicas del navegador. Ninguna de las más de 130 señales contiene información de identificación personal:
| Qué recopilamos | Qué NO recopilamos |
|---|---|
| Hash de renderizado de canvas | Nombres, correos, direcciones |
| Parámetros de GPU de WebGL | Números de teléfono |
| Características de procesamiento de audio | Números de seguridad social |
| Disponibilidad de fuentes | Números de tarjeta de crédito |
| Resolución de pantalla | Contraseñas |
| Versión del navegador | Valores de campos de formulario |
| Zona horaria | Historial de navegación |
| Preferencias de idioma | Pulsaciones de teclado |
El identificador de visitante (visitorId) es un hash unidireccional derivado de las características del dispositivo. No se puede revertir para recuperar los valores originales de las señales.
TRACIO opera enteramente como un servicio de origen (first-party):
_vid_t es una cookie de origen (SameSite=Lax, Secure en HTTPS)Usted es el responsable del tratamiento (data controller); TRACIO es el encargado del tratamiento (data processor) que actúa según sus instrucciones. Los datos se procesan en la región que seleccione (UE o EE. UU.) y no se replican entre regiones. La retención se establece según su plan; el acceso se controla a través del panel (roles de workspace).
Bajo el RGPD, necesita una base jurídica para tratar datos personales. El fingerprinting de dispositivos puede considerarse tratamiento de datos personales según su jurisdicción y caso de uso. Las bases jurídicas comunes incluyen:
| Base jurídica | Caso de uso | Notas |
|---|---|---|
| Interés legítimo (Art. 6(1)(f)) | Prevención del fraude, detección de bots, seguridad de cuentas | La base más común. Requiere una evaluación de interés documentada. |
| Consentimiento (Art. 6(1)(a)) | Rastreo general de visitantes, analítica | Requiere una aceptación explícita (opt-in) mediante banner de cookies. |
| Ejecución de un contrato (Art. 6(1)(b)) | Funcionalidad esencial del servicio | Cuando la identificación es necesaria para prestar el servicio. |
TRACIO establece una cookie de origen (_vid_t) con una caducidad de 365 días. Bajo la Directiva ePrivacy y el RGPD:
tracio.getResult().import { Tracio } from "@tracio/sdk"
// Only initialize TRACIO after consent is grantedif (hasConsent("fingerprinting")) { const tracio = Tracio.init({ publicKey: "5ca175fc..." }) const result = await tracio.getResult()}Puede aplazar la identificación hasta que el usuario dé su consentimiento (opt-in). La recopilación de señales sigue funcionando después; la confianza es menor para los visitantes que regresan cuando no hay disponible ningún atajo basado en cookies:
import { Tracio } from "@tracio/sdk"
const tracio = Tracio.init({ publicKey: "5ca175fc..." })// call getResult() only after consent is grantedUsted es el responsable del tratamiento, así que gestiona las solicitudes del interesado. TRACIO le da las herramientas para satisfacerlas:
| Derecho | Implementación |
|---|---|
| Derecho de acceso (Art. 15) | Consulte el historial de un visitante en el panel |
| Derecho de supresión (Art. 17) | Elimine los registros de un visitante desde el panel (o mediante una solicitud de soporte) |
| Derecho de rectificación (Art. 16) | Actualice los metadatos almacenados del visitante |
| Derecho a la portabilidad de los datos (Art. 20) | Exporte los datos del visitante en formato legible por máquina (JSON) |
| Derecho a la limitación (Art. 18) | Suprima el tratamiento posterior de un visitante |
Encuentre el historial de un visitante en el panel (Visitors), o use la API de gestión limitada al ámbito del workspace (autenticada con su sesión del panel — consulte Webhooks para el modelo de autenticación):
curl https://app.tracio.ai/api/v1/workspaces/{workspaceId}/visitors/X7fh2Hg9LkMn3pQr \ -H "Authorization: Bearer <clerk-session-jwt>"TRACIO trata los datos en la región que elija (UE o EE. UU.) como su encargado del tratamiento. Hay un DPA disponible bajo petición; contáctenos para establecer uno antes de tratar datos a escala.
La retención se fija según el nivel de su plan: 7 días (Free), 30 días (Pro), 90 días (Business), 365 días (Enterprise). Los registros más antiguos que la ventana del plan se purgan automáticamente. Para ampliar la retención, cambie a un plan superior.
| Tipo de datos | Retención recomendada | Motivo |
|---|---|---|
| Registros de visitante | Hasta el límite de su plan | Los visitantes que regresan necesitan historial para una coincidencia con confianza. |
| Detalles de eventos | 30-90 días | Suficiente para la investigación de fraude y la resolución de disputas. |
_vid_t contiene un UID opaco y no reversible (sin PII)_vid_t usa SameSite=Lax y Secure (en HTTPS)Para los requisitos de residencia de datos, elija su región al registrarse:
| Región | Los datos permanecen en |
|---|---|
| EU | Unión Europea |
| US | Estados Unidos |
Establezca la opción region del SDK ("eu" o "us") para que el navegador se comunique con el
endpoint regional correspondiente. Los datos se procesan dentro de la región que elija y no se
replican entre regiones.
region del SDK