Política de Protecció de Dades RGPD

C5S Technology Limited ("Empresa"), operadora de la plataforma BiVelio, juntament amb Chronos Technology SLU, entitat holding del grup amb seu a Andorra i titular de la marca BiVelio, es comprometen a protegir les dades personals de totes les persones les dades de les quals són processades a través del nostre Servei, en compliment del Reglament General de Protecció de Dades (UE) 2016/679 ("RGPD"), la Llei Andorrana de Protecció de Dades (Llei 29/2021) i tota la legislació de protecció de dades aplicable.

Aquesta Política RGPD complementa la nostra Política de Privadesa i proporciona informació específica sobre com complim amb el RGPD en processar dades personals de persones a l'Espai Econòmic Europeu (EEE), el Regne Unit i Andorra.

2.1 Com a Responsable del Tractament

En processar dades personals dels nostres usuaris (titulars de comptes), actuem com a Responsable del Tractament. Això inclou:

• Dades de registre i autenticació de comptes
• Informació de facturació i subscripció
• Analítica d'ús de la plataforma
• Comunicacions de suport

2.2 Com a Encarregat del Tractament

En processar dades en nom dels nostres clients (dades dels seus clients, leads, converses, etc.), actuem com a Encarregat del Tractament. En aquesta capacitat:

• Processem dades només segons instruccions documentades del Responsable (el nostre client).
• Celebrem Acords de Processament de Dades (APD) amb tots els clients.
• Garantim que tot el personal que processa dades estigui subjecte a obligacions de confidencialitat.
• Implementem mesures tècniques i organitzatives apropiades per garantir la seguretat.
• Assistim el Responsable en la resposta a sol·licituds dels interessats.
• Eliminem o retornem totes les dades personals després de la terminació de l'acord.

2.3 Delegat de Protecció de Dades

Hem designat un Delegat de Protecció de Dades (DPD) que pot ser contactat a:

• Delegat de Protecció de Dades: privacy@bivelio.com
• Suport general: support@bivelio.com
• Adreça: Chronos Technology SLU, Andorra

Processem dades personals sota les següents bases legals segons el definit a l'Article 6 del RGPD:

Sota el RGPD, els interessats tenen els següents drets. Ens comprometem a facilitar l'exercici d'aquests drets dins dels terminis legals:

4.1 Dret d'Accés (Article 15)

Pot sol·licitar una còpia de totes les dades personals que tenim sobre vostè. La proporcionarem en un termini de 30 dies en un format electrònic d'ús comú.

4.2 Dret de Rectificació (Article 16)

Pot sol·licitar la correcció de dades personals inexactes o la compleció de dades incompletes. També pot actualitzar la majoria de les dades directament a través de la configuració del seu compte.

4.3 Dret de Supressió (Article 17)

Pot sol·licitar l'eliminació de les seves dades personals quan:

• Les dades ja no són necessàries per als fins per als quals van ser recollides.
• Retira el consentiment i no existeix cap altra base legal per al tractament.
• S'oposa al tractament i no existeixen motius legítims imperiosos.
• Les dades han estat tractades il·lícitament.

Nota: Podem retenir certes dades quan ho exigeixi la llei (p. ex., registres fiscals, registres d'auditoria).

4.4 Dret a la Limitació del Tractament (Article 18)

Pot sol·licitar la limitació del tractament mentre verifiquem l'exactitud de les seves dades, resolem una oposició, o quan el tractament és il·lícit però prefereix la limitació a la supressió.

4.5 Dret a la Portabilitat de Dades (Article 20)

Pot sol·licitar les seves dades en un format estructurat, d'ús comú i llegible per màquina (JSON, CSV). Proporcionem funcionalitat d'exportació de dades dins del Servei.

4.6 Dret d'Oposició (Article 21)

Pot oposar-se al tractament basat en interessos legítims. Cessarem el tractament llevat que demostrem motius legítims imperiosos que prevalguin sobre els seus interessos.

4.7 Drets Relacionats amb Decisions Automatitzades (Article 22)

Quan utilitzem processament automatitzat (inclosa IA) que l'afecti significativament, té dret a:

• Obtenir intervenció humana en la decisió.
• Expressar el seu punt de vista.
• Impugnar la decisió.

4.8 Com Exercir els Seus Drets

Enviï sol·licituds a privacy@bivelio.com. Nosaltres:

• Verificarem la seva identitat abans de processar qualsevol sol·licitud.
• Respondrem en un termini de 30 dies (ampliable 60 dies per a sol·licituds complexes, amb notificació).
• Atendrem les sol·licituds de forma gratuïta, excepte per a sol·licituds manifestament infundades o excessives.

En compliment de l'Article 28 del RGPD, celebrem Acords de Processament de Dades (APD) amb:

• Els Nostres Clients: On actuem com a Encarregat del Tractament per a les dades dels seus usuaris finals.
• Els Nostres Subencarregats: Tots els proveïdors de serveis externs que processen dades en nom nostre.

Els APD inclouen:

• Objecte i durada del tractament
• Naturalesa i finalitat del tractament
• Tipus de dades personals i categories d'interessats
• Obligacions i drets del Responsable
• Mesures tècniques i organitzatives de seguretat
• Gestió de subencarregats i obligacions de notificació

Utilitzem les següents categories de subencarregats:

Notificarem als clients qualsevol canvi en la nostra llista de subencarregats amb almenys 30 dies d'antelació, proporcionant l'oportunitat d'objectar.

Com que la nostra estructura corporativa abasta Hong Kong i Andorra, les dades personals poden ser transferides internacionalment. Garantim el compliment mitjançant:

• Decisió d'Adequació d'Andorra: Andorra està reconeguda per la Comissió Europea com a proveïdora d'un nivell adequat de protecció de dades (Decisió 2010/625/UE).
• Clàusules Contractuals Tipus (CCT): Per a transferències a jurisdiccions sense decisions d'adequació, implementem CCT adoptades per la Comissió Europea (Decisió 2021/914).
• Avaluacions d'Impacte de Transferència (AIT): Realitzem AIT per a totes les transferències a tercers països per avaluar el marc legal del país receptor.
• Mesures Complementàries: Mesures tècniques addicionals incloent xifrat, seudonimització i controls d'accés.

D'acord amb l'Article 32 del RGPD, implementem les següents mesures:

8.1 Mesures Tècniques

• Xifrat TLS 1.3 d'extrem a extrem per a dades en trànsit
• Xifrat AES-256 per a dades en repòs
• Seguretat a Nivell de Fila (RLS) a nivell de base de dades garantint l'aïllament d'inquilins
• Escaneig automatitzat de vulnerabilitats i auditoria de dependències
• Tallafocs d'Aplicacions Web (WAF) i protecció DDoS
• Proves de penetració regulars per tercers independents
• Còpies de seguretat automatitzades amb recuperació en punt en el temps (PITR)
• Gestió de secrets amb emmagatzematge xifrat en vault

8.2 Mesures Organitzatives

• Control d'Accés Basat en Rols (RBAC) amb principi de mínim privilegi
• Formació obligatòria en protecció de dades per a tot el personal
• Verificacions d'antecedents per a empleats amb accés a dades personals
• Polítiques i procediments de seguretat de la informació documentats
• Auditories internes regulars i revisions de la direcció
• Pla de resposta a incidents amb rols definits i procediments d'escalació
• Protecció de dades per disseny i per defecte en tots els processos de desenvolupament

Realitzem Avaluacions d'Impacte en la Protecció de Dades (AIPD) d'acord amb l'Article 35 del RGPD per a activitats de tractament que probablement resultin en un alt risc per als interessats, incloent:

• Processament a gran escala de dades personals mitjançant agents IA
• Monitorització sistemàtica d'interaccions amb clients en múltiples canals
• Perfilat o puntuació automatitzada (p. ex., puntuació de leads)
• Processament de categories especials de dades
• Noves funcionalitats o integracions que canviïn significativament el processament de dades

En cas d'una violació de dades personals:

• Resposta Interna: Activar el nostre equip de resposta a incidents dins d'1 hora després de la detecció de la violació.
• Autoritat de Supervisió: Notificar l'autoritat de supervisió competent dins de les 72 hores següents al coneixement de la violació (Article 33), llevat que sigui improbable que resulti en un risc per als drets i llibertats de les persones.
• Interessats: Notificar les persones afectades sense demora injustificada quan la violació pugui resultar en un alt risc per als seus drets i llibertats (Article 34).
• Responsables del Tractament (quan actuem com a Encarregat): Notificar els clients afectats sense demora injustificada després de tenir coneixement de la violació.
• Documentació: Mantenir registres detallats de totes les violacions, incloent fets, efectes i accions correctores preses.

En compliment de l'Article 30 del RGPD, mantenim registres complets de totes les activitats de tractament, incloent:

• Nom i dades de contacte del responsable/encarregat i DPD
• Fins del tractament
• Categories d'interessats i dades personals
• Categories de destinataris
• Transferències internacionals i salvaguardes
• Períodes de retenció
• Mesures tècniques i organitzatives de seguretat

BiVelio utilitza IA per a diverses activitats de tractament. El nostre enfocament de la IA compleix amb els requisits del RGPD:

• Transparència: Divulguem clarament quan s'utilitza IA en el tractament de dades personals.
• Limitació de Finalitat: El tractament amb IA es limita als fins especificats en aquesta política i la nostra Política de Privadesa.
• Minimització de Dades: Només es processen les dades necessàries per a la tasca d'IA.
• Sense Entrenament de Tercers: Les dades personals processades a través de les funcions d'IA de BiVelio no s'utilitzen per entrenar o millorar models d'IA de tercers.
• Revisió Humana: Els usuaris mantenen la capacitat de sol·licitar la revisió humana de les decisions generades per IA.
• Compliment de la Llei d'IA de la UE: Monitoritzem i ens alineem amb els requisits de la Llei d'IA de la UE (Reglament 2024/1689) a mesura que siguin aplicables.

BiVelio és un servei B2B no destinat a persones menors de 16 anys. No recollim ni processem conscientment dades personals de menors. Si descobrim que hem recollit inadvertidament dades d'un menor de 16 anys, les eliminarem immediatament i notificarem l'autoritat de supervisió corresponent si és necessari.

Si creu que s'han violat els seus drets de protecció de dades, pot:

1. Contactar amb el nostre DPD a privacy@bivelio.com per resoldre l'assumpte directament.
2. Presentar una reclamació davant l'autoritat de supervisió competent:

• Andorra: Agencia Andorrana de Proteccio de Dades (APDA) — www.apda.ad
• Estats membres de la UE: La seva Autoritat de Protecció de Dades (APD) local
• Regne Unit: Information Commissioner's Office (ICO) — ico.org.uk

Aquesta Política RGPD es revisa i actualitza anualment, o amb major freqüència quan ho requereixin canvis en la legislació, les nostres activitats de tractament o l'estructura organitzativa. Totes les actualitzacions es publicaran en aquesta pàgina amb una data d'"Última actualització" revisada.

Per a qualsevol pregunta sobre aquesta Política RGPD o per exercir els seus drets:

• Delegat de Protecció de Dades: privacy@bivelio.com
• Equip de Privacitat: privacy@bivelio.com
• Suport general: support@bivelio.com
• C5S Technology Limited — Hong Kong (Operador del Servei)
• Chronos Technology SLU — Andorra (Titular de la Marca, Patents i Propietat Intel·lectual)
• Lloc web: c5s.xyz