Política de Protecció de Dades RGPD
1. Compromís amb la Protecció de Dades
BiVelio Inc ("Empresa"), operadora de la plataforma BiVelio i titular de la marca BiVelio, es compromet a protegir les dades personals de totes les persones les dades de les quals són processades a través del nostre Servei, en compliment del Reglament General de Protecció de Dades (UE) 2016/679 ("RGPD") i tota la legislació de protecció de dades aplicable.
Aquesta Política RGPD complementa la nostra Política de Privadesa i proporciona informació específica sobre com complim amb el RGPD en processar dades personals de persones a l'Espai Econòmic Europeu (EEE), el Regne Unit i Andorra.
2. Rols i Responsabilitats
2.1 Com a Responsable del Tractament
En processar dades personals dels nostres usuaris (titulars de comptes), actuem com a Responsable del Tractament. Això inclou:
Dades de registre i autenticació de comptes
Informació de facturació i subscripció
Analítica d'ús de la plataforma
Comunicacions de suport
2.2 Com a Encarregat del Tractament
En processar dades en nom dels nostres clients (dades dels seus clients, leads, converses, etc.), actuem com a Encarregat del Tractament. En aquesta capacitat:
Processem dades només segons instruccions documentades del Responsable (el nostre client).
Celebrem Acords de Processament de Dades (APD) amb tots els clients.
Garantim que tot el personal que processa dades estigui subjecte a obligacions de confidencialitat.
Implementem mesures tècniques i organitzatives apropiades per garantir la seguretat.
Assistim el Responsable en la resposta a sol·licituds dels interessats.
Eliminem o retornem totes les dades personals després de la terminació de l'acord.
2.3 Delegat de Protecció de Dades
Hem designat un Delegat de Protecció de Dades (DPD) que pot ser contactat a:
Adreça: BiVelio Inc, Delaware (Estats Units)
3. Base Legal per al Tractament
Processem dades personals sota les següents bases legals segons el definit a l'Article 6 del RGPD:
Activitat de Tractament
Base Legal
Article RGPD
Creació de compte i autenticació
Execució del contracte
Prestació del servei i funcionalitats
Execució del contracte
Processament de pagaments
Execució del contracte
Monitorització de seguretat i prevenció de frau
Interès legítim
Analítica i millora del servei
Interès legítim
Comunicacions de màrqueting
Consentiment
Registres fiscals i financers
Obligació legal
Processament IA de dades d'usuari
Execució del contracte
Compartició de dades amb integracions de tercers
Consentiment
4. Drets dels Interessats
Sota el RGPD, els interessats tenen els següents drets. Ens comprometem a facilitar l'exercici d'aquests drets dins dels terminis legals:
4.1 Dret d'Accés (Article 15)
Pot sol·licitar una còpia de totes les dades personals que tenim sobre vostè. La proporcionarem en un termini de 30 dies en un format electrònic d'ús comú.
4.2 Dret de Rectificació (Article 16)
Pot sol·licitar la correcció de dades personals inexactes o la compleció de dades incompletes. També pot actualitzar la majoria de les dades directament a través de la configuració del seu compte.
4.3 Dret de Supressió (Article 17)
Pot sol·licitar l'eliminació de les seves dades personals quan:
Les dades ja no són necessàries per als fins per als quals van ser recollides.
Retira el consentiment i no existeix cap altra base legal per al tractament.
S'oposa al tractament i no existeixen motius legítims imperiosos.
Les dades han estat tractades il·lícitament.
Nota: Podem retenir certes dades quan ho exigeixi la llei (p. ex., registres fiscals, registres d'auditoria).
4.4 Dret a la Limitació del Tractament (Article 18)
Pot sol·licitar la limitació del tractament mentre verifiquem l'exactitud de les seves dades, resolem una oposició, o quan el tractament és il·lícit però prefereix la limitació a la supressió.
4.5 Dret a la Portabilitat de Dades (Article 20)
Pot sol·licitar les seves dades en un format estructurat, d'ús comú i llegible per màquina (JSON, CSV). Proporcionem funcionalitat d'exportació de dades dins del Servei.
4.6 Dret d'Oposició (Article 21)
Pot oposar-se al tractament basat en interessos legítims. Cessarem el tractament llevat que demostrem motius legítims imperiosos que prevalguin sobre els seus interessos.
4.7 Drets Relacionats amb Decisions Automatitzades (Article 22)
Quan utilitzem processament automatitzat (inclosa IA) que l'afecti significativament, té dret a:
Obtenir intervenció humana en la decisió.
Expressar el seu punt de vista.
Impugnar la decisió.
4.8 Com Exercir els Seus Drets
Enviï sol·licituds a privacy@bivelio.com. Nosaltres:
Verificarem la seva identitat abans de processar qualsevol sol·licitud.
Respondrem en un termini de 30 dies (ampliable 60 dies per a sol·licituds complexes, amb notificació).
Atendrem les sol·licituds de forma gratuïta, excepte per a sol·licituds manifestament infundades o excessives.
5. Acords de Processament de Dades
En compliment de l'Article 28 del RGPD, celebrem Acords de Processament de Dades (APD) amb:
Els Nostres Clients — On actuem com a Encarregat del Tractament per a les dades dels seus usuaris finals.
Els Nostres Subencarregats — Tots els proveïdors de serveis externs que processen dades en nom nostre.
Els APD inclouen:
Objecte i durada del tractament
Naturalesa i finalitat del tractament
Tipus de dades personals i categories d'interessats
Obligacions i drets del Responsable
Mesures tècniques i organitzatives de seguretat
Gestió de subencarregats i obligacions de notificació
6. Subencarregats
Utilitzem les següents categories de subencarregats:
Categoria
Finalitat
Ubicació
Infraestructura Cloud
Serveis d'allotjament, base de dades i computació
UE / EUA (amb CCT)
Proveïdors de Models IA
Processament de llenguatge natural, classificació
EUA (amb CCT)
Processador de Pagaments
Gestió de facturació i subscripcions
EUA (amb CCT)
Proveïdor de Correu Electrònic
Correus transaccionals i de notificació
EUA (amb CCT)
Proveïdor d'Analítica
Analítica d'ús i millora del producte
UE
Notificarem als clients qualsevol canvi en la nostra llista de subencarregats amb almenys 30 dies d'antelació, proporcionant l'oportunitat d'objectar.
7. Transferències Internacionals
Com que alguns dels nostres proveïdors i sistemes poden estar fora del seu país de residència, les dades personals poden ser transferides internacionalment. Garantim el compliment mitjançant:
Clàusules Contractuals Tipus (SCC) de la UE — Les transferències fora de l'EEE s'emparen en Clàusules Contractuals Tipus (SCC) de la UE i, quan aplica, en el Marc de Privadesa de Dades UE-EUA.
Clàusules Contractuals Tipus (CCT) — Per a transferències a jurisdiccions sense decisions d'adequació, implementem CCT adoptades per la Comissió Europea (Decisió 2021/914).
Avaluacions d'Impacte de Transferència (AIT) — Realitzem AIT per a totes les transferències a tercers països per avaluar el marc legal del país receptor.
Mesures Complementàries — Mesures tècniques addicionals incloent xifrat, pseudonimització i controls d'accés.
8. Mesures Tècniques i Organitzatives
D'acord amb l'Article 32 del RGPD, implementem les següents mesures:
8.1 Mesures Tècniques
Xifrat TLS 1.3 d'extrem a extrem per a dades en trànsit
Xifrat AES-256 per a dades en repòs
Seguretat a Nivell de Fila (RLS) a nivell de base de dades garantint l'aïllament d'inquilins
Escaneig automatitzat de vulnerabilitats i auditoria de dependències
Tallafocs d'Aplicacions Web (WAF) i protecció DDoS
Proves de penetració regulars per tercers independents
Còpies de seguretat automatitzades amb recuperació en punt en el temps (PITR)
Gestió de secrets amb emmagatzematge xifrat en vault
8.2 Mesures Organitzatives
Control d'Accés Basat en Rols (RBAC) amb principi de mínim privilegi
Formació obligatòria en protecció de dades per a tot el personal
Verificacions d'antecedents per a empleats amb accés a dades personals
Polítiques i procediments de seguretat de la informació documentats
Auditories internes regulars i revisions de la direcció
Pla de resposta a incidents amb rols definits i procediments d'escalada
Protecció de dades per disseny i per defecte en tots els processos de desenvolupament
9. Avaluacions d'Impacte en la Protecció de Dades
Realitzem Avaluacions d'Impacte en la Protecció de Dades (AIPD) d'acord amb l'Article 35 del RGPD per a activitats de tractament que probablement resultin en un alt risc per als interessats, incloent:
Processament a gran escala de dades personals mitjançant agents IA
Monitorització sistemàtica d'interaccions amb clients en múltiples canals
Perfilat o puntuació automatitzada (p. ex., puntuació de leads)
Processament de categories especials de dades
Noves funcionalitats o integracions que canviïn significativament el processament de dades
10. Notificació de Violacions de Dades
En cas d'una violació de dades personals:
Resposta Interna — Activar el nostre equip de resposta a incidents dins d'1 hora després de la detecció de la violació.
Autoritat de Supervisió — Notificar l'autoritat de supervisió competent dins de les 72 hores següents al coneixement de la violació (Article 33), llevat que sigui improbable que resulti en un risc per als drets i llibertats de les persones.
Interessats — Notificar les persones afectades sense demora injustificada quan la violació pugui resultar en un alt risc per als seus drets i llibertats (Article 34).
Responsables del Tractament (quan actuem com a Encarregat) — Notificar els clients afectats sense demora injustificada després de tenir coneixement de la violació.
Documentació — Mantenir registres detallats de totes les violacions, incloent fets, efectes i accions correctores preses.
11. Registres d'Activitats de Tractament
En compliment de l'Article 30 del RGPD, mantenim registres complets de totes les activitats de tractament, incloent:
Nom i dades de contacte del responsable/encarregat i DPD
Fins del tractament
Categories d'interessats i dades personals
Categories de destinataris
Transferències internacionals i salvaguardes
Períodes de retenció
Mesures tècniques i organitzatives de seguretat
12. IA i Tractament Automatitzat
BiVelio utilitza IA per a diverses activitats de tractament. El nostre enfocament de la IA compleix amb els requisits del RGPD:
Transparència — Divulguem clarament quan s'utilitza IA en el tractament de dades personals.
Limitació de Finalitat — El tractament amb IA es limita als fins especificats en aquesta política i la nostra Política de Privadesa.
Minimització de Dades — Només es processen les dades necessàries per a la tasca d'IA.
Sense Entrenament de Tercers — Les dades personals processades a través de les funcions d'IA de BiVelio no s'utilitzen per entrenar o millorar models d'IA de tercers.
Revisió Humana — Els usuaris mantenen la capacitat de sol·licitar la revisió humana de les decisions generades per IA.
Compliment de la Llei d'IA de la UE — Monitoritzem i ens alineem amb els requisits de la Llei d'IA de la UE (Reglament 2024/1689) a mesura que siguin aplicables.
13. Dades de Menors
BiVelio és un servei B2B no destinat a persones menors de 16 anys. No recollim ni processem conscientment dades personals de menors. Si descobrim que hem recollit inadvertidament dades d'un menor de 16 anys, les eliminarem immediatament i notificarem l'autoritat de supervisió corresponent si és necessari.
14. Reclamacions i Autoritat de Supervisió
Si creu que s'han violat els seus drets de protecció de dades, pot:
Contactar amb el nostre DPD a privacy@bivelio.com per resoldre l'assumpte directament.
Presentar una reclamació davant l'autoritat de supervisió competent:
Estats membres de la UE — La seva Autoritat de Protecció de Dades (APD) local
15. Actualitzacions de la Política
Aquesta Política RGPD es revisa i actualitza anualment, o amb major freqüència quan ho requereixin canvis en la legislació, les nostres activitats de tractament o l'estructura organitzativa. Totes les actualitzacions es publicaran en aquesta pàgina amb una data d'"Última actualització" revisada.
16. Contacte
Per a qualsevol pregunta sobre aquesta Política RGPD o per exercir els seus drets: