011. Compromiso con la Protección de Datos
C5S Technology Limited ("Empresa"), operadora de la plataforma BiVelio, junto con Chronos Technology SLU, entidad holding del grupo con sede en Andorra y titular de la marca BiVelio, se comprometen a proteger los datos personales de todas las personas cuyos datos son procesados a través de nuestro Servicio, en cumplimiento del Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD"), la Ley Andorrana de Protección de Datos (Llei 29/2021) y toda la legislación de protección de datos aplicable.
Esta Política RGPD complementa nuestra Política de Privacidad y proporciona información específica sobre cómo cumplimos con el RGPD al procesar datos personales de personas en el Espacio Económico Europeo (EEE), el Reino Unido y Andorra.
022. Roles y Responsabilidades
2.1 Como Responsable del Tratamiento
Al procesar datos personales de nuestros usuarios (titulares de cuentas), actuamos como Responsable del Tratamiento. Esto incluye:
- Datos de registro y autenticación de cuentas
- Información de facturación y suscripción
- Analítica de uso de la plataforma
- Comunicaciones de soporte
2.2 Como Encargado del Tratamiento
Al procesar datos en nombre de nuestros clientes (datos de sus clientes, leads, conversaciones, etc.), actuamos como Encargado del Tratamiento. En esta capacidad:
- Procesamos datos solo según instrucciones documentadas del Responsable (nuestro cliente).
- Celebramos Acuerdos de Procesamiento de Datos (APD) con todos los clientes.
- Garantizamos que todo el personal que procesa datos esté sujeto a obligaciones de confidencialidad.
- Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad.
- Asistimos al Responsable en la respuesta a solicitudes de los interesados.
- Eliminamos o devolvemos todos los datos personales tras la terminación del acuerdo.
2.3 Delegado de Protección de Datos
Hemos designado un Delegado de Protección de Datos (DPD) que puede ser contactado en:
- Delegado de Protección de Datos: privacy@bivelio.com
- Soporte general: support@bivelio.com
- Dirección: Chronos Technology SLU, Andorra
033. Base Legal para el Tratamiento
Procesamos datos personales bajo las siguientes bases legales según lo definido en el Artículo 6 del RGPD:
| Actividad de Tratamiento | Base Legal | Artículo RGPD |
|---|---|---|
| Creación de cuenta y autenticación | Ejecución del contrato | Art. 6(1)(b) |
| Prestación del servicio y funcionalidades | Ejecución del contrato | Art. 6(1)(b) |
| Procesamiento de pagos | Ejecución del contrato | Art. 6(1)(b) |
| Monitorización de seguridad y prevención de fraude | Interés legítimo | Art. 6(1)(f) |
| Analítica y mejora del servicio | Interés legítimo | Art. 6(1)(f) |
| Comunicaciones de marketing | Consentimiento | Art. 6(1)(a) |
| Registros fiscales y financieros | Obligación legal | Art. 6(1)(c) |
| Procesamiento IA de datos de usuario | Ejecución del contrato | Art. 6(1)(b) |
| Compartición de datos con integraciones de terceros | Consentimiento | Art. 6(1)(a) |
044. Derechos de los Interesados
Bajo el RGPD, los interesados tienen los siguientes derechos. Nos comprometemos a facilitar el ejercicio de estos derechos dentro de los plazos legales:
4.1 Derecho de Acceso (Artículo 15)
Puede solicitar una copia de todos los datos personales que tenemos sobre usted. Se la proporcionaremos en un plazo de 30 días en un formato electrónico de uso común.
4.2 Derecho de Rectificación (Artículo 16)
Puede solicitar la corrección de datos personales inexactos o la compleción de datos incompletos. También puede actualizar la mayoría de los datos directamente a través de la configuración de su cuenta.
4.3 Derecho de Supresión (Artículo 17)
Puede solicitar la eliminación de sus datos personales cuando:
- Los datos ya no son necesarios para los fines para los que fueron recogidos.
- Retira el consentimiento y no existe otra base legal para el tratamiento.
- Se opone al tratamiento y no existen motivos legítimos imperiosos.
- Los datos han sido tratados ilícitamente.
Nota: Podemos retener ciertos datos cuando lo exija la ley (p. ej., registros fiscales, registros de auditoría).
4.4 Derecho a la Limitación del Tratamiento (Artículo 18)
Puede solicitar la limitación del tratamiento mientras verificamos la exactitud de sus datos, resolvemos una oposición, o cuando el tratamiento es ilícito pero prefiere la limitación a la supresión.
4.5 Derecho a la Portabilidad de Datos (Artículo 20)
Puede solicitar sus datos en un formato estructurado, de uso común y legible por máquina (JSON, CSV). Proporcionamos funcionalidad de exportación de datos dentro del Servicio.
4.6 Derecho de Oposición (Artículo 21)
Puede oponerse al tratamiento basado en intereses legítimos. Cesaremos el tratamiento a menos que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses.
4.7 Derechos Relacionados con Decisiones Automatizadas (Artículo 22)
Cuando utilizamos procesamiento automatizado (incluida IA) que le afecte significativamente, tiene derecho a:
- Obtener intervención humana en la decisión.
- Expresar su punto de vista.
- Impugnar la decisión.
4.8 Cómo Ejercer Sus Derechos
Envíe solicitudes a privacy@bivelio.com. Nosotros:
- Verificaremos su identidad antes de procesar cualquier solicitud.
- Responderemos en un plazo de 30 días (ampliable 60 días para solicitudes complejas, con notificación).
- Atenderemos las solicitudes de forma gratuita, excepto para solicitudes manifiestamente infundadas o excesivas.
055. Acuerdos de Procesamiento de Datos
En cumplimiento del Artículo 28 del RGPD, celebramos Acuerdos de Procesamiento de Datos (APD) con:
- Nuestros Clientes: Donde actuamos como Encargado del Tratamiento para los datos de sus usuarios finales.
- Nuestros Subencargados: Todos los proveedores de servicios externos que procesan datos en nuestro nombre.
Los APD incluyen:
- Objeto y duración del tratamiento
- Naturaleza y finalidad del tratamiento
- Tipos de datos personales y categorías de interesados
- Obligaciones y derechos del Responsable
- Medidas técnicas y organizativas de seguridad
- Gestión de subencargados y obligaciones de notificación
066. Subencargados
Utilizamos las siguientes categorías de subencargados:
| Categoría | Finalidad | Ubicación |
|---|---|---|
| Infraestructura Cloud | Servicios de alojamiento, base de datos y computación | UE / EE.UU. (con CCT) |
| Proveedores de Modelos IA | Procesamiento de lenguaje natural, clasificación | EE.UU. (con CCT) |
| Procesador de Pagos | Gestión de facturación y suscripciones | EE.UU. (con CCT) |
| Proveedor de Correo Electrónico | Correos transaccionales y de notificación | EE.UU. (con CCT) |
| Proveedor de Analítica | Analítica de uso y mejora del producto | UE |
Notificaremos a los clientes cualquier cambio en nuestra lista de subencargados con al menos 30 días de antelación, proporcionando la oportunidad de objetar.
077. Transferencias Internacionales
Como nuestra estructura corporativa abarca Hong Kong y Andorra, los datos personales pueden ser transferidos internacionalmente. Garantizamos el cumplimiento mediante:
- Decisión de Adecuación de Andorra: Andorra está reconocida por la Comisión Europea como proveedora de un nivel adecuado de protección de datos (Decisión 2010/625/UE).
- Cláusulas Contractuales Tipo (CCT): Para transferencias a jurisdicciones sin decisiones de adecuación, implementamos CCT adoptadas por la Comisión Europea (Decisión 2021/914).
- Evaluaciones de Impacto de Transferencia (EIT): Realizamos EIT para todas las transferencias a terceros países para evaluar el marco legal del país receptor.
- Medidas Complementarias: Medidas técnicas adicionales incluyendo cifrado, seudonimización y controles de acceso.
088. Medidas Técnicas y Organizativas
De acuerdo con el Artículo 32 del RGPD, implementamos las siguientes medidas:
8.1 Medidas Técnicas
- Cifrado TLS 1.3 de extremo a extremo para datos en tránsito
- Cifrado AES-256 para datos en reposo
- Seguridad a Nivel de Fila (RLS) a nivel de base de datos garantizando el aislamiento de inquilinos
- Escaneo automatizado de vulnerabilidades y auditoría de dependencias
- Firewall de Aplicaciones Web (WAF) y protección DDoS
- Pruebas de penetración regulares por terceros independientes
- Copias de seguridad automatizadas con recuperación en punto en el tiempo (PITR)
- Gestión de secretos con almacenamiento cifrado en vault
8.2 Medidas Organizativas
- Control de Acceso Basado en Roles (RBAC) con principio de mínimo privilegio
- Formación obligatoria en protección de datos para todo el personal
- Verificaciones de antecedentes para empleados con acceso a datos personales
- Políticas y procedimientos de seguridad de la información documentados
- Auditorías internas regulares y revisiones de la dirección
- Plan de respuesta a incidentes con roles definidos y procedimientos de escalación
- Protección de datos por diseño y por defecto en todos los procesos de desarrollo
099. Evaluaciones de Impacto en la Protección de Datos
Realizamos Evaluaciones de Impacto en la Protección de Datos (EIPD) de acuerdo con el Artículo 35 del RGPD para actividades de tratamiento que probablemente resulten en un alto riesgo para los interesados, incluyendo:
- Procesamiento a gran escala de datos personales mediante agentes IA
- Monitorización sistemática de interacciones con clientes en múltiples canales
- Perfilado o puntuación automatizada (p. ej., puntuación de leads)
- Procesamiento de categorías especiales de datos
- Nuevas funcionalidades o integraciones que cambien significativamente el procesamiento de datos
1010. Notificación de Violaciones de Datos
En caso de una violación de datos personales:
- Respuesta Interna: Activar nuestro equipo de respuesta a incidentes dentro de 1 hora tras la detección de la violación.
- Autoridad de Supervisión: Notificar a la autoridad de supervisión competente dentro de las 72 horas siguientes al conocimiento de la violación (Artículo 33), a menos que sea improbable que resulte en un riesgo para los derechos y libertades de las personas.
- Interesados: Notificar a las personas afectadas sin demora injustificada cuando la violación pueda resultar en un alto riesgo para sus derechos y libertades (Artículo 34).
- Responsables del Tratamiento (cuando actuamos como Encargado): Notificar a los clientes afectados sin demora injustificada tras tener conocimiento de la violación.
- Documentación: Mantener registros detallados de todas las violaciones, incluyendo hechos, efectos y acciones correctivas tomadas.
1111. Registros de Actividades de Tratamiento
En cumplimiento del Artículo 30 del RGPD, mantenemos registros completos de todas las actividades de tratamiento, incluyendo:
- Nombre y datos de contacto del responsable/encargado y DPD
- Fines del tratamiento
- Categorías de interesados y datos personales
- Categorías de destinatarios
- Transferencias internacionales y salvaguardas
- Períodos de retención
- Medidas técnicas y organizativas de seguridad
1212. IA y Tratamiento Automatizado
BiVelio utiliza IA para diversas actividades de tratamiento. Nuestro enfoque de la IA cumple con los requisitos del RGPD:
- Transparencia: Divulgamos claramente cuándo se utiliza IA en el tratamiento de datos personales.
- Limitación de Finalidad: El tratamiento con IA se limita a los fines especificados en esta política y nuestra Política de Privacidad.
- Minimización de Datos: Solo se procesan los datos necesarios para la tarea de IA.
- Sin Entrenamiento de Terceros: Los datos personales procesados a través de las funciones de IA de BiVelio no se utilizan para entrenar o mejorar modelos de IA de terceros.
- Revisión Humana: Los usuarios mantienen la capacidad de solicitar la revisión humana de las decisiones generadas por IA.
- Cumplimiento de la Ley de IA de la UE: Monitorizamos y nos alineamos con los requisitos de la Ley de IA de la UE (Reglamento 2024/1689) a medida que sean aplicables.
1313. Datos de Menores
BiVelio es un servicio B2B no destinado a personas menores de 16 años. No recopilamos ni procesamos conscientemente datos personales de menores. Si descubrimos que hemos recopilado inadvertidamente datos de un menor de 16 años, los eliminaremos inmediatamente y notificaremos a la autoridad de supervisión correspondiente si es necesario.
1414. Reclamaciones y Autoridad de Supervisión
Si cree que se han violado sus derechos de protección de datos, puede:
- Contactar con nuestro DPD en privacy@bivelio.com para resolver el asunto directamente.
- Presentar una reclamación ante la autoridad de supervisión competente:
- Andorra: Agencia Andorrana de Proteccio de Dades (APDA) — www.apda.ad
- Estados miembros de la UE: Su Autoridad de Protección de Datos (APD) local
- Reino Unido: Information Commissioner's Office (ICO) — ico.org.uk
1515. Actualizaciones de la Política
Esta Política RGPD se revisa y actualiza anualmente, o con mayor frecuencia cuando lo requieran cambios en la legislación, nuestras actividades de tratamiento o la estructura organizativa. Todas las actualizaciones se publicarán en esta página con una fecha de "Última actualización" revisada.
1616. Contacto
Para cualquier pregunta sobre esta Política RGPD o para ejercer sus derechos:
- Delegado de Protección de Datos: privacy@bivelio.com
- Equipo de Privacidad: privacy@bivelio.com
- Soporte general: support@bivelio.com
- C5S Technology Limited — Hong Kong (Operador del Servicio)
- Chronos Technology SLU — Andorra (Titular de la Marca, Patentes y Propiedad Intelectual)
- Sitio web: c5s.xyz