Política de Protección de Datos RGPD
1. Compromiso con la Protección de Datos
BiVelio Inc ("Empresa"), operadora de la plataforma BiVelio y titular de la marca BiVelio, se compromete a proteger los datos personales de todas las personas cuyos datos son procesados a través de nuestro Servicio, en cumplimiento del Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD"), y toda la legislación de protección de datos aplicable.
Esta Política RGPD complementa nuestra Política de Privacidad y proporciona información específica sobre cómo cumplimos con el RGPD al procesar datos personales de personas en el Espacio Económico Europeo (EEE), el Reino Unido y Andorra.
2. Roles y Responsabilidades
2.1 Como Responsable del Tratamiento
Al procesar datos personales de nuestros usuarios (titulares de cuentas), actuamos como Responsable del Tratamiento. Esto incluye:
Datos de registro y autenticación de cuentas
Información de facturación y suscripción
Analítica de uso de la plataforma
Comunicaciones de soporte
2.2 Como Encargado del Tratamiento
Al procesar datos en nombre de nuestros clientes (datos de sus clientes, leads, conversaciones, etc.), actuamos como Encargado del Tratamiento. En esta capacidad:
Procesamos datos solo según instrucciones documentadas del Responsable (nuestro cliente).
Celebramos Acuerdos de Procesamiento de Datos (APD) con todos los clientes.
Garantizamos que todo el personal que procesa datos esté sujeto a obligaciones de confidencialidad.
Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad.
Asistimos al Responsable en la respuesta a solicitudes de los interesados.
Eliminamos o devolvemos todos los datos personales tras la terminación del acuerdo.
2.3 Delegado de Protección de Datos
Hemos designado un Delegado de Protección de Datos (DPD) que puede ser contactado en:
Dirección: BiVelio Inc, Delaware (Estados Unidos)
3. Base Legal para el Tratamiento
Procesamos datos personales bajo las siguientes bases legales según lo definido en el Artículo 6 del RGPD:
Actividad de Tratamiento
Base Legal
Artículo RGPD
Creación de cuenta y autenticación
Ejecución del contrato
Prestación del servicio y funcionalidades
Ejecución del contrato
Procesamiento de pagos
Ejecución del contrato
Monitorización de seguridad y prevención de fraude
Interés legítimo
Analítica y mejora del servicio
Interés legítimo
Comunicaciones de marketing
Consentimiento
Registros fiscales y financieros
Obligación legal
Procesamiento IA de datos de usuario
Ejecución del contrato
Compartición de datos con integraciones de terceros
Consentimiento
4. Derechos de los Interesados
Bajo el RGPD, los interesados tienen los siguientes derechos. Nos comprometemos a facilitar el ejercicio de estos derechos dentro de los plazos legales:
4.1 Derecho de Acceso (Artículo 15)
Puede solicitar una copia de todos los datos personales que tenemos sobre usted. Se la proporcionaremos en un plazo de 30 días en un formato electrónico de uso común.
4.2 Derecho de Rectificación (Artículo 16)
Puede solicitar la corrección de datos personales inexactos o la compleción de datos incompletos. También puede actualizar la mayoría de los datos directamente a través de la configuración de su cuenta.
4.3 Derecho de Supresión (Artículo 17)
Puede solicitar la eliminación de sus datos personales cuando:
Los datos ya no son necesarios para los fines para los que fueron recogidos.
Retira el consentimiento y no existe otra base legal para el tratamiento.
Se opone al tratamiento y no existen motivos legítimos imperiosos.
Los datos han sido tratados ilícitamente.
Nota: Podemos retener ciertos datos cuando lo exija la ley (p. ej., registros fiscales, registros de auditoría).
4.4 Derecho a la Limitación del Tratamiento (Artículo 18)
Puede solicitar la limitación del tratamiento mientras verificamos la exactitud de sus datos, resolvemos una oposición, o cuando el tratamiento es ilícito pero prefiere la limitación a la supresión.
4.5 Derecho a la Portabilidad de Datos (Artículo 20)
Puede solicitar sus datos en un formato estructurado, de uso común y legible por máquina (JSON, CSV). Proporcionamos funcionalidad de exportación de datos dentro del Servicio.
4.6 Derecho de Oposición (Artículo 21)
Puede oponerse al tratamiento basado en intereses legítimos. Cesaremos el tratamiento a menos que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses.
4.7 Derechos Relacionados con Decisiones Automatizadas (Artículo 22)
Cuando utilizamos procesamiento automatizado (incluida IA) que le afecte significativamente, tiene derecho a:
Obtener intervención humana en la decisión.
Expresar su punto de vista.
Impugnar la decisión.
4.8 Cómo Ejercer Sus Derechos
Envíe solicitudes a privacy@bivelio.com. Nosotros:
Verificaremos su identidad antes de procesar cualquier solicitud.
Responderemos en un plazo de 30 días (ampliable 60 días para solicitudes complejas, con notificación).
Atenderemos las solicitudes de forma gratuita, excepto para solicitudes manifiestamente infundadas o excesivas.
5. Acuerdos de Procesamiento de Datos
En cumplimiento del Artículo 28 del RGPD, celebramos Acuerdos de Procesamiento de Datos (APD) con:
Nuestros Clientes — Donde actuamos como Encargado del Tratamiento para los datos de sus usuarios finales.
Nuestros Subencargados — Todos los proveedores de servicios externos que procesan datos en nuestro nombre.
Los APD incluyen:
Objeto y duración del tratamiento
Naturaleza y finalidad del tratamiento
Tipos de datos personales y categorías de interesados
Obligaciones y derechos del Responsable
Medidas técnicas y organizativas de seguridad
Gestión de subencargados y obligaciones de notificación
6. Subencargados
Utilizamos las siguientes categorías de subencargados:
Categoría
Finalidad
Ubicación
Infraestructura Cloud
Servicios de alojamiento, base de datos y computación
UE / EE.UU. (con CCT)
Proveedores de Modelos IA
Procesamiento de lenguaje natural, clasificación
EE.UU. (con CCT)
Procesador de Pagos
Gestión de facturación y suscripciones
EE.UU. (con CCT)
Proveedor de Correo Electrónico
Correos transaccionales y de notificación
EE.UU. (con CCT)
Proveedor de Analítica
Analítica de uso y mejora del producto
UE
Notificaremos a los clientes cualquier cambio en nuestra lista de subencargados con al menos 30 días de antelación, proporcionando la oportunidad de objetar.
7. Transferencias Internacionales
Como algunos de nuestros proveedores y sistemas pueden estar fuera de su país de residencia, los datos personales pueden ser transferidos internacionalmente. Garantizamos el cumplimiento mediante:
Cláusulas Contractuales Tipo (SCC) de la UE — Las transferencias fuera del EEE se amparan en Cláusulas Contractuales Tipo (SCC) de la UE y, cuando aplica, en el Marco de Privacidad de Datos UE-EE. UU.
Cláusulas Contractuales Tipo (CCT) — Para transferencias a jurisdicciones sin decisiones de adecuación, implementamos CCT adoptadas por la Comisión Europea (Decisión 2021/914).
Evaluaciones de Impacto de Transferencia (EIT) — Realizamos EIT para todas las transferencias a terceros países para evaluar el marco legal del país receptor.
Medidas Complementarias — Medidas técnicas adicionales incluyendo cifrado, seudonimización y controles de acceso.
8. Medidas Técnicas y Organizativas
De acuerdo con el Artículo 32 del RGPD, implementamos las siguientes medidas:
8.1 Medidas Técnicas
Cifrado TLS 1.3 de extremo a extremo para datos en tránsito
Cifrado AES-256 para datos en reposo
Seguridad a Nivel de Fila (RLS) a nivel de base de datos garantizando el aislamiento de inquilinos
Escaneo automatizado de vulnerabilidades y auditoría de dependencias
Firewall de Aplicaciones Web (WAF) y protección DDoS
Pruebas de penetración regulares por terceros independientes
Copias de seguridad automatizadas con recuperación en punto en el tiempo (PITR)
Gestión de secretos con almacenamiento cifrado en vault
8.2 Medidas Organizativas
Control de Acceso Basado en Roles (RBAC) con principio de mínimo privilegio
Formación obligatoria en protección de datos para todo el personal
Verificaciones de antecedentes para empleados con acceso a datos personales
Políticas y procedimientos de seguridad de la información documentados
Auditorías internas regulares y revisiones de la dirección
Plan de respuesta a incidentes con roles definidos y procedimientos de escalación
Protección de datos por diseño y por defecto en todos los procesos de desarrollo
9. Evaluaciones de Impacto en la Protección de Datos
Realizamos Evaluaciones de Impacto en la Protección de Datos (EIPD) de acuerdo con el Artículo 35 del RGPD para actividades de tratamiento que probablemente resulten en un alto riesgo para los interesados, incluyendo:
Procesamiento a gran escala de datos personales mediante agentes IA
Monitorización sistemática de interacciones con clientes en múltiples canales
Perfilado o puntuación automatizada (p. ej., puntuación de leads)
Procesamiento de categorías especiales de datos
Nuevas funcionalidades o integraciones que cambien significativamente el procesamiento de datos
10. Notificación de Violaciones de Datos
En caso de una violación de datos personales:
Respuesta Interna — Activar nuestro equipo de respuesta a incidentes dentro de 1 hora tras la detección de la violación.
Autoridad de Supervisión — Notificar a la autoridad de supervisión competente dentro de las 72 horas siguientes al conocimiento de la violación (Artículo 33), a menos que sea improbable que resulte en un riesgo para los derechos y libertades de las personas.
Interesados — Notificar a las personas afectadas sin demora injustificada cuando la violación pueda resultar en un alto riesgo para sus derechos y libertades (Artículo 34).
Responsables del Tratamiento (cuando actuamos como Encargado) — Notificar a los clientes afectados sin demora injustificada tras tener conocimiento de la violación.
Documentación — Mantener registros detallados de todas las violaciones, incluyendo hechos, efectos y acciones correctivas tomadas.
11. Registros de Actividades de Tratamiento
En cumplimiento del Artículo 30 del RGPD, mantenemos registros completos de todas las actividades de tratamiento, incluyendo:
Nombre y datos de contacto del responsable/encargado y DPD
Fines del tratamiento
Categorías de interesados y datos personales
Categorías de destinatarios
Transferencias internacionales y salvaguardas
Períodos de retención
Medidas técnicas y organizativas de seguridad
12. IA y Tratamiento Automatizado
BiVelio utiliza IA para diversas actividades de tratamiento. Nuestro enfoque de la IA cumple con los requisitos del RGPD:
Transparencia — Divulgamos claramente cuándo se utiliza IA en el tratamiento de datos personales.
Limitación de Finalidad — El tratamiento con IA se limita a los fines especificados en esta política y nuestra Política de Privacidad.
Minimización de Datos — Solo se procesan los datos necesarios para la tarea de IA.
Sin Entrenamiento de Terceros — Los datos personales procesados a través de las funciones de IA de BiVelio no se utilizan para entrenar o mejorar modelos de IA de terceros.
Revisión Humana — Los usuarios mantienen la capacidad de solicitar la revisión humana de las decisiones generadas por IA.
Cumplimiento de la Ley de IA de la UE — Monitorizamos y nos alineamos con los requisitos de la Ley de IA de la UE (Règlement (UE) 2024/1689) a medida que sean aplicables.
13. Datos de Menores
BiVelio es un servicio B2B no destinado a personas menores de 16 años. No recopilamos ni procesamos conscientemente datos personales de menores. Si descubrimos que hemos recopilado inadvertidamente datos de un menor de 16 años, los eliminaremos inmediatamente y notificaremos a la autoridad de supervisión correspondiente si es necesario.
14. Reclamaciones y Autoridad de Supervisión
Si cree que se han violado sus derechos de protección de datos, puede:
Contactar con nuestro DPD en privacy@bivelio.com para resolver el asunto directamente.
Presentar una reclamación ante la autoridad de supervisión competente:
Estados miembros de la UE — Su Autoridad de Protección de Datos (APD) local
15. Actualizaciones de la Política
Esta Política RGPD se revisa y actualiza anualmente, o con mayor frecuencia cuando lo requieran cambios en la legislación, nuestras actividades de tratamiento o la estructura organizativa. Todas las actualizaciones se publicarán en esta página con una fecha de "Última actualización" revisada.
16. Contacto
Para cualquier pregunta sobre esta Política RGPD o para ejercer sus derechos: