Novo: Workflows governados com validação humana

Política de Protección de Datos RGPD

1. Compromiso con la Protección de Datos

BiVelio Inc ("Empresa"), operadora de la plataforma BiVelio y titular de la marca BiVelio, se compromete a proteger los datos personales de todas las personas cuyos datos son procesados a través de nuestro Servicio, en cumplimiento del Reglamento General de Protección de Datos (UE) 2016/679 ("RGPD"), y toda la legislación de protección de datos aplicable.

Esta Política RGPD complementa nuestra Política de Privacidad y proporciona información específica sobre cómo cumplimos con el RGPD al procesar datos personales de personas en el Espacio Económico Europeo (EEE), el Reino Unido y Andorra.

2. Roles y Responsabilidades

2.1 Como Responsable del Tratamiento

Al procesar datos personales de nuestros usuarios (titulares de cuentas), actuamos como Responsable del Tratamiento. Esto incluye:

Datos de registro y autenticación de cuentas

Información de facturación y suscripción

Analítica de uso de la plataforma

Comunicaciones de soporte

2.2 Como Encargado del Tratamiento

Al procesar datos en nombre de nuestros clientes (datos de sus clientes, leads, conversaciones, etc.), actuamos como Encargado del Tratamiento. En esta capacidad:

Procesamos datos solo según instrucciones documentadas del Responsable (nuestro cliente).

Celebramos Acuerdos de Procesamiento de Datos (APD) con todos los clientes.

Garantizamos que todo el personal que procesa datos esté sujeto a obligaciones de confidencialidad.

Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad.

Asistimos al Responsable en la respuesta a solicitudes de los interesados.

Eliminamos o devolvemos todos los datos personales tras la terminación del acuerdo.

2.3 Delegado de Protección de Datos

Hemos designado un Delegado de Protección de Datos (DPD) que puede ser contactado en:

Dirección: BiVelio Inc, Delaware (Estados Unidos)

3. Base Legal para el Tratamiento

Procesamos datos personales bajo las siguientes bases legales según lo definido en el Artículo 6 del RGPD:

Actividad de Tratamiento

Base Legal

Artículo RGPD

Creación de cuenta y autenticación

Ejecución del contrato

Prestación del servicio y funcionalidades

Ejecución del contrato

Procesamiento de pagos

Ejecución del contrato

Monitorización de seguridad y prevención de fraude

Interés legítimo

Analítica y mejora del servicio

Interés legítimo

Comunicaciones de marketing

Consentimiento

Registros fiscales y financieros

Obligación legal

Procesamiento IA de datos de usuario

Ejecución del contrato

Compartición de datos con integraciones de terceros

Consentimiento

4. Derechos de los Interesados

Bajo el RGPD, los interesados tienen los siguientes derechos. Nos comprometemos a facilitar el ejercicio de estos derechos dentro de los plazos legales:

4.1 Derecho de Acceso (Artículo 15)

Puede solicitar una copia de todos los datos personales que tenemos sobre usted. Se la proporcionaremos en un plazo de 30 días en un formato electrónico de uso común.

4.2 Derecho de Rectificación (Artículo 16)

Puede solicitar la corrección de datos personales inexactos o la compleción de datos incompletos. También puede actualizar la mayoría de los datos directamente a través de la configuración de su cuenta.

4.3 Derecho de Supresión (Artículo 17)

Puede solicitar la eliminación de sus datos personales cuando:

Los datos ya no son necesarios para los fines para los que fueron recogidos.

Retira el consentimiento y no existe otra base legal para el tratamiento.

Se opone al tratamiento y no existen motivos legítimos imperiosos.

Los datos han sido tratados ilícitamente.

Nota: Podemos retener ciertos datos cuando lo exija la ley (p. ej., registros fiscales, registros de auditoría).

4.4 Derecho a la Limitación del Tratamiento (Artículo 18)

Puede solicitar la limitación del tratamiento mientras verificamos la exactitud de sus datos, resolvemos una oposición, o cuando el tratamiento es ilícito pero prefiere la limitación a la supresión.

4.5 Derecho a la Portabilidad de Datos (Artículo 20)

Puede solicitar sus datos en un formato estructurado, de uso común y legible por máquina (JSON, CSV). Proporcionamos funcionalidad de exportación de datos dentro del Servicio.

4.6 Derecho de Oposición (Artículo 21)

Puede oponerse al tratamiento basado en intereses legítimos. Cesaremos el tratamiento a menos que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses.

4.7 Derechos Relacionados con Decisiones Automatizadas (Artículo 22)

Cuando utilizamos procesamiento automatizado (incluida IA) que le afecte significativamente, tiene derecho a:

Obtener intervención humana en la decisión.

Expresar su punto de vista.

Impugnar la decisión.

4.8 Cómo Ejercer Sus Derechos

Envíe solicitudes a privacy@bivelio.com. Nosotros:

Verificaremos su identidad antes de procesar cualquier solicitud.

Responderemos en un plazo de 30 días (ampliable 60 días para solicitudes complejas, con notificación).

Atenderemos las solicitudes de forma gratuita, excepto para solicitudes manifiestamente infundadas o excesivas.

5. Acuerdos de Procesamiento de Datos

En cumplimiento del Artículo 28 del RGPD, celebramos Acuerdos de Procesamiento de Datos (APD) con:

Nuestros ClientesDonde actuamos como Encargado del Tratamiento para los datos de sus usuarios finales.

Nuestros SubencargadosTodos los proveedores de servicios externos que procesan datos en nuestro nombre.

Los APD incluyen:

Objeto y duración del tratamiento

Naturaleza y finalidad del tratamiento

Tipos de datos personales y categorías de interesados

Obligaciones y derechos del Responsable

Medidas técnicas y organizativas de seguridad

Gestión de subencargados y obligaciones de notificación

6. Subencargados

Utilizamos las siguientes categorías de subencargados:

Categoría

Finalidad

Ubicación

Infraestructura Cloud

Servicios de alojamiento, base de datos y computación

UE / EE.UU. (con CCT)

Proveedores de Modelos IA

Procesamiento de lenguaje natural, clasificación

EE.UU. (con CCT)

Procesador de Pagos

Gestión de facturación y suscripciones

EE.UU. (con CCT)

Proveedor de Correo Electrónico

Correos transaccionales y de notificación

EE.UU. (con CCT)

Proveedor de Analítica

Analítica de uso y mejora del producto

UE

Notificaremos a los clientes cualquier cambio en nuestra lista de subencargados con al menos 30 días de antelación, proporcionando la oportunidad de objetar.

7. Transferencias Internacionales

Como algunos de nuestros proveedores y sistemas pueden estar fuera de su país de residencia, los datos personales pueden ser transferidos internacionalmente. Garantizamos el cumplimiento mediante:

Cláusulas Contractuales Tipo (SCC) de la UELas transferencias fuera del EEE se amparan en Cláusulas Contractuales Tipo (SCC) de la UE y, cuando aplica, en el Marco de Privacidad de Datos UE-EE. UU.

Cláusulas Contractuales Tipo (CCT)Para transferencias a jurisdicciones sin decisiones de adecuación, implementamos CCT adoptadas por la Comisión Europea (Decisión 2021/914).

Evaluaciones de Impacto de Transferencia (EIT)Realizamos EIT para todas las transferencias a terceros países para evaluar el marco legal del país receptor.

Medidas ComplementariasMedidas técnicas adicionales incluyendo cifrado, seudonimización y controles de acceso.

8. Medidas Técnicas y Organizativas

De acuerdo con el Artículo 32 del RGPD, implementamos las siguientes medidas:

8.1 Medidas Técnicas

Cifrado TLS 1.3 de extremo a extremo para datos en tránsito

Cifrado AES-256 para datos en reposo

Seguridad a Nivel de Fila (RLS) a nivel de base de datos garantizando el aislamiento de inquilinos

Escaneo automatizado de vulnerabilidades y auditoría de dependencias

Firewall de Aplicaciones Web (WAF) y protección DDoS

Pruebas de penetración regulares por terceros independientes

Copias de seguridad automatizadas con recuperación en punto en el tiempo (PITR)

Gestión de secretos con almacenamiento cifrado en vault

8.2 Medidas Organizativas

Control de Acceso Basado en Roles (RBAC) con principio de mínimo privilegio

Formación obligatoria en protección de datos para todo el personal

Verificaciones de antecedentes para empleados con acceso a datos personales

Políticas y procedimientos de seguridad de la información documentados

Auditorías internas regulares y revisiones de la dirección

Plan de respuesta a incidentes con roles definidos y procedimientos de escalación

Protección de datos por diseño y por defecto en todos los procesos de desarrollo

9. Evaluaciones de Impacto en la Protección de Datos

Realizamos Evaluaciones de Impacto en la Protección de Datos (EIPD) de acuerdo con el Artículo 35 del RGPD para actividades de tratamiento que probablemente resulten en un alto riesgo para los interesados, incluyendo:

Procesamiento a gran escala de datos personales mediante agentes IA

Monitorización sistemática de interacciones con clientes en múltiples canales

Perfilado o puntuación automatizada (p. ej., puntuación de leads)

Procesamiento de categorías especiales de datos

Nuevas funcionalidades o integraciones que cambien significativamente el procesamiento de datos

10. Notificación de Violaciones de Datos

En caso de una violación de datos personales:

Respuesta InternaActivar nuestro equipo de respuesta a incidentes dentro de 1 hora tras la detección de la violación.

Autoridad de SupervisiónNotificar a la autoridad de supervisión competente dentro de las 72 horas siguientes al conocimiento de la violación (Artículo 33), a menos que sea improbable que resulte en un riesgo para los derechos y libertades de las personas.

InteresadosNotificar a las personas afectadas sin demora injustificada cuando la violación pueda resultar en un alto riesgo para sus derechos y libertades (Artículo 34).

Responsables del Tratamiento (cuando actuamos como Encargado)Notificar a los clientes afectados sin demora injustificada tras tener conocimiento de la violación.

DocumentaciónMantener registros detallados de todas las violaciones, incluyendo hechos, efectos y acciones correctivas tomadas.

11. Registros de Actividades de Tratamiento

En cumplimiento del Artículo 30 del RGPD, mantenemos registros completos de todas las actividades de tratamiento, incluyendo:

Nombre y datos de contacto del responsable/encargado y DPD

Fines del tratamiento

Categorías de interesados y datos personales

Categorías de destinatarios

Transferencias internacionales y salvaguardas

Períodos de retención

Medidas técnicas y organizativas de seguridad

12. IA y Tratamiento Automatizado

BiVelio utiliza IA para diversas actividades de tratamiento. Nuestro enfoque de la IA cumple con los requisitos del RGPD:

TransparenciaDivulgamos claramente cuándo se utiliza IA en el tratamiento de datos personales.

Limitación de FinalidadEl tratamiento con IA se limita a los fines especificados en esta política y nuestra Política de Privacidad.

Minimización de DatosSolo se procesan los datos necesarios para la tarea de IA.

Sin Entrenamiento de TercerosLos datos personales procesados a través de las funciones de IA de BiVelio no se utilizan para entrenar o mejorar modelos de IA de terceros.

Revisión HumanaLos usuarios mantienen la capacidad de solicitar la revisión humana de las decisiones generadas por IA.

Cumplimiento de la Ley de IA de la UEMonitorizamos y nos alineamos con los requisitos de la Ley de IA de la UE (Règlement (UE) 2024/1689) a medida que sean aplicables.

13. Datos de Menores

BiVelio es un servicio B2B no destinado a personas menores de 16 años. No recopilamos ni procesamos conscientemente datos personales de menores. Si descubrimos que hemos recopilado inadvertidamente datos de un menor de 16 años, los eliminaremos inmediatamente y notificaremos a la autoridad de supervisión correspondiente si es necesario.

14. Reclamaciones y Autoridad de Supervisión

Si cree que se han violado sus derechos de protección de datos, puede:

Contactar con nuestro DPD en privacy@bivelio.com para resolver el asunto directamente.

Presentar una reclamación ante la autoridad de supervisión competente:

Estados miembros de la UESu Autoridad de Protección de Datos (APD) local

15. Actualizaciones de la Política

Esta Política RGPD se revisa y actualiza anualmente, o con mayor frecuencia cuando lo requieran cambios en la legislación, nuestras actividades de tratamiento o la estructura organizativa. Todas las actualizaciones se publicarán en esta página con una fecha de "Última actualización" revisada.

16. Contacto

Para cualquier pregunta sobre esta Política RGPD o para ejercer sus derechos: