Acuerdo de Procesamiento de Datos (DPA) - Actualizado
Resumen
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los términos del servicio entre usted (el "Cliente" o "Responsable del Tratamiento") e ISMS Copilot (el "Encargado" o "Encargado del Tratamiento") para el uso de la plataforma de cumplimiento de IA ISMS Copilot. Este DPA cumple con el Artículo 28 del Reglamento General de Protección de Datos (RGPD) y rige el procesamiento de datos personales en nombre del Cliente.
Fecha de entrada en vigor: Noviembre de 2025. Este DPA se aplica automáticamente a todos los clientes de ISMS Copilot que procesen datos personales a través de la plataforma. No se requiere una firma por separado: el uso del servicio constituye la aceptación.
A quién va dirigido
Este Acuerdo de Procesamiento de Datos es para:
Organizaciones que utilizan ISMS Copilot para procesar datos personales
Consultores de cumplimiento que manejan datos de clientes a través de la plataforma
Delegados de Protección de Datos que realizan evaluaciones de proveedores
Equipos legales y de compras que evalúan los acuerdos de procesamiento de datos
Auditores que revisan el cumplimiento del Artículo 28 del RGPD
Definiciones
Términos Clave
"Cliente" o "Responsable del Tratamiento": La organización o individuo que se suscribe a los servicios de ISMS Copilot y determina los fines y medios del procesamiento de datos personales.
"Encargado" o "Encargado del Tratamiento": ISMS Copilot, que procesa datos personales en nombre del Cliente.
"Datos Personales del Cliente": Cualquier dato personal procesado por ISMS Copilot en nombre del Cliente, incluyendo el contenido de las conversaciones, documentos cargados y metadatos asociados.
"Subencargado": Cualquier tercero encargado por ISMS Copilot para procesar Datos Personales del Cliente.
"Interesado": La persona física identificada o identificable a la que se refieren los Datos Personales del Cliente.
"Tratamiento": Cualquier operación realizada sobre datos personales, incluyendo la recogida, almacenamiento, uso, divulgación o eliminación.
"Brecha de Datos Personales": Una brecha de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales del Cliente, o la comunicación o acceso no autorizados a dichos datos.
1. Alcance y Aplicabilidad
1.1 Aplicación del DPA
Este DPA se aplica a todo el tratamiento de Datos Personales del Cliente por parte de ISMS Copilot en el curso de la prestación de los servicios de la plataforma descritos en los Términos de Servicio.
1.2 Objeto del Tratamiento
ISMS Copilot procesa Datos Personales del Cliente para proporcionar asistencia de cumplimiento impulsada por IA, incluyendo:
Procesamiento de consultas de usuarios y generación de respuestas de IA
Almacenamiento del historial de conversaciones y contexto
Análisis de documentos de cumplimiento cargados
Mantenimiento de configuraciones de espacio de trabajo e instrucciones personalizadas
1.3 Duración del Tratamiento
El tratamiento continúa durante la suscripción activa del Cliente y de acuerdo con el período de retención de datos configurado por el Cliente (de 1 día a 7 años, o "mantener para siempre"). Tras la terminación, todos los Datos Personales del Cliente se eliminan en un plazo de 30 días, a menos que la ley exija una retención más prolongada.
1.4 Naturaleza y Propósito del Tratamiento
Naturaleza: Tratamiento automatizado mediante modelos de IA, almacenamiento en bases de datos y procesamiento de archivos
Propósito: Proporcionar orientación sobre cumplimiento, análisis de documentos, generación de políticas y gestión del conocimiento según las instrucciones del Cliente
1.5 Categorías de Interesados
Empleados y usuarios autorizados del Cliente
Clientes y usuarios finales del Cliente (cuando se mencionan en documentos cargados o consultas)
Personas referenciadas en la documentación de cumplimiento
Sujetos involucrados en incidentes de seguridad
1.6 Categorías de Datos Personales
Información de la cuenta de usuario (direcciones de correo electrónico, credenciales de autenticación)
Contenido de las conversaciones e interacciones con la IA
Contenido de los documentos cargados (políticas, procedimientos, informes de auditoría)
Configuraciones de espacio de trabajo e instrucciones personalizadas
Metadatos de uso y marcas de tiempo
Potencialmente categorías especiales de datos (Artículo 9 del RGPD) si son cargados por el Cliente
El Cliente es responsable de garantizar que existan la base legal y las salvaguardias adecuadas antes de cargar categorías especiales de datos (Artículo 9 del RGPD), como informes de incidentes de seguridad que contengan datos de salud, información de empleados u otras categorías sensibles.
2. Obligaciones del Encargado del Tratamiento (Artículo 28(3) del RGPD)
2.1 Instrucciones de Tratamiento
ISMS Copilot tratará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente, incluyendo:
Instrucciones proporcionadas a través de la interfaz de la plataforma (consultas, carga de documentos, configuraciones de espacio de trabajo)
Ajustes de retención de datos configurados por el Cliente
Selección del Modo de Protección de Datos Avanzado (procesamiento exclusivo en la UE frente a procesamiento predeterminado de IA)
Solicitudes de eliminación enviadas a través de la plataforma o soporte
Tratamiento Prohibido: ISMS Copilot y sus subencargados de IA (xAI, OpenAI, Mistral AI) tienen prohibido contractualmente utilizar los Datos Personales del Cliente para entrenar, mejorar o desarrollar modelos de IA. Esta prohibición está incorporada en todos los acuerdos con subencargados de IA.
Si ISMS Copilot considera que una instrucción infringe el RGPD u otras leyes de protección de datos, informaremos inmediatamente al Cliente y tenemos el derecho de suspender el tratamiento hasta que la instrucción sea confirmada o modificada. Si el Cliente confirma una instrucción que ISMS Copilot cree razonablemente que infringe la ley de protección de datos aplicable, ISMS Copilot puede negarse a ejecutar la instrucción y, si el desacuerdo no puede resolverse, dar por terminadas las actividades de tratamiento afectadas con un aviso de 30 días.
2.2 Confidencialidad del Tratamiento
ISMS Copilot garantiza que todas las personas autorizadas para tratar Datos Personales del Cliente:
Están sujetas a obligaciones de confidencialidad (contractuales o legales)
Reciben formación adecuada sobre protección de datos
Acceden a los datos solo bajo el principio de necesidad de conocer
Siguen procedimientos documentados de manejo de datos
2.3 Medidas Técnicas y Organizativas (Artículo 32 del RGPD)
ISMS Copilot implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
Medidas de Control de Acceso:
Seguridad a nivel de fila en la base de datos que impide el acceso a datos entre usuarios
Autenticación de usuario requerida para todos los recursos protegidos
Aislamiento de espacios de trabajo que evita la contaminación cruzada de datos de clientes
Soporte para autenticación de múltiples factores (MFA)
Controles de tiempo de espera de sesión automáticos
Medidas de Cifrado:
Cifrado TLS 1.3 para datos en tránsito
Cifrado de base de datos en reposo
Hashing de contraseñas utilizando algoritmos estándar de la industria (irreversible)
Almacenamiento de archivos cifrados en Supabase
Medidas de Minimización de Datos:
Solo se recopilan datos esenciales (correo electrónico, mensajes, archivos)
No se recopila información demográfica o de contacto innecesaria
Analítica configurada con
sendDefaultPii: falsePeríodos de retención controlados por el cliente con eliminación automatizada
Disponibilidad y Resiliencia:
Copias de seguridad automáticas de la base de datos
Procedimientos de recuperación ante desastres
Monitoreo y alertas las 24 horas, los 7 días de la semana a través de Sentry
Monitoreo de tiempo de actividad en tiempo real a través de BetterStack con alertas instantáneas en Slack
Página de estado pública para mayor transparencia (status.ismscopilot.com)
Escalada progresiva de incidentes por correo electrónico y SMS
Pruebas y Evaluación:
Evaluaciones de seguridad periódicas
Monitoreo y registro continuo de errores
Pruebas automatizadas de eliminación de datos
Procedimientos de verificación de control de acceso
Para obtener medidas técnicas y organizativas detalladas, consulte nuestro Registro de Actividades de Tratamiento (RopA) o visite nuestra Colección de Seguridad.
2.4 Contratación de Subencargados
Autorización General: El Cliente otorga autorización general a ISMS Copilot para contratar subencargados para el tratamiento de Datos Personales del Cliente, sujeto a las condiciones de esta sección.
Subencargados Actuales: La lista completa de subencargados se mantiene en nuestro Registro de Actividades de Tratamiento e incluye:
Subencargado | Propósito | Ubicación | Estado del DPA |
|---|---|---|---|
Supabase (PostgreSQL + Storage) | Base de datos y almacenamiento de archivos | UE (Fráncfort) | ✓ Cumple con el RGPD |
xAI (Grok) + OpenAI * | Procesamiento de IA (Modo Predeterminado) | Estados Unidos | ✓ Sin entrenamiento con datos |
Mistral AI * | Procesamiento de IA (Protección de Datos Avanzada) | Unión Europea | ✓ Cumple con el RGPD |
Stripe | Procesamiento de pagos | Global (DPA de la UE) | ✓ Cumple con el RGPD |
ConvertAPI | Conversión de documentos | Endpoint en la UE | ✓ Cumple con el RGPD ✓ Certificación ISO 27001:2022 ✓ DPA firmado con Better ISMS |
PostHog | Analítica de producto | UE (Fráncfort) | ✓ Cumple con el RGPD |
Sentry | Monitoreo de errores | Alemania | ✓ Cumple con el RGPD |
Vercel | Hosting de frontend | CDN Global | ✓ Cumple con el RGPD |
Fly.io | Hosting de API de backend | Despliegue en la UE | ✓ Cumple con el RGPD |
SendGrid (Twilio) | Comunicaciones por correo | EE. UU. (CCT) | ✓ RGPD + CCT |
Kit (ConvertKit) | Comunicaciones por correo | EE. UU. (CCT) | ✓ RGPD + CCT |
* Configurable por el usuario: Solo UN procesador de IA está activo en un momento dado, dependiendo de la configuración del Modo de Protección de Datos Avanzado del Cliente.
Requisitos de los Subencargados: ISMS Copilot garantiza que todos los subencargados:
Ofrezcan garantías suficientes de cumplimiento del RGPD
Acepten términos de tratamiento de datos sustancialmente equivalentes a este DPA
Implementen medidas técnicas y organizativas adecuadas
Permanezcan sujetos a la supervisión y derechos de auditoría de ISMS Copilot
Cambios en los Subencargados:
ISMS Copilot notificará a los Clientes al menos 30 días antes de añadir o sustituir subencargados
Las notificaciones se enviarán por correo electrónico y mediante anuncios en la aplicación
Los Clientes pueden oponerse a los nuevos subencargados en un plazo de 30 días
Si el Cliente se opone, ISMS Copilot optará por no utilizar el nuevo subencargado o permitirá al Cliente dar por terminado el servicio sin penalización
Suscríbase a las notificaciones de cambios de subencargados revisando sus preferencias de correo electrónico en Ajustes. Las listas actualizadas de subencargados están siempre disponibles en el Registro de Actividades de Tratamiento.
2.5 Asistencia para los Derechos de los Interesados
ISMS Copilot asistirá al Cliente en el cumplimiento de las solicitudes de derechos de los interesados, incluyendo:
ISMS Copilot responderá a las solicitudes del Cliente de asistencia para los derechos de los interesados en los plazos especificados a continuación. El Cliente sigue siendo responsable de cumplir con el plazo de respuesta de un mes del RGPD ante los interesados (Artículo 12(3)).
Derecho de Acceso (Artículo 15):
Acceso de autoservicio a todas las conversaciones y archivos a través de la plataforma
Exportación completa de datos en formato JSON disponible bajo petición al soporte (en un plazo de 72 horas)
Derecho de Rectificación (Artículo 16):
Actualizaciones de autoservicio en los ajustes de la cuenta
Cambios de dirección de correo electrónico asistidos por soporte (en un plazo de 30 días)
Derecho de Supresión (Artículo 17):
Solicitudes de eliminación de cuenta procesadas a través de soporte
Eliminación completa de datos en un plazo de 30 días
Confirmación proporcionada al Cliente una vez finalizada
Derecho a la Portabilidad de los Datos (Artículo 20):
Exportación JSON legible por máquina que incluye todos los Datos Personales del Cliente
Entregado en un plazo de 72 horas (hasta 5 días para cuentas grandes)
Derecho de Limitación del Tratamiento (Artículo 18) y Derecho de Oposición (Artículo 21):
Procesado a través de soporte caso por caso
Respuesta en un plazo de 30 días
El Cliente es responsable de verificar la identidad del interesado antes de solicitar el acceso o la exportación de datos. ISMS Copilot proporciona las herramientas y procesos, pero el Cliente mantiene la responsabilidad principal de responder a las solicitudes de los interesados.
2.6 Notificación de Brechas de Datos
En caso de una Brecha de Datos Personales que afecte a los Datos Personales del Cliente, ISMS Copilot:
Detección y Evaluación:
Supervisará continuamente los incidentes de seguridad a través de Sentry y alertas automatizadas
Realizará una revisión del incidente de seguridad en un plazo de 24 horas tras la detección
Evaluará el riesgo y el impacto potencial en los Datos Personales del Cliente
Notificación al Cliente:
Notificará al Cliente en un plazo de 48 horas tras confirmar que una Brecha de Datos Personales afecta a sus datos
Para sospechas de brechas bajo investigación, proporcionará una notificación preliminar en 24 horas con actualizaciones a medida que haya información disponible
Proporcionará una descripción de la brecha, incluyendo categorías y números aproximados de interesados afectados
Describirá las consecuencias probables de la brecha
Indicará las medidas tomadas o propuestas para abordar la brecha y mitigar sus efectos
Proporcionará un punto de contacto para más información
Cooperación:
Cooperará con los esfuerzos de investigación y remediación del Cliente
Proporcionará asistencia razonable para la notificación del Cliente a las autoridades de control y a los interesados
Documentará todas las brechas y medidas de remediación
El Cliente sigue siendo responsable de determinar si es necesaria la notificación a las autoridades de control (en un plazo de 72 horas según el Artículo 33) y a los interesados (Artículo 34). ISMS Copilot proporciona información para respaldar la decisión y obligaciones del Cliente.
2.7 Apoyo para la Evaluación de Impacto relativa a la Protección de Datos (EIPD)
ISMS Copilot proporcionará asistencia razonable cuando el Cliente realice una Evaluación de Impacto relativa a la Protección de Datos o una consulta previa con una autoridad de control, incluyendo:
Proporcionar el Registro de Actividades de Tratamiento como referencia
Describir las medidas técnicas y organizativas implementadas
Aclarar los flujos de datos y los acuerdos con subencargados
Responder preguntas específicas sobre las operaciones de tratamiento
2.8 Eliminación y Devolución de Datos
Tras la terminación de los servicios o a petición del Cliente, ISMS Copilot:
Eliminación Estándar (Predeterminada):
Eliminará todos los Datos Personales del Cliente en un plazo de 30 días tras la terminación
Sobrescribirá los datos de las copias de seguridad en un plazo de 90 días
Proporcionará confirmación por escrito de la eliminación bajo petición
Exportación de Datos antes de la Eliminación:
El Cliente puede solicitar la exportación completa de los datos antes de la terminación
Exportación proporcionada en formato JSON en un plazo de 72 horas
La eliminación se lleva a cabo tras la confirmación de entrega de la exportación
Excepciones de Retención Legal:
Registros de facturación anonimizados retenidos por 7 años (cumplimiento fiscal y contable)
Se pueden retener datos analíticos anonimizados
El contenido marcado por sistemas de moderación automatizados se retiene hasta 1 año para cumplimiento legal y revisión de seguridad de la plataforma (consulte la Política de Privacidad, sección Moderación de Contenido)
Los datos que deban ser retenidos por la ley aplicable serán aislados y protegidos hasta que expire el período de retención legal
2.9 Derechos de Auditoría
El Cliente tiene derecho a auditar el cumplimiento de este DPA por parte de ISMS Copilot, sujeto a limitaciones razonables:
Revisión de Documentación:
El Cliente puede revisar la documentación de cumplimiento disponible públicamente en nuestra Colección de Seguridad
Solicitar documentación adicional a través de soporte (por ejemplo, acuerdos con subencargados, políticas de seguridad)
Revisar el Registro de Actividades de Tratamiento en cualquier momento
Auditorías In Situ:
El Cliente puede realizar auditorías in situ con un aviso previo por escrito de 60 días
Máximo de una auditoría al año, a menos que sea necesaria por una brecha de datos
Las auditorías deben realizarse durante el horario comercial y sin interferir con las operaciones
El Cliente es responsable de los costes de la auditoría a menos que esta revele un incumplimiento que: (a) constituya una brecha de datos personales, o (b) implique un fallo sistemático en la implementación de las medidas de seguridad documentadas, o (c) resulte en una acción de cumplimiento regulatoria. En tales casos, ISMS Copilot asumirá los costes razonables de la auditoría incurridos después de identificado el incumplimiento.
Los resultados seguirán siendo confidenciales y no podrán compartirse excepto según lo exija la ley
Certificaciones de Terceros:
ISMS Copilot obtendrá y mantendrá las certificaciones de seguridad pertinentes (ISO 27001 en curso)
Los informes de certificación pueden compartirse bajo petición sujetos a un acuerdo de confidencialidad (NDA)
Los Clientes pueden confiar en certificaciones de terceros en lugar de realizar sus propias auditorías
3. Transferencias Internacionales de Datos
3.1 Mecanismos de Transferencia de Datos
ISMS Copilot trata los Datos Personales del Cliente de acuerdo con el Capítulo V del RGPD:
Almacenamiento Primario (Siempre en la UE):
Todo el almacenamiento de la base de datos se realiza en Fráncfort, Alemania (AWS EU-Central-1)
El historial de conversaciones, los archivos cargados y los datos de la cuenta permanecen en la UE
No se requiere decisión de adecuación para el almacenamiento primario
Procesamiento de IA (Configurable por el Cliente):
Cuando el Modo de Protección de Datos Avanzado está ACTIVADO: El procesamiento de IA ocurre dentro de la UE a través de Mistral AI con retención de datos cero. No se produce transferencia internacional de datos para el procesamiento de IA.
Cuando la Protección de Datos Avanzada está DESACTIVADA (predeterminado): El contenido de la conversación se traslada a los Estados Unidos para el procesamiento de IA a través de xAI/OpenAI con una retención de 30 días. Se aplican Cláusulas Contractuales Tipo a estas transferencias.
Comunicaciones por Correo Electrónico (Basadas en EE. UU.):
Direcciones de correo electrónico transferidas a SendGrid y Kit (Estados Unidos)
Protegidas por Cláusulas Contractuales Tipo aprobadas por la Comisión Europea
Los clientes pueden minimizar las transferencias cancelando la suscripción a correos electrónicos no esenciales
3.2 Cláusulas Contractuales Tipo (CCT)
Para transferencias a los Estados Unidos, ISMS Copilot se apoya en las Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914 de la Comisión):
Del Cliente a ISMS Copilot: Se aplica el Módulo Dos (Responsable a Encargado) cuando el Cliente actúa como responsable del tratamiento
De ISMS Copilot a subencargados de EE. UU.: Se aplica el Módulo Tres (Encargado a Encargado)
Ley aplicable para las CCT: Ley francesa (Cláusula 17, Opción 1)
Autoridad de control competente: CNIL, Francia (Cláusula 13)
Las copias de las CCT ejecutadas con los subencargados están disponibles bajo petición a través de soporte
3.3 Medidas Complementarias
ISMS Copilot implementa medidas complementarias para proteger los datos transferidos fuera de la UE:
Cifrado de extremo a extremo (TLS 1.3) para todos los datos en tránsito
Prohibición contractual del entrenamiento de IA utilizando datos del Cliente
Retención limitada por parte de los proveedores de IA (30 días para xAI/OpenAI, cero para Mistral AI)
Capacidad del Cliente para controlar el destino de la transferencia a través del Modo de Protección de Datos Avanzado
Monitoreo continuo de los desarrollos legales relativos a las transferencias internacionales
3.4 Evaluación de Impacto de la Transferencia
ISMS Copilot ha realizado una Evaluación de Impacto de la Transferencia (TIA) para subencargados con sede en EE. UU. y ha determinado que:
Las Cláusulas Contractuales Tipo proporcionan salvaguardias adecuadas bajo el Capítulo V del RGPD
Las medidas técnicas complementarias (cifrado, retención limitada, controles de usuario) refuerzan la protección
Los Clientes tienen la opción de evitar totalmente las transferencias de procesamiento de IA a EE. UU. habilitando el Modo de Protección de Datos Avanzado (procesamiento exclusivo en la UE con retención cero)
Las transferencias de correo electrónico a proveedores de EE. UU. (SendGrid, Kit) se mantienen independientemente del Modo de Protección de Datos Avanzado, pero están protegidas por CCT y cifrado
No hay evidencia de que los subencargados hayan recibido solicitudes de acceso gubernamental para los datos del Cliente
La Evaluación de Impacto de la Transferencia completa, incluyendo la metodología de evaluación de riesgos y el análisis de la ley de vigilancia de EE. UU., está disponible en Evaluación de Impacto de la Transferencia.
Las organizaciones con requisitos estrictos de residencia de datos en la UE deben habilitar el Modo de Protección de Datos Avanzado para eliminar las transferencias de procesamiento de IA y simplificar las obligaciones de la Evaluación de Impacto de la Transferencia. Las transferencias de correo electrónico a proveedores de EE. UU. permanecen pero se minimizan al cancelar la suscripción a comunicaciones no esenciales. Consulte nuestra Evaluación de Impacto de la Transferencia para más detalles.
4. Obligaciones del Cliente como Responsable del Tratamiento
4.1 Licitud de las Instrucciones de Tratamiento
El Cliente garantiza que:
Todas las instrucciones de tratamiento cumplen con el RGPD y las leyes de protección de datos aplicables
El Cliente tiene una base legal para el tratamiento de todos los datos personales cargados en la plataforma
El Cliente ha informado a los interesados sobre el tratamiento y sus derechos
El Cliente mantiene registros apropiados de las actividades de tratamiento (Artículo 30 del RGPD)
4.2 Categorías Especiales de Datos
Si el Cliente carga categorías especiales de datos (Artículo 9 del RGPD), el Cliente confirma que:
Se cumplen las condiciones adecuadas del Artículo 9 (por ejemplo, consentimiento explícito, reclamaciones legales, interés público esencial)
Existen salvaguardias adicionales según lo exigido por la ley
El Cliente ha realizado una Evaluación de Impacto relativa a la Protección de Datos si es necesario
4.3 Gestión de los Derechos de los Interesados
El Cliente es responsable de:
Recibir y responder a las solicitudes de derechos de los interesados
Verificar la identidad del interesado antes de solicitar datos a ISMS Copilot
Determinar si es necesario notificar a las autoridades de control y a los interesados en caso de brechas
Asegurarse de que los interesados estén informados sobre el papel de ISMS Copilot como encargado del tratamiento
4.4 Configuración de la Retención de Datos
El Cliente debe:
Configurar períodos de retención de datos adecuados que coincidan con sus políticas de protección de datos
Revisar los ajustes de retención periódicamente para asegurar el cumplimiento
Solicitar la eliminación cuando los datos ya no sean necesarios para el propósito original
4.5 Aislamiento del Espacio de Trabajo
El Cliente debe:
Crear espacios de trabajo separados para diferentes clientes o categorías de datos
Evitar mezclar datos personales de diferentes interesados en un solo espacio de trabajo
Eliminar los espacios de trabajo cuando los proyectos finalicen y los datos ya no sean necesarios
5. Responsabilidad e Indemnización
5.1 Asignación de Responsabilidad
Bajo el Artículo 82 del RGPD:
El Cliente e ISMS Copilot son responsables cada uno de los daños causados por sus propias infracciones del RGPD
ISMS Copilot está exento de responsabilidad si demuestra que no es responsable del evento que originó el daño
ISMS Copilot no es responsable de los daños derivados de instrucciones de tratamiento ilícitas del Cliente
5.2 Indemnización
El Cliente indemnizará a ISMS Copilot contra cualquier reclamación, multa o daño derivado de:
La infracción por parte del Cliente del RGPD u otras leyes de protección de datos
Las instrucciones de tratamiento ilícitas del Cliente
La falta por parte del Cliente de obtener los consentimientos necesarios o la base legal para el tratamiento
La carga por parte del Cliente de categorías especiales de datos sin las salvaguardias adecuadas
6. Vigencia y Terminación
6.1 Vigencia
Este DPA entra en vigor en la fecha en que el Cliente utiliza por primera vez los servicios de ISMS Copilot y continúa mientras ISMS Copilot trate Datos Personales del Cliente.
6.2 Terminación
Este DPA termina automáticamente tras:
La terminación de los Términos de Servicio
La finalización de todas las actividades de tratamiento y la eliminación de los Datos Personales del Cliente
6.3 Efecto de la Terminación
Tras la terminación:
ISMS Copilot eliminará o devolverá todos los Datos Personales del Cliente como se describe en la Sección 2.8
Las obligaciones relativas a la confidencialidad, seguridad de los datos y retención legal sobreviven a la terminación
El derecho de auditoría del Cliente sobrevive durante 12 meses tras la terminación
7. Enmiendas y Actualizaciones
7.1 Actualizaciones del DPA
ISMS Copilot puede actualizar este DPA para reflejar:
Cambios en las leyes de protección de datos o guías regulatorias
Cambios en las operaciones de tratamiento o subencargados
Mejoras en las medidas de seguridad o prácticas de protección de datos
7.2 Notificación de Cambios
Los cambios sustanciales se notificarán con al menos 30 días de antelación por correo electrónico y notificación en la aplicación
El DPA actualizado se publicará en esta URL con una nueva "Fecha de entrada en vigor"
El uso continuado de los servicios después de la fecha de entrada en vigor constituye la aceptación del DPA actualizado
7.3 Derechos de Oposición
El Cliente puede oponerse a cambios sustanciales en un plazo de 30 días tras la notificación
Si el Cliente se opone, puede dar por terminado el servicio sin penalización
8. Ley Aplicable y Jurisdicción
8.1 Ley Aplicable
Este DPA se rige por:
El Reglamento General de Protección de Datos (UE) 2016/679
La ley francesa de protección de datos (Ley de Protección de Datos 78-17 del 6 de enero de 1978)
Las leyes de Francia para la interpretación contractual
8.2 Jurisdicción
Cualquier disputa derivada de este DPA estará sujeta a la jurisdicción de los tribunales franceses, siendo la autoridad de control la Commission Nationale de l'Informatique et des Libertés (CNIL).
9. Información de Contacto
9.1 Contactos de Protección de Datos
Para preguntas o solicitudes relacionadas con el DPA:
Contacte con soporte a través del Centro de Ayuda (accesible mediante el menú de usuario)
Envíe un correo electrónico desde la dirección registrada en su cuenta
Incluya "DPA Request" o "Solicitud de DPA" en la línea del asunto
9.2 Contacto de Protección de Datos
ISMS Copilot no ha designado un Delegado de Protección de Datos ya que no cumplimos con los criterios de designación obligatorios bajo el Artículo 37 del RGPD. Para consultas de protección de datos relacionadas con este DPA, contáctenos en [email protected] o a través del Centro de Ayuda.
9.3 Autoridad de Control
Commission Nationale de l'Informatique et des Libertés (CNIL)
Sitio web: https://www.cnil.fr/en
Dirección: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francia
Teléfono: +33 1 53 73 22 22
10. Recursos Adicionales
Documentación de Apoyo
Registro de Actividades de Tratamiento (RopA) - Operaciones de tratamiento detalladas y subencargados
Evaluación de Impacto de la Transferencia (TIA) - Evaluación de riesgos y salvaguardias de la transferencia internacional de datos
Política de Privacidad - Aviso de privacidad orientado al consumidor
Privacidad de Datos y Cumplimiento del RGPD - Guía de derechos del usuario e implementación del RGPD
Colección de Seguridad - Documentación integral de seguridad y cumplimiento
Página de Estado - Disponibilidad del sistema en tiempo real y notificaciones de incidentes
Guías de Configuración
Modo de Protección de Datos Avanzado - Habilitar el procesamiento de IA exclusivo en la UE
Guía de Configuración del Espacio de Trabajo - Aislar correctamente los datos de los clientes
Guía de Seguridad de la Cuenta - Implementar autenticación sólida
Apéndice A: Resumen de Detalles del Tratamiento
Objeto del Tratamiento
Prestación de la plataforma de asistencia de cumplimiento impulsada por IA, incluyendo procesamiento de conversaciones, análisis de documentos y gestión de conocimientos.
Duración
Durante el término de la suscripción activa del Cliente más el período de retención configurado por el Cliente (de 1 día a 7 años), seguido de una ventana de eliminación de 30 días.
Naturaleza y Propósito
Naturaleza: Procesamiento automatizado de IA, almacenamiento en base de datos, conversión y análisis de archivos
Propósito: Permitir a los profesionales de cumplimiento recibir orientación por IA, analizar documentos, generar políticas y gestionar conocimientos de cumplimiento
Categorías de Interesados
Empleados del Cliente y usuarios autorizados de la plataforma
Clientes del Cliente (cuando se referencian en documentos o consultas)
Personas mencionadas en la documentación de cumplimiento
Sujetos involucrados en incidentes de seguridad
Categorías de Datos Personales
Información de contacto (direcciones de correo electrónico)
Credenciales de autenticación (contraseñas con hash)
Contenido de las conversaciones e interacciones con la IA
Documentación de cumplimiento cargada
Metadatos de uso y marcas de tiempo
Potencialmente categorías especiales de datos (Artículo 9) si son cargados por el Cliente
Apéndice B: Registro de Cambios de Subencargados
Este apéndice rastrea todas las adiciones, eliminaciones y cambios de subencargados desde la fecha de entrada en vigor del DPA. Los Clientes son notificados 30 días antes de que los cambios surtan efecto.
Vigente a partir de noviembre de 2025
Lista inicial de subencargados establecida. Consulte la Sección 2.4 y el Registro de Actividades de Tratamiento para ver la lista completa actual.
Cambios Futuros
Todos los cambios de subencargados se documentarán aquí con:
Fecha de entrada en vigor del cambio
Nombre y ubicación del subencargado
Naturaleza del cambio (adición, eliminación, sustitución)
Propósito del tratamiento
Fecha de notificación al Cliente
Obtener Ayuda
Para preguntas sobre este Acuerdo de Procesamiento de Datos:
Revise el Registro de Actividades de Tratamiento para detalles técnicos del tratamiento
Contacte con soporte a través del Centro de Ayuda para cualquier aclaración
Solicite documentación adicional (por ejemplo, CCT, políticas de seguridad) a través de soporte
Visite nuestra Colección de Seguridad para recursos integrales de cumplimiento
Incluya "DPA Request" en su línea de asunto para una gestión prioritaria