ISMS Copilot
Legal

Política de Privacidad - ISMS Copilot

Descripción general

Esta Política de Privacidad describe cómo ISMS Copilot ("nosotros", "nos" o "nuestro") recopila, utiliza, comparte y protege su información personal cuando utiliza nuestra plataforma de cumplimiento impulsada por IA. Esta política se aplica a todos los usuarios de ISMS Copilot, incluidos usuarios de prueba, suscriptores y visitantes de nuestro sitio web.

Fecha de entrada en vigor: diciembre de 2025. Esta Política de Privacidad se actualiza periódicamente para reflejar cambios en nuestras prácticas de procesamiento de datos y requisitos regulatorios.

Cobertura Global: Esta política cubre tanto los requisitos de privacidad europeos (GDPR) como los de California (CCPA/CPRA). Los usuarios de la UE deben centrarse en las secciones del GDPR; los residentes de California también deben revisar la sección de Derechos de Privacidad de California.

A quién va dirigido

Esta Política de Privacidad es para:

  • Todos los usuarios de la plataforma ISMS Copilot (profesionales de cumplimiento, consultores, equipos de seguridad)

  • Organizaciones que evalúan ISMS Copilot para evaluaciones de riesgo de proveedores

  • Delegados de Protección de Datos que realizan revisiones de privacidad

  • Cualquier persona que desee entender cómo manejamos la información personal

Información del Responsable del Tratamiento

ISMS Copilot es el responsable del tratamiento de sus datos personales:

  • Nombre: ISMS Copilot

  • Jurisdicción: Francia (Unión Europea)

  • Ubicación principal de los datos: Fráncfort, Alemania (AWS EU-Central-1)

  • Contacto de privacidad: [email protected]

  • Autoridad de control: Commission Nationale de l'Informatique et des Libertés (CNIL)

Delegado de Protección de Datos

ISMS Copilot no ha designado un Delegado de Protección de Datos, ya que no cumplimos con los criterios de designación obligatoria según el Artículo 37 del GDPR. Para consultas de privacidad, contacte a [email protected].

Información que recopilamos

Información de la cuenta

Cuando crea una cuenta en ISMS Copilot, recopilamos:

  • Dirección de correo electrónico (para autenticación y comunicaciones esenciales)

  • Contraseña (mediante hashing y cifrada, nunca se almacena en texto plano)

  • Marcas de tiempo de creación de cuenta y último inicio de sesión

  • Identificadores únicos de usuario (UUID)

Datos de las conversaciones

Cuando utiliza nuestro asistente de cumplimiento de IA, procesamos:

  • Sus mensajes y consultas

  • Respuestas generadas por la IA

  • Metadatos de la conversación (títulos, marcas de tiempo, estado)

  • Configuraciones del espacio de trabajo e instrucciones personalizadas

  • Contenido relacionado con el cumplimiento (políticas, procedimientos, información de auditoría que usted ingrese)

Usted puede ingresar categorías especiales de datos (Artículo 9 del GDPR), como incidentes de seguridad o violaciones de cumplimiento. Usted es responsable de garantizar que tiene la autoridad legal para procesar dichos datos antes de ingresarlos en la plataforma.

Archivos cargados

Cuando carga documentos para su análisis, recopilamos:

  • Contenido del archivo (formatos PDF, DOCX, XLSX)

  • Nombres de archivos, tamaños y marcas de tiempo de carga

  • Contenido extraído del documento y metadatos

  • Estado del procesamiento del documento

Información de pago

Para suscripciones premium, recopilamos:

  • IDs de cliente de Stripe e IDs de suscripción

  • Metadatos de pago (nunca almacenamos números de tarjeta de crédito completos)

  • Eventos de facturación e información de facturas

  • Estado de la suscripción e información del nivel

Los datos de las tarjetas de pago son gestionados exclusivamente por Stripe, nuestro proveedor de pagos que cumple con PCI DSS Nivel 1. ISMS Copilot nunca almacena ni procesa números de tarjetas de crédito.

Analítica y datos de uso

Para mejorar nuestro servicio, recopilamos automáticamente:

  • Eventos de comportamiento del usuario (vistas de página, uso de funciones)

  • Datos de sesión y duración

  • Información del navegador y del dispositivo

  • Registros de errores y métricas de rendimiento

  • Identificadores de usuario (solo UUID) para el seguimiento de errores en producción (sin direcciones de correo electrónico ni nombres)

  • Direcciones IP (anonimizadas)

Nuestros sistemas de analítica están configurados con sendDefaultPii: false para evitar la recopilación automática de información de identificación personal. El contenido de las conversaciones y los documentos cargados nunca se comparten con proveedores de analítica.

Datos de comunicaciones por correo electrónico

Cuando recibe correos electrónicos nuestros, podemos recopilar:

  • Datos de interacción con el correo (aperturas, clics)

  • Preferencias de suscripción

  • Estado de baja de suscripción

  • Marcas de tiempo de entrega del correo

Cómo utilizamos su información

Prestación del servicio (Base legal: Ejecución de contrato - Artículo 6(1)(b) del GDPR)

  • Proporcionar asistencia de cumplimiento impulsada por IA

  • Autenticar su cuenta y gestionar sesiones

  • Procesar y almacenar sus conversaciones y archivos cargados

  • Entregar funciones y funcionalidades solicitadas

  • Procesar pagos de suscripción y gestionar la facturación

Mejora del servicio (Base legal: Interés legítimo - Artículo 6(1)(f) del GDPR)

  • Analizar el uso de la plataforma para mejorar la experiencia del usuario

  • Monitorear el rendimiento y la fiabilidad del sistema

  • Identificar y corregir errores y problemas técnicos

  • Desarrollar nuevas funciones y capacidades

Seguridad y prevención de fraude (Base legal: Interés legítimo - Artículo 6(1)(f) del GDPR)

  • Detectar y prevenir el acceso no autorizado

  • Monitorear actividades sospechosas o abusos

  • Proteger la integridad de la plataforma y los datos de los usuarios

  • Responder a incidentes de seguridad

  • Procesar todos los mensajes de chat mediante moderación de contenido automatizada para detectar contenido prohibido bajo nuestra Política de Uso Aceptable

  • Almacenar mensajes marcados con metadatos para cumplimiento legal y revisión administrativa

Moderación de contenido: Todos los mensajes de chat se procesan a través de APIs de moderación automatizadas (OpenAI por defecto, o Mistral AI cuando la Protección Avanzada de Datos está activada) para detectar violaciones de nuestra Política de Uso Aceptable. Los mensajes limpios (no marcados) nunca ven su contenido almacenado; solo se conservan los metadatos y las puntuaciones de moderación durante 30 días. Si el contenido se marca como potencialmente dañino o prohibido, el contenido íntegro del mensaje y sus metadatos se almacenan durante 1 año y son revisados por administradores, incluso si el Modo de Protección Avanzada de Datos está activado. Esto garantiza la seguridad de la plataforma y el cumplimiento legal.

Comunicaciones (Base legal: Interés legítimo - Artículo 6(1)(f) del GDPR)

  • Enviar correos transaccionales (restablecimiento de contraseñas, alertas de seguridad)

  • Proporcionar orientación de incorporación y educación sobre el producto

  • Compartir actualizaciones legales y cambios importantes en el servicio

  • Enviar actualizaciones ocasionales del producto (puede darse de baja en cualquier momento)

Cumplimiento legal (Base legal: Obligación legal - Artículo 6(1)(c) del GDPR)

  • Conservar registros de facturación para requisitos fiscales y contables (7 años)

  • Responder a solicitudes legales de las autoridades

  • Cumplir con las leyes de protección de datos aplicables

ISMS Copilot nunca utiliza sus datos para marketing, publicidad o venta a terceros. Sus conversaciones y documentos cargados nunca se utilizan para entrenar modelos de IA.

Cómo compartimos su información

Proveedores de servicios externos (Encargados del tratamiento)

Compartimos su información con proveedores de servicios de confianza que nos ayudan a ofrecer la plataforma. Todos los encargados tienen Acuerdos de Procesamiento de Datos que cumplen con el GDPR.

Se mantiene una lista actualizada de todos los subencargados en nuestro Acuerdo de Procesamiento de Datos. Notificamos con 30 días de antelación los cambios de subencargados por correo electrónico a los titulares de las cuentas.

Base de datos y almacenamiento (Siempre activo)

  • Supabase: Base de datos y almacenamiento de archivos (UE - Fráncfort, Alemania)

  • AWS: Infraestructura (EU-Central-1, Fráncfort)

Procesamiento de IA (Configurable por el usuario mediante el Modo de Protección Avanzada de Datos)

  • Modo predeterminado (Protección Avanzada desactivada): xAI (Grok) y OpenAI (Estados Unidos, retención de 30 días, sin entrenamiento con datos)

  • Protección Avanzada activada: Mistral AI (Unión Europea, retención cero, sin entrenamiento con datos)

Procesamiento de moderación de contenido

  • Modo predeterminado: API de moderación de OpenAI (Estados Unidos, retención de 30 días)

  • Protección Avanzada activada: API de moderación de Mistral AI (Unión Europea, retención cero)

El procesamiento de moderación ocurre para todos los mensajes de chat para garantizar la seguridad de la plataforma. Para el contenido no marcado, solo se almacenan los metadatos y las puntuaciones de moderación (no el contenido del mensaje), conservados durante 30 días. El contenido marcado incluye el texto íntegro del mensaje almacenado durante 1 año, independientemente de los ajustes de ADP, para cumplimiento legal y revisión de seguridad.

Las organizaciones con requisitos de residencia de datos en la UE deben activar el Modo de Protección Avanzada de Datos para garantizar un procesamiento al 100% en la UE con retención cero de datos por parte del proveedor de IA.

Procesamiento de pagos

  • Stripe: Procesamiento de pagos y gestión de suscripciones (Global con DPA de la UE, cumple con PCI DSS Nivel 1)

Analítica y monitoreo

  • PostHog: Analítica de producto (UE - Fráncfort, Alemania)

  • Sentry: Seguimiento y monitoreo de errores (Alemania). Solo en producción, su ID de usuario (UUID) se captura junto con los informes de errores para permitir una resolución más rápida. No se envían direcciones de correo electrónico, contenido de conversaciones ni otra información personal.

  • Vercel: Analítica web y alojamiento frontend (cumple con el GDPR)

Comunicaciones por correo electrónico

  • SendGrid (Twilio): Correos transaccionales y de actualizaciones legales (Estados Unidos con Cláusulas Contractuales Tipo)

  • Kit (ConvertKit): Correos de incorporación y actualizaciones de producto (Estados Unidos con Cláusulas Contractuales Tipo)

Puede darse de baja de los correos no esenciales (actualizaciones de producto, secuencias de incorporación) en cualquier momento. Las notificaciones esenciales del servicio se seguirán enviando según lo exija la ley o el contrato.

Procesamiento de documentos

  • ConvertAPI: Conversión de formatos de documentos (punto de conexión en la UE, solo procesamiento temporal)

  • Fly.io: Alojamiento de API backend y orquestación de chat (despliegue en la UE)

Requisitos legales

Podemos divulgar su información cuando la ley lo exija o para:

  • Cumplir con procesos legales (citaciones, órdenes judiciales)

  • Responder a solicitudes lícitas de autoridades gubernamentales

  • Proteger nuestros derechos, propiedad o seguridad

  • Prevenir el fraude o el abuso de la plataforma

Sin venta de datos personales

ISMS Copilot no vende, alquila ni comercializa su información personal con terceros para sus fines de marketing.

Transferencias internacionales de datos

Almacenamiento principal de datos

Todo el almacenamiento de la base de datos de ISMS Copilot se realiza en la Unión Europea:

  • Ubicación: Fráncfort, Alemania (AWS EU-Central-1)

  • Proveedor: Supabase con infraestructura de AWS

  • Cobertura: Todo el historial de conversaciones, archivos cargados y datos de la cuenta

Transferencias de datos fuera de la UE

Algunos datos se transfieren a los Estados Unidos con las salvaguardias adecuadas. Hemos realizado Evaluaciones de Impacto de la Transferencia para todos los encargados ubicados fuera del Espacio Económico Europeo. Estas evaluaciones evalúan las leyes de vigilancia del país receptor y la eficacia de nuestras salvaguardias suplementarias.

Cuando el Modo de Protección Avanzada de Datos está activado, el procesamiento de datos principal (base de datos e IA) ocurre dentro de la UE. Las comunicaciones por correo electrónico a proveedores con sede en EE. UU. siguen produciéndose con Cláusulas Contractuales Tipo vigentes.

Cuando la Protección Avanzada de Datos está desactivada (por defecto), el contenido de las conversaciones se trasfiere a los Estados Unidos para su procesamiento por IA a través de xAI/OpenAI con una retención de 30 días. Estas transferencias están sujetas a los requisitos de transferencia del GDPR.

Transferencias con Cláusulas Contractuales Tipo (SCC):

  • Proveedores de servicios de correo (SendGrid, Kit) - Estados Unidos

  • Proveedores de procesamiento de IA (xAI/OpenAI) cuando la Protección Avanzada de Datos está desactivada - Estados Unidos

Opciones de procesamiento exclusivo en la UE:

  • Active el Modo de Protección Avanzada de Datos para el procesamiento de IA exclusivo en la UE

  • Dése de baja de los correos no esenciales para minimizar las transferencias a EE. UU.

  • El almacenamiento en la base de datos siempre permanece en la UE independientemente de la configuración

Retención de datos

Retención controlada por el usuario

Usted controla cuánto tiempo se conservan sus datos:

  • Historial de conversaciones: de 1 día a 7 años, o conservar para siempre (configurable en Ajustes)

  • Documentos cargados: Vinculados a los ajustes de retención de conversaciones

  • Eliminación automática: Un proceso diario elimina los datos caducados

Retención relacionada con la cuenta

  • Cuentas activas: Se conservan mientras la cuenta esté activa

  • Tokens de sesión: Caducan tras un periodo de inactividad

  • Chats temporales: Se eliminan automáticamente después de 30 días

Tras la eliminación de la cuenta

  • Datos personales: Se eliminan permanentemente en un plazo de 30 días

  • Registros de facturación: Anonimizados y conservados durante 7 años (requisito legal para cumplimiento fiscal)

  • Datos de respaldo: Sobrescritos en un plazo de 90 días

Analítica y registros

  • Analítica de PostHog: Hasta 7 años (anonimizados)

  • Registros de errores de Sentry: 90 días

  • Registros de acceso: De 30 a 90 días según las políticas de los proveedores de infraestructura

  • Metadatos de moderación (no marcados): Solo metadatos y puntuaciones de moderación (sin contenido del mensaje), conservados durante 30 días

  • Contenido marcado y metadatos: Contenido íntegro del mensaje y metadatos almacenados durante 1 año para revisión de cumplimiento y seguridad

Seguridad de los datos

Medidas de seguridad técnica

  • Cifrado en tránsito: TLS 1.3 para todas las conexiones

  • Cifrado en reposo: Cifrado de base de datos y almacenamiento de archivos

  • Seguridad de contraseñas: Hashing estándar de la industria (irreversible)

  • Control de acceso: La seguridad a nivel de fila evita el acceso no autorizado a los datos

  • Gestión de sesiones: Controles automáticos de tiempo de espera

Medidas de seguridad organizativa

  • Aislamiento de espacios de trabajo: Datos separados para diferentes proyectos/clientes

  • Autenticación de usuario: Requerida para todos los recursos protegidos

  • Soporte MFA: Autenticación de múltiples factores disponible

  • Monitoreo: Monitoreo continuo de seguridad y errores a través de Sentry

  • Respuesta a incidentes: Procedimientos de evaluación y notificación de brechas en 24 horas

Minimización de datos

  • Solo se recopilan datos esenciales (correo electrónico, mensajes, archivos)

  • Sin información demográfica o de contacto innecesaria

  • Analítica configurada para excluir PII

  • Periodos de retención controlados por el usuario

Para documentación de seguridad detallada, visite nuestra Colección de Seguridad o revise nuestro Registro de Actividades de Tratamiento completo.

Sus derechos de privacidad

Derecho de acceso (Artículo 15 del GDPR)

Tiene derecho a acceder a todos los datos personales que tenemos sobre usted.

Cómo ejercerlo:

  1. Inicie sesión para ver conversaciones y archivos a través de la interfaz de la plataforma

  2. Para una exportación completa de datos, contacte con soporte a través del Centro de Ayuda

  3. Le proporcionaremos sus datos en un plazo de 30 días (normalmente en 72 horas)

Derecho de rectificación (Artículo 16 del GDPR)

Puede actualizar o corregir su información personal.

Cómo ejercerlo:

  1. Actualice los ajustes de la cuenta a través del diálogo de Ajustes (accesible vía menú de usuario)

  2. Para cambios en la dirección de correo electrónico, contacte con soporte

  3. Los cambios se aplican inmediatamente para las actualizaciones de autoservicio

Derecho de supresión / "Derecho al olvido" (Artículo 17 del GDPR)

Puede solicitar la eliminación completa de su cuenta y sus datos.

Cómo ejercerlo:

  1. Contacte con soporte a través del Centro de Ayuda con una solicitud de eliminación

  2. Verificaremos su identidad y confirmaremos la solicitud

  3. Todos los datos se eliminan permanentemente en 30 días

La eliminación de la cuenta es permanente y no se puede deshacer. Todos los espacios de trabajo, conversaciones y archivos cargados se borrarán definitivamente. Exporte los datos necesarios antes de solicitar la eliminación.

Derecho a la portabilidad de los datos (Artículo 20 del GDPR)

Puede recibir sus datos en un formato estructurado y de lectura mecánica.

Cómo ejercerlo:

  1. Contacte con soporte solicitando una exportación de datos

  2. Le proporcionaremos sus datos en formato JSON en un plazo de 72 horas

  3. La exportación incluye información de la cuenta, conversaciones y metadatos de archivos

Derecho a la limitación del tratamiento (Artículo 18 del GDPR)

Puede solicitar la suspensión temporal del procesamiento de datos.

Cómo ejercerlo: Contacte con soporte explicando el motivo de la limitación. Responderemos en un plazo de 30 días.

Derecho de oposición (Artículo 21 del GDPR)

Puede oponerse a ciertos tipos de procesamiento de datos.

Cómo ejercerlo: Contacte con soporte especificando a qué procesamiento se opone. Revisaremos y responderemos en un plazo de 30 días.

Derecho a retirar el consentimiento

Cuando el procesamiento se base en su consentimiento (como las comunicaciones por correo no esenciales), puede retirar el consentimiento en cualquier momento haciendo clic en darse de baja en cualquier correo o ajustando las preferencias en Ajustes. La retirada no afecta al procesamiento ocurrido antes de la misma.

Derecho a presentar una reclamación

Tiene derecho a presentar una reclamación ante una autoridad de control:

  • Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Sitio web: https://www.cnil.fr/en

  • Dirección: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francia

  • Teléfono: +33 1 53 73 22 22

Derechos de privacidad de California (CCPA/CPRA)

Si usted es residente de California, la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA) le otorgan derechos de privacidad adicionales.

Información que recopilamos (categorías CCPA)

En los últimos 12 meses, hemos recopilado las siguientes categorías de información personal de residentes de California:

  • Identificadores: Direcciones de correo electrónico, IDs de cuenta, direcciones IP (anonimizadas)

  • Información comercial: Registros de suscripción, historial de pagos, información de facturación

  • Actividad en internet o redes: Datos de uso, registros de sesión, interacciones con funciones, registros de errores

  • Información profesional: Contenido relacionado con el cumplimiento que usted ingresa (políticas, datos de auditoría, evaluaciones de riesgo)

  • Inferencias: Patrones de uso derivados de la analítica (anonimizados)

No recopilamos información personal sensible según la define la CCPA (p. ej., números de Seguro Social, números de licencia de conducir, geolocalización precisa, origen racial o étnico, creencias religiosas o filosóficas, o afiliación sindical).

Fines comerciales de la recopilación

Recopilamos y utilizamos información personal para los siguientes fines comerciales:

  • Proporcionar la plataforma ISMS Copilot y asistencia de cumplimiento por IA

  • Procesar pagos y gestionar suscripciones

  • Autenticar y asegurar su cuenta

  • Mejorar la calidad del servicio y desarrollar nuevas funciones

  • Detectar y prevenir fraudes, incidentes de seguridad y abusos

  • Depuración y seguimiento de errores

  • Cumplir con las obligaciones legales

Divulgación de información personal

Compartimos información personal con las siguientes categorías de terceros para fines comerciales:

  • Proveedores de servicios en la nube: Supabase, AWS (base de datos y almacenamiento)

  • Proveedores de servicios de IA: xAI, OpenAI (modo por defecto) o Mistral AI (modo de Protección Avanzada de Datos)

  • Procesadores de pago: Stripe (procesamiento de pagos)

  • Proveedores de analítica: PostHog, Sentry, Vercel

  • Proveedores de servicios de correo: SendGrid, Kit

  • Procesadores de documentos: ConvertAPI, Fly.io

Sin venta ni intercambio: ISMS Copilot no vende su información personal. No compartimos su información personal para publicidad conductual de contexto cruzado.

Sus derechos de privacidad en California

Derecho a saber

Tiene derecho a solicitar que divulguemos:

  • Categorías de información personal que hemos recopilado sobre usted

  • Categorías de fuentes de las que se recopiló la información

  • Propósito comercial o de negocios para recopilar la información

  • Categorías de terceros con quienes compartimos información personal

  • Piezas específicas de información personal que hemos recopilado sobre usted

Derecho a eliminar

Tiene derecho a solicitar la eliminación de su información personal, sujeto a ciertas excepciones (p. ej., obligaciones legales de conservar registros de facturación).

Derecho a corregir

Tiene derecho a solicitar la corrección de información personal inexacta que mantengamos sobre usted.

Derecho a optar por la exclusión (Opt-Out)

Tiene derecho a optar por no participar en:

  • Venta de información personal: No aplicable (no vendemos información personal)

  • Uso compartido para publicidad conductual de contexto cruzado: No aplicable (no realizamos esta práctica)

Derecho a limitar el uso de información personal sensible

No aplicable — no recopilamos ni utilizamos información personal sensible según la definición de la CCPA.

Derecho a la no discriminación

No le discriminaremos por ejercer cualquiera de sus derechos de la CCPA. No recibirá:

  • Denegación de bienes o servicios

  • Precios o tarifas diferentes

  • Diferente nivel o calidad de servicio

Cómo ejercer sus derechos en California

Enviar una solicitud:

  1. Inicie sesión en su cuenta de ISMS Copilot

  2. Haga clic en el icono del menú de usuario (arriba a la derecha) y seleccione Centro de Ayuda

  3. Envíe su solicitud con "Certificado CCPA" en el asunto

  4. Especifique qué derecho está ejerciendo (Saber, Eliminar, Corregir)

Proceso de verificación:

  • Verificaremos su identidad confirmando su dirección de correo electrónico registrada

  • Para solicitudes sensibles, podemos requerir verificación adicional

  • Puede designar a un agente autorizado para realizar solicitudes en su nombre (requeriremos autorización por escrito)

Cronograma de respuesta:

  • Acuse de recibo en 10 días hábiles

  • Respuesta en 45 días (puede extenderse hasta 90 días para solicitudes complejas)

Retención de datos

Conservamos la información personal de los residentes de California utilizando los mismos criterios descritos en la sección "Retención de datos" anterior:

  • Historial de conversaciones: Configurable por el usuario (de 1 día a 7 años, o conservar siempre)

  • Datos de la cuenta: Mientras la cuenta esté activa

  • Registros de facturación: Anonimizados y conservados durante 7 años (requisito legal)

  • Analítica: Hasta 7 años (anonimizados)

Ley "Shine the Light" de California

Según la Sección 1798.83 del Código Civil de California, los residentes de California pueden solicitar información sobre nuestra divulgación de información personal a terceros para sus fines de marketing directo. ISMS Copilot no divulga información personal a terceros para sus fines de marketing directo.

Procesamiento automatizado

ISMS Copilot utiliza IA para ayudar en la generación de contenido de cumplimiento, pero no toma decisiones automatizadas que produzcan efectos legales o le afecten significativamente de modo similar según el Artículo 22 del GDPR. Todas las decisiones de cumplimiento permanecen bajo su control. Las marcas de moderación de contenido son revisadas por humanos antes de tomar cualquier acción con la cuenta.

Cookies y seguimiento

Cookies esenciales

Utilizamos cookies estrictamente necesarias para:

  • Autenticación de usuarios y gestión de sesiones

  • Seguridad y prevención de fraudes

  • Funcionalidad de la plataforma

Cookies de analítica

Con su consentimiento, utilizamos cookies de analítica para:

  • Entender los patrones de uso de la plataforma

  • Mejorar la experiencia del usuario

  • Monitorear el rendimiento

No utilizamos cookies publicitarias o de marketing. Toda la analítica está configurada para excluir información de identificación personal.

Analítica que prioriza la privacidad: PostHog opera en modo sin cookies con persistencia solo en memoria. No se escriben cookies ni almacenamiento del navegador en su dispositivo. El uso anónimo se rastrea mediante hashing en el servidor que preserva la privacidad, y los perfiles de usuario solo se crean para sesiones autenticadas.

Privacidad de menores

ISMS Copilot no está destinado a personas menores de 16 años:

  • Nuestro servicio está diseñado para profesionales del cumplimiento y empresas

  • No recopilamos datos de niños a sabiendas

  • Si descubrimos el uso por menores de edad, cerraremos la cuenta y eliminaremos los datos

Responsabilidades del usuario

Si bien ISMS Copilot proporciona una infraestructura que cumple con el GDPR, usted (como responsable del tratamiento para su propio procesamiento) es responsable de garantizar que el uso que hace de la plataforma cumpla con las normativas aplicables.

Usted es responsable de:

  • Garantizar que existe una base legal antes de cargar datos personales

  • Configurar periodos de retención de datos adecuados para su organización

  • Mantener espacios de trabajo separados para diferentes clientes o categorías de datos

  • Informar a las personas cuando sus datos se procesen a través de ISMS Copilot

  • Incluir a ISMS Copilot en sus propios registros de actividades de tratamiento

  • Realizar Evaluaciones de Impacto de Protección de Datos (EIPD) cuando procese datos de alto riesgo

  • No cargar categorías especiales de datos (Artículo 9 del GDPR) sin las salvaguardias adecuadas

Cambios en esta Política de Privacidad

Cómo le notificamos

Cuando actualicemos esta Política de Privacidad:

  • Enviaremos una notificación a su dirección de correo electrónico registrada

  • Mostraremos una notificación en la aplicación al siguiente inicio de sesión

  • Actualizaremos la "Fecha de entrada en vigor" en la parte superior de esta política

  • Proporcionaremos un aviso de al menos 30 días para cambios materiales

Sus opciones

Si no está de acuerdo con los cambios:

  • Solicite la eliminación de la cuenta antes de que los cambios entren en vigor

  • Exporte sus datos antes de la fecha de entrada en vigor

  • Contacte con soporte para discutir sus preocupaciones

Contacto

Para preguntas sobre privacidad o solicitudes de derechos

  1. Haga clic en el icono del menú de usuario (arriba a la derecha)

  2. Seleccione Centro de Ayuda

  3. Envíe su solicitud o pregunta

  4. Incluya "Solicitud de privacidad" o "Solicitud de GDPR" en el asunto para una gestión prioritaria

Tiempos de respuesta:

  • Acuse de recibo: En 24-48 horas

  • Respuesta completa: En un plazo de 30 días (normalmente en 72 horas)

Recursos adicionales

Limitaciones

Estado actual de la implementación

  • La exportación automatizada de datos no está disponible (debe solicitarse a través de soporte)

  • Los cambios de dirección de correo electrónico requieren asistencia de soporte

  • No hay eliminación de cuenta por autoservicio (debe contactar con soporte)

  • Banner de consentimiento de cookies no implementado (no se utilizan cookies de seguimiento)

Próximos pasos

Obtener ayuda

Para preguntas relacionadas con la privacidad, solicitudes de GDPR o inquietudes:

  • Contacte con soporte a través del menú del Centro de Ayuda

  • Envíe un correo electrónico desde su dirección de correo de cuenta registrada

  • Incluya "Solicitud de privacidad" o "Solicitud de GDPR" para un procesamiento más rápido

  • Visite el Centro de Confianza para obtener documentación detallada

¿Te fue útil?