Registro de Actividades de Tratamiento (ROPA) - ISMS Copilot
Descripción General
Este Registro de Actividades de Tratamiento (ROPA) documenta todas las actividades de tratamiento de datos personales realizadas por la plataforma ISMS Copilot de conformidad con el Artículo 30 del Reglamento General de Protección de Datos (RGPD). Este registro sirve como un registro exhaustivo de cómo se recopilan, tratan, almacenan y protegen los datos personales dentro de la plataforma.
Este ROPA es mantenido por ISMS Copilot y se actualiza regularmente para reflejar cambios en las actividades de tratamiento de datos. Última actualización: enero de 2026.
A quién va dirigido
Este documento está destinado a:
Delegados de Protección de Datos (DPD) que evalúen ISMS Copilot
Equipos de cumplimiento que realicen evaluaciones de riesgo de proveedores
Organizaciones que requieran documentación sobre encargados del tratamiento
Equipos legales y de seguridad que realicen la debida diligencia
Auditores que evalúen el cumplimiento del RGPD
Resumen del cumplimiento del RGPD
ISMS Copilot 2.0 está concebido como una herramienta SaaS B2B para profesionales del cumplimiento. Tratamos los datos principalmente en la UE utilizando Supabase (región UE) para el almacenamiento y la autenticación. Maximizamos la minimización de datos, garantizamos el control del usuario y evitamos el uso de sus datos para el entrenamiento de IA. Como empresa pequeña, nos centramos en controles pragmáticos y de alto impacto mientras buscamos certificaciones formales como ISO 27001 e implementamos controles de seguridad de IA.
Información del Responsable del Tratamiento
Detalles del Responsable
Nombre: ISMS Copilot
Jurisdicción: Francia (Unión Europea)
Ubicación principal de los datos: Frankfurt, Alemania (AWS EU-Central-1)
Representante del RGPD: Autoridad Francesa de Protección de Datos (CNIL)
El tratamiento principal de datos ocurre dentro de la Unión Europea (Frankfurt, Alemania). Se producen algunas transferencias limitadas de datos a los Estados Unidos para el procesamiento de IA (configurable mediante el Modo de Protección de Datos Avanzada) y comunicaciones por correo electrónico (SendGrid, Kit), con las salvaguardias adecuadas, incluidas las Cláusulas Contractuales Tipo.
Actividad de Tratamiento #1: Autenticación de Usuarios y Gestión de Cuentas
Finalidad del Tratamiento
Proporcionar autenticación de usuario segura, gestión de sesiones y control de acceso a cuentas para la plataforma ISMS Copilot.
Base Jurídica
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - necesario para proporcionar el servicio
Secundaria: Interés Legítimo (Artículo 6(1)(f) del RGPD) - seguridad y prevención del fraude
Categorías de Interesados
Usuarios de la plataforma (profesionales del cumplimiento, consultores, equipos de seguridad)
Usuarios de prueba y clientes potenciales
Miembros del espacio de trabajo y colaboradores
Categorías de Datos Personales
Direcciones de correo electrónico
Hashes de contraseñas (encriptados, no reversibles)
Tokens de autenticación e identificadores de sesión
Identificadores únicos de usuario (UUID)
Tokens de restablecimiento de contraseña (temporales)
Marcas de tiempo de creación de cuenta
Marcas de tiempo del último inicio de sesión
Encargados del Tratamiento
Supabase Auth (autenticación basada en PostgreSQL)
Ubicación: UE (Frankfurt, Alemania)
Tratamiento: Autenticación de usuarios, gestión de sesiones
Estado del DPA: Acuerdo de Tratamiento de Datos conforme al RGPD vigente
Plazo de Conservación
Cuentas activas: Se conservan mientras la cuenta esté activa
Tras la eliminación de la cuenta: Se eliminan permanentemente en 30 días
Tokens de sesión: Expiran automáticamente tras un período de inactividad
Tokens de restablecimiento de contraseña: Expiran tras 24 horas o el primer uso
Medidas de Seguridad
Hashing de contraseñas utilizando algoritmos estándar de la industria
Transmisión de datos cifrada (TLS 1.3)
Seguridad a nivel de fila en la base de datos
Opción de autenticación multifactor (MFA) obligatoria
Controles de tiempo de espera de sesión
Actividad de Tratamiento #2: Procesamiento de Chat IA y Gestión de Conversaciones
Finalidad del Tratamiento
Proporcionar asistencia de cumplimiento impulsada por IA, generar respuestas a consultas de usuarios y mantener el contexto de la conversación para mejorar la experiencia del usuario.
Base Jurídica
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - funcionalidad principal del servicio
Categorías de Interesados
Usuarios autenticados de la plataforma
Usuarios de chat temporales/anónimos
Personas físicas mencionadas en las consultas de los usuarios (interesados indirectos)
Categorías de Datos Personales
Mensajes y consultas de los usuarios
Respuestas generadas por la IA
Metadatos de hilos de conversación (títulos, marcas de tiempo, estado)
Configuraciones del espacio de trabajo del usuario
Instrucciones personalizadas y personas
Datos de cumplimiento potencialmente sensibles (políticas, procedimientos, información de auditoría)
Los usuarios pueden introducir categorías especiales de datos (Artículo 9 del RGPD), como información sobre incidentes de seguridad o violaciones de cumplimiento. Los usuarios son responsables de asegurarse de que tienen una base legal para tratar dichos datos antes de introducirlos en la plataforma.
Encargados del Tratamiento
Almacenamiento en Base de Datos (Siempre Activo)
Base de datos Supabase PostgreSQL
Ubicación: UE (Frankfurt, Alemania)
Tratamiento: Almacenamiento de mensajes, recuperación, gestión de conversaciones
Estado del DPA: Conforme al RGPD
Procesamiento de IA (Configurable por el usuario mediante el Modo de Protección de Datos Avanzada)
Los usuarios pueden elegir entre dos modos de procesamiento de IA. El modo activo determina qué sub-encargado se utiliza:
Modo Predeterminado (Protección de Datos Avanzada DESACTIVADA):
Anthropic (Claude) [PREDETERMINADO], OpenAI, xAI (Grok) y Google Gemini
Ubicación: Estados Unidos
Tratamiento: Generación de respuestas de IA (modelo seleccionable por el usuario)
Conservación: 30 días (caché de procesamiento temporal)
Uso de datos: Los datos de la API NO se utilizan para el entrenamiento de modelos
Estado del DPA: Términos de API Estándar (sin entrenamiento con datos del cliente)
Modo de Protección de Datos Avanzada (ACTIVADO):
Mistral AI
Ubicación: Unión Europea
Tratamiento: Generación de respuestas de IA
Conservación: Cero (sin retención de datos)
Uso de datos: NO se utilizan para el entrenamiento de modelos
Estado del DPA: Encargado con sede en la UE con garantía de cero retención
Las organizaciones con requisitos de residencia de datos en la UE deben documentar el uso del Modo de Protección de Datos Avanzada en su propio Registro de Actividades de Tratamiento. Cuando está habilitado, este elimina el procesamiento de IA basado en EE. UU. y garantiza la retención cero por parte de los proveedores de IA.
Infraestructura de Backend (Siempre Activo)
Fly.io - Servicio API de Chat
Ubicación: Despliegue con sede en la UE
Tratamiento: Orquestación del chat, transmisión de respuestas, enrutamiento de mensajes
Estado del DPA: Acuerdo de alojamiento conforme al RGPD
Plazo de Conservación
Conservación configurable por el usuario: de 1 día a 7 años (esto es lo que significa "Mantener para siempre")
Conservación predeterminada: Según lo configurado por el usuario en los ajustes de la cuenta
Eliminación automatizada: Un proceso diario automatizado elimina los mensajes más antiguos que el período de conservación especificado por el usuario
Chats temporales: Se eliminan automáticamente después de 30 días
Tras la eliminación de la cuenta: Todas las conversaciones se eliminan permanentemente en 30 días
Los usuarios controlan su período de conservación de datos a través de Ajustes. Configure la conservación para que coincida con las políticas de protección de datos y los requisitos legales de su organización.
Medidas de Seguridad
Cifrado TLS de extremo a extremo para datos en tránsito
La seguridad a nivel de fila garantiza que los usuarios solo puedan acceder a sus propias conversaciones
El aislamiento del espacio de trabajo evita la contaminación cruzada de los datos de los clientes
Se requiere autenticación de usuario para conversaciones persistentes
Eliminación automatizada de datos caducados
Actividad de Tratamiento #3: Moderación de Contenido y Seguridad
Finalidad del Tratamiento
Detectar y responder automáticamente a contenido potencialmente dañino, ilegal o que infrinja las políticas en los mensajes de chat de los usuarios, garantizando la seguridad de la plataforma y el cumplimiento de las obligaciones legales.
Base Jurídica
Principal: Interés Legítimo (Artículo 6(1)(f) del RGPD) - seguridad de la plataforma, prevención del fraude, cumplimiento legal y protección de los usuarios
Secundaria: Obligación Legal (Artículo 6(1)(c) del RGPD) - cumplimiento de leyes que exigen la prevención de la distribución de contenidos ilegales
Categorías de Interesados
Todos los usuarios de la plataforma que envíen mensajes de chat
Personas físicas mencionadas en mensajes marcados (interesados indirectos)
Categorías de Datos Personales
Contenido de los mensajes de chat de los usuarios (analizados para detectar infracciones de seguridad)
Metadatos de eventos de moderación (marcas de tiempo, puntuaciones de gravedad, categorías)
Vistas previas del contenido marcado (para revisión de los administradores)
IDs de usuario asociados con eventos de moderación
Anulación de la Protección de Datos Avanzada: La moderación de contenido se aplica a TODOS los mensajes de los usuarios, independientemente de la configuración del Modo de Protección de Datos Avanzada. Cuando se detecta contenido dañino o ilegal, este siempre se almacena y puede compartirse con los administradores por motivos de seguridad y cumplimiento legal, anulando la garantía estándar de cero retención del ADP.
Encargados del Tratamiento
IA de Moderación de Contenido (Configurable por el usuario mediante el Modo de Protección de Datos Avanzada)
El proveedor de moderación depende de la configuración del Modo de Protección de Datos Avanzada del usuario:
Modo Predeterminado (Protección de Datos Avanzada DESACTIVADA):
OpenAI Moderation API
Ubicación: Estados Unidos
Tratamiento: Análisis de contenido asíncrono (envío y olvido)
Conservación: 30 días (retención estándar de la API de OpenAI)
Estado del DPA: Términos de API Estándar (sin entrenamiento con datos del cliente)
Modo de Protección de Datos Avanzada (ACTIVADO):
Mistral AI Moderation
Ubicación: Unión Europea
Tratamiento: Análisis de contenido asíncrono (envío y olvido)
Conservación: Cero (procesamiento en la UE sin retención de datos)
Estado del DPA: Encargado con sede en la UE con garantía de cero retención
Almacenamiento y Alertas (Siempre Activo)
Base de datos Supabase PostgreSQL
Ubicación: UE (Frankfurt, Alemania)
Tratamiento: Almacenamiento de eventos de moderación en una tabla dedicada
Estado del DPA: Conforme al RGPD
Notificaciones de Webhook n8n
Tratamiento: Envía alertas a los administradores cuando se marca contenido
Contenido: Vistas previas de los mensajes (siempre para contenido marcado, anulando el ADP)
Cómo funciona la moderación
Análisis automático: Cada mensaje de usuario se envía de forma asíncrona (envío y olvido) a la API de moderación (OpenAI o Mistral, según la configuración de ADP)
Almacenamiento de eventos: Los resultados de la moderación se almacenan en la tabla de moderación con puntuaciones de gravedad y etiquetas de categoría
Alertas para administradores: Cuando se detecta contenido marcado, se envían notificaciones por webhook a los administradores con vistas previas de los mensajes para su revisión
Limitación de tasa: Las solicitudes de moderación tienen una tasa limitada para evitar abusos; los fallos se registran en Sentry
Plazo de Conservación
Eventos de moderación no marcados: Solo metadatos y puntuaciones (sin contenido) almacenados durante 30 días, luego se eliminan automáticamente
Eventos de contenido marcado: El contenido completo se almacena durante 1 año por motivos de seguridad y cumplimiento legal
Tratamiento de la API de moderación:
OpenAI (Modo Predeterminado): Retención temporal de 30 días
Mistral (Modo ADP): Retención cero
Tras la eliminación de la cuenta: Todos los eventos de moderación asociados al usuario se eliminan permanentemente en 30 días, salvo cuando la ley obligue a su conservación
El contenido se almacena solo cuando es marcado (no para mensajes no marcados). El contenido marcado se conserva durante 1 año para respaldar investigaciones de seguridad, detección de patrones y cumplimiento legal. Esta retención se aplica incluso cuando el Modo de Protección de Datos Avanzada está habilitado.
Medidas de Seguridad
Procesamiento asíncrono de envío y olvido (mínimo impacto en el rendimiento)
La seguridad a nivel de fila garantiza que los eventos de moderación estén aislados por usuario
Transmisión de datos cifrada (TLS 1.3)
Limitación de tasa para evitar abusos
Registro de respaldo en Sentry para solicitudes de moderación fallidas
Verificación de firma de webhook para alertas de administrador
Eliminación automatizada de eventos de moderación caducados
Actividad de Tratamiento #4: Carga de Archivos y Procesamiento de Documentos
Finalidad del Tratamiento
Permitir a los usuarios cargar documentos de cumplimiento para el análisis por IA, la evaluación de brechas y la generación de documentos.
Base Jurídica
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - característica del servicio
Categorías de Interesados
Usuarios de la plataforma que cargan documentos
Personas físicas mencionadas en los documentos cargados (empleados, clientes, terceros)
Categorías de Datos Personales
Archivos cargados (PDF, DOCX, XLSX)
Contenido y metadatos del documento extraído
Nombres de archivo, tamaños, marcas de tiempo de carga
Estado del procesamiento de documentos
Datos organizativos potencialmente sensibles (políticas, informes de auditoría, evaluaciones de riesgos)
Los documentos cargados pueden contener categorías especiales de datos o información comercial confidencial. Los usuarios deben asegurarse de que cuentan con la autoridad legal adecuada para cargar y tratar dichos documentos.
Encargados del Tratamiento
Supabase Storage
Ubicación: UE (Frankfurt, Alemania)
Tratamiento: Almacenamiento seguro de archivos en el bucket "uploads"
Estado del DPA: Conforme al RGPD
ConvertAPI
Endpoint: UE (convertapi.com)
Tratamiento: Conversión del formato de los documentos (PDF/DOCX/XLSX a HTML y viceversa)
Certificación: ISO/IEC 27001:2022 (Cert nº 1512122216, válido hasta el 18-08-2028)
Estado del DPA: Acuerdo de Tratamiento de Datos firmado con Better ISMS (Francia); encargado de la UE conforme al RGPD
Fly.io
Tratamiento: Orquestación de la conversión de documentos
Estado del DPA: Conforme al RGPD
Plazo de Conservación
Archivos activos: Se conservan según los ajustes de conservación de datos del usuario (vinculados a la conservación de las conversaciones)
Archivos huérfanos: Se eliminan automáticamente mediante un proceso de limpieza en segundo plano
Tras la eliminación de la cuenta: Todos los archivos cargados se eliminan permanentemente en 30 días
Tratamiento de ConvertAPI: Archivos procesados en memoria, no almacenados permanentemente por el encargado
Medidas de Seguridad
Acceso a archivos limitado al usuario (archivos vinculados al ID de usuario)
Almacenamiento encriptado
Carga segura de archivos mediante HTTPS
Limpieza automatizada de archivos huérfanos
Se requiere autenticación para la carga y eliminación de archivos
Actividad de Tratamiento #5: Gestión de Pagos y Suscripciones
Finalidad del Tratamiento
Procesar los pagos de suscripción, gestionar la facturación y proporcionar acceso a las funciones premium.
Base Jurídica
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - facturación y procesamiento de pagos
Secundaria: Obligación Legal (Artículo 6(1)(c) del RGPD) - cumplimiento fiscal y contable
Categorías de Interesados
Suscriptores premium
Usuarios de prueba que se convierten a planes de pago
Contactos de facturación para cuentas de organizaciones
Categorías de Datos Personales
IDs de cliente de Stripe
IDs y estado de la suscripción
Metadatos de pago (no se almacenan números completos de tarjetas de crédito)
Eventos y marcas de tiempo de facturación
Información de facturas
Encargados del Tratamiento
Stripe
Ubicación: EE. UU.
Tratamiento: Procesamiento de pagos, gestión de suscripciones, portal del cliente
Estado del DPA: Acuerdo de Tratamiento de Datos conforme al RGPD
Supabase
Tratamiento: Almacena el estado de la suscripción y los IDs de cliente (no los datos de la tarjeta de pago)
Estado del DPA: Conforme al RGPD
Plazo de Conservación
Suscripciones activas: Se conservan mientras la suscripción esté activa
Tras la cancelación: Los datos de suscripción se conservan durante 7 años (cumplimiento fiscal y contable)
Registros de facturación: Anonimizados tras 7 años
Datos de tarjetas de pago: NUNCA son almacenados por ISMS Copilot (gestionados exclusivamente por Stripe)
Medidas de Seguridad
Procesamiento de pagos conforme a PCI DSS Nivel 1 (vía Stripe)
No se almacenan datos de tarjetas de crédito en los sistemas de ISMS Copilot
Verificación de firma de webhook
Transmisión cifrada de datos de pago
Prevención de pagos duplicados
Actividad de Tratamiento #6: Análisis y Mejora del Producto
Finalidad del Tratamiento
Analizar el uso de la plataforma, mejorar la experiencia del usuario, identificar fallos y supervisar el rendimiento del sistema.
Base Jurídica
Principal: Interes Legítimo (Artículo 6(1)(f) del RGPD) - mejora del producto y fiabilidad del servicio
Categorías de Interesados
Todos los usuarios de la plataforma
Visitantes del sitio web
Categorías de Datos Personales
Eventos de comportamiento del usuario (vistas de página, clics en botones, uso de funciones)
Datos de sesión y duración de la sesión
Información del navegador y del dispositivo
Registros de errores y datos de excepciones
Métricas de rendimiento (tiempos de carga de páginas, métricas de interacción)
Direcciones IP (anonimizadas)
Los sistemas de análisis están configurados con sendDefaultPii: false para evitar la recopilación automática de información de identificación personal. No se comparte el contenido de las conversaciones ni los documentos cargados con los proveedores de análisis.
Encargados del Tratamiento
PostHog
Ubicación: UE (eu.i.posthog.com)
Tratamiento: Análisis de producto, seguimiento del comportamiento del usuario
Estado del DPA: Conforme al RGPD, alojado en la UE
Protección de PII: Configurado para NO enviar PII predeterminada
Sentry
Ubicación: Alemania (de.sentry.io)
Tratamiento: Rastreo de errores, supervisión del rendimiento
Estado del DPA: Conforme al RGPD, con sede en Alemania
Protección de PII: Configurado para NO enviar PII predeterminada
Vercel Web Analytics
Tratamiento: Web vitals, métricas de rendimiento
Estado del DPA: Conforme al RGPD
Plazo de Conservación
Análisis de PostHog: Según la política de conservación de PostHog (normalmente 7 años máx.)
Registros de errores de Sentry: Retención predeterminada de 90 días
Análisis de Vercel: Según la política de conservación de Vercel
Medidas de Seguridad
Direcciones IP anonimizadas
No se envía PII de forma predeterminada
No se comparte el contenido de las conversaciones
Infraestructura de análisis basada en la UE
Seguimiento solo en producción (sin datos del entorno de desarrollo)
Actividad de Tratamiento #7: Infraestructura y Despliegue
Finalidad del Tratamiento
Alojar y entregar la aplicación ISMS Copilot de forma segura a los usuarios.
Base Jurídica
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - prestación del servicio
Categorías de Interesados
Todos los usuarios y visitantes de la plataforma
Categorías de Datos Personales
Registros de solicitudes HTTP
Direcciones IP (temporales, para enrutamiento)
Metadatos de conexión
Cookies de sesión
Encargados del Tratamiento
Vercel
Tratamiento: Alojamiento del frontend y entrega de contenidos
Estado del DPA: Conforme al RGPD
Fly.io
Tratamiento: Alojamiento de la API de backend
Estado del DPA: Conforme al RGPD
AWS (vía Supabase)
Ubicación: Frankfurt, Alemania (EU-Central-1)
Tratamiento: Infraestructura de base de datos y almacenamiento
Estado del DPA: Conforme al RGPD
Plazo de Conservación
Registros de acceso: Se conservan según las políticas del proveedor de la infraestructura (normalmente entre 30 y 90 días)
Datos de sesión: Expiran después de que finaliza la sesión del usuario
Medidas de Seguridad
Cifrado TLS 1.3 para todas las conexiones
Cabeceras de Política de Seguridad de Contenido (CSP)
Protección contra DDoS
Actualizaciones y parches de seguridad periódicos
Actividad de Tratamiento #8: Comunicaciones por Correo Electrónico y Actualizaciones
Finalidad del Tratamiento
Enviar actualizaciones legales ocasionales, actualizaciones de productos, orientación para la incorporación y comunicaciones relacionadas con el servicio a los usuarios como parte de la experiencia de la plataforma.
Base Jurídica
Principal: Interés Legítimo (Artículo 6(1)(f) del RGPD) - mejora del producto, educación del usuario y comunicaciones de servicio relacionadas con el uso de la plataforma
Categorías de Interesados
Todos los usuarios de la plataforma (nuevos registros y usuarios existentes)
Usuarios de prueba que reciben secuencias de incorporación
Suscriptores premium que reciben actualizaciones de productos
Categorías de Datos Personales
Direcciones de correo electrónico
Preferencias de suscripción (actualizaciones legales, actualizaciones de productos)
Datos de interacción con el correo (aperturas, clics)
Estado de baja
Marcas de tiempo de envío
Encargados del Tratamiento
SendGrid (por Twilio)
Finalidad: Correos transaccionales y actualizaciones legales ocasionales
Ubicación: Probablemente Estados Unidos (ubicación exacta del servidor no confirmada)
Tratamiento: Entrega de correos, gestión de rebotes, seguimiento de interacción
Estado del DPA: Acuerdo de Tratamiento de Datos conforme al RGPD; Cláusulas Contractuales Tipo (SCC) vigentes para transferencias UE-EE. UU.
Kit (anteriormente ConvertKit)
Finalidad: Secuencias de correos de incorporación y correos mensuales de actualización de productos
Ubicación: Probablemente Estados Unidos (ubicación exacta del servidor no confirmada)
Tratamiento: Entrega de correos, gestión de suscriptores, análisis de interacción
Estado del DPA: Acuerdo de Tratamiento de Datos conforme al RGPD; Cláusulas Contractuales Tipo (SCC) vigentes para transferencias UE-EE. UU.
Los usuarios pueden darse de baja de las actualizaciones de productos y de los correos electrónicos de incorporación en cualquier momento a través del enlace de baja que figura en cada mensaje. Es posible que se sigan enviando notificaciones esenciales del servicio (por ejemplo, alertas de seguridad, cambios en la cuenta) según lo exija la ley o el contrato.
Plazo de Conservación
Suscripciones activas: Se conservan mientras el usuario permanezca suscrito
Tras la baja: El correo electrónico se elimina de las listas de correo inmediatamente
Datos de interacción: Se conservan según las políticas del proveedor de servicios de correo (normalmente hasta 2 años)
Tras la eliminación de la cuenta: Todas las preferencias de correo y datos se eliminan en 30 días
Medidas de Seguridad
Transmisión de correo electrónico cifrada (TLS)
Conexiones API seguras con los proveedores de correo
Funcionalidad de baja con un solo clic
Autenticación de correo electrónico (SPF, DKIM, DMARC)
Gestión de rebotes y quejas
Actividad de Tratamiento #9: Seguimiento del Consumo de Tokens y Supervisión de Uso
Finalidad del Tratamiento
Realizar un seguimiento del consumo de tokens de IA para la facturación, la gestión de cuotas y la optimización del servicio.
Base Jurídica
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - necesario para hacer cumplir las cuotas de uso
Secundaria: Interés Legítimo (Artículo 6(1)(f) del RGPD) - optimización del servicio y gestión de costes
Categorías de Interesados
Todos los usuarios de la plataforma con suscripciones activas
Categorías de Datos Personales
ID de usuario (identificador anonimizado)
Recuento de consumo de tokens por conversación
Modelo de IA utilizado (Anthropic, OpenAI, Mistral, etc.)
Marcas de tiempo de uso
Nivel del plan de suscripción
Encargados del Tratamiento
Base de datos Supabase PostgreSQL
Ubicación: UE (Frankfurt, Alemania)
Tratamiento: Almacenamiento de métricas de uso de tokens
Estado del DPA: Conforme al RGPD
Fly.io
Tratamiento: Cálculo y agregación de tokens
Estado del DPA: Conforme al RGPD
Plazo de Conservación
Suscripciones activas: Se conservan durante la vigencia de la suscripción
Tras la cancelación de la suscripción: Se conservan durante 90 días para la resolución de disputas de facturación
Tras la eliminación de la cuenta: Anonimizados en un plazo de 30 días
Medidas de Seguridad
Solo métricas agregadas (no se almacena el contenido de los mensajes)
Seguridad a nivel de fila en la base de datos
Transmisión y almacenamiento de datos cifrados
Acceso limitado a las funciones de facturación y soporte
Implementación de los Derechos de los Interesados
ISMS Copilot ofrece un soporte integral para todos los derechos de los interesados del RGPD, tanto a través de funciones de autoservicio como de procesos asistidos por soporte.
Derecho de Acceso (Artículo 15)
Autoservicio: Los usuarios pueden ver todas las conversaciones y archivos a través de la interfaz de la plataforma
Exportación completa: Póngase en contacto con soporte para obtener una exportación completa de los datos en formato JSON
Tiempo de respuesta: En un plazo de 72 horas (legalmente hasta 30 días)
Derecho de Rectificación (Artículo 16)
Autoservicio: Los usuarios pueden actualizar sus ajustes a través del cuadro de diálogo Configuración
Cambios de correo: Contacte con soporte para cambios en la dirección de correo electrónico
Tiempo de respuesta: Inmediato para el autoservicio; en un plazo de 30 días para solicitudes de soporte
Derecho de Supresión o "Derecho al Olvido" (Artículo 17)
Proceso: Contacte con soporte para solicitar la eliminación de la cuenta
Alcance: Todos los datos personales, conversaciones, archivos y ajustes
Plazo: Eliminación permanente en 30 días
Excepciones: Los registros de facturación anonimizados se conservan durante 7 años (obligación legal)
Derecho a la Portabilidad de los Datos (Artículo 20)
Formato: Exportación JSON que incluye todos los datos del usuario
Proceso: Solicitud a través de soporte
Tiempo de respuesta: En un plazo de 72 horas (hasta 5 días para cuentas grandes)
Derecho a la Limitación del Tratamiento (Artículo 18)
Proceso: Contacte con soporte indicando el motivo de la limitación
Tiempo de respuesta: En un plazo de 30 días
Derecho de Oposición (Artículo 21)
Proceso: Contacte con soporte para oponerse a un tratamiento específico
Tiempo de respuesta: En un plazo de 30 días
Procedimientos de Notificación de Brechas de Datos
Detección y Evaluación
Supervisión continua mediante el seguimiento de errores de Sentry
Revisión de incidentes de seguridad en un plazo de 24 horas tras su detección
Evaluación de riesgos sobre el impacto potencial de la brecha de datos
Cronograma de Notificación
A la Autoridad de Control (CNIL): En un plazo de 72 horas tras tener conocimiento (Artículo 33)
A los Interesados: Sin dilación indebida si existe un alto riesgo para los derechos y libertades (Artículo 34)
Contenido de la Notificación
Naturaleza de la brecha
Categorías y número aproximado de interesados afectados
Consecuencias probables
Medidas adoptadas o propuestas para solventar la brecha
Transferencias Internacionales de Datos
Las transferencias de datos dependen de la configuración del Modo de Protección de Datos Avanzada
El hecho de que los datos se transfieran fuera de la UE depende de la configuración del Modo de Protección de Datos Avanzada por parte del usuario:
Cuando la Protección de Datos Avanzada está ACTIVADA (Modo solo UE):
El tratamiento principal de los datos tiene lugar dentro de la Unión Europea. Las direcciones de correo electrónico de los usuarios que optan por las boletines informativos se transfieren a proveedores de correo electrónico con sede en EE. UU. (SendGrid, Kit) con Cláusulas Contractuales Tipo vigentes.
Almacenamiento en base de datos: UE (Frankfurt, Alemania)
Procesamiento de IA: UE (Mistral AI)
Análisis: Endpoints en la UE (PostHog UE, Sentry Alemania)
Conversión de archivos: Endpoint en la UE (ConvertAPI UE)
Comunicaciones por correo: EE. UU. (SendGrid, Kit) - Cláusulas Contractuales Tipo
Resultado: Transferencia de datos UE-EE. UU. solo para comunicaciones por correo electrónico (basada en el consentimiento)
Cuando la Protección de Datos Avanzada está DESACTIVADA (Modo predeterminado):
El contenido de las conversaciones se traslada a los Estados Unidos para su tratamiento por IA a través de proveedores seleccionados por el usuario (xAI, OpenAI, Anthropic Claude o Google Gemini), y las direcciones de correo electrónico se transfieren para las comunicaciones por correo (SendGrid, Kit). Aunque el almacenamiento de la base de datos permanece en la UE, esto constituye transferencias internacionales de datos sujetas a los requisitos de transferencia del RGPD.
Almacenamiento en base de datos: UE (Frankfurt, Alemania)
Procesamiento de IA: Estados Unidos (seleccionable por el usuario: xAI, OpenAI, Anthropic Claude o Google Gemini)
Comunicaciones por correo: Estados Unidos (SendGrid, Kit) - Cláusulas Contractuales Tipo
Retención por el proveedor de IA: 30 días (caché de procesamiento temporal)
Mecanismo de transferencia: Términos de API estándar para IA; Cláusulas Contractuales Tipo para correo electrónico
Resultado: Transferencia de datos UE-EE. UU. para el procesamiento de IA y comunicaciones por correo electrónico
Las organizaciones sujetas a requisitos estrictos de residencia de datos en la UE deben habilitar el Modo de Protección de Datos Avanzada y documentar esta configuración en sus registros de tratamiento. Esto garantiza la plena soberanía de los datos en la UE.
Resumen de la Ubicación de los Datos por Componente
Almacenamiento principal: Frankfurt, Alemania (AWS EU-Central-1) - Siempre en la UE
Procesamiento de IA: UE o EE. UU. según el Modo de Protección de Datos Avanzada
Análisis: Solo endpoints en la UE (PostHog UE, Sentry Alemania) - Siempre en la UE
Conversión de archivos: Endpoint ConvertAPI UE - Siempre en la UE
Comunicaciones por correo electrónico: Estados Unidos (SendGrid, Kit) - Cláusulas Contractuales Tipo vigentes
Los proveedores de servicios de correo electrónico (SendGrid y Kit) se encuentran en los Estados Unidos. Las transferencias de datos a estos encargados están protegidas por las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea. Los usuarios pueden darse de baja de los correos electrónicos de marketing en cualquier momento para minimizar las transferencias de datos.
Lista de Sub-encargados del Tratamiento
Sub-encargado | Finalidad | Ubicación | Conservación | Estado del DPA |
|---|---|---|---|---|
Supabase (PostgreSQL + Storage) | Almacenamiento de base de datos y archivos | UE (Frankfurt) | Controlado por el usuario | ✓ Conforme al RGPD |
Anthropic (Claude) [PREDETERMINADO], OpenAI, xAI (Grok), Google Gemini * | Procesamiento de IA (Modo Predeterminado, seleccionable por el usuario) | Estados Unidos | 30 días | ✓ Sin entrenamiento con datos |
Mistral AI * | Procesamiento de IA (Protección de Datos Avanzada) | Unión Europea | Cero | ✓ Conforme al RGPD |
OpenAI Moderation API ** | Moderación de contenido (Modo Predeterminado) | Estados Unidos | 30 días | ✓ Sin entrenamiento con datos |
Mistral AI Moderation ** | Moderación de contenido (Protección de Datos Avanzada) | Unión Europea | Cero | ✓ Conforme al RGPD |
Stripe | Procesamiento de pagos | Global (DPA de la UE) | 7 años | ✓ Conforme al RGPD |
ConvertAPI | Conversión de documentos | Endpoint en la UE | Temporal | ✓ Conforme al RGPD ✓ Certificación ISO 27001:2022 ✓ DPA firmado con Better ISMS |
PostHog | Análisis de producto | UE (Frankfurt) | 7 años máx. | ✓ Conforme al RGPD |
Sentry | Supervisión de errores | Alemania | 90 días | ✓ Conforme al RGPD |
Vercel | Alojamiento frontend | CDN global | 30-90 días | ✓ Conforme al RGPD |
Fly.io | Alojamiento de la API de backend | Despliegue en la UE | 30-90 días | ✓ Conforme al RGPD |
SendGrid (Twilio) | Correos de actualización legal | EE. UU. (SCC) | Hasta 2 años | ✓ RGPD + SCC |
Kit (ConvertKit) | Correos de incorporación y producto | EE. UU. (SCC) | Hasta 2 años | ✓ RGPD + SCC |
Procesadores de IA configurables por el usuario:* Solo UNO de estos proveedores de IA está activo en cada momento, dependiendo de la configuración del Modo de Protección de Datos Avanzada y de la selección del modelo por parte del usuario. Cuando la Protección de Datos Avanzada está DESACTIVADA (por defecto), los usuarios pueden seleccionar entre Anthropic Claude (PREDETERMINADO), OpenAI, xAI (Grok) o Google Gemini; todos ellos procesan conversaciones en EE. UU. con una retención de 30 días y sin entrenamiento con los datos del usuario. Cuando la Protección de Datos Avanzada está ACTIVADA, Mistral AI trata las conversaciones en la UE con retención cero.
Procesadores de moderación de contenido:** Cuando se implementa la moderación de contenido, el proveedor vendrá determinado por su configuración del Modo de Protección de Datos Avanzada. El Modo Predeterminado utilizará OpenAI Moderation API (con sede en EE. UU., retención de 30 días). El Modo de Protección de Datos Avanzada utilizará Mistral AI Moderation (con sede en la UE, retención cero). Los eventos de contenido marcado se almacenarán en nuestra base de datos de la UE por seguridad y cumplimiento, anulando la garantía de cero retención de ADP. A partir de enero de 2026, la moderación de contenido aún no está activa.
Esta lista de sub-encargados está actualizada a enero de 2026. ISMS Copilot notificará a los usuarios al menos 30 días antes de añadir nuevos sub-encargados o de realizar cambios materiales en los acuerdos existentes.
Medidas Técnicas y Organizativas (TOMs)
Control de Acceso
Seguridad a nivel de fila en la base de datos
Autenticación de usuario obligatoria para todos los recursos protegidos
Aislamiento de espacios de trabajo que evita el acceso a datos entre usuarios
MFA disponible para una mayor seguridad de la cuenta
Controles de tiempo de espera de sesión
Cifrado
TLS 1.3 para los datos en tránsito
Cifrado de la base de datos en reposo
Hashing de contraseñas (irreversible)
Almacenamiento de archivos cifrado
Minimización de Datos
Solo se recopilan datos esenciales (correo, mensajes, archivos)
Sin información demográfica o de contacto innecesaria
Análisis configurados para excluir PII
Períodos de conservación controlados por el usuario
Disponibilidad y Resiliencia
Copias de seguridad de la base de datos (automatizadas)
Procedimientos de recuperación de desastres
Supervisión y alertas (Sentry)
Página de estado pública para mayor transparencia (status.ismscopilot.com)
Mejora planificada: La supervisión del tiempo de actividad en tiempo real a través de BetterStack con escalada progresiva de incidentes (Slack, correo electrónico, SMS) está prevista pero aún no se ha implementado a partir de enero de 2026.
Pruebas y Evaluación
Evaluaciones periódicas de seguridad
Supervisión y registro de errores
Pruebas de eliminación automatizada de datos
Verificación del control de acceso
Responsabilidades del Usuario
Si bien ISMS Copilot proporciona una infraestructura que cumple con el RGPD, los usuarios (como responsables del tratamiento) son responsables de garantizar que el uso que hacen de la plataforma cumpla con el RGPD y otras regulaciones aplicables.
Como Responsable del Tratamiento, el Usuario debe:
Garantizar que existe una base legal antes de cargar datos personales
Configurar períodos de conservación de datos adecuados para su organización
Mantener espacios de trabajo separados para diferentes clientes o categorías de datos
Informar a las personas cuando sus datos se tratan a través de ISMS Copilot
Incluir a ISMS Copilot en sus propios registros de actividades de tratamiento
Realizar Evaluaciones de Impacto en la Protección de Datos (EIPD) cuando se traten datos de alto riesgo
No cargar categorías especiales de datos (Artículo 9) sin las salvaguardias adecuadas
Documentación de Cumplimiento
Recursos de Cumplimiento Disponibles
Colección de Seguridad - Documentación detallada sobre seguridad y privacidad
Página de Estado - Disponibilidad del sistema en tiempo real y notificaciones de incidentes
Mantenimiento de Registros
Calendario de Revisión y Actualización
Revisión trimestral: Verificar la exactitud de las actividades de tratamiento
Actualizaciones por cambios: En los 30 días siguientes a la incorporación de un nuevo sub-encargado o actividad de tratamiento
Auditoría anual: Revisión integral de todas las entradas del RopA
Control de versiones: Mantener versiones fechadas del RopA para el rastro de auditoría
Información de Contacto
Para Consultas o Solicitudes Relacionadas con el RGPD
Acceda al Centro de Ayuda a través del menú de usuario
Envíe un correo electrónico desde su dirección de cuenta registrada
Incluya "Solicitud RGPD" en el asunto para una gestión prioritaria
Visite el Centro de Confianza para obtener documentación detallada
Delegado de Protección de Datos
Las organizaciones que requieran la información de contacto del DPD deben presentar una solicitud a través del Centro de Ayuda.
Obtener Ayuda
Para preguntas sobre este Registro de Actividades de Tratamiento:
Revise el artículo Privacidad de Datos y Cumplimiento del RGPD para obtener información detallada sobre sus derechos
Contacte con soporte a través del Centro de Ayuda para obtener aclaraciones sobre actividades de tratamiento específicas
Solicite documentación adicional de cumplimiento a través de soporte
Visite nuestra Colección de Seguridad para obtener recursos completos sobre seguridad y privacidad