ISMS Copilot
Legal

Privacidad de datos y cumplimiento del RGPD - Actualizado

Resumen general

ISMS Copilot cumple plenamente con el Reglamento General de Protección de Datos (RGPD) y sigue principios estrictos de privacidad de datos. Este artículo explica sus derechos de privacidad, cómo manejamos sus datos y qué controles tiene sobre su información.

A quién va dirigido

Este artículo es para:

  • Usuarios basados en la UE preocupados por el cumplimiento del RGPD

  • Delegados de Protección de Datos que evalúan ISMS Copilot

  • Consultores de cumplimiento que gestionan datos de clientes bajo el RGPD

  • Cualquier persona que desee comprender sus derechos de privacidad

Resumen del cumplimiento del RGPD

Cómo cumple ISMS Copilot con los requisitos del RGPD

Minimización de datos (Artículo 5(1)(c))

ISMS Copilot recopila solo los datos mínimos necesarios para prestar el servicio:

  • Dirección de correo electrónico para identificación de cuenta, autenticación y comunicaciones esenciales

  • Credenciales de autenticación (contraseñas con hash o tokens OAuth)

  • Historial de conversaciones para proporcionar respuestas de IA conscientes del contexto

  • Documentos cargados para análisis y evaluación de brechas de cumplimiento

  • Metadatos de uso para facturación y mejora del servicio

  • Datos de interacción con el correo electrónico (aperturas, clics) para correos de incorporación y actualizaciones de productos (los usuarios pueden optar por no recibirlos)

ISMS Copilot no recopila información personal innecesaria como números de teléfono, direcciones o datos demográficos. Solo se almacenan los datos esenciales para la prestación del servicio.

Limitación de la finalidad (Artículo 5(1)(b))

Sus datos se utilizan exclusivamente para:

  • Proporcionar asistencia de cumplimiento impulsada por IA

  • Gestionar su cuenta y suscripción

  • Mejorar el rendimiento y la fiabilidad del servicio

  • Cumplir con las obligaciones legales

ISMS Copilot nunca utiliza sus datos para marketing, publicidad o venta a terceros. Sus conversaciones y documentos cargados nunca se utilizan para entrenar modelos de IA.

Limitación del plazo de conservación (Artículo 5(1)(e))

Usted tiene un control total sobre cuánto tiempo se conservan sus datos:

  • Establezca periodos de retención desde 1 día hasta 7 años, o consérvelos para siempre

  • La eliminación automática de datos caducados se ejecuta diariamente

  • Solicite la eliminación inmediata de la cuenta y los datos en cualquier momento

Protección de datos desde el diseño (Artículo 25)

La seguridad y la privacidad están integradas en cada función de ISMS Copilot:

  • Cifrado de extremo a extremo para todos los datos

  • La seguridad a nivel de fila evita el acceso no autorizado

  • El aislamiento del espacio de trabajo mantiene separados los datos de los clientes

  • Autenticación segura con soporte para OAuth

Sus derechos bajo el RGPD

Derecho de acceso (Artículo 15)

Usted tiene derecho a acceder a todos sus datos personales almacenados en ISMS Copilot.

A qué puede acceder:

  • Su información de cuenta (correo electrónico, configuración)

  • Todo el historial de conversaciones en los espacios de trabajo

  • Documentos y archivos cargados

  • Metadatos de uso y marcas de tiempo

Cómo acceder a sus datos:

  1. Inicie sesión en su cuenta de ISMS Copilot

  2. Navegue a sus espacios de trabajo para ver las conversaciones

  3. Vea los archivos cargados en cada hilo de conversación

  4. Para una exportación completa de datos, contacte con el soporte técnico a través del Centro de ayuda

Derecho de rectificación (Artículo 16)

Puede actualizar o corregir su información personal en cualquier momento.

Cómo actualizar su información:

  1. Haga clic en el icono del menú de usuario (arriba a la derecha)

  2. Seleccione Settings (Configuración)

  3. Se muestra su dirección de correo electrónico (para cambiarla, contacte con el soporte técnico)

  4. Actualice sus preferencias de retención de datos

  5. Haga clic en Save Settings (Guardar configuración)

Resultado esperado: El diálogo de configuración se cierra y sus cambios se guardan inmediatamente.

Derecho de supresión / "Derecho al olvido" (Artículo 17)

Puede solicitar la eliminación completa de su cuenta y de todos los datos asociados.

Cómo eliminar sus datos:

  1. Haga clic en el icono del menú de usuario

  2. Seleccione Help CenterContact Support

  3. Envíe una solicitud de eliminación de datos

  4. El soporte verificará su identidad y confirmará la solicitud

  5. Todos los datos se eliminan permanentemente en un plazo de 30 días

La eliminación de la cuenta es permanente y no se puede deshacer. Todos los espacios de trabajo, conversaciones, archivos cargados y configuraciones de la cuenta se borrarán permanentemente. Asegúrese de exportar cualquier dato que necesite antes de solicitar la eliminación.

Qué se elimina:

  • Su cuenta y dirección de correo electrónico

  • Todos los espacios de trabajo e historial de conversaciones

  • Todos los documentos y archivos cargados

  • Instrucciones personalizadas del espacio de trabajo

  • Metadatos de uso y registros

Qué puede conservarse:

  • Registros de facturación anonimizados (requeridos para el cumplimiento fiscal y contable)

  • Datos analíticos anonimizados (sin información de identificación personal)

Derecho a la portabilidad de los datos (Artículo 20)

Usted tiene derecho a recibir sus datos en un formato estructurado y de lectura mecánica.

Cómo exportar sus datos:

  1. Contacte con el soporte técnico a través del Centro de ayuda

  2. Solicite una exportación de datos

  3. El soporte le proporcionará sus datos en formato JSON que contendrá:

    • Información de la cuenta

    • Historial de conversaciones

    • Configuraciones del espacio de trabajo

    • Metadatos de archivos cargados

  4. Descargue el archivo de exportación para su uso en otros sistemas

Las exportaciones de datos se suelen proporcionar en un plazo de 72 horas. Para cuentas grandes con un amplio historial de conversaciones, las exportaciones pueden tardar hasta 5 días hábiles.

Derecho a la limitación del tratamiento (Artículo 18)

Puede solicitar la suspensión temporal del tratamiento de datos mientras se resuelven las disputas.

Cuándo puede limitar el tratamiento:

  • Usted impugna la exactitud de los datos personales

  • El tratamiento es ilícito pero usted no desea que se eliminen los datos

  • Usted necesita los datos para reclamaciones legales

  • Usted se ha opuesto al tratamiento mientras se verifica

Cómo solicitar la limitación:

  1. Contacte con el soporte técnico a través del Centro de ayuda

  2. Explique el motivo de la limitación

  3. El soporte revisará e implementará las limitaciones apropiadas

Derecho de oposición (Artículo 21)

Puede oponerse a ciertos tipos de tratamiento de datos.

A qué puede oponerse:

  • Tratamiento para fines de marketing directo (ISMS Copilot no realiza tratamientos de marketing)

  • Tratamiento basado en intereses legítimos

  • Toma de decisiones automatizada (actualmente no utilizada por ISMS Copilot)

Cómo oponerse:

  1. Contacte con el soporte técnico a través del Centro de ayuda

  2. Especifique a qué tratamiento se opone

  3. El soporte revisará y responderá en un plazo de 30 días

Detalles del tratamiento de datos

Para obtener información autorizada sobre el enrutamiento de proveedores de IA, listas de subencargados del tratamiento, periodos de retención y mecanismos de transferencia de datos, consulte los documentos legales canónicos en nuestro Trust Center:

El Trust Center se actualiza siempre que cambian los acuerdos con los proveedores de IA o las prácticas de manejo de datos. Los artículos del centro de ayuda resumen estos temas por conveniencia, pero los documentos del Trust Center son la fuente autorizada.

Funciones de privacidad desde el diseño

Modo de reducción de PII

ISMS Copilot ofrece la anonimización automática de PII (información de identificación personal) para proteger los datos personales sensibles antes de que lleguen al procesamiento de la IA. Cuando está habilitado, el sistema detecta y anonimiza patrones comunes de PII en sus mensajes y documentos cargados.

Qué se anonimiza:

  • Nombres personales (por ejemplo, "Juan Pérez" → "[NOMBRE_ANONIMIZADO]")

  • Nombres de empresas y organizaciones

  • Direcciones de correo electrónico (por ejemplo, "[email protected]" → "[EMAIL_ANONIMIZADO]")

  • Números de teléfono en varios formatos

Cómo habilitar la reducción de PII:

  1. Navegue a Settings → Privacy (Privacidad) o Data Protection (Protección de datos)

  2. Active la opción "Enable PII Reduction"

  3. Revise la ventana emergente de confirmación que explica las limitaciones basadas en patrones

  4. Busque el icono del escudo verde en la entrada de chat para confirmar la activación

Cuando la reducción de PII está activa, verá un icono de escudo verde en la entrada de chat como confirmación visual de que la anonimización está funcionando.

Limitaciones importantes:

  • Detección basada en patrones: La reducción de PII utiliza patrones regex y es posible que no detecte toda la información sensible

  • No es 100 % precisa: Alguna PII podría pasar desapercibida; algún texto legítimo podría ser anonimizado

  • No sustituye a la minimización de datos: Revise siempre los datos antes de cargarlos y evite incluir PII innecesaria

  • Se aplica antes del procesamiento de la IA: La anonimización ocurre antes de que los datos lleguen a los proveedores de IA

La reducción de PII es una mejora de la privacidad, no una garantía de anonimización completa. Verifique siempre los resultados con los estándares oficiales y evite cargar datos personales innecesarios. Esta función funciona mejor como una capa adicional de protección junto con las prácticas de minimización de datos.

Casos de uso:

  • Procesamiento de informes de auditoría de clientes que contienen nombres de empleados

  • Análisis de políticas de cumplimiento con información de contacto

  • Trabajo con políticas de RR. HH. o informes de incidentes

  • Adición de protección de privacidad adicional al utilizar el modo de protección de datos avanzada

Combinación con la protección de datos avanzada:

Para una máxima privacidad, habilite ambas funciones:

  • Reducción de PII: Anonimiza los datos personales antes del procesamiento de la IA

  • Modo de protección de datos avanzada: Garantiza el procesamiento exclusivo en la UE con retención cero por parte del proveedor de IA

Juntas, estas funciones proporcionan sólidas salvaguardas de privacidad para trabajos de cumplimiento sensibles.

Aislamiento del espacio de trabajo

Los espacios de trabajo proporcionan separación de datos para escenarios multi-cliente:

  • Cada espacio de trabajo mantiene su propio historial de conversaciones

  • Los archivos cargados están vinculados a espacios de trabajo específicos

  • Las instrucciones personalizadas son específicas de cada espacio de trabajo

  • La eliminación de un espacio de trabajo borra todos los datos asociados

Los consultores de cumplimiento deben crear espacios de trabajo separados para cada cliente. Esto garantiza que los datos de los clientes permanezcan aislados y simplifica el cumplimiento de las obligaciones de confidencialidad.

Sin intercambio de datos entre usuarios

ISMS Copilot implementa límites de datos estrictos:

  • Los usuarios no pueden acceder a los datos de otros usuarios

  • Las respuestas de la IA se generan de forma independiente para cada usuario

  • Las consultas a la base de datos se filtran automáticamente por el ID de usuario autenticado

  • Incluso los administradores del sistema siguen el principio de mínimo privilegio

Sin entrenamiento de IA con datos de usuario

Sus datos de cumplimiento sensibles nunca se utilizan para el entrenamiento de la IA:

  • Las conversaciones no son almacenadas por OpenAI u otros proveedores de IA

  • Los documentos cargados siguen siendo confidenciales y privados

  • La información del cliente nunca contribuye a la mejora del modelo

  • Cada conversación se procesa de forma aislada

Esta es una diferencia fundamental con respecto a las herramientas de IA generales como la versión gratuita de ChatGPT, que puede utilizar las conversaciones para el entrenamiento. ISMS Copilot garantiza que sus datos de cumplimiento permanezcan completamente confidenciales.

Solicitudes de los interesados

Cómo presentar una solicitud bajo el RGPD

  1. Haga clic en el icono del menú de usuario (arriba a la derecha)

  2. Seleccione Help CenterContact Support

  3. Describa su solicitud con claridad:

    • "Solicito acceso a todos mis datos personales en virtud del Artículo 15 del RGPD"

    • "Solicito la eliminación de mi cuenta en virtud del Artículo 17 del RGPD"

    • "Solicito una exportación de datos en virtud del Artículo 20 del RGPD"

  4. El soporte verificará su identidad y procesará la solicitud

Plazos de respuesta

ISMS Copilot responde a las solicitudes del RGPD de acuerdo con los plazos reglamentarios:

  • Acuse de recibo: En un plazo de 24 a 48 horas

  • Solicitudes de acceso: En un plazo de 30 días (normalmente en 72 horas)

  • Solicitudes de supresión: En un plazo de 30 días

  • Portabilidad de datos: En un plazo de 30 días (normalmente en 72 horas)

  • Solicitudes de rectificación: Inmediatamente para campos actualizables por el usuario; en un plazo de 30 días para los demás

Si ISMS Copilot necesita ampliar el plazo de respuesta (por ejemplo, para solicitudes complejas), se le notificará en un plazo de 30 días con una explicación y la fecha estimada de finalización.

Verificación de identidad

Para proteger sus datos contra el acceso no autorizado, ISMS Copilot puede verificar su identidad:

  • Debe enviar las solicitudes desde su dirección de correo electrónico registrada

  • Para solicitudes sensibles, puede requerirse una verificación adicional

  • El soporte técnico puede realizar preguntas de seguridad sobre su cuenta

Privacidad infantil

ISMS Copilot no está destinado a niños menores de 16 años:

  • El servicio está diseñado para profesionales del cumplimiento y empresas

  • No se proporcionan mecanismos de consentimiento paterno

  • Si se descubre un uso por parte de menores, la cuenta será cancelada y los datos eliminados

Actualizaciones de la política de privacidad

Cómo se le notificará

Cuando las prácticas de privacidad cambien, ISMS Copilot:

  • Enviará una notificación por correo electrónico a su dirección registrada

  • Mostrará una notificación en la aplicación al siguiente inicio de sesión

  • Actualizará la política de privacidad con una fecha de "Última actualización"

  • Proporcionará al menos 30 días de aviso para cambios sustanciales

Sus opciones

Si no está de acuerdo con los cambios en la política de privacidad:

  • Solicite la eliminación de la cuenta antes de que los cambios entren en vigor

  • Exporte sus datos antes de la fecha de entrada en vigor

  • Contacte con el soporte técnico para tratar sus inquietudes

Autoridad de control

Como servicio con sede en la UE, ISMS Copilot está sujeto a la supervisión de protección de datos.

Derecho a presentar una reclamación

Si cree que ISMS Copilot ha vulnerado sus derechos de privacidad, puede:

  1. Contactar con el soporte de ISMS Copilot para resolver el problema directamente

  2. Presentar una reclamación ante su autoridad local de protección de datos

  3. Presentar una reclamación ante la autoridad francesa de protección de datos (CNIL), donde está establecida ISMS Copilot

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Sitio web: https://www.cnil.fr/en

  • Dirección: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francia

  • Teléfono: +33 1 53 73 22 22

Mejores prácticas para el cumplimiento

Para consultores que gestionan datos de clientes

  • Cree espacios de trabajo separados para cada cliente

  • Establezca periodos de retención adecuados que coincidan con los contratos de los clientes

  • Anonimice los datos personales sensibles antes de cargarlos

  • Informe a los clientes de que utiliza ISMS Copilot para trabajos de cumplimiento

  • Incluya a ISMS Copilot en sus acuerdos de tratamiento de datos

  • Habilite el modo de protección de datos avanzada si los clientes requieren procesamiento exclusivo en la UE

Para organizaciones

  • Documente ISMS Copilot en su registro de actividades de tratamiento (consulte nuestro registro de actividades de tratamiento para referencia)

  • Incuya a la herramienta en las Evaluaciones de Impacto de Protección de Datos (EIPD) si trata datos sensibles

  • Capacite al personal sobre el manejo adecuado de los datos dentro de ISMS Copilot

  • Configure los periodos de retención para que coincidan con su política de retención de datos

¿Necesita ayuda con la documentación de cumplimiento del RGPD? ISMS Copilot puede ayudarle a crear acuerdos de tratamiento de datos, políticas de privacidad y plantillas de EIPD específicas para su organización.

Transparencia y confianza

Documentación de seguridad

Para obtener información detallada sobre las prácticas de seguridad y privacidad de ISMS Copilot, visite nuestra Colección de seguridad:

  • Descripciones detalladas del tratamiento de datos

  • Documentación de medidas de seguridad

  • Lista completa de subencargados del tratamiento con ubicaciones y estado del DPA

  • Certificaciones de cumplimiento

  • Políticas de gobernanza de IA

También puede revisar nuestro completo Registro de Actividades de Tratamiento (RAT) para conocer las medidas técnicas y organizativas detalladas.

Estado del sistema

Supervise la disponibilidad del servicio y los incidentes de seguridad en la página de estado:

  • Supervisión del tiempo de actividad en tiempo real a través de BetterStack

  • Notificaciones de incidentes y actualizaciones de estado

  • Programas de mantenimiento planificado

  • Datos históricos de tiempo de actividad

  • Clasificación y escalada transparente de incidentes

Limitaciones

Funciones de privacidad actuales

  • La exportación automatizada de datos no está disponible (debe solicitarse a través de soporte)

  • Los cambios de dirección de correo electrónico requieren la asistencia de soporte

  • No hay eliminación de cuenta en autoservicio (debe contactar con soporte)

  • Banner de consentimiento de cookies no implementado (no se utilizan cookies de seguimiento)

Siguientes pasos

  • Más información sobre medidas de seguridad y cifrado

  • Configurar espacios de trabajo para aislar los datos de los clientes

  • Revisar nuestra Evaluación de Impacto de la Transferencia

  • Crear una cuenta segura con autenticación fuerte

  • Revisar nuestra Colección de seguridad para obtener documentación detallada sobre privacidad

Obtener ayuda

Para preguntas relacionadas con la privacidad o solicitudes del RGPD:

  • Contacte con soporte a través del menú del Centro de ayuda

  • Envíe un correo electrónico desde la dirección de correo electrónico de su cuenta registrada

  • Incluya "Solicitud RGPD" en el asunto para un procesamiento más rápido

  • Visite nuestra Colección de seguridad para obtener documentación detallada

¿Te fue útil?