ISMS Copilot
Legal

Acuerdo de Procesamiento de Datos (DPA) - Actualizado

Resumen

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los términos de servicio entre usted (el "Cliente" o "Responsable del Tratamiento") e ISMS Copilot (el "Encargado" o "Encargado del Tratamiento") para el uso de la plataforma de cumplimiento de IA ISMS Copilot. Este DPA cumple con el Artículo 28 del Reglamento General de Protección de Datos (RGPD) y rige el procesamiento de datos personales en nombre del Cliente.

Fecha de entrada en vigor: Noviembre de 2025. Este DPA se aplica automáticamente a todos los clientes de ISMS Copilot que procesen datos personales a través de la plataforma. No se requiere una firma por separado: su uso del servicio constituye la aceptación del mismo.

A quién va dirigido

Este Acuerdo de Procesamiento de Datos es para:

  • Organizaciones que utilizan ISMS Copilot para procesar datos personales

  • Consultores de cumplimiento que gestionan datos de clientes a través de la plataforma

  • Delegados de Protección de Datos que realizan evaluaciones de proveedores

  • Equipos legales y de compras que evalúan los acuerdos de procesamiento de datos

  • Auditores que revisan el cumplimiento del Artículo 28 del RGPD

Definiciones

Términos clave

  • "Cliente" o "Responsable del Tratamiento": La organización o individuo que se suscribe a los servicios de ISMS Copilot y determina los fines y medios del procesamiento de datos personales.

  • "Encargado" o "Encargado del Tratamiento": ISMS Copilot, que procesa datos personales en nombre del Cliente.

  • "Datos Personales del Cliente": Cualquier dato personal procesado por ISMS Copilot en nombre del Cliente, incluyendo el contenido de las conversaciones, documentos subidos y metadatos asociados.

  • "Subencargado": Cualquier tercero encargado del procesamiento contratado por ISMS Copilot para procesar Datos Personales del Cliente.

  • "Interesado": La persona física identificada o identificable a la cual se refieren los Datos Personales del Cliente.

  • "Procesamiento" o "Tratamiento": Cualquier operación realizada sobre datos personales, incluyendo la recopilación, almacenamiento, uso, divulgación o eliminación.

  • "Violación de la Seguridad de los Datos Personales": Una brecha de seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita, o la comunicación o acceso no autorizados a los Datos Personales del Cliente.

1. Alcance y Aplicabilidad

1.1 Aplicación del DPA

Este DPA se aplica a todo el procesamiento de Datos Personales del Cliente por parte de ISMS Copilot en el curso de la prestación de los servicios de la plataforma descritos en los Términos de Servicio.

1.2 Objeto del Procesamiento

ISMS Copilot procesa Datos Personales del Cliente para proporcionar asistencia de cumplimiento impulsada por IA, incluyendo:

  • Procesamiento de consultas de usuarios y generación de respuestas de IA

  • Almacenamiento del historial de conversaciones y contexto

  • Análisis de documentos de cumplimiento cargados

  • Mantenimiento de configuraciones de espacio de trabajo e instrucciones personalizadas

1.3 Duración del Procesamiento

El procesamiento continúa durante la duración de la suscripción activa del Cliente y de acuerdo con el periodo de retención de datos configurado por el Cliente (de 1 día a 7 años, o "mantener para siempre"). Tras la terminación, todos los Datos Personales del Cliente se eliminan en un plazo de 30 días, a menos que la ley exija una retención más prolongada.

1.4 Naturaleza y Propósito del Procesamiento

  • Naturaleza: Procesamiento automatizado mediante modelos de IA, almacenamiento en bases de datos y procesamiento de archivos

  • Propósito: Proporcionar orientación en cumplimiento, análisis de documentos, generación de políticas y gestión del conocimiento según las instrucciones del Cliente

1.5 Categorías de Interesados

  • Empleados y usuarios autorizados del Cliente

  • Clientes y usuarios finales del Cliente (cuando se mencionan en documentos cargados o consultas)

  • Individuos referenciados en la documentación de cumplimiento

  • Sujetos de incidentes de seguridad

1.6 Categorías de Datos Personales

  • Información de la cuenta de usuario (direcciones de correo electrónico, credenciales de autenticación)

  • Contenido de conversaciones e interacciones con la IA

  • Contenido de documentos cargados (políticas, procedimientos, informes de auditoría)

  • Configuraciones de espacio de trabajo e instrucciones personalizadas

  • Metadatos de uso y marcas de tiempo

  • Potencialmente datos de categorías especiales (Artículo 9 del RGPD) si son subidos por el Cliente

El Cliente es responsable de garantizar que existan la base legal y las salvaguardas adecuadas antes de subir datos de categorías especiales (Artículo 9 del RGPD), tales como informes de incidentes de seguridad que contengan datos de salud, información de empleados u otras categorías sensibles.

2. Obligaciones del Encargado (Artículo 28(3) del RGPD)

2.1 Instrucciones de Procesamiento

ISMS Copilot procesará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente, incluyendo:

  • Instrucciones proporcionadas a través de la interfaz de la plataforma (consultas, carga de documentos, configuraciones de espacio de trabajo)

  • Ajustes de retención de datos configurados por el Cliente

  • Selección del Modo de Protección de Datos Avanzada (solo UE frente a procesamiento de IA por defecto)

  • Solicitudes de eliminación enviadas a través de la plataforma o soporte

Procesamiento Prohibido: ISMS Copilot y sus subencargados de IA (xAI, OpenAI, Mistral AI) tienen prohibido contractualmente utilizar los Datos Personales del Cliente para entrenar, mejorar o desarrollar modelos de IA. Esta prohibición está incorporada en todos los acuerdos con subencargados de IA.

Si ISMS Copilot considera que una instrucción infringe el RGPD u otras leyes de protección de datos, informaremos inmediatamente al Cliente y tenemos el derecho de suspender el procesamiento hasta que la instrucción sea confirmada o modificada. Si el Cliente confirma una instrucción que ISMS Copilot razonablemente cree que viola la ley de protección de datos aplicable, ISMS Copilot puede negarse a ejecutar la instrucción y, si el desacuerdo no puede resolverse, dar por terminadas las actividades de procesamiento afectadas con un aviso de 30 días.

2.2 Confidencialidad del Procesamiento

ISMS Copilot garantiza que todas las personas autorizadas para procesar Datos Personales del Cliente:

  • Están sujetas a obligaciones de confidencialidad (contractuales o estatutarias)

  • Reciben formación adecuada sobre protección de datos

  • Acceden a los datos solo cuando es estrictamente necesario

  • Siguen los procedimientos documentados de manejo de datos

2.3 Medidas Técnicas y Organizativas (Artículo 32 del RGPD)

ISMS Copilot implementa las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

Medidas de Control de Acceso:

  • Seguridad a nivel de fila en la base de datos que impide el acceso a datos entre usuarios

  • Autenticación de usuario requerida para todos los recursos protegidos

  • Aislamiento de espacios de trabajo que evita la contaminación cruzada de datos de clientes

  • Soporte para autenticación de múltiples factores (MFA)

  • Controles automáticos de tiempo de espera de sesión

Medidas de Cifrado:

  • Cifrado TLS 1.3 para datos en tránsito

  • Cifrado de base de datos en reposo

  • Haseo de contraseñas utilizando algoritmos estándar de la industria (irreversibles)

  • Almacenamiento de archivos cifrados en Supabase

Medidas de Minimización de Datos:

  • Solo se recopilan datos esenciales (correo electrónico, mensajes, archivos)

  • No se recopila información demográfica o de contacto innecesaria

  • Analíticas configuradas con sendDefaultPii: false

  • Periodos de retención controlados por el cliente con eliminación automatizada

Disponibilidad y Resiliencia:

  • Copias de seguridad automatizadas de la base de datos

  • Procedimientos de recuperación ante desastres

  • Monitoreo y alertas 24/7 a través de Sentry

  • Monitoreo de tiempo de actividad en tiempo real a través de BetterStack con alertas instantáneas en Slack

  • Página de estado pública para mayor transparencia (status.ismscopilot.com)

  • Escalado progresivo de incidentes vía correo electrónico y SMS

Pruebas y Evaluación:

  • Evaluaciones de seguridad periódicas

  • Monitoreo continuo de errores y registros

  • Pruebas automatizadas de eliminación de datos

  • Procedimientos de verificación de control de acceso

Para obtener detalles sobre las medidas técnicas y organizativas, consulte nuestro Registro de Actividades de Procesamiento (RopA) o visite nuestra Colección de Seguridad.

2.4 Contratación de Subencargados

Autorización General: El Cliente otorga una autorización general para que ISMS Copilot contrate subencargados para el procesamiento de Datos Personales del Cliente, sujeto a las condiciones de esta sección.

Subencargados Actuales: La lista completa de subencargados se mantiene en nuestro Registro de Actividades de Procesamiento e incluye:

Subencargado

Propósito

Ubicación

Estado del DPA

Supabase (PostgreSQL + Storage)

Base de datos y almacenamiento de archivos

UE (Frankfurt)

✓ Cumple con RGPD

Anthropic (Claude), xAI (Grok-3), OpenAI (GPT) *

Procesamiento de IA (Modo por defecto)

Estados Unidos

✓ No hay entrenamiento con datos

Mistral AI *

Procesamiento de IA (Protección de Datos Avanzada)

Unión Europea

✓ Cumple con RGPD

Stripe

Procesamiento de pagos

Global (UE DPA)

✓ Cumple con RGPD

ConvertAPI

Conversión de documentos

Punto final en la UE

✓ Cumple con RGPD

✓ Certificado ISO 27001:2022

✓ DPA firmado con Better ISMS

PostHog

Analítica de producto

UE (Frankfurt)

✓ Cumple con RGPD

Sentry

Monitoreo de errores

Alemania

✓ Cumple con RGPD

Vercel

Hosting de frontend

CDN Global

✓ Cumple con RGPD

Fly.io

Hosting de API de backend

Despliegue en la UE

✓ Cumple con RGPD

SendGrid (Twilio)

Comunicaciones por correo

EE. UU. (SCC)

✓ RGPD + SCC

Kit (ConvertKit)

Comunicaciones por correo

EE. UU. (SCC)

✓ RGPD + SCC

* Configurable por el Usuario: Solo UN procesador de IA está activo en cualquier momento, dependiendo del ajuste del Modo de Protección de Datos Avanzada del Cliente.

Requisitos del Subencargado: ISMS Copilot garantiza que todos los subencargados:

  • Proporcionen garantías suficientes de cumplimiento del RGPD

  • Acepten términos de procesamiento de datos sustancialmente equivalentes a este DPA

  • Implementen las medidas técnicas y organizativas adecuadas

  • Permanezcan sujetos a la supervisión y derechos de auditoría de ISMS Copilot

Cambios en los Subencargados:

  • ISMS Copilot notificará a los Clientes al menos 30 días antes de añadir o reemplazar subencargados

  • Las notificaciones se enviarán por correo electrónico y mediante anuncios en la aplicación

  • Los Clientes pueden oponerse a los nuevos subencargados en un plazo de 30 días

  • Si el Cliente se opone, ISMS Copilot no utilizará al nuevo subencargado o permitirá al Cliente dar por terminado el servicio sin penalización

Suscríbase a las notificaciones de cambios de subencargados revisando sus preferencias de correo electrónico en Configuración. Las listas de subencargados actualizadas siempre están disponibles en el Registro de Actividades de Procesamiento.

2.5 Asistencia para los Derechos de los Interesados

ISMS Copilot asistirá al Cliente en el cumplimiento de las solicitudes de derechos de los interesados, incluyendo:

ISMS Copilot responderá a las solicitudes de asistencia del Cliente para los derechos de los interesados dentro de los plazos especificados a continuación. El Cliente sigue siendo responsable de cumplir con el plazo de respuesta de un mes del RGPD hacia los interesados (Artículo 12(3)).

Derecho de Acceso (Artículo 15):

  • Acceso de autoservicio a todas las conversaciones y archivos a través de la plataforma

  • Exportación completa de datos en formato JSON disponible bajo petición al soporte (dentro de 72 horas)

Derecho de Rectificación (Artículo 16):

  • Actualizaciones de autoservicio en la configuración de la cuenta

  • Cambios de dirección de correo electrónico asistidos por soporte (dentro de 30 días)

Derecho de Supresión (Artículo 17):

  • Solicitudes de eliminación de cuenta procesadas a través de soporte

  • Eliminación completa de datos en un plazo de 30 días

  • Confirmación proporcionada al Cliente tras la finalización

Derecho a la Portabilidad de los Datos (Artículo 20):

  • Exportación JSON legible por máquina que incluye todos los Datos Personales del Cliente

  • Entregado en 72 horas (hasta 5 días para cuentas grandes)

Derecho de Limitación del Tratamiento (Artículo 18) y Derecho de Oposición (Artículo 21):

  • Procesado a través de soporte caso por caso

  • Respuesta en un plazo de 30 días

El Cliente es responsable de verificar la identidad del interesado antes de solicitar el acceso o exportación de datos. ISMS Copilot proporciona las herramientas y procesos, pero el Cliente mantiene la responsabilidad principal de responder a las solicitudes de los interesados.

2.6 Notificación de Violación de Datos

En caso de una Violación de la Seguridad de los Datos Personales que afecte a los Datos Personales del Cliente, ISMS Copilot:

Detección y Evaluación:

  • Monitoreará continuamente incidentes de seguridad a través de Sentry y alertas automatizadas

  • Realizará una revisión del incidente de seguridad dentro de las 24 horas posteriores a la detección

  • Evaluará el riesgo y el impacto potencial en los Datos Personales del Cliente

Notificación al Cliente:

  • Notificará al Cliente dentro de las 48 horas posteriores a la confirmación de que una Violación de Datos Personales afecta a sus datos

  • Para sospechas de brechas bajo investigación, proporcionará una notificación preliminar dentro de 24 horas con actualizaciones a medida que la información esté disponible

  • Proporcionará una descripción de la violación, incluyendo las categorías y el número aproximado de interesados afectados

  • Describirá las consecuencias probables de la violación

  • Indicará las medidas tomadas o propuestas para abordar la violación y mitigar sus efectos

  • Proporcionará un punto de contacto para obtener más información

Cooperación:

  • Cooperará con los esfuerzos de investigación y remediación del Cliente

  • Proporcionará asistencia razonable para la notificación del Cliente a las autoridades de control y a los interesados

  • Documentará todas las brechas y medidas de remediación

El Cliente sigue siendo responsable de determinar si se requiere la notificación a las autoridades de control (dentro de 72 horas según el Artículo 33) y a los interesados (Artículo 34). ISMS Copilot proporciona información para respaldar la decisión y obligaciones del Cliente.

2.7 Apoyo en la Evaluación de Impacto relativa a la Protección de Datos (EIPD)

ISMS Copilot brindará asistencia razonable cuando el Cliente realice una Evaluación de Impacto relativa a la Protección de Datos o una consulta previa con una autoridad de control, incluyendo:

  • Proporcionar el Registro de Actividades de Procesamiento para referencia

  • Describir las medidas técnicas y organizativas implementadas

  • Aclarar los flujos de datos y los acuerdos con subencargados

  • Responder preguntas específicas sobre las operaciones de procesamiento

2.8 Eliminación y Devolución de Datos

Tras la terminación de los servicios o a solicitud del Cliente, ISMS Copilot:

Eliminación Estándar (Por defecto):

  • Eliminará todos los Datos Personales del Cliente en un plazo de 30 días tras la terminación

  • Sobrescribirá los datos de las copias de seguridad en un plazo de 90 días

  • Proporcionará confirmación por escrito de la eliminación bajo petición

Exportación de Datos antes de la Eliminación:

  • El Cliente puede solicitar la exportación completa de los datos antes de la terminación

  • Exportación proporcionada en formato JSON en un plazo de 72 horas

  • La eliminación se procesará tras la confirmación de entrega de la exportación

Excepciones Legales de Retención:

  • Los registros de facturación anonimizados se conservan por 7 años (cumplimiento fiscal y contable)

  • Los datos de analítica anonimizados pueden ser conservados

  • El contenido marcado por los sistemas de moderación automática se conservará hasta por 1 año para cumplimiento legal y revisión de seguridad de la plataforma (consulte la Política de Privacidad, sección Moderación de Contenido)

  • Los datos que deban conservarse por la ley aplicable serán aislados y protegidos hasta que expire el periodo de retención legal

2.9 Derechos de Auditoría

El Cliente tiene derecho a auditar el cumplimiento de este DPA por parte de ISMS Copilot, sujeto a limitaciones razonables:

Revisión de Documentación:

  • El Cliente puede revisar la documentación de cumplimiento disponible públicamente en nuestra Colección de Seguridad

  • Solicitar documentación adicional a través de soporte (por ejemplo, acuerdos con subencargados, políticas de seguridad)

  • Revisar el Registro de Actividades de Procesamiento en cualquier momento

Auditorías In Situ:

  • El Cliente puede realizar auditorías in situ con un aviso previo por escrito de 60 días

  • Máximo de una auditoría al año, a menos que sea necesaria por una violación de datos

  • Las auditorías deben realizarse durante el horario comercial y no interferir con las operaciones

  • El Cliente es responsable de los costes de la auditoría, a menos que esta revele un incumplimiento que: (a) constituya una violación de datos personales, o (b) implique un fallo sistemático en la implementación de las medidas de seguridad documentadas, o (c) resulte en una acción de ejecución regulatoria. En tales casos, ISMS Copilot asumirá los costes razonables de la auditoría incurridos tras la identificación del incumplimiento.

  • Los resultados seguirán siendo confidenciales y no podrán compartirse excepto por exigencia legal

Certificaciones de Terceros:

  • ISMS Copilot obtendrá y mantendrá certificaciones de seguridad relevantes (ISO 27001 en curso)

  • Los informes de certificación pueden compartirse bajo petición sujetos a un acuerdo de confidencialidad (NDA)

  • Los Clientes pueden confiar en las certificaciones de terceros en lugar de realizar sus propias auditorías

3. Transferencias Internacionales de Datos

3.1 Mecanismos de Transferencia de Datos

ISMS Copilot procesa los Datos Personales del Cliente de acuerdo con el Capítulo V del RGPD:

Almacenamiento Primario (Siempre en la UE):

  • Todo el almacenamiento de la base de datos se realiza en Frankfurt, Alemania (AWS EU-Central-1)

  • El historial de conversaciones, archivos subidos y datos de cuenta permanecen en la UE

  • No se requiere una decisión de adecuación para el almacenamiento primario

Procesamiento de IA (Configurable por el Cliente):

Cuando el Modo de Protección de Datos Avanzada está ACTIVADO: El procesamiento de IA ocurre dentro de la UE a través de Mistral AI con retención de datos cero. No ocurre transferencia internacional de datos para el procesamiento de IA.

Cuando la Protección de Datos Avanzada está DESACTIVADA (por defecto): El contenido de la conversación se traslada a los Estados Unidos para su procesamiento de IA a través de xAI/OpenAI con una retención de 30 días. Las Cláusulas Contractuales Tipo se aplican a estas transferencias.

Comunicaciones por Correo Electrónico (Basadas en EE. UU.):

  • Direcciones de correo electrónico transferidas a SendGrid y Kit (Estados Unidos)

  • Protegidas por las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea

  • Los Clientes pueden minimizar las transferencias cancelando la suscripción a correos electrónicos no esenciales

3.2 Cláusulas Contractuales Tipo (SCC)

Para transferencias a los Estados Unidos, ISMS Copilot se apoya en las Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914 de la Comisión):

  • Del Cliente a ISMS Copilot: El Módulo Dos (Responsable a Encargado) es aplicable cuando el Cliente actúa como responsable del tratamiento

  • De ISMS Copilot a subencargados de EE. UU.: Se aplica el Módulo Tres (Encargado a Encargado)

  • Ley aplicable para las SCC: Ley francesa (Cláusula 17, Opción 1)

  • Autoridad de control competente: CNIL, Francia (Cláusula 13)

  • Las copias de las SCC ejecutadas con subencargados están disponibles bajo petición a través de soporte

3.3 Medidas Complementarias

ISMS Copilot implementa medidas complementarias para proteger los datos transferidos fuera de la UE:

  • Cifrado de extremo a extremo (TLS 1.3) para todos los datos en tránsito

  • Prohibición contractual de entrenamiento de IA utilizando datos del Cliente

  • Retención limitada por parte de los proveedores de IA (30 días para xAI/OpenAI, cero para Mistral AI)

  • Capacidad del Cliente para controlar el destino de la transferencia mediante el Modo de Protección de Datos Avanzada

  • Monitoreo continuo de los desarrollos legales relativos a transferencias internacionales

3.4 Evaluación de Impacto de la Transferencia

ISMS Copilot ha realizado una Evaluación de Impacto de la Transferencia (TIA) para subencargados con sede en EE. UU. y ha determinado que:

  • Las Cláusulas Contractuales Tipo proporcionan salvaguardas adecuadas bajo el Capítulo V del RGPD

  • Las medidas técnicas complementarias (cifrado, retención limitada, controles de usuario) mejoran la protección

  • Los Clientes tienen la opción de evitar totalmente las transferencias de procesamiento de IA a EE. UU. habilitando el Modo de Protección de Datos Avanzada (procesamiento solo en la UE con retención cero)

  • Las transferencias de correo electrónico a proveedores de EE. UU. (SendGrid, Kit) permanecen independientemente del Modo de Protección de Datos Avanzada, pero están protegidas por SCC y cifrado

  • No existe evidencia de que los subencargados hayan recibido solicitudes de acceso gubernamental para los datos del Cliente

La Evaluación de Impacto de la Transferencia completa, incluyendo la metodología de evaluación de riesgos y el análisis de las leyes de vigilancia de EE. UU., está disponible en Evaluación de Impacto de la Transferencia.

Las organizaciones con requisitos estrictos de residencia de datos en la UE deben habilitar el Modo de Protección de Datos Avanzada para eliminar las transferencias de procesamiento de IA y simplificar las obligaciones de la Evaluación de Impacto de la Transferencia. Las transferencias de correo a proveedores de EE. UU. permanecen, pero se minimizan al cancelar la suscripción a comunicaciones no esenciales. Consulte nuestra Evaluación de Impacto de la Transferencia para más detalles.

4. Obligaciones del Cliente como Responsable del Tratamiento

4.1 Licitud de las Instrucciones de Procesamiento

El Cliente garantiza que:

  • Todas las instrucciones de procesamiento cumplen con el RGPD y las leyes de protección de datos aplicables

  • El Cliente tiene una base lícita para procesar todos los datos personales subidos a la plataforma

  • El Cliente ha informado a los interesados sobre el procesamiento y sus derechos

  • El Cliente mantiene registros adecuados de las actividades de procesamiento (Artículo 30 del RGPD)

4.2 Datos de Categorías Especiales

Si el Cliente sube datos de categorías especiales (Artículo 9 del RGPD), el Cliente confirma que:

  • Se cumplen las condiciones adecuadas del Artículo 9 (por ejemplo, consentimiento explícito, reclamaciones legales, interés público esencial)

  • Existen salvaguardas adicionales según lo requiere la ley

  • El Cliente ha realizado una Evaluación de Impacto relativa a la Protección de Datos si es necesario

4.3 Gestión de Derechos de los Interesados

El Cliente es responsable de:

  • Recibir y responder a las solicitudes de derechos de los interesados

  • Verificar la identidad del interesado antes de solicitar datos a ISMS Copilot

  • Determinar si debe notificar a las autoridades de control y a los interesados en caso de brechas

  • Garantizar que los interesados estén informados sobre el papel de ISMS Copilot como encargado

4.4 Configuración de la Retención de Datos

El Cliente debe:

  • Configurar periodos de retención de datos adecuados que coincidan con sus políticas de protección de datos

  • Revisar periódicamente los ajustes de retención para garantizar el cumplimiento

  • Solicitar la eliminación cuando los datos ya no sean necesarios para el propósito original

4.5 Aislamiento de Espacios de Trabajo

El Cliente debería:

  • Crear espacios de trabajo separados para diferentes clientes o categorías de datos

  • Evitar mezclar datos personales de diferentes interesados en un solo espacio de trabajo

  • Eliminar los espacios de trabajo cuando los proyectos finalicen y los datos ya no sean necesarios

5. Responsabilidad e Indemnización

5.1 Asignación de Responsabilidad

Bajo el Artículo 82 del RGPD:

  • El Cliente e ISMS Copilot son responsables cada uno por los daños causados por sus propias violaciones del RGPD

  • ISMS Copilot está exento de responsabilidad si demuestra que no fue responsable del evento que originó el daño

  • ISMS Copilot no es responsable de los daños resultantes de las instrucciones de procesamiento ilícitas del Cliente

5.2 Indemnización

El Cliente indemnizará a ISMS Copilot contra cualquier reclamación, multa o daño derivado de:

  • La violación del RGPD u otras leyes de protección de datos por parte del Cliente

  • Instrucciones de procesamiento ilícitas del Cliente

  • La falta del Cliente para obtener los consentimientos necesarios o la base legal para el procesamiento

  • La carga por parte del Cliente de datos de categorías especiales sin las salvaguardas adecuadas

6. Duración y Terminación

6.1 Plazo

Este DPA entra en vigor en la fecha en que el Cliente utilice por primera vez los servicios de ISMS Copilot y continúa mientras ISMS Copilot procese Datos Personales del Cliente.

6.2 Terminación

Este DPA termina automáticamente tras:

  • La terminación de los Términos de Servicio

  • La finalización de todas las actividades de procesamiento y la eliminación de los Datos Personales del Cliente

6.3 Efecto de la Terminación

Tras la terminación:

  • ISMS Copilot eliminará o devolverá todos los Datos Personales del Cliente según lo descrito en la Sección 2.8

  • Las obligaciones relativas a confidencialidad, seguridad de datos y retención legal sobreviven a la terminación

  • El derecho de auditoría del Cliente sobrevive durante 12 meses después de la terminación

7. Enmiendas y Actualizaciones

7.1 Actualizaciones del DPA

ISMS Copilot puede actualizar este DPA para reflejar:

  • Cambios en las leyes de protección de datos u orientación regulatoria

  • Cambios en las operaciones de procesamiento o subencargados

  • Mejoras en las medidas de seguridad o prácticas de protección de datos

7.2 Notificación de Cambios

  • Los cambios sustanciales se notificarán con al menos 30 días de antelación vía correo electrónico y notificación en la aplicación

  • El DPA actualizado se publicará en esta URL con una nueva "Fecha de entrada en vigor"

  • El uso continuado de los servicios después de la fecha de entrada en vigor constituye la aceptación del DPA actualizado

7.3 Derecho de Oposición

  • El Cliente puede oponerse a cambios sustanciales en un plazo de 30 días tras la notificación

  • Si el Cliente se opone, puede dar por terminado el servicio sin penalización

8. Ley Aplicable y Jurisdicción

8.1 Ley Aplicable

Este DPA se rige por:

  • El Reglamento General de Protección de Datos (UE) 2016/679

  • La ley de protección de datos francesa (Ley de Protección de Datos 78-17 de 6 de enero de 1978)

  • Las leyes de Francia para la interpretación contractual

8.2 Jurisdicción

Cualquier disputa derivada de este DPA estará sujeta a la jurisdicción de los tribunales franceses, siendo la autoridad de control la Commission Nationale de l'Informatique et des Libertés (CNIL).

9. Información de Contacto

9.1 Contactos de Protección de Datos

Para preguntas o solicitudes relacionadas con el DPA:

  • Contacte con soporte a través del Centro de Ayuda (accesible vía menú de usuario)

  • Envíe un correo electrónico desde su dirección de cuenta registrada

  • Incluya "Solicitud de DPA" o "Acuerdo de Procesamiento de Datos" en la línea de asunto

9.2 Contacto de Protección de Datos

ISMS Copilot no ha designado a un Delegado de Protección de Datos, ya que no cumplimos con los criterios de designación obligatoria bajo el Artículo 37 del RGPD. Para consultas de protección de datos relacionadas con este DPA, contáctenos en [email protected] o a través del Centro de Ayuda.

9.3 Autoridad de Control

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Sitio web: https://www.cnil.fr/en

  • Dirección: 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francia

  • Teléfono: +33 1 53 73 22 22

10. Recursos Adicionales

Documentación de Apoyo

  • Registro de Actividades de Procesamiento (RopA): operaciones de procesamiento detalladas y subencargados

  • Evaluación de Impacto de la Transferencia (TIA): evaluación de riesgos y salvaguardas de la transferencia internacional de datos

  • Política de Privacidad: aviso de privacidad de cara al consumidor

  • Privacidad de Datos y Cumplimiento del RGPD: guía de implementación del RGPD y derechos de los usuarios

  • Colección de Seguridad: documentación exhaustiva de seguridad y cumplimiento

  • Página de Estado: disponibilidad del sistema en tiempo real y notificaciones de incidentes

Guías de Configuración

  • Modo de Protección de Datos Avanzada: habilite el procesamiento de IA exclusivamente en la UE

  • Guía de Configuración del Espacio de Trabajo: aísle los datos del cliente correctamente

  • Guía de Seguridad de la Cuenta: implemente una autenticación sólida

Apéndice A: Resumen de Detalles del Procesamiento

Objeto del Tratamiento

Provisión de una plataforma de asistencia de cumplimiento impulsada por IA que incluye procesamiento de conversaciones, análisis de documentos y gestión del conocimiento.

Duración

Por el plazo de la suscripción activa del Cliente más el periodo de retención configurado por el Cliente (de 1 día a 7 años), seguido de una ventana de eliminación de 30 días.

Naturaleza y Propósito

  • Naturaleza: Procesamiento automatizado de IA, almacenamiento en base de datos, conversión y análisis de archivos

  • Propósito: Permitir a los profesionales del cumplimiento recibir orientación de IA, analizar documentos, generar políticas y gestionar el conocimiento del cumplimiento

Categorías de Interesados

  • Empleados del Cliente y usuarios autorizados de la plataforma

  • Clientes del Cliente (cuando se referencian en documentos o consultas)

  • Individuos mencionados en la documentación de cumplimiento

  • Sujetos de incidentes de seguridad

Categorías de Datos Personales

  • Información de contacto (direcciones de correo electrónico)

  • Credenciales de autenticación (contraseñas haseadas)

  • Contenido de conversaciones e interacciones con la IA

  • Documentos de cumplimiento subidos

  • Metadatos de uso y marcas de tiempo

  • Potencialmente datos de categorías especiales (Artículo 9) si son subidos por el Cliente

Apéndice B: Registro de Cambios de Subencargados

Este apéndice rastrea todas las adiciones, eliminaciones y cambios de subencargados desde la fecha de entrada en vigor del DPA. Los clientes son notificados 30 días antes de que los cambios surtan efecto.

Vigente a partir de Noviembre de 2025

Lista inicial de subencargados establecida. Consulte la Sección 2.4 y el Registro de Actividades de Procesamiento para ver la lista actual completa.

Cambios Futuros

Todos los cambios de subencargados se documentarán aquí con:

  • Fecha de efectividad del cambio

  • Nombre y ubicación del subencargado

  • Naturaleza del cambio (adición, eliminación, reemplazo)

  • Propósito del procesamiento

  • Fecha de notificación al Cliente

Obtener Ayuda

Para preguntas sobre este Acuerdo de Procesamiento de Datos:

  • Revise el Registro de Actividades de Procesamiento para detalles técnicos de procesamiento

  • Contacte con soporte a través del Centro de Ayuda para aclaraciones

  • Solicite documentación adicional (por ejemplo, SCC, políticas de seguridad) a través de soporte

  • Visite nuestra Colección de Seguridad para recursos exhaustivos de cumplimiento

  • Incluya "Solicitud de DPA" en su línea de asunto para una gestión prioritaria

¿Te fue útil?