Registro de Actividades de Tratamiento (ROPA) - ISMS Copilot
Descripción General
Este Registro de Actividades de Tratamiento (RopA) documenta todas las actividades de procesamiento de datos personales llevadas a cabo por la plataforma ISMS Copilot en cumplimiento con el Artículo 30 del Reglamento General de Protección de Datos (RGPD). Este registro sirve como un registro exhaustivo de cómo se recopilan, procesan, almacenan y protegen los datos personales dentro de la plataforma.
Este RopA es mantenido por ISMS Copilot y se actualiza regularmente para reflejar cambios en las actividades de procesamiento de datos. Última actualización: enero de 2026.
A quién va dirigido
Este documento está destinado a:
Delegados de Protección de Datos (DPO) que evalúan ISMS Copilot
Equipos de cumplimiento que realizan evaluaciones de riesgo de proveedores
Organizaciones que requieren documentación sobre subencargados del tratamiento
Equipos legales y de seguridad que realizan la debida diligencia
Auditores que evalúan el cumplimiento del RGPD
Resumen de Cumplimiento del RGPD
ISMS Copilot 2.0 está diseñado como una herramienta SaaS B2B para profesionales del cumplimiento. Procesamos datos principalmente en la UE utilizando Supabase (región UE) para el almacenamiento y la autenticación. Minimizamos la recopilación de datos, garantizamos el control del usuario y evitamos utilizar sus datos para el entrenamiento de IA. Como empresa pequeña, nos centramos en controles pragmáticos de alto impacto mientras buscamos certificaciones formales como ISO 27001 e implementamos controles de seguridad de IA.
Información del Responsable del Tratamiento
Detalles del Responsable
Nombre: ISMS Copilot
Jurisdicción: Francia (Unión Europea)
Ubicación Principal de los Datos: Fráncfort, Alemania (AWS EU-Central-1)
Representante del RGPD: Autoridad Francesa de Protección de Datos (CNIL)
El procesamiento de datos principal ocurre dentro de la Unión Europea (Fráncfort, Alemania). Se realizan algunas transferencias limitadas de datos a los Estados Unidos para el procesamiento de IA (configurable mediante el Modo de Protección de Datos Avanzada) y comunicaciones por correo electrónico (SendGrid, Kit), con las salvaguardas adecuadas, incluidas las Cláusulas Contractuales Tipo.
Actividad de Tratamiento nº 1: Autenticación de Usuarios y Gestión de Cuentas
Finalidad del Tratamiento
Proporcionar una autenticación de usuario segura, gestión de sesiones y control de acceso a la cuenta para la plataforma ISMS Copilot.
Base Legal
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - necesario para prestar el servicio
Secundaria: Interés Legítimo (Artículo 6(1)(f) del RGPD) - seguridad y prevención de fraudes
Categorías de Interesados
Usuarios de la plataforma (profesionales de cumplimiento, consultores, equipos de seguridad)
Usuarios de prueba y clientes potenciales
Miembros del espacio de trabajo y colaboradores
Categorías de Datos Personales
Direcciones de correo electrónico
Hashes de contraseñas (encriptados, no reversibles)
Tokens de autenticación e identificadores de sesión
Identificadores únicos de usuario (UUID)
Tokens de restablecimiento de contraseña (temporales)
Marcas de tiempo de creación de cuenta
Marcas de tiempo de último inicio de sesión
Encargados del Tratamiento
Supabase Auth (autenticación basada en PostgreSQL)
Ubicación: UE (Fráncfort, Alemania)
Procesamiento: Autenticación de usuarios, gestión de sesiones
Estado del DPA: Acuerdo de Tratamiento de Datos conforme al RGPD en vigor
Periodo de Retención
Cuentas activas: Conservadas mientras la cuenta esté activa
Tras la eliminación de la cuenta: Eliminación permanente en un plazo de 30 días
Tokens de sesión: Expiran automáticamente tras periodo de inactividad
Tokens de restablecimiento de contraseña: Expiran tras 24 horas o al primer uso
Medidas de Seguridad
Hashing de contraseñas mediante algoritmos estándar del sector
Transmisión de datos encriptada (TLS 1.3)
Seguridad a nivel de fila (RLS) en la base de datos
Opción obligatoria de autenticación multifactor (MFA)
Controles de tiempo de espera de sesión
Actividad de Tratamiento nº 2: Procesamiento de Chat IA y Gestión de Conversaciones
Finalidad del Tratamiento
Proporcionar asistencia de cumplimiento potenciada por IA, generar respuestas a consultas de usuarios y mantener el contexto de la conversación para una mejor experiencia de usuario.
Base Legal
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - funcionalidad principal del servicio
Categorías de Interesados
Usuarios autenticados de la plataforma
Usuarios de chat temporales/anónimos
Personas físicas mencionadas en las consultas de los usuarios (interesados indirectos)
Categorías de Datos Personales
Mensajes y consultas de los usuarios
Respuestas generadas por IA
Metadatos del hilo de conversación (títulos, marcas de tiempo, estado)
Configuraciones del espacio de trabajo del usuario
Instrucciones y personas personalizadas
Datos de cumplimiento potencialmente sensibles (políticas, procedimientos, información de auditoría)
Los usuarios pueden introducir categorías especiales de datos (Artículo 9 del RGPD), como información sobre incidentes de seguridad o violaciones de cumplimiento. Los usuarios son responsables de garantizar que tienen una base legal para procesar dichos datos antes de introducirlos en la plataforma.
Encargados del Tratamiento
Almacenamiento en Base de Datos (Siempre Activo)
Base de datos Supabase PostgreSQL
Ubicación: UE (Fráncfort, Alemania)
Procesamiento: Almacenamiento y recuperación de mensajes, gestión de conversaciones
Estado del DPA: Conforme al RGPD
Procesamiento de IA (Configurable por el usuario mediante el Modo de Protección de Datos Avanzada)
Los usuarios pueden elegir entre dos modos de procesamiento de IA. El modo activo determina qué subencargado se utiliza:
Modo Predeterminado (Protección de Datos Avanzada DESACTIVADA):
Anthropic (Claude) [PREDETERMINADO], OpenAI, xAI (Grok) y Google Gemini
Ubicación: Estados Unidos
Procesamiento: Generación de respuestas de IA (modelo seleccionable por el usuario)
Retención: 30 días (caché de procesamiento temporal)
Uso de datos: Los datos de la API NO se utilizan para el entrenamiento de modelos
Estado del DPA: Términos de API estándar (sin entrenamiento con datos del cliente)
Modo de Protección de Datos Avanzada (ACTIVADO):
Mistral AI
Ubicación: Unión Europea
Procesamiento: Generación de respuestas de IA
Retención: Cero (sin retención de datos)
Uso de datos: NO se utilizan para el entrenamiento de modelos
Estado del DPA: Encargado con sede en la UE con garantía de retención cero
Las organizaciones con requisitos de residencia de datos en la UE deben documentar el uso del Modo de Protección de Datos Avanzada en su propio Registro de Actividades de Tratamiento. Cuando está habilitado, esto elimina el procesamiento de IA con sede en EE. UU. y garantiza la retención cero por parte de los proveedores de IA.
Infraestructura de Backend (Siempre Activa)
Fly.io - Servicio API de Chat
Ubicación: Despliegue con sede en la UE
Procesamiento: Orquestación del chat, respuestas en streaming, enrutamiento de mensajes
Estado del DPA: Acuerdo de alojamiento conforme al RGPD
Periodo de Retención
Retención configurable por el usuario: de 1 día a 7 años (esto es lo que significa "Keep Forever")
Retención predeterminada: Según lo configurado por el usuario en los ajustes de la cuenta
Eliminación automatizada: Un proceso automatizado diario elimina mensajes más antiguos que el periodo de retención especificado por el usuario
Chats temporales: Se eliminan automáticamente después de 30 días
Tras la eliminación de la cuenta: Todas las conversaciones se eliminan permanentemente en 30 días
Los usuarios controlan su periodo de retención de datos a través de Configuración. Configure la retención para que coincida con las políticas de protección de datos y los requisitos legales de su organización.
Medidas de Seguridad
Encriptación TLS de extremo a extremo para datos en tránsito
La seguridad a nivel de fila garantiza que los usuarios solo puedan acceder a sus propias conversaciones
El aislamiento de espacios de trabajo evita la contaminación cruzada de datos de clientes
Se requiere autenticación de usuario para conversaciones persistentes
Eliminación automatizada de datos caducados
Actividad de Tratamiento nº 3: Moderación de Contenidos y Seguridad
Finalidad del Tratamiento
Detectar y responder automáticamente a contenido potencialmente dañino, ilegal o que infrinja las políticas en los mensajes de chat de los usuarios, garantizando la seguridad de la plataforma y el cumplimiento de las obligaciones legales.
Base Legal
Principal: Interés Legítimo (Artículo 6(1)(f) del RGPD) - seguridad de la plataforma, prevención de fraudes, cumplimiento legal y protección de los usuarios
Secundaria: Obligación Legal (Artículo 6(1)(c) del RGPD) - cumplimiento de las leyes que exigen la prevención de la distribución de contenidos ilegales
Categorías de Interesados
Todos los usuarios de la plataforma que envían mensajes de chat
Personas físicas mencionadas en mensajes marcados (interesados indirectos)
Categorías de Datos Personales
Contenido de los mensajes de chat del usuario (analizado para detectar infracciones de seguridad)
Metadatos de eventos de moderación (marcas de tiempo, puntuaciones de gravedad, categorías)
Vistas previas de contenido marcado (para revisión de administradores)
ID de usuario asociados con eventos de moderación
Anulación de la Protección de Datos Avanzada: La moderación de contenidos se aplica a TODOS los mensajes de los usuarios, independientemente de la configuración del Modo de Protección de Datos Avanzada. Cuando se marca contenido dañino o ilegal, este se almacena siempre y puede compartirse con los administradores con fines de seguridad y cumplimiento legal, anulando la garantía estándar de retención cero del modo avanzado.
Encargados del Tratamiento
IA de Moderación de Contenidos (Configurable por el usuario mediante el Modo de Protección de Datos Avanzada)
El proveedor de moderación depende de la configuración del Modo de Protección de Datos Avanzada del usuario:
Modo Predeterminado (Protección de Datos Avanzada DESACTIVADA):
API de Moderación de OpenAI
Ubicación: Estados Unidos
Procesamiento: Análisis de contenido asíncrono (disparar y olvidar)
Retención: 30 días (retención estándar de la API de OpenAI)
Estado del DPA: Términos de API estándar (sin entrenamiento con datos del cliente)
Modo de Protección de Datos Avanzada (ACTIVADO):
Moderación de Mistral AI
Ubicación: Unión Europea
Procesamiento: Análisis de contenido asíncrono (disparar y olvidar)
Retención: Cero (procesamiento en la UE sin retención de datos)
Estado del DPA: Encargado con sede en la UE con garantía de retención cero
Almacenamiento y Alertado (Siempre Activo)
Base de datos Supabase PostgreSQL
Ubicación: UE (Fráncfort, Alemania)
Procesamiento: Almacenamiento de eventos de moderación en una tabla dedicada
Estado del DPA: Conforme al RGPD
Notificaciones Webhook de n8n
Procesamiento: Envía alertas a los administradores cuando se marca contenido
Contenido: Vistas previas de mensajes (siempre para contenido marcado, anulando el modo avanzado)
Cómo funciona la moderación
Análisis Automático: Cada mensaje de usuario se envía de forma asíncrona (disparar y olvidar) a la API de moderación (OpenAI o Mistral, según la configuración del modo avanzado)
Almacenamiento de Eventos: Los resultados de la moderación se almacenan en la tabla de moderación con puntuaciones de gravedad y etiquetas de categoría
Alertas de Administrador: Cuando se detecta contenido marcado, se envían notificaciones webhook a los administradores con vistas previas de los mensajes para su revisión
Limitación de Tasa: Las solicitudes de moderación están limitadas para evitar abusos; los fallos se registran en Sentry
Periodo de Retención
Eventos de moderación no marcados: Solo metadatos y puntuaciones (sin contenido) almacenados durante 30 días, luego se eliminan automáticamente
Eventos de contenido marcado: Contenido completo almacenado durante 1 año con fines de seguridad y cumplimiento legal
Procesamiento de API de moderación:
OpenAI (Modo Predeterminado): 30 días de retención temporal
Mistral (Modo Avanzado): Retención cero
Tras la eliminación de la cuenta: Todos los eventos de moderación asociados con el usuario se eliminan permanentemente en 30 días, excepto cuando la retención sea exigida por ley
El contenido se almacena solo cuando es marcado (no para mensajes no marcados). El contenido marcado se conserva durante 1 año para respaldar investigaciones de seguridad, detección de patrones y cumplimiento legal. Esta retención se aplica incluso cuando el Modo de Protección de Datos Avanzada está habilitado.
Medidas de Seguridad
Procesamiento asíncrono de tipo disparar y olvidar (mínimo impacto en el rendimiento)
La seguridad a nivel de fila garantiza que los eventos de moderación estén aislados por usuario
Transmisión de datos encriptada (TLS 1.3)
Limitación de tasa para evitar abusos
Registro de respaldo en Sentry para solicitudes de moderación fallidas
Verificación de firma de webhook para alertas de administrador
Eliminación automatizada de eventos de moderación caducados
Actividad de Tratamiento nº 4: Carga de Archivos y Procesamiento de Documentos
Finalidad del Tratamiento
Permitir a los usuarios cargar documentos de cumplimiento para el análisis por IA, la evaluación de brechas y la generación de documentos.
Base Legal
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - característica del servicio
Categorías de Interesados
Usuarios de la plataforma que cargan documentos
Personas físicas mencionadas en los documentos cargados (empleados, clientes, terceros)
Categorías de Datos Personales
Archivos cargados (PDF, DOCX, XLSX)
Contenido de documentos extraído y metadatos
Nombres de archivo, tamaños, marcas de tiempo de carga
Estado de procesamiento del documento
Datos organizativos potencialmente sensibles (políticas, informes de auditoría, evaluaciones de riesgo)
Los documentos cargados pueden contener categorías especiales de datos o información empresarial confidencial. Los usuarios deben asegurarse de tener la autoridad legal adecuada para cargar y procesar dichos documentos.
Encargados del Tratamiento
Supabase Storage
Ubicación: UE (Fráncfort, Alemania)
Procesamiento: Almacenamiento seguro de archivos en el bucket "uploads"
Estado del DPA: Conforme al RGPD
ConvertAPI
Punto final: UE (convertapi.com)
Procesamiento: Conversión de formato de documentos (PDF/DOCX/XLSX a HTML y viceversa)
Certificación: ISO/IEC 27001:2022 (Certificado nº 1512122216, válido hasta el 18-08-2028)
Estado del DPA: Acuerdo de Tratamiento de Datos firmado con Better ISMS (Francia); encargado de la UE conforme al RGPD
Fly.io
Procesamiento: Orquestación de la conversión de documentos
Estado del DPA: Conforme al RGPD
Periodo de Retención
Archivos activos: Conservados según la configuración de retención de datos del usuario (vinculada a la retención de conversaciones)
Archivos huérfanos: Eliminados automáticamente mediante un proceso de limpieza en segundo plano
Tras la eliminación de la cuenta: Todos los archivos cargados se eliminan permanentemente en un plazo de 30 días
Procesamiento de ConvertAPI: Archivos procesados en memoria, no almacenados permanentemente por el encargado
Medidas de Seguridad
Acceso a archivos limitado al usuario (archivos vinculados al ID de usuario)
Almacenamiento encriptado
Carga de archivos segura a través de HTTPS
Limpieza automatizada de archivos huérfanos
Autenticación requerida para la carga y eliminación de archivos
Actividad de Tratamiento nº 5: Gestión de Pagos y Suscripciones
Finalidad del Tratamiento
Procesar pagos de suscripciones, gestionar la facturación y proporcionar acceso a funciones premium.
Base Legal
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - procesamiento de facturación y pagos
Secundaria: Obligación Legal (Artículo 6(1)(c) del RGPD) - cumplimiento fiscal y contable
Categorías de Interesados
Suscriptores premium
Usuarios de prueba que pasan a planes de pago
Contactos de facturación para cuentas de organizaciones
Categorías de Datos Personales
ID de cliente de Stripe
ID de suscripción y estado
Metadatos de pago (no se almacenan números de tarjeta de crédito completos)
Eventos de facturación y marcas de tiempo
Información de facturas
Encargados del Tratamiento
Stripe
Ubicación: EE. UU.
Procesamiento: Procesamiento de pagos, gestión de suscripciones, portal del cliente
Estado del DPA: Acuerdo de Tratamiento de Datos conforme al RGPD
Supabase
Procesamiento: Almacena el estado de la suscripción y los ID de cliente (no datos de tarjetas de pago)
Estado del DPA: Conforme al RGPD
Periodo de Retención
Suscripciones activas: Conservadas mientras la suscripción esté activa
Tras la cancelación: Datos de suscripción conservados durante 7 años (cumplimiento fiscal y contable)
Registros de facturación: Anonimizados después de 7 años
Datos de tarjetas de pago: NUNCA son almacenados por ISMS Copilot (gestionados exclusivamente por Stripe)
Medidas de Seguridad
Procesamiento de pagos conforme a PCI DSS Nivel 1 (vía Stripe)
No se almacenan datos de tarjetas de crédito en los sistemas de ISMS Copilot
Verificación de firma de webhook
Transmisión encriptada de datos de pago
Prevención de pagos duplicados
Actividad de Tratamiento nº 6: Analítica y Mejora de Producto
Finalidad del Tratamiento
Analizar el uso de la plataforma, mejorar la experiencia del usuario, identificar errores y supervisar el rendimiento del sistema.
Base Legal
Principal: Interés Legítimo (Artículo 6(1)(f) del RGPD) - mejora del producto y fiabilidad del servicio
Categorías de Interesados
Todos los usuarios de la plataforma
Visitantes del sitio web
Categorías de Datos Personales
Eventos de comportamiento del usuario (vistas de página, clics en botones, uso de funciones)
Datos de sesión y duración de la sesión
Información del navegador y del dispositivo
Registros de errores y datos de excepciones
Métricas de rendimiento (tiempos de carga de página, métricas de interacción)
Direcciones IP (anonimizadas)
Los sistemas de análisis están configurados con sendDefaultPii: false para evitar la recopilación automática de información de identificación personal. No se comparte contenido de conversaciones ni documentos cargados con los proveedores de análisis.
Encargados del Tratamiento
PostHog
Ubicación: UE (eu.i.posthog.com)
Procesamiento: Analítica de producto, seguimiento del comportamiento del usuario
Estado del DPA: Conforme al RGPD, alojado en la UE
Protección de PII: Configurado para NO enviar PII predeterminada
Sentry
Ubicación: Alemania (de.sentry.io)
Procesamiento: Seguimiento de errores, supervisión del rendimiento
Estado del DPA: Conforme al RGPD, con sede en Alemania
Protección de PII: Configurado para NO enviar PII predeterminada
Vercel Web Analytics
Procesamiento: Web vitals, métricas de rendimiento
Estado del DPA: Conforme al RGPD
Periodo de Retención
Analítica de PostHog: Según la política de retención de PostHog (normalmente un máximo de 7 años)
Registros de errores de Sentry: Retención predeterminada de 90 días
Analítica de Vercel: Según la política de retención de Vercel
Medidas de Seguridad
Direcciones IP anonimizadas
No se envía PII por defecto
No se comparte contenido de las conversaciones
Infraestructura de análisis basada en la UE
Seguimiento solo en producción (sin datos del entorno de desarrollo)
Actividad de Tratamiento nº 7: Infraestructura y Despliegue
Finalidad del Tratamiento
Alojar y entregar la aplicación ISMS Copilot de forma segura a los usuarios.
Base Legal
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - prestación del servicio
Categorías de Interesados
Todos los usuarios y visitantes de la plataforma
Categorías de Datos Personales
Registros de solicitudes HTTP
Direcciones IP (temporales, para enrutamiento)
Metadatos de conexión
Cookies de sesión
Encargados del Tratamiento
Vercel
Procesamiento: Alojamiento frontend y entrega de contenido
Estado del DPA: Conforme al RGPD
Fly.io
Procesamiento: Alojamiento de la API del backend
Estado del DPA: Conforme al RGPD
AWS (vía Supabase)
Ubicación: Fráncfort, Alemania (EU-Central-1)
Procesamiento: Base de datos e infraestructura de almacenamiento
Estado del DPA: Conforme al RGPD
Periodo de Retención
Registros de acceso: Conservados según las políticas del proveedor de infraestructura (normalmente 30-90 días)
Datos de sesión: Expiran al finalizar la sesión del usuario
Medidas de Seguridad
Encriptación TLS 1.3 para todas las conexiones
Encabezados de Política de Seguridad de Contenido (CSP)
Protección contra DDoS
Actualizaciones y parches de seguridad regulares
Actividad de Tratamiento nº 8: Comunicaciones por Correo Electrónico y Actualizaciones
Finalidad del Tratamiento
Enviar actualizaciones legales ocasionales, actualizaciones de productos, orientación para la incorporación y comunicaciones relacionadas con el servicio a los usuarios como parte de la experiencia de la plataforma.
Base Legal
Principal: Interés Legítimo (Artículo 6(1)(f) del RGPD) - mejora del producto, formación del usuario y comunicaciones de servicio relacionadas con el uso de la plataforma
Categorías de Interesados
Todos los usuarios de la plataforma (nuevos registros y usuarios existentes)
Usuarios de prueba que reciben secuencias de incorporación
Suscriptores premium que reciben actualizaciones de productos
Categorías de Datos Personales
Direcciones de correo electrónico
Preferencias de suscripción (actualizaciones legales, actualizaciones de productos)
Datos de interacción con el correo (aperturas, clics)
Estado de baja de suscripción
Marcas de tiempo de envío
Encargados del Tratamiento
SendGrid (por Twilio)
Finalidad: Correos electrónicos transaccionales y actualizaciones legales ocasionales
Ubicación: Probablemente Estados Unidos (ubicación exacta del servidor no confirmada)
Procesamiento: Entrega de correo, gestión de rebotes, seguimiento de interacciones
Estado del DPA: Acuerdo de Tratamiento de Datos conforme al RGPD; Cláusulas Contractuales Tipo (SCC) vigentes para transferencias UE-EE. UU.
Kit (anteriormente ConvertKit)
Finalidad: Secuencias de correos de incorporación y correos mensuales de actualización de productos
Ubicación: Probablemente Estados Unidos (ubicación exacta del servidor no confirmada)
Procesamiento: Entrega de correo, gestión de suscriptores, analítica de interacción
Estado del DPA: Acuerdo de Tratamiento de Datos conforme al RGPD; Cláusulas Contractuales Tipo (SCC) vigentes para transferencias UE-EE. UU.
Los usuarios pueden darse de baja de las actualizaciones de productos y de los correos de incorporación en cualquier momento mediante el enlace para darse de baja en cada correo. Las notificaciones de servicio esenciales (por ejemplo, alertas de seguridad, cambios en la cuenta) se seguirán enviando según lo exija la ley o el contrato.
Periodo de Retención
Suscripciones activas: Conservadas mientras el usuario permanezca suscrito
Tras la baja: El correo se elimina de las listas de distribución inmediatamente
Datos de interacción: Conservados según las políticas del proveedor de servicios de correo (normalmente hasta 2 años)
Tras la eliminación de la cuenta: Todas las preferencias y datos de correo eliminados en 30 días
Medidas de Seguridad
Transmisión de correo encriptada (TLS)
Conexiones API seguras con los proveedores de correo
Funcionalidad de baja en un solo clic
Autenticación de correo electrónico (SPF, DKIM, DMARC)
Gestión de rebotes y quejas
Actividad de Tratamiento nº 9: Seguimiento de Consumo de Tokens y Monitorización de Uso
Finalidad del Tratamiento
Realizar un seguimiento del consumo de tokens de IA para facturación, gestión de cuotas y optimización del servicio.
Base Legal
Principal: Ejecución de Contrato (Artículo 6(1)(b) del RGPD) - necesario para aplicar las cuotas de uso
Secundaria: Interés Legítimo (Artículo 6(1)(f) del RGPD) - optimización del servicio y gestión de costes
Categorías de Interesados
Todos los usuarios de la plataforma con suscripciones activas
Categorías de Datos Personales
ID de usuario (identificador anonimizado)
Recuentos de consumo de tokens por conversación
Modelo de IA utilizado (Anthropic, OpenAI, Mistral, etc.)
Marcas de tiempo de uso
Nivel de plan de suscripción
Encargados del Tratamiento
Base de datos Supabase PostgreSQL
Ubicación: UE (Fráncfort, Alemania)
Procesamiento: Almacenamiento de métricas de uso de tokens
Estado del DPA: Conforme al RGPD
Fly.io
Procesamiento: Cálculo y agregación de tokens
Estado del DPA: Conforme al RGPD
Periodo de Retención
Suscripciones activas: Conservadas durante la vigencia de la suscripción
Tras la cancelación de la suscripción: Conservadas durante 90 días para resolución de disputas de facturación
Tras la eliminación de la cuenta: Anonimizado en un plazo de 30 días
Medidas de Seguridad
Solo métricas agregadas (no se almacena contenido de mensajes)
Seguridad a nivel de fila en la base de datos
Transmisión y almacenamiento de datos encriptados
Acceso limitado a funciones de facturación y soporte
Implementación de los Derechos de los Interesados
ISMS Copilot ofrece soporte integral para todos los derechos de los interesados del RGPD mediante funciones de autoservicio y procesos asistidos por soporte.
Derecho de Acceso (Artículo 15)
Autoservicio: Los usuarios pueden ver todas las conversaciones y archivos a través de la interfaz de la plataforma
Exportación completa: Contacte con soporte para una exportación de datos completa en formato JSON
Tiempo de respuesta: En un plazo de 72 horas (legalmente hasta 30 días)
Derecho de Rectificación (Artículo 16)
Autoservicio: Los usuarios pueden actualizar sus ajustes a través del cuadro de diálogo Configuración
Cambios de correo: Contacte con soporte para cambios en la dirección de correo electrónico
Tiempo de respuesta: Inmediato para el autoservicio; en un plazo de 30 días para solicitudes a soporte
Derecho de Supresión (Artículo 17)
Proceso: Contacte con soporte para solicitar la eliminación de la cuenta
Alcance: Todos los datos personales, conversaciones, archivos y ajustes
Plazo: Eliminación permanente en 30 días
Excepciones: Los registros de facturación anonimizados se conservan durante 7 años (obligación legal)
Derecho a la Portabilidad de los Datos (Artículo 20)
Formato: Exportación JSON que incluye todos los datos del usuario
Proceso: Solicitar a través de soporte
Tiempo de respuesta: En un plazo de 72 horas (hasta 5 días para cuentas grandes)
Derecho a la Limitación del Tratamiento (Artículo 18)
Proceso: Contacte con soporte indicando el motivo de la limitación
Tiempo de respuesta: En un plazo de 30 días
Derecho de Oposición (Artículo 21)
Proceso: Contacte con soporte para oponerse a un tratamiento específico
Tiempo de respuesta: En un plazo de 30 días
Procedimientos de Notificación de Brechas de Datos
Detección y Evaluación
Monitorización continua a través del seguimiento de errores de Sentry
Revisión de incidentes de seguridad en las 24 horas siguientes a la detección
Evaluación de riesgos del impacto potencial de la brecha de datos
Plazo de Notificación
A la Autoridad de Control (CNIL): En un plazo de 72 horas tras tener conocimiento (Artículo 33)
A los Interesados: Sin dilación indebida si existe un alto riesgo para los derechos y libertades (Artículo 34)
Contenido de la Notificación
Naturaleza de la brecha
Categorías y número aproximado de interesados afectados
Consecuencias probables
Medidas adoptadas o propuestas para solventar la brecha
Transferencias Internacionales de Datos
Las Transferencias de Datos Dependen de la Configuración del Modo de Protección de Datos Avanzada
Si los datos se transfieren fuera de la UE depende de la configuración del Modo de Protección de Datos Avanzada del usuario:
Cuando la Protección de Datos Avanzada está ACTIVADA (Modo Solo UE):
El procesamiento central de datos ocurre dentro de la Unión Europea. Las direcciones de correo electrónico de los usuarios que optan por recibir boletines informativos se transfieren a proveedores de correo con sede en EE. UU. (SendGrid, Kit) con Cláusulas Contractuales Tipo vigentes.
Almacenamiento en base de datos: UE (Fráncfort, Alemania)
Procesamiento de IA: UE (Mistral AI)
Analítica: Puntos finales en la UE (PostHog UE, Sentry Alemania)
Conversión de archivos: Punto final en la UE (ConvertAPI UE)
Comunicaciones por correo: EE. UU. (SendGrid, Kit) - Cláusulas Contractuales Tipo
Resultado: Transferencia de datos UE-EE. UU. solo para comunicaciones por correo electrónico (basada en el consentimiento)
Cuando la Protección de Datos Avanzada está DESACTIVADA (Modo Predeterminado):
El contenido de la conversación se traslada a los Estados Unidos para el procesamiento por IA a través de los proveedores seleccionados por el usuario (xAI, OpenAI, Anthropic Claude o Google Gemini), y las direcciones de correo electrónico se transfieren para comunicaciones (SendGrid, Kit). Aunque el almacenamiento de la base de datos permanece en la UE, estas constituyen transferencias internacionales de datos sujetas a los requisitos de transferencia del RGPD.
Almacenamiento en base de datos: UE (Fráncfort, Alemania)
Procesamiento de IA: Estados Unidos (seleccionable por el usuario: xAI, OpenAI, Anthropic Claude o Google Gemini)
Comunicaciones por correo: Estados Unidos (SendGrid, Kit) - Cláusulas Contractuales Tipo
Retención por el proveedor de IA: 30 días (caché de procesamiento temporal)
Mecanismo de transferencia: Términos de API estándar para IA; Cláusulas Contractuales Tipo para correo
Resultado: Transferencia de datos UE-EE. UU. para procesamiento de IA y comunicaciones por correo
Las organizaciones sujetas a requisitos estrictos de residencia de datos en la UE deben habilitar el Modo de Protección de Datos Avanzada y documentar esta configuración en sus registros de tratamiento. Esto garantiza la plena soberanía de los datos en la UE.
Resumen de Ubicación de Datos por Componente
Almacenamiento principal: Fráncfort, Alemania (AWS EU-Central-1) - Siempre UE
Procesamiento de IA: UE o EE. UU. según el Modo de Protección de Datos Avanzada
Analítica: Solo puntos finales en la UE (PostHog UE, Sentry Alemania) - Siempre UE
Conversión de archivos: Punto final de ConvertAPI en la UE - Siempre UE
Comunicaciones por correo electrónico: Estados Unidos (SendGrid, Kit) - Cláusulas Contractuales Tipo vigentes
Los proveedores de servicios de correo (SendGrid y Kit) se encuentran en los Estados Unidos. Las transferencias de datos a estos encargados están protegidas por Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea. Los usuarios pueden darse de baja de los correos de marketing en cualquier momento para minimizar las transferencias de datos.
Lista de Subencargados del Tratamiento
Subencargado | Finalidad | Ubicación | Retención | Estado del DPA |
|---|---|---|---|---|
Supabase (PostgreSQL + Storage) | Base de datos y almacenamiento de archivos | UE (Fráncfort) | Controlado por el usuario | ✓ Conforme al RGPD |
Anthropic (Claude) [PREDETERMINADO], OpenAI, xAI (Grok), Google Gemini * | Procesamiento de IA (Modo Predeterminado, seleccionable) | Estados Unidos | 30 días | ✓ Sin entrenamiento con datos |
Mistral AI * | Procesamiento de IA (Protección de Datos Avanzada) | Unión Europea | Cero | ✓ Conforme al RGPD |
API de Moderación de OpenAI ** | Moderación de contenido (Modo Predeterminado) | Estados Unidos | 30 días | ✓ Sin entrenamiento con datos |
Moderación de Mistral AI ** | Moderación de contenido (Protección de Datos Avanzada) | Unión Europea | Cero | ✓ Conforme al RGPD |
Stripe | Procesamiento de pagos | Global (DPA UE) | 7 años | ✓ Conforme al RGPD |
ConvertAPI | Conversión de documentos | Punto final en la UE | Temporal | ✓ Conforme al RGPD ✓ Certificado ISO 27001:2022 ✓ DPA firmado con Better ISMS |
PostHog | Analítica de producto | UE (Fráncfort) | 7 años máx. | ✓ Conforme al RGPD |
Sentry | Monitorización de errores | Alemania | 90 días | ✓ Conforme al RGPD |
Vercel | Alojamiento frontend | CDN Global | 30-90 días | ✓ Conforme al RGPD |
Fly.io | Alojamiento de API backend | Despliegue en la UE | 30-90 días | ✓ Conforme al RGPD |
SendGrid (Twilio) | Correos de actualización legal | EE. UU. (SCC) | Hasta 2 años | ✓ RGPD + SCC |
Kit (ConvertKit) | Correos de incorporación y producto | EE. UU. (SCC) | Hasta 2 años | ✓ RGPD + SCC |
Encargados de IA configurables por el usuario:* Solo UNO de estos proveedores de IA está activo en un momento dado, dependiendo de la configuración del Modo de Protección de Datos Avanzada y de la selección del modelo. Cuando la Protección de Datos Avanzada está DESACTIVADA (predeterminado), los usuarios pueden seleccionar entre Anthropic Claude (PREDETERMINADO), OpenAI, xAI (Grok) o Google Gemini; todos procesan las conversaciones en EE. UU. con una retención de 30 días y sin entrenamiento con datos del usuario. Cuando la Protección de Datos Avanzada está ACTIVADA, Mistral AI procesa las conversaciones en la UE con retención cero.
Encargados de Moderación de Contenidos:** Cuando se implementa la moderación de contenidos, el proveedor vendrá determinado por su configuración del Modo de Protección de Datos Avanzada. El Modo Predeterminado utilizará la API de Moderación de OpenAI (con sede en EE. UU., retención de 30 días). El Modo de Protección de Datos Avanzada utilizará la Moderación de Mistral AI (con sede en la UE, retención cero). Los eventos de contenido marcado se almacenarán en nuestra base de datos de la UE por seguridad y cumplimiento, anulando la garantía de retención cero del modo avanzado. A fecha de enero de 2026, la moderación de contenido aún no está activa.
Esta lista de subencargados está actualizada a enero de 2026. ISMS Copilot notificará a los usuarios al menos 30 días antes de añadir nuevos subencargados o realizar cambios sustanciales en los acuerdos existentes.
Medidas Técnicas y Organizativas (TOMs)
Control de Acceso
Seguridad a nivel de fila en la base de datos
Autenticación de usuario requerida para todos los recursos protegidos
Aislamiento de espacios de trabajo para evitar el acceso a datos entre usuarios
MFA disponible para una mayor seguridad de la cuenta
Controles de tiempo de espera de sesión
Encriptación
TLS 1.3 para datos en tránsito
Encriptación de la base de datos en reposo
Hashing de contraseñas (irreversible)
Almacenamiento de archivos encriptado
Minimización de Datos
Solo se recopilan datos esenciales (correo, mensajes, archivos)
Sin información demográfica o de contacto innecesaria
Analítica configurada para excluir PII
Periodos de retención controlados por el usuario
Disponibilidad y Resiliencia
Copias de seguridad de la base de datos (automatizadas)
Procedimientos de recuperación ante desastres
Monitorización y alertas (Sentry)
Página de estado pública para mayor transparencia (status.ismscopilot.com)
Mejora Planificada: Está prevista la monitorización del tiempo de actividad en tiempo real a través de BetterStack con escalada progresiva de incidentes (Slack, correo electrónico, SMS), pero aún no se ha implementado a fecha de enero de 2026.
Pruebas y Evaluación
Evaluaciones de seguridad periódicas
Monitorización y registro de errores
Pruebas de eliminación automatizada de datos
Verificación del control de acceso
Responsabilidades del Usuario
Aunque ISMS Copilot proporciona una infraestructura conforme al RGPD, los usuarios (como responsables del tratamiento) son responsables de garantizar que su uso de la plataforma cumple con el RGPD y otras regulaciones aplicables.
Como Responsable del Tratamiento, el Usuario debe:
Garantizar que existe una base legal antes de cargar datos personales
Configurar los periodos de retención de datos adecuados para su organización
Mantener espacios de trabajo separados para diferentes clientes o categorías de datos
Informar a las personas físicas cuando sus datos se procesan a través de ISMS Copilot
Incluir a ISMS Copilot en sus propios registros de actividades de tratamiento
Realizar Evaluaciones de Impacto en la Protección de Datos (EIPD) cuando se procesen datos de alto riesgo
No cargar categorías especiales de datos (Artículo 9) sin las salvaguardas adecuadas
Documentación de Cumplimiento
Recursos de Cumplimiento Disponibles
Guía de Privacidad de Datos y Cumplimiento del RGPD
Resumen de Seguridad y Protección de Datos
Colección de Seguridad - Documentación detallada de seguridad y privacidad
Página de Estado - Disponibilidad del sistema en tiempo real y notificaciones de incidentes
Mantenimiento de Registros
Calendario de Revisión y Actualización
Revisión trimestral: Verificar la exactitud de las actividades de tratamiento
Actualizaciones por cambios: En los 30 días posteriores a un nuevo subencargado o actividad de tratamiento
Auditoría anual: Revisión exhaustiva de todas las entradas del RopA
Control de versiones: Mantener versiones fechadas del RopA para el registro de auditoría
Información de Contacto
Para Consultas o Solicitudes sobre el RGPD
Acceda al Centro de Ayuda a través del menú de usuario
Envíe un correo desde su dirección de cuenta registrada
Incluya "Solicitud RGPD" en el asunto para un tratamiento prioritario
Visite el Centro de Confianza para documentación detallada
Delegado de Protección de Datos
Las organizaciones que requieran información de contacto del DPO deben enviar una solicitud a través del Centro de Ayuda.
Obtener Ayuda
Para preguntas sobre este Registro de Actividades de Tratamiento:
Consulte el artículo sobre Privacidad de Datos y Cumplimiento del RGPD para obtener información detallada sobre sus derechos
Contacte con soporte a través del Centro de Ayuda para obtener aclaraciones sobre actividades de tratamiento específicas
Solicite documentación de cumplimiento adicional a través de soporte
Visite nuestra Colección de Seguridad para obtener recursos integrales de seguridad y privacidad