Política de Privacidad

Versión de marzo de 2026 · Conforme al RGPD de la UE (Reglamento 2016/679)

🏢 1. Responsable del tratamiento

📋 2. Tratamiento general de datos

Tratamos datos personales únicamente en la medida necesaria para ofrecer una Plataforma de Gobernanza de IA funcional, así como nuestros contenidos y servicios.

⚖ 3. Bases jurídicas

• Art. 6, apdo. 1, letra a) RGPD – Consentimiento del interesado
• Art. 6, apdo. 1, letra b) RGPD – Ejecución de un contrato o medidas precontractuales
• Art. 6, apdo. 1, letra c) RGPD – Cumplimiento de obligaciones legales (Reglamento de IA de la UE, NIS2, DORA)
• Art. 6, apdo. 1, letra f) RGPD – Intereses legítimos (seguridad informática, prevención del fraude)

🌐 4. Alojamiento (IONOS)

Este sitio web está alojado por IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Alemania. Al visitarlo, el servidor web registra automáticamente la dirección IP, la marca de tiempo, los archivos solicitados y la URL de referencia. Estos datos se eliminan tras un máximo de 7 días.

Contrato de encargo de tratamiento: Contrato celebrado con IONOS conforme al Art. 28 RGPD.

🗄 5. Infraestructura de backend (Supabase)

Para la autenticación, el almacenamiento de datos y la lógica del lado del servidor utilizamos Supabase Inc. Nuestro proyecto está alojado en AWS eu-central-1 (Fráncfort): todos los datos permanecen en la UE.

5.1 Datos tratados

• Autenticación: Correo electrónico, contraseña cifrada (bcrypt), marca de tiempo de inicio de sesión
• Datos de perfil: Nombre, correo electrónico, departamento, asignación de inquilino
• Entradas de sistemas de IA: ID del sistema, nombre, proveedor, evaluación de riesgos
• Datos de inquilino (B2B): Nombre de la empresa, clave de licencia, estado de la suscripción

5.2 Tratamiento asistido por IA (Edge Functions)

Para la evaluación de riesgos utilizamos Supabase Edge Functions que invocan a Anthropic Claude. No se transmite ningún dato personal: únicamente el nombre del sistema y el caso de uso. Anthropic no entrena contractualmente sus modelos con los datos transmitidos (compromiso de no entrenamiento); existe un contrato de encargo de tratamiento (DPA) conforme al Art. 28 RGPD.

5.3 Medidas de seguridad

Cifrado (TLS 1.2+ / AES-256), seguridad a nivel de fila, copias de seguridad periódicas en la UE, alojamiento con proveedor certificado SOC 2 Type II (Supabase).

💳 6. Procesamiento de pagos (Stripe)

Las licencias de pago se gestionan a través de Stripe Payments Europe, Ltd. (Dublín, Irlanda). Los datos de pago son tratados exclusivamente por Stripe y nunca se almacenan en nuestros servidores.

Aviso de privacidad de Stripe: stripe.com/en/privacy

📊 7. Plataforma de Gobernanza de IA AIGOY

7.1 Registro

Para el uso del servicio se tratan la dirección de correo electrónico, el nombre y la contraseña (cifrada).

7.2 Inventario de sistemas de IA y evaluación de riesgos

Almacenamos los datos maestros, las evaluaciones de riesgos y las sugerencias de IA de sus sistemas de IA. Este tratamiento es necesario para la documentación conforme al Reglamento de IA de la UE, NIS2 y DORA.

7.3 Certificados de competencia

Al completar la formación se emiten certificados internos de competencia. Estos no son certificados reconocidos oficialmente por el Estado.

💾 8. Almacenamiento local de datos

La aplicación utiliza el localStorage de su navegador para la selección de idioma, las entradas de sistemas de IA (caché) y los datos de sesión. Estos datos no salen de su ordenador.

🍪 9. Cookies y almacenamiento técnico

✉ 10. Comunicación por correo electrónico

Las consultas por correo electrónico se almacenan para su tramitación. Las notificaciones del sistema se envían mediante Supabase Auth.

🔄 11. Comunicación de datos a terceros

Encargados del tratamiento actuales: IONOS SE (DE, alojamiento), Supabase Inc. (UE Fráncfort, backend), Stripe Payments Europe (IE, pagos), Anthropic PBC (EE. UU., servicio de IA, modelo Claude — los datos transmitidos no se utilizan para el entrenamiento, DPA conforme al Art. 28 RGPD).

🌍 12. Transferencia de datos a terceros países

Todos los datos personales se tratan dentro de la UE/EEE: IONOS (DE), Supabase (Fráncfort), Stripe (Dublín). Para cualquier acceso desde terceros países se aplican las Cláusulas Contractuales Tipo.

Servicio de IA (Anthropic): Para los análisis asistidos por IA y el Compliance CoWorker «Felix» utilizamos el modelo Claude de Anthropic PBC (San Francisco, EE. UU.). Anthropic no entrena contractualmente sus modelos con los datos transmitidos a través de la API (compromiso de no entrenamiento). Para la transferencia a EE. UU. se aplican las Cláusulas Contractuales Tipo (SCC) conforme al Art. 46, apdo. 2, letra c) RGPD y el Marco de Privacidad de Datos UE-EE. UU. (EU-U.S. Data Privacy Framework); existe un contrato de encargo de tratamiento (DPA) conforme al Art. 28 RGPD. La inferencia en la UE (p. ej. a través de AWS Bedrock en Fráncfort) y la elección de modelo/clave por parte del cliente (BYOK) están en preparación.

⏱ 13. Plazo de conservación

• Archivos de registro del servidor: máx. 7 días
• Datos de cuenta: hasta la eliminación de la cuenta + plazos de conservación
• Datos de facturación: 10 años (§147 del Código Tributario alemán)
• Entradas del registro de IA: mín. 5 años (obligación de documentación del Reglamento de IA de la UE)

🛡 14. Sus derechos (RGPD)

Acceso (Art. 15), rectificación (Art. 16), supresión (Art. 17), limitación (Art. 18), portabilidad de los datos (Art. 20), oposición (Art. 21), retirada del consentimiento.

Contacto: · Plazo de tramitación: máx. 1 mes.

📮 15. Derecho a presentar una reclamación

🤖 16. Evaluación de riesgos asistida por IA

La Plataforma AIGOY ofrece una evaluación de riesgos asistida por IA como herramienta de orientación. No sustituye la revisión jurídica. AIGOY no asume ninguna responsabilidad por las decisiones adoptadas sobre la base de la evaluación de riesgos asistida por IA.

📝 17. Modificaciones

Nos reservamos el derecho a actualizar esta Política de Privacidad. Las modificaciones sustanciales se anunciarán.