Política de privacidad

1. Responsable del tratamiento

Identidad y datos de contacto del responsable

Razon social: PIERRE Jeremy (Auto-entreprise)
Nombre comercial: aiacto
SIRET: 878 615 780 00029
RCS: 878 615 780 R.C.S. Clermont-Ferrand
IVA intracomunitario: FR04878615780
Codigo NAF: 6201Z - Programmation informatique
Delegado de proteccion de datos (DPO): PIERRE Jeremy
Email de contacto: contact@aiacto.eu

El responsable del tratamiento determina las finalidades y los medios del tratamiento de sus datos personales. Para cualquier consulta relativa a la proteccion de sus datos, puede contactarnos en la direccion indicada a continuacion.

2. Datos recogidos

Categorias de datos personales tratados

En el marco de la prestacion de nuestros servicios de conformidad con el AI Act, recogemos y tratamos las siguientes categorias de datos personales:

2.1. Datos de identificacion

Nombre y apellidos
Direccion de correo electronico
Contrasena (almacenada en forma cifrada, nunca en texto plano)

2.2. Datos relativos a las empresas clientes

Si usted es un profesional (agencia, consultor, autonomo) que utiliza aiacto para gestionar la conformidad de sus clientes:

Nombre de la empresa cliente
Numero SIRET
Sector de actividad
Datos de contacto (nombre, email, telefono)

2.3. Datos de diagnostico AI Act

Respuestas al cuestionario de diagnostico:

Tipo de sistema de inteligencia artificial
Caso de uso y ambito de aplicacion
Sector de actividad afectado
Rol en la cadena de valor (proveedor, responsable del despliegue, etc.)
Resultados de clasificacion (nivel de riesgo, obligaciones identificadas)

2.4. Datos de documentacion

Contenido de los formularios para generar la documentacion de conformidad:

Descripcion de los sistemas de IA
Procesos de desarrollo
Medidas de gobernanza de datos
Metricas de rendimiento
Planes de gestion de riesgos
Textos generados y modificados por el usuario

2.5. Datos tecnicos

Direccion IP
Tipo y version del navegador (User-Agent)
Sistema operativo
Paginas visitadas y marcas de tiempo de las acciones
Registros de conexion y eventos

2.6. Datos de facturacion

Estos datos son tratados por nuestro proveedor de pagos Stripe:

Informacion de facturacion (nombre, direccion)
Historial de transacciones
Estado de las suscripciones

Importante: NUNCA almacenamos sus datos de tarjeta bancaria. Estos son tratados exclusivamente por Stripe, certificado PCI-DSS.

3. Finalidades del tratamiento

Por que tratamos sus datos

Sus datos personales se recogen y tratan para las siguientes finalidades:

Finalidad	Datos afectados
Prestacion del servicio de diagnostico AI Act	Datos de diagnostico, datos tecnicos
Generacion de documentos de conformidad	Datos de documentacion, datos de empresas clientes
Gestion de cuentas de usuario	Datos de identificacion
Facturacion y gestion de pagos	Datos de facturacion, datos de identificacion
Comunicacion sobre el servicio	Email, preferencias de notificacion
Mejora del servicio	Datos tecnicos (anonimizados)
Seguridad y prevencion del fraude	Datos tecnicos, registros

4. Base legal del tratamiento

Fundamentos juridicos conforme al RGPD

De conformidad con el articulo 6 del RGPD, el tratamiento de sus datos personales se basa en las siguientes bases legales:

Ejecucion del contrato (Art. 6.1.b RGPD)

El tratamiento de sus datos es necesario para la ejecucion del contrato del que usted es parte, en particular para la prestacion del servicio de diagnostico AI Act, la generacion de documentos de conformidad y la gestion de su cuenta de usuario.

Obligaciones legales (Art. 6.1.c RGPD)

Determinados tratamientos se realizan para cumplir con nuestras obligaciones legales, en particular en materia de facturacion, contabilidad y conservacion de documentos con fines fiscales.

Intereses legitimos (Art. 6.1.f RGPD)

El tratamiento de datos tecnicos (registros, direccion IP) para garantizar la seguridad de nuestra plataforma y la mejora de nuestros servicios se basa en nuestro interes legitimo, tras la ponderacion con sus derechos e intereses.

Consentimiento (Art. 6.1.a RGPD)

Para determinados tratamientos opcionales, como el envio de comunicaciones comerciales o el uso de cookies no esenciales, recabamos su consentimiento previo. Puede retirar este consentimiento en cualquier momento.

5. Alojamiento y subcontratistas

Infraestructura tecnica y socios

Compromiso de soberania europea

Todos sus datos se alojan exclusivamente en servidores ubicados en Francia y en la Union Europea. No se realiza ninguna transferencia de datos personales fuera del Espacio Economico Europeo (EEE).

Para garantizar el funcionamiento de nuestra plataforma, recurrimos a los siguientes subcontratistas, todos ubicados en la Union Europea u ofreciendo garantias adecuadas:

Alojamiento principal

Proveedor: Clever Cloud
Ubicacion: Paris, Francia
Datos afectados: Aplicacion, base de datos PostgreSQL, registros
Seguridad: Cifrado en reposo y en transito, certificaciones ISO

CDN (Red de distribucion de contenidos)

Proveedor: Bunny CDN
Ubicacion: Nodos exclusivamente europeos
Datos afectados: Activos estaticos unicamente (imagenes, CSS, JavaScript)

Ningun dato personal transita por el CDN.

Pagos

Proveedor: Stripe
Ubicacion: Centros de datos europeos
Certificaciones: PCI-DSS nivel 1 (maximo nivel de certificacion)
Datos afectados: Datos de tarjeta bancaria, transacciones

No almacenamos ni tenemos acceso a sus datos de tarjeta bancaria. Solo Stripe los trata de forma segura.

Emails transaccionales

Proveedor: Resend
Datos afectados: Direccion de email, contenido de emails transaccionales
Uso: Magic links, confirmaciones de registro, notificaciones del servicio

6. Generacion por inteligencia artificial

Uso de la IA para la generacion de documentos

IA 100% francesa

Utilizamos exclusivamente Mistral AI, una empresa francesa cuyos modelos se desarrollan y operan en Europa, garantizando la conformidad con el RGPD.

Proveedor de IA

Proveedor: Mistral AI
Ubicacion: Paris, Francia
Certificaciones: RGPD, AI Act

Datos transmitidos a la IA

Para generar sus documentos de conformidad, transmitimos a Mistral AI la siguiente informacion:

Sus respuestas a los formularios de documentacion
Los resultados de su diagnostico AI Act
La informacion sobre el sistema de IA en cuestion

Garantias de proteccion

Sin entrenamiento : Sus datos NO se utilizan para entrenar los modelos de Mistral AI
Conservacion limitada : Los datos no son conservados por Mistral AI mas alla del tratamiento de la solicitud
Cifrado : Todas las comunicaciones con la API de Mistral estan cifradas (TLS 1.3)
Acuerdo de tratamiento : Se ha firmado un Acuerdo de Tratamiento de Datos (DPA) conforme al RGPD con Mistral AI

7. Transferencias de datos

Localizacion y circulacion de datos

Ninguna transferencia fuera de la Union Europea

De conformidad con nuestro compromiso de soberania digital, garantizamos que ningun dato personal se transfiere fuera del Espacio Economico Europeo (EEE).

Todos nuestros subcontratistas y proveedores tecnicos estan:

Establecidos en la UE : Clever Cloud (Francia), Bunny CDN (Eslovenia), Mistral AI (Francia)
Operando mediante infraestructuras europeas : Stripe (centros de datos europeos, certificado Data Privacy Framework)

En caso de evolucion que requiera una transferencia de datos fuera del EEE (lo que actualmente no es el caso), implementariamos las garantias apropiadas conforme a los articulos 46 y siguientes del RGPD (clausulas contractuales tipo, decision de adecuacion, etc.) y se lo comunicariamos.

8. Plazos de conservacion

Cuanto tiempo conservamos sus datos

Sus datos personales se conservan durante un periodo limitado, determinado en funcion de la finalidad del tratamiento y las obligaciones legales aplicables:

Categoria de datos	Plazo de conservacion	Justificacion
Datos de cuenta	Duracion de la cuenta + 3 anos	Prescripcion civil
Documentos generados	Duracion de la cuenta + 5 anos	Obligaciones legales de conformidad AI Act
Datos de diagnostico	Duracion de la cuenta + 3 anos	Historial de conformidad
Registros tecnicos	12 meses	Seguridad y depuracion
Datos de facturacion	10 anos	Obligaciones contables y fiscales (Codigo de Comercio)
Cookies de sesion	Duracion de la sesion	Funcionamiento del servicio

Al vencimiento de estos plazos, sus datos se eliminan de forma segura o se anonimizan de manera irreversible para fines estadisticos.

9. Seguridad de los datos

Medidas tecnicas y organizativas

Implementamos medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos, de conformidad con el articulo 32 del RGPD:

Cifrado

✓Cifrado TLS 1.3 para todas las comunicaciones
✓Cifrado de datos en reposo (AES-256)
✓Contrasenas cifradas con bcrypt

Control de acceso

✓Autenticacion segura (email/contrasena o magic link)
✓Sesiones seguras con tokens cifrados
✓Principio de minimo privilegio

Proteccion de la aplicacion

✓Validacion estricta de entradas (Zod)
✓Proteccion CSRF y XSS
✓Cabeceras de seguridad (CSP, HSTS, X-Frame-Options)

Supervision

✓Limitacion de velocidad en APIs sensibles
✓Registros de auditoria de acciones
✓Copias de seguridad periodicas

Procedimiento en caso de violacion de datos

En caso de violacion de datos personales, notificaremos a la AEPD en un plazo de 72 horas conforme al articulo 33 del RGPD. Si la violacion puede generar un alto riesgo para sus derechos y libertades, sera informado(a) a la mayor brevedad (articulo 34 del RGPD).

10. Sus derechos

Derechos garantizados por el RGPD

De conformidad con el Reglamento General de Proteccion de Datos, dispone de los siguientes derechos respecto a sus datos personales:

Derecho de acceso (Art. 15 RGPD)

Puede obtener confirmacion de que sus datos estan siendo tratados y acceder al conjunto de sus datos personales, asi como a la informacion relativa al tratamiento.

Derecho de rectificacion (Art. 16 RGPD)

Puede solicitar la correccion de datos inexactos o incompletos que le conciernan.

Derecho de supresion (Art. 17 RGPD)

Puede solicitar la eliminacion de sus datos en determinados casos (datos ya no necesarios, retirada del consentimiento, tratamiento ilicito). Este derecho puede estar limitado por nuestras obligaciones legales de conservacion.

Derecho a la limitacion del tratamiento (Art. 18 RGPD)

Puede solicitar la limitacion del tratamiento de sus datos durante la verificacion de su exactitud o en caso de oposicion.

Derecho a la portabilidad (Art. 20 RGPD)

Puede recibir sus datos en un formato estructurado, de uso comun y lectura mecanica, y transmitirlos a otro responsable del tratamiento.

Derecho de oposicion (Art. 21 RGPD)

Puede oponerse al tratamiento de sus datos basado en el interes legitimo, en particular con fines de prospeccion comercial.

Derecho a retirar el consentimiento (Art. 7.3 RGPD)

Para los tratamientos basados en su consentimiento, puede retirar este consentimiento en cualquier momento sin afectar a la licitud del tratamiento anterior.

Derecho a establecer directrices post mortem

Puede establecer directrices relativas a la conservacion, supresion y comunicacion de sus datos tras su fallecimiento (Ley de Proteccion de Datos, art. 85).

Como ejercer sus derechos?

Puede ejercer sus derechos de varias maneras:

•Por email a nuestro DPO contact@aiacto.eu
•A traves de los ajustes de su cuenta (exportacion y supresion de datos)

Responderemos a su solicitud en un plazo de un mes a partir de su recepcion. Este plazo puede prorrogarse dos meses en caso de solicitudes complejas o numerosas.

Reclamacion ante la AEPD

Si considera que el tratamiento de sus datos no respeta el RGPD, tiene derecho a presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD):

AEPD - C/ Jorge Juan, 6 - 28001 Madrid
Site web : www.aepd.es

11. Cookies

Uso de cookies y tecnologias similares

Una cookie es un pequeno archivo de texto almacenado en su dispositivo durante su visita a nuestro sitio. Utilizamos unicamente cookies estrictamente necesarias para el funcionamiento del servicio.

Cookie	Tipo	Finalidad	Duracion
session	Necesaria	Autenticacion y seguridad de sesion	Sesion
theme	Preferencia	Memorizacion del tema (claro/oscuro)	1 ano
locale	Preferencia	Memorizacion del idioma	1 ano
csrf	Necesaria	Proteccion contra ataques CSRF	Sesion

Sin cookies publicitarias ni de rastreo

No utilizamos ninguna cookie publicitaria, de rastreo ni de analisis de comportamiento. No instalamos cookies de terceros con fines de perfilado o segmentacion publicitaria.

Las cookies estrictamente necesarias para el funcionamiento del servicio no requieren su consentimiento previo (articulo 22.2 de la LSSI). No obstante, puede rechazarlas a traves de la configuracion de su navegador, lo que puede afectar al funcionamiento del sitio.

12. Modificaciones de la politica

Evoluciones y actualizaciones

Podemos modificar la presente politica de privacidad para reflejar las evoluciones de nuestras practicas o de los requisitos legales. En caso de modificacion sustancial, se lo comunicaremos:

•Por email a la direccion asociada a su cuenta
•Mediante una notificacion visible en la aplicacion
•Mediante la actualizacion de la fecha de ultima modificacion en la parte superior de este documento

Le animamos a consultar regularmente esta pagina para mantenerse informado(a) de nuestras practicas en materia de proteccion de datos.

13. Contacto

Contactenos para cualquier consulta

Para cualquier pregunta relativa a la presente politica de privacidad o al ejercicio de sus derechos, puede contactar con nuestro Delegado de Proteccion de Datos:

DPO: PIERRE Jeremy
Email: contact@aiacto.eu
Sitio web: www.aiacto.eu

Nos comprometemos a tratar su solicitud a la mayor brevedad y proporcionarle una respuesta clara y completa.

Politica de Privacidad