1. Introducción y Ámbito de Aplicación
La presente política de privacidad describe cómo UTILIA SERVICIOS IA S.COOP.CAN (en adelante, "UTILIA") recopila, utiliza, almacena y protege los datos personales de los usuarios de la plataforma AlignIA, en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos, en adelante "RGPD") y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Ámbito de Aplicación
- Usuarios registrados de la plataforma AlignIA
- Personal y freelancers gestionados a través de la plataforma
- Clientes de eventos cuyos datos son procesados
- Visitantes del sitio web que interactúan con formularios de contacto
Importante
AlignIA es un servicio B2B (Business to Business). Los datos de personal y clientes son proporcionados por las organizaciones usuarias, que actúan como responsables del tratamiento respecto a sus propios datos. UTILIA actúa como encargado del tratamiento para estos datos.
Compromiso con la Protección de Datos
UTILIA se compromete a proteger la privacidad y los derechos fundamentales de todas las personas cuyos datos son tratados a través de AlignIA. Esta política refleja nuestro compromiso con la transparencia, la minimización de datos y el respeto a los derechos de los interesados.
2. Identidad del Responsable del Tratamiento
Responsable del Tratamiento
Razón Social
UTILIA SERVICIOS IA S.COOP.CAN
NIF
F75452102
Domicilio Social
Calle Teniente Coronel Castillo Olivares n26, Piso 16 A2, 35011 Las Palmas de Gran Canaria, España
Contacto
Delegado de Protección de Datos (DPO)
No designado (PYME no obligada según Art. 37 RGPD)
UTILIA, como pequeña cooperativa tecnológica, no está obligada a designar un Delegado de Protección de Datos según el artículo 37 del RGPD, al no realizar tratamientos a gran escala de categorías especiales de datos ni seguimiento sistemático de interesados.
Contacto de Privacidad
Para cualquier cuestión relacionada con la protección de datos personales, puede contactar directamente con nuestro equipo de cumplimiento normativo:
3. Principios del RGPD Aplicados
UTILIA aplica rigurosamente los principios fundamentales establecidos en el artículo 5 del RGPD en todos los tratamientos de datos personales realizados a través de AlignIA:
1. Licitud, lealtad y transparencia
Tratamos los datos de manera lícita, leal y transparente. Esta política detalla exhaustivamente cómo y por qué procesamos datos personales.
2. Limitación de la finalidad
Los datos se recogen para fines determinados, explícitos y legítimos, y no se tratan posteriormente de manera incompatible con dichos fines.
3. Minimización de datos
Sólo recopilamos los datos estrictamente necesarios para las finalidades declaradas. No solicitamos información superflua.
4. Exactitud
Mantenemos los datos actualizados y proporcionamos mecanismos para que los usuarios corrijan información inexacta.
5. Limitación del plazo de conservación
Los datos se conservan sólo durante el tiempo necesario para los fines del tratamiento, con políticas claras de retención y eliminación.
6. Integridad y confidencialidad
Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales.
7. Responsabilidad proactiva
UTILIA es responsable del cumplimiento de estos principios y puede demostrarlo mediante documentación, auditorías y procedimientos internos.
4. Bases Legales del Tratamiento
Conforme al artículo 6.1 del RGPD, el tratamiento de datos personales sólo es lícito si se cumple al menos una de las siguientes condiciones. A continuación, detallamos la base legal específica para cada tratamiento realizado en AlignIA:
| Tratamiento | Base Legal | Artículo RGPD | Finalidad |
|---|---|---|---|
| Gestión de cuentas de usuario | Ejecución de contrato | Art. 6.1.b | Prestación del servicio contratado |
| Gestión de personal y eventos | Ejecución de contrato | Art. 6.1.b | Funcionalidad principal de la plataforma |
| Asignación automática con IA | Ejecución de contrato | Art. 6.1.b | Optimización de asignaciones |
| Envío de notificaciones de asignación | Ejecución de contrato | Art. 6.1.b | Comunicación de asignaciones a personal |
| Audit logs y trazabilidad | Obligación legal | Art. 6.1.c | Cumplimiento RGPD (Art. 30) y LSSI |
| Seguridad y prevención de fraude | Interés legítimo | Art. 6.1.f | Protección de usuarios y sistema |
| Preferencias de tema e idioma | Consentimiento | Art. 6.1.a | Personalización de la experiencia |
| Cookies opcionales | Consentimiento | Art. 6.1.a | Análisis y mejora del servicio |
| Google Analytics 4 (vía GTM) | Consentimiento | Art. 6.1.a | Analítica web y mejora de experiencia |
Ejecución de Contrato (Art. 6.1.b)
El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación de medidas precontractuales a petición del interesado. Esta es la base legal principal para la mayoría de tratamientos en AlignIA, ya que son estrictamente necesarios para prestar el servicio contratado.
Obligación Legal (Art. 6.1.c)
El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. En nuestro caso, mantenemos audit logs para cumplir con las obligaciones de registro de actividades de tratamiento (Art. 30 RGPD) y conservación de datos de tráfico (LSSI-CE).
GDPR.legalBases.legitimateInterest.title
GDPR.legalBases.legitimateInterest.description
Consentimiento (Art. 6.1.a)
El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. El consentimiento debe ser:
- -Libre: sin coacciones ni condicionantes indebidos
- -Específico: para finalidades concretas y determinadas
- -Informado: con información clara y completa
- -Inequívoco: mediante declaración o acción afirmativa clara
El usuario tiene derecho a retirar su consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
Transparencia en las Bases Legales
UTILIA se compromete a informar de manera clara y transparente sobre la base legal de cada tratamiento de datos personales. Si tiene dudas sobre la base legal de un tratamiento específico, puede contactarnos en compliance@utilia.ai.
5. Categorías de Datos Personales Procesados
AlignIA procesa diferentes categorías de datos personales según el rol del usuario y la funcionalidad utilizada. A continuación, detallamos exhaustivamente todos los datos tratados:
Usuarios de la Plataforma
Datos de identificación
Email, nombre completo
Datos de autenticación
Contraseña (hash Argon2, nunca texto plano)
Datos de contacto opcionales
Teléfono, avatar/foto de perfil
Datos de rol y permisos
Rol (ADMIN, MEMBER, SUPERADMIN)
Preferencias
Tema (light/dark), notificaciones, idioma
Datos organizativos
Organización, fecha creación, última conexión
Personal y Freelancers
Datos personales básicos
Nombre completo, teléfono, email
Habilidades profesionales
Lista de habilidades y nivel de experiencia
Disponibilidad
Horarios disponibles, estado activo/inactivo
Datos economicos
Tarifa por hora (opcional)
Historial
Asignaciónes pasadas, confirmaciónes
Notas internas
Observaciones del administrador (opcional)
Clientes de Eventos
Identificación
Nombre empresa/persona de contacto
Datos de contacto
Email, teléfono, dirección postal (opcional)
Historial comercial
Eventos asociados, relación temporal
Notas
Observaciones comerciales (opcional)
Ubicaciones
Datos de localización
Nombre, dirección completa, coordenadas GPS
Contacto
Persona de contacto, teléfono
Características
Capacidad, descripción
Datos Técnicos y de Seguridad
Datos de conexión
Dirección IP, User-Agent (navegador)
Tokens de sesión
JWT (24 horas), tokens de invitación (48h)
Audit logs
Registro de acciones críticas (90 días)
Timestamps
Fechas y horas de acciones realizadas
Categorías Especiales de Datos NO Recopiladas
Conforme al artículo 9 del RGPD, AlignIA NO recopila ni procesa ninguna de las siguientes categorías especiales de datos personales que revelen:
Principio de Minimización
UTILIA se compromete a recopilar únicamente los datos personales estrictamente necesarios para las finalidades declaradas. No solicitamos información adicional sin una justificación clara y legítima, cumpliendo así con el principio de minimización de datos establecido en el artículo 5.1.c del RGPD.
6. Derechos de los Interesados
Conforme a los artículos 15-22 del RGPD y los artículos 13-18 de la LOPDGDD, los interesados tienen los siguientes derechos respecto a sus datos personales:
Derecho de Acceso (Art. 15 RGPD)
El interesado tiene derecho a obtener del responsable confirmación de si se están tratando o no datos personales que le conciernen, y en tal caso, acceso a los datos personales y a la siguiente información:
- -Fines del tratamiento
- -Categorías de datos tratados
- -Destinatarios o categorías de destinatarios
- -Plazos de conservación o criterios para determinarlos
- -Existencia de derechos de rectificación, supresión, limitación y oposición
- -Derecho a presentar reclamación ante autoridad de control
- -Origen de los datos (cuando no se obtuvieron del interesado)
- -Existencia de decisiones automatizadas, incluida la elaboración de perfiles
En AlignIA, los usuarios pueden acceder a todos sus datos desde el panel de configuración de su cuenta.
Derecho de Rectificación (Art. 16 RGPD)
El interesado tiene derecho a obtener sin dilación indebida la rectificación de los datos personales inexactos que le conciernan, así como a que se completen los datos personales incompletos.
Los usuarios de AlignIA pueden modificar directamente sus datos de perfil. Para datos de personal gestionado, el administrador de la organización es responsable de mantenerlos actualizados.
Derecho de Supresión - "Derecho al Olvido" (Art. 17 RGPD)
El interesado tiene derecho a obtener la supresión de sus datos personales cuando:
- -Los datos ya no sean necesarios para los fines para los que fueron recogidos
- -Retire el consentimiento y no exista otra base legal para el tratamiento
- -Se oponga al tratamiento y no prevalezcan otros motivos legítimos
- -Los datos hayan sido tratados ilícitamente
- -Los datos deban suprimirse para el cumplimiento de una obligación legal
Las solicitudes de supresión deben dirigirse a compliance@utilia.ai. UTILIA evaluará la solicitud y, si procede, eliminará los datos en un plazo máximo de 1 mes.
Derecho a la Portabilidad (Art. 20 RGPD)
El interesado tiene derecho a recibir los datos personales que le incumban en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable. Este derecho aplica cuando:
- -El tratamiento esté basado en el consentimiento o en un contrato
- -El tratamiento se efectúe por medios automatizados
Los usuarios de AlignIA pueden solicitar la exportación de sus datos en formato JSON o CSV contactando a compliance@utilia.ai.
Derecho de Oposición (Art. 21 RGPD)
El interesado tiene derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, al tratamiento de datos personales que le conciernan basado en:
- -El interés público o ejercicio de poderes públicos (Art. 6.1.e)
- -GDPR.dataSubjectRights.objection.items.legitimateInterest
UTILIA dejará de tratar los datos salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado.
Derecho a la Limitación del Tratamiento (Art. 18 RGPD)
El interesado tiene derecho a obtener la limitación del tratamiento cuando:
- -Impugne la exactitud de los datos (durante el plazo de verificación)
- -El tratamiento sea ilícito y se oponga a la supresión
- -UTILIA ya no necesite los datos pero el interesado los necesite para reclamaciones
- -Se haya ejercido el derecho de oposición (mientras se verifica si prevalecen los motivos de UTILIA)
GDPR.dataSubjectRights.automatedDecisions.title
GDPR.dataSubjectRights.automatedDecisions.description
GDPR.dataSubjectRights.automatedDecisions.note
Cómo Ejercer estos Derechos
Para ejercer cualquiera de estos derechos:
Por email:
compliance@utilia.ai
En la plataforma:
Desde Configuración > Privacidad
Por correo postal:
Calle Alonso Ojeda, 31, 35200 Telde, Las Palmas
Es necesario acreditar su identidad (copia DNI/NIE o método equivalente). UTILIA responderá en el plazo máximo de 1 mes, prorrogable otros 2 meses en casos de complejidad.
7. Medidas Técnicas y Organizativas de Seguridad
Conforme al artículo 32 del RGPD, UTILIA implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo entre otras:
Cifrado de Datos
Cifrado en tránsito
TLS/SSL para todas las comunicaciones (HTTPS)
Cifrado en reposo
Cifrado completo de base de datos PostgreSQL
Contraseñas
Hash Argon2 (nunca almacenadas en texto plano)
Backups
Cifrado AES-256 de todas las copias de seguridad
Credenciales SMTP
Cifradas con SMTP_ENCRYPTION_KEY dedicada
Control de Acceso
Autenticación
JWT con expiración automática (24 horas)
Sistema de roles
SUPERADMIN, ADMIN, MEMBER con permisos granulares
Aislamiento multi-tenant
Separación total de datos entre organizaciones
Rate limiting
Protección contra ataques de fuerza bruta en API
Tokens de invitación
Uso único o expiración en 48 horas
Auditoría y Trazabilidad
Audit logs
Registro automático de acciones críticas
Retención
90 días (AUDIT_LOG_RETENTION_DAYS)
Limpieza automática
Diaria a las 03:00 (AUDIT_LOG_CLEANUP_TIME)
Información registrada
Acción, usuario, timestamp, IP, cambios realizados
Cumplimiento Art. 30 RGPD: Los audit logs forman parte del registro de actividades de tratamiento, documentando quién accede a qué datos, cuándo y con qué finalidad.
Copias de Seguridad (Backups)
Frecuencia
Copias regulares automatizadas
Cifrado
AES-256 para todas las copias
Almacenamiento
Hetzner (Alemania, UE)
Rotación
Automática cada 30 días
Medidas Organizativas
- -Política de privacidad: Documentación completa y transparente
- -Formación del personal: Capacitación continua en protección de datos
- -Confidencialidad: Compromisos de confidencialidad del equipo
- -Evaluaciones de impacto (DPIA): Para tratamientos de alto riesgo
- -Contratos con encargados: Data Processing Agreements (DPA) con todos los subencargados
- -Procedimientos de respuesta: Plan de acción ante violaciones de seguridad (72h)
- -Revisión periódica: Auditorías y actualizaciones al menos anuales
- -Gestión de incidentes: Registro y análisis de todas las brechas de seguridad
Infraestructura de Seguridad
AlignIA está alojado en Hetzner Online GmbH (Alemania), un proveedor certificado de la Unión Europea que cumple con todos los estándares de seguridad y protección de datos del RGPD.
Ubicación Física
Centros de datos en Alemania (UE)
Certificaciones
ISO 27001, ISO 27017, ISO 27018
Redundancia
Sistemas redundantes y alta disponibilidad
Mejora Continua de la Seguridad
UTILIA se compromete a revisar y actualizar continuamente las medidas de seguridad técnicas y organizativas, adaptándolas a la evolución de las amenazas y tecnologías disponibles, garantizando así un nivel de protección siempre adecuado al riesgo del tratamiento.
8. Transferencias Internacionales de Datos
Conforme al Capítulo V del RGPD (artículos 44-50), las transferencias de datos personales a países fuera del Espacio Económico Europeo (EEE) requieren garantías adecuadas. A continuación, detallamos todas las transferencias realizadas por AlignIA:
OpenAI (Estados Unidos)
Propósito
Procesamiento IA para asignaciones automáticas y chat
Ubicación
Estados Unidos (fuera de la UE)
Datos enviados a OpenAI:
- -Nombre del evento, descripción, requisitos técnicos
- -Nombres de personal disponible (sólo nombre, NO apellidos completos)
- -Habilidades profesionales y disponibilidad horaria
- -Contexto del evento para optimización de matching
Datos NO enviados a OpenAI:
- +Contraseñas (nunca, bajo ninguna circunstancia)
- +Direcciones de email completas
- +Números de teléfono completos
- +Datos financieros (tarifas, pagos)
- +Credenciales SMTP o configuraciones sensibles
- +Tokens de autenticación
- +Audit logs completos
Salvaguardas (Art. 46 RGPD)
Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea según Art. 46.2.c del RGPD
EU-US Data Privacy Framework (DPF)
OpenAI participa en el marco de privacidad de datos UE-EE.UU. La Comisión Europea adoptó la Decisión de Adecuación el 10 de julio de 2023, validada por el Tribunal General de la UE el 3 de septiembre de 2025, proporcionando garantías adicionales de protección
Retención de datos en OpenAI
Los datos de la API pueden retenerse hasta 30 días para propósitos de seguridad, prevención de abusos y cumplimiento. ZDR (Zero Data Retention) disponible para planes enterprise. Períodos más largos posibles por obligaciones legales (legal holds)
Uso de datos para entrenamiento
NO se utilizan para entrenar modelos por defecto según política de OpenAI
Política de privacidad de OpenAI: https://openai.com/policies/privacy-policy
Google Maps (Estados Unidos)
Propósito
Visualización de mapas en la interfaz de usuario
Ubicación
Google LLC (Estados Unidos)
Datos enviados
Sólo coordenadas GPS de ubicaciones (en navegador del usuario)
Integración
Sólo frontend, NO hay transmisión desde servidor backend
La carga de Google Maps se realiza directamente desde el navegador del usuario. No transmitimos datos personales desde nuestro servidor a Google Maps.
Política de privacidad de Google Maps: https://policies.google.com/privacy
Resto de Servicios: Unión Europea
Todos los demás servicios e infraestructura de AlignIA están alojados dentro de la Unión Europea, sin transferencias internacionales de datos:
Hetzner Online GmbH
Hosting completo - Alemania (UE)
PostgreSQL
Base de datos - Alemania (UE)
Backups
Almacenamiento cifrado - Alemania (UE)
Sus Derechos en Transferencias Internacionales
Usted tiene derecho a:
- -Obtener información sobre las salvaguardas aplicadas en cada transferencia
- -Solicitar una copia de las Cláusulas Contractuales Estándar (SCC)
- -Oponerse a transferencias específicas (sujeto a limitaciones contractuales)
- -Presentar reclamación ante la AEPD si considera inadecuadas las salvaguardas
Para ejercer estos derechos, contacte: compliance@utilia.ai
Compromiso de Transparencia
UTILIA se compromete a notificar cualquier nueva transferencia internacional de datos antes de su implementación, actualizando esta política y notificando a los usuarios afectados con al menos 30 días de antelación.
9. Encargados del Tratamiento
Conforme al artículo 28 del RGPD, UTILIA utiliza los siguientes encargados del tratamiento (subcontratistas) para la prestación de servicios:
Hetzner Online GmbH
Proveedor de infraestructura
Servicio
Hosting de servidores, base de datos y backups
Ubicación
Alemania (Unión Europea)
Acceso a datos
Infraestructura y almacenamiento cifrado
Garantías
ISO 27001, ISO 27017, ISO 27018
DPA
Data Processing Agreement vigente
Política de privacidad: https://www.hetzner.com/legal/privacy-policy
OpenAI, LLC
Proveedor de IA
Servicio
Procesamiento de lenguaje natural para asignaciones automáticas
Ubicación
Estados Unidos
Acceso a datos
Datos limitados de eventos y personal (ver sección 8)
Garantías
SCC + EU-US DPF
DPA
Data Processing Addendum incluido en Terms of Service
Política de privacidad: https://openai.com/policies/privacy-policy
Proveedor SMTP (configurable)
Servicio de email
Servicio
Envío de emails transaccionales (invitaciones, notificaciones)
Ubicación
Variable según configuración de la organización
Acceso a datos
Direcciones email de destinatarios, contenido de notificaciones
Cada organización configura su propio servidor SMTP. UTILIA no tiene acceso a las credenciales (cifradas en base de datos) ni controla el procesamiento realizado por el proveedor SMTP elegido por el cliente.
Google Maps Platform
Servicio de mapas
Servicio
Visualización de mapas en interfaz de usuario
Ubicación
Estados Unidos (carga desde navegador)
Acceso a datos
Coordenadas GPS de ubicaciones (sólo frontend)
Garantías
EU-US DPF, SCC
Política de privacidad: https://policies.google.com/privacy
Obligaciones Contractuales de los Encargados
Todos los encargados del tratamiento están obligados contractualmente a:
- -Tratar los datos únicamente siguiendo instrucciones documentadas de UTILIA
- -Garantizar que las personas autorizadas para tratar datos se hayan comprometido a respetar la confidencialidad
- -Adoptar las medidas de seguridad requeridas por el artículo 32 del RGPD
- -No recurrir a otro encargado sin autorización previa por escrito de UTILIA
- -Asistir a UTILIA en la atención de solicitudes de ejercicio de derechos
- -Suprimir o devolver todos los datos personales una vez finalizada la prestación del servicio
- -Poner a disposición de UTILIA toda información necesaria para demostrar el cumplimiento de las obligaciones
Cambios en Encargados del Tratamiento
UTILIA notificará a los usuarios cualquier adición o sustitución de encargados del tratamiento con al menos 30 días de antelación, actualizando esta política de privacidad.
GDPR.automatedDecisions.title
GDPR.automatedDecisions.intro
GDPR.automatedDecisions.aiSystem.title
GDPR.automatedDecisions.aiSystem.technology.title
GDPR.automatedDecisions.aiSystem.technology.description
GDPR.automatedDecisions.aiSystem.purpose.title
GDPR.automatedDecisions.aiSystem.purpose.description
GDPR.automatedDecisions.aiSystem.dataProcessed.title
- -GDPR.automatedDecisions.aiSystem.dataProcessed.items.eventRequirements
- -GDPR.automatedDecisions.aiSystem.dataProcessed.items.personnel
- -GDPR.automatedDecisions.aiSystem.dataProcessed.items.history
GDPR.automatedDecisions.aiSystem.outputFormat.title
GDPR.automatedDecisions.aiSystem.outputFormat.description
GDPR.automatedDecisions.noAutonomousDecisions.title
GDPR.automatedDecisions.noAutonomousDecisions.intro
- GDPR.automatedDecisions.noAutonomousDecisions.items.legalEffects
- GDPR.automatedDecisions.noAutonomousDecisions.items.exclusions
- GDPR.automatedDecisions.noAutonomousDecisions.items.conditions
- GDPR.automatedDecisions.noAutonomousDecisions.items.evaluations
GDPR.automatedDecisions.humanOversight.title
GDPR.automatedDecisions.humanOversight.intro
- GDPR.automatedDecisions.humanOversight.items.review
- GDPR.automatedDecisions.humanOversight.items.approval
- GDPR.automatedDecisions.humanOversight.items.rejection
- GDPR.automatedDecisions.humanOversight.items.reasoning
GDPR.automatedDecisions.noProfiling.title
GDPR.automatedDecisions.noProfiling.intro
- GDPR.automatedDecisions.noProfiling.items.noScoring
- GDPR.automatedDecisions.noProfiling.items.noPredictive
- GDPR.automatedDecisions.noProfiling.items.noPersonality
- GDPR.automatedDecisions.noProfiling.items.noInvisibleCriteria
- GDPR.automatedDecisions.noProfiling.items.noExclusion
GDPR.automatedDecisions.rights.title
GDPR.automatedDecisions.rights.intro
- -GDPR.automatedDecisions.rights.items.information
- -GDPR.automatedDecisions.rights.items.humanReview
- -GDPR.automatedDecisions.rights.items.objection
- -GDPR.automatedDecisions.rights.items.explanation
GDPR.automatedDecisions.rights.contact
GDPR.automatedDecisions.transparency.title
GDPR.automatedDecisions.transparency.description
11. Violaciones de Seguridad de Datos Personales
Conforme a los artículos 33 y 34 del RGPD, UTILIA ha implementado procedimientos específicos para la gestión de violaciones de seguridad de datos personales:
Notificación a la Autoridad de Control (Art. 33 RGPD)
Plazo
Máximo 72 horas desde que UTILIA tenga conocimiento de la violación
Destinatario
Agencia Española de Protección de Datos (AEPD)
Contenido de la notificación:
- -Naturaleza de la violación (categorías y número aproximado de afectados)
- -Nombre y datos de contacto del punto de contacto de privacidad
- -Consecuencias probables de la violación
- -Medidas adoptadas o propuestas para remediar la violación
Excepción No será necesaria la notificación si es improbable que la violación constituya un riesgo para los derechos y libertades de las personas
Comunicación a los Afectados (Art. 34 RGPD)
Cuando la violación entrañe un alto riesgo para los derechos y libertades, UTILIA comunicará la violación a los interesados afectados:
Sin dilación indebida
Lo antes posible tras confirmar la violación
Contenido
Lenguaje claro y sencillo, descripción de la naturaleza de la violación
Canales
Email registrado en la plataforma y notificación in-app
Recomendaciones
Medidas que el interesado puede tomar para protegerse
Excepciones a la comunicación directa:
- 1.Los datos estaban cifrados y la clave no se vio comprometida
- 2.Se han tomado medidas que eliminan el alto riesgo
- 3.Supone un esfuerzo desproporcionado (en cuyo caso se hará comunicación pública)
Plan de Respuesta a Incidentes
UTILIA mantiene un plan de respuesta a incidentes que incluye:
Detección
Monitoreo continuo de sistemas, alertas automáticas
Contención
Aislamiento de sistemas afectados, prevención de daños adicionales
Evaluación
Análisis de alcance, datos afectados y riesgos
Notificación
Comunicación a AEPD y afectados según procedimiento
Remediación
Corrección de vulnerabilidades, restauración de servicios
Documentación
Registro detallado del incidente y acciones tomadas
Documentación de Violaciones
UTILIA documenta todas las violaciones de seguridad, incluyendo:
- -Hechos relativos a la violación
- -Sus efectos
- -Las medidas correctivas adoptadas
Esta documentación permite a la AEPD verificar el cumplimiento del artículo 33 del RGPD.
Comunicación de Incidentes de Seguridad
Si detecta o sospecha de una violación de seguridad, contacte inmediatamente:
Email de seguridad: security@utilia.ai
Cuanto antes se informe de un incidente, más rápido podremos tomar medidas para proteger los datos afectados.
12. Privacidad desde el Diseño y por Defecto
Conforme al artículo 25 del RGPD, UTILIA aplica los principios de privacidad desde el diseño (Privacy by Design) y privacidad por defecto (Privacy by Default) en el desarrollo y operación de AlignIA:
Privacidad desde el Diseño (Art. 25.1 RGPD)
Desde la fase inicial de desarrollo de AlignIA, implementamos:
Minimización de datos en la arquitectura
Sólo se recopilan campos estrictamente necesarios
Cifrado integrado en el diseño
TLS, Argon2, AES-256 desde la base
Aislamiento multi-tenant
Separación de datos por organización a nivel de base de datos
Audit logging automático
Trazabilidad integrada en el código
Expiración automática de tokens
JWT 24h, invitaciones 48h
Restricciones de datos enviados a OpenAI
Sólo información mínima necesaria
Privacidad por Defecto (Art. 25.2 RGPD)
Por defecto, AlignIA está configurado para:
Campos opcionales desactivados
Teléfono, avatar, notas no son obligatorios
Cookies opcionales desactivadas
Sólo se activan con consentimiento explícito
Notificaciones mínimas
Sólo las esenciales para el servicio
Retención limitada
Audit logs 90 días, eliminación automática posterior
Acceso restringido
Usuarios nuevos con permisos mínimos (MEMBER)
Medidas Técnicas Implementadas
Hashing de contraseñas
Argon2 con parámetros seguros (memoria, tiempo, paralelismo)
Cifrado de credenciales SMTP
Clave dedicada por organización
Aislamiento multi-tenant
organization_id en todas las consultas
JWT seguros
Firma HS256, expiración corta, rotación automática
Rate limiting
Prevención de abuso de API
GDPR.privacyByDesign.measures.inputValidation.title
GDPR.privacyByDesign.measures.inputValidation.description
Responsabilidad Proactiva
UTILIA mantiene documentación que demuestra el cumplimiento del RGPD:
- -Registro de actividades de tratamiento Documentación de todos los tratamientos realizados
- -Evaluaciones de impacto (DPIA) Para tratamientos de alto riesgo como la IA
- -Contratos con encargados DPAs con todos los subcontratistas
- -Políticas internas Procedimientos documentados de protección de datos
- -Formación del equipo Capacitación periódica en privacidad y seguridad
Mejora Continua
UTILIA revisa periódicamente las medidas de privacidad implementadas, adaptándolas a nuevas amenazas, tecnologías y requisitos legales. Cada nueva funcionalidad de AlignIA se somete a una evaluación de impacto en la privacidad antes de su implementación.
Este documento forma parte de la documentación legal de AlignIA y está sujeto a actualizaciones periódicas. La versión vigente estará siempre disponible en esta página.
UTILIA SERVICIOS IA S.COOP.CAN. Todos los derechos reservados.