Imagi.ai es seguro y cumple con el RGPD
La seguridad de sus datos es importante para nosotros. Esta página enumera nuestros esfuerzos continuos para mantener el cumplimiento del Reglamento General de Protección de Datos (GDPR) de la UE.
Lista de verificación de cumplimiento
Base legal y transparencia
Completo
Realice una auditoría de la información para determinar qué información procesa y quién tiene acceso a ella.
Las organizaciones que tienen al menos 250 empleados o realizan un procesamiento de datos de mayor riesgo deben mantener una lista actualizada y detallada de sus actividades de procesamiento y estar preparadas para mostrar esa lista a los reguladores que lo soliciten. La mejor manera de demostrar el cumplimiento del RGPD es mediante una evaluación de impacto de la protección de datos: las organizaciones con menos de 250 empleados también deben realizar una evaluación, ya que facilitará el cumplimiento de los demás requisitos del RGPD. En su lista, debe incluir: los fines del procesamiento, qué tipo de datos procesa, quién tiene acceso a ellos en su organización, cualquier tercero (y dónde se encuentran) que tenga acceso, qué está haciendo para proteger los datos (por ejemplo, cifrado) y cuándo planea borrarlos (si es posible).
Completo
Tener una justificación legal para sus actividades de procesamiento de datos.
El tratamiento de datos es ilegal en virtud del RGPD, a menos que pueda justificarlo de acuerdo con una de las seis condiciones enumeradas en el artículo 6. Existen otras disposiciones relacionadas con los niños y categorías especiales de datos personales en los artículos 7 a 11. Revise estas disposiciones, elija una base legal para el procesamiento y documente sus razones. Tenga en cuenta que si elige el "consentimiento" como base legal, existen obligaciones adicionales, incluida la de dar a los interesados la oportunidad continua de revocar el consentimiento. Si su base legal es "intereses legítimos", debe poder demostrar que ha realizado una evaluación de impacto en la privacidad.
Completo
Proporcionar información clara sobre su tratamiento de datos y justificación legal en su política de privacidad.
Debe decirle a la gente que está recopilando sus datos y por qué (artículo 12). Debe explicar cómo se procesan los datos, quién tiene acceso a ellos y cómo los mantiene seguros. Esta información debe incluirse en su política de privacidad y proporcionarse a los interesados en el momento en que recopile sus datos. Debe presentarse "de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en particular para cualquier información dirigida específicamente a un niño".
Seguridad de los datos
Completo
Tenga en cuenta la protección de datos en todo momento, desde el momento en que comienza a desarrollar un producto hasta cada vez que procesa datos.
Debe seguir los principios de "protección de datos desde el diseño y por defecto", incluida la implementación de "medidas técnicas y organizativas adecuadas" para proteger los datos. En otras palabras, la protección de datos es algo que ahora tienes que tener en cuenta cada vez que haces algo con los datos personales de otras personas. También debe asegurarse de que cualquier procesamiento de datos personales se adhiera a los principios de protección de datos descritos en el artículo 5. Las medidas técnicas incluyen el cifrado, y las medidas organizativas son cosas como limitar la cantidad de datos personales que recopila o eliminar los datos que ya no necesita. El punto es que debe ser algo de lo que usted y sus empleados siempre sean conscientes.
Completo
Contar con un proceso para notificar a las autoridades y a los interesados en caso de una violación de datos.
Si se produce una violación de datos y se exponen datos personales, debe notificarlo a la autoridad supervisora de su jurisdicción en un plazo de 72 horas. Aquí se puede encontrar una lista de muchas de las autoridades de supervisión de los Estados miembros de la UE. El RGPD no especifica a quién debe notificar si no es una organización con sede en la UE. Para aquellos en países de habla inglesa que no pertenecen a la UE, es posible que les resulte más fácil notificar a la Oficina del Comisionado de Protección de Datos en Irlanda. También está obligado a comunicar rápidamente las violaciones de datos a sus interesados, a menos que sea poco probable que la violación los ponga en riesgo (por ejemplo, si los datos robados están encriptados).
Completo
Cifre, seudonimice o anonimice los datos personales siempre que sea posible.
La mayoría de las herramientas de productividad utilizadas por las empresas ahora están disponibles con cifrado de extremo a extremo incorporado, incluido el correo electrónico, la mensajería, las notas y el almacenamiento en la nube. El GDPR requiere que las organizaciones utilicen el cifrado o la pseudonimicización siempre que sea posible.
Completo
Cree una política de seguridad interna para los miembros de su equipo y cree conciencia sobre la protección de datos.
Incluso si su seguridad técnica es sólida, la seguridad operativa puede seguir siendo un eslabón débil. Cree una política de seguridad que garantice que los miembros de su equipo estén bien informados sobre la seguridad de los datos. Debe incluir orientación sobre la seguridad del correo electrónico, las contraseñas, la autenticación de dos factores, el cifrado de dispositivos y las VPN. Los empleados que tienen acceso a datos personales y los empleados no técnicos deben recibir formación adicional sobre los requisitos del RGPD.
Completo
Sepa cuándo realizar una evaluación de impacto de la protección de datos y cuente con un proceso para llevarla a cabo.
Una evaluación de impacto en la protección de datos (también conocida como evaluación de impacto en la privacidad) es una forma de ayudarte a comprender cómo tu producto o servicio podría poner en peligro los datos de tus clientes, así como cómo minimizar esos riesgos. La Oficina del Comisionado de Información del Reino Unido (ICO) tiene una lista de verificación de evaluación de impacto de protección de datos en su sitio web. El GDPR requiere que las organizaciones lleven a cabo este tipo de análisis siempre que planeen usar los datos de las personas de tal manera que sea "probable que resulte en un alto riesgo para [sus] derechos y libertades". La ICO recomienda hacerlo en cualquier momento que esté a punto de procesar datos personales.
Rendición de cuentas y gobernanza
Completo
Designe a alguien responsable de garantizar el cumplimiento del RGPD en toda su organización.
Otra parte de la "protección de datos por diseño y por defecto" es asegurarse de que alguien de su organización sea responsable del cumplimiento del RGPD. Esta persona debe estar facultada para evaluar las políticas de protección de datos y la aplicación de dichas políticas.
Completo
Firmar un acuerdo de procesamiento de datos entre su organización y cualquier tercero que procese datos personales en su nombre.
Esto incluye cualquier servicio de terceros que maneje los datos personales de sus interesados, incluido el software de análisis, los servicios de correo electrónico, los servidores en la nube, etc. La gran mayoría de los servicios tienen un acuerdo de procesamiento de datos estándar disponible en sus sitios web para que lo revise. En ellos se detallan los derechos y obligaciones de cada parte para el cumplimiento del RGPD. Solo debe utilizar terceros que sean fiables y puedan ofrecer suficientes garantías de protección de datos.
Derechos de privacidad
Completo
Es fácil para tus clientes solicitar y recibir toda la información que tienes sobre ellos.
Las personas tienen derecho a ver qué datos personales tienes sobre ellos y cómo los estás utilizando. También tienen derecho a saber cuánto tiempo planea almacenar su información y la razón por la que la conserva durante ese tiempo. Debe enviarles la primera copia de esta información de forma gratuita, pero puede cobrar una tarifa razonable por las copias posteriores. Asegúrese de que puede verificar la identidad de la persona que solicita los datos. Debería poder cumplir con dichas solicitudes en el plazo de un mes.
Completo
Es fácil para sus clientes corregir o actualizar información inexacta o incompleta.
Haga todo lo posible por mantener los datos actualizados mediante la implementación de un proceso de calidad de datos y facilite a sus clientes la visualización (artículo 15) y la actualización de su información personal para que sea precisa e completa. Asegúrese de que puede verificar la identidad de la persona que solicita los datos. Debería poder atender las solicitudes previstas en el artículo 16 en el plazo de un mes.
Completo
Es fácil para sus clientes solicitar que se eliminen sus datos personales.
Por lo general, las personas tienen derecho a pedirle que elimine todos los datos personales que tenga sobre ellos, y debe cumplir con su solicitud dentro de aproximadamente un mes. Hay cinco motivos por los que puede denegar la solicitud, como el ejercicio de la libertad de expresión o el cumplimiento de una obligación legal. También debe intentar verificar la identidad de la persona que realiza la solicitud.
Completo
Es fácil que tus clientes te pidan que dejes de procesar sus datos.
Los interesados pueden solicitar la limitación o el cese del tratamiento de sus datos si se aplican determinados motivos, principalmente si existe algún litigio sobre la licitud del tratamiento o la exactitud de los datos. Debe cumplir con su solicitud dentro de aproximadamente un mes. Si bien el procesamiento está restringido, aún puede seguir almacenando sus datos. Debe notificar al interesado antes de volver a tratar sus datos.
Completo
Es fácil para sus clientes recibir una copia de sus datos personales en un formato que se puede transferir fácilmente a otra empresa.
Esto significa que debería poder enviar sus datos personales en un formato comúnmente legible (por ejemplo, una hoja de cálculo), ya sea a ellos o a un tercero que ellos designen. Esto puede parecer injusto desde el punto de vista empresarial, ya que es posible que tenga que entregar los datos de sus clientes a un competidor. Pero desde el punto de vista de la privacidad, la idea es que las personas son dueñas de sus datos, no de ti.
Completo
Es fácil que tus clientes se opongan a que proceses sus datos.
Si está procesando sus datos con fines de marketing directo, debe dejar de procesarlos inmediatamente para ese fin. De lo contrario, es posible que pueda impugnar su objeción si puede demostrar "motivos legítimos convincentes".
Completo
Si toma decisiones sobre las personas en función de procesos automatizados, tiene un procedimiento para proteger sus derechos.
Algunos tipos de organizaciones utilizan procesos automatizados para ayudarles a tomar decisiones sobre las personas que tienen efectos legales o "de importancia similar". Si cree que eso se aplica a usted, deberá establecer un procedimiento para asegurarse de que está protegiendo sus derechos, libertades e intereses legítimos. Debe facilitar que las personas soliciten intervención humana, opine sobre las decisiones y desafíe las decisiones que ya ha tomado.
Subprocesadores
Con el fin de proporcionar sus servicios, Imagi.ai puede contratar a terceros u otros miembros del grupo corporativo Imagi.ai (afiliados) para llevar a cabo actividades de procesamiento de datos que impliquen el acceso a los datos de los clientes. Estas organizaciones, llamadas "subprocesadores", se identifican a continuación con sus ubicaciones y los tipos de servicios que brindan a Imagi.ai.
NOMBRE
PAÍS
Celeste
Estados Unidos
DESCRIPCIÓN
TIPO DE SERVICIO
OBLIGATORIO
Tecnología
Obligatorio
Facebook (en inglés)
Estados Unidos
Crea una cuenta o inicia sesión en Facebook. Conéctate con amigos, familiares y otras personas que conozcas. Comparte fotos y vídeos, envía mensajes y recibe actualizaciones.
Plataforma de redes sociales
Obligatorio
Google (en inglés)
Estados Unidos
Google LLC es una empresa tecnológica multinacional estadounidense que se especializa en servicios y productos relacionados con Internet, que incluyen tecnologías de publicidad en línea, motores de búsqueda, computación en la nube, software y hardware. Es considerada una de las cuatro grandes empresas tecnológicas, junto con Amazon, Apple y Facebook
Servicios y productos relacionados con Internet
Obligatorio
Google Analytics
Estados Unidos
un servicio de analítica web ofrecido por Google.
Analítica web
Obligatorio
Googleapis
Estados Unidos
un conjunto de API desarrolladas por Google para acceder a los servicios de Google.
Apis
Obligatorio
Sindicación de Google
Estados Unidos
Tecnología
Obligatorio
HubSpot
Estados Unidos
Una plataforma para el inbound marketing, las ventas y el servicio al cliente.
Plataforma de marketing, ventas y servicio al cliente
Obligatorio
Partnero, Inc
Estados Unidos
Potenciar las asociaciones de forma sencilla. Maximice los ingresos con la solución todo en uno de Partnero para una gestión de asociaciones sin problemas.
Tecnología
Opcional
Abrir AI LLC
Estados Unidos
Utiliza modelos de lenguaje grandes para procesar los datos proporcionados por el usuario
Proveedor de LLM
Obligatorio
ElevenLabs
Estados Unidos
Para sintetizar y clonar el texto de los usuarios en voz o audio
Tecnología de voz
Obligatorio
Stripe, Inc.
Estados Unidos
Para el procesamiento de pagos
Pasarela de pago
Obligatorio
Preguntas frecuentes
Consulte nuestras preguntas frecuentes a continuación. Tenga en cuenta que esto no es asesoramiento legal y le recomendamos que consulte con su equipo de cumplimiento interno o con su abogado de privacidad para obtener orientación sobre asuntos de cumplimiento. Imagi.ai compromete a ayudar a nuestros clientes a cumplir con las leyes aplicables, pero no podemos garantizar que el uso de nuestros productos cumpla con todas las normas. Como siempre, recomendamos buscar asesoramiento legal profesional para cualquier pregunta o inquietud específica.
¿Debo obtener el consentimiento de un cliente para recopilar sus datos personales?
Si bien siempre es una buena práctica recibir el consentimiento explícito de su cliente, ciertas leyes y regulaciones (como el GDPR) requieren el consentimiento antes de recopilar datos personales de ciertas personas (como las de la UE).
También es importante tener en cuenta que, según el RGPD, el consentimiento es uno de los intereses legítimos para el tratamiento de datos. Otros incluyen la necesidad de procesar para la ejecución de un contrato, la necesidad de procesar para cumplir con una obligación legal y la necesidad de procesar para proteger los intereses vitales del sujeto de datos u otra persona física. Los detalles completos se pueden encontrar en el artículo 6 del RGPD.
¿Puedo modificar los datos personales de un cliente?
Sí, puede modificar todos los datos para corregir los datos personales según lo requerido por el RGPD cuando reciba una solicitud de acceso del interesado o por otros motivos. Simplemente póngase en contacto con nosotros y trabajaremos con usted para realizar los ajustes.
¿Puedo eliminar datos personales?
Sí, puede eliminar cualquier dato, incluidos los datos que contengan datos personales, según lo exija el RGPD. También puede eliminar todos los demás datos de cliente solicitados enviándonos una solicitud de datos.
¿Los datos personales se eliminan de forma permanente cuando los elimino?
Inicialmente, se marca un dato o una persona eliminados para su eliminación, y nuestro equipo puede recuperarlos si así lo solicita. Después de 90 días, la eliminación se vuelve permanente e irrecuperable.
¿Cuánto tiempo se conservan los datos personales en Insighto.ai si no los elimino?
La filosofía de Insighto.ai es que los clientes poseen y controlan todos los datos que recopilan. Cualquier período de retención requerido por la ley o la política de su empresa es controlado por usted.
Debe asegurarse de que todas las personas y los datos personales se eliminen antes de dejar de usar Imagi.ai, especialmente si así lo exige la política, la ley o la normativa.
¿Mis datos se incluyen en las copias de seguridad y, de ser así, durante cuánto tiempo?
Sí. Insighto.ai realiza una copia de seguridad de todos los datos de los clientes y conserva las copias de seguridad durante 90 días. Después de 90 días, la copia de seguridad se elimina.
¿Puedo eliminar los datos personales del cliente de Imagi.ai copias de seguridad?
No. El conjunto de datos de copia de seguridad contiene todos los datos del cliente y solo se utiliza con fines de recuperación ante desastres. Esto es necesario por razones legales y de cumplimiento relacionadas con las obligaciones de disponibilidad. Todos los datos personales de estas copias de seguridad se eliminarán permanentemente después de 90 días.
Si mi centro de datos se encuentra en la UE, ¿Imagi.ai transfiere mis datos personales fuera de la UE en ningún momento?
Nuestros centros de datos se encuentran con Amazon Web Services en los Estados Unidos. Sin embargo, la transferencia de datos está cubierta por el marco del Escudo de Privacidad UE-EE. UU., del que somos miembros, y está permitida por el RGPD como salvaguarda adecuada.
¿Insighto.ai garantiza que solo los empleados accedan a mis datos con una justificación razonable para hacerlo?
Tal y como exige el RGPD, solo los empleados Imagi.ai cualificados con una necesidad específica pueden acceder a su cuenta. La razón típica para acceder a su cuenta sería su solicitud específica de soporte.
¿Imagi.ai garantiza que solo los empleados accedan a mis datos con una justificación razonable para hacerlo?
Tal y como exige el RGPD, solo los empleados Imagi.ai cualificados con una necesidad específica pueden acceder a su cuenta. La razón típica para acceder a su cuenta sería su solicitud específica de soporte.
¿Imagi.ai utiliza subprocesadores que procesan mis datos?
Imagi.ai actualmente utiliza subprocesadores para proporcionar el servicio. Tal y como exige el RGPD, Imagi.ai mantiene una lista de esos subencargados del tratamiento aquí.
Si se produce una violación de datos con la plataforma Imagi.ai que afecte a mis datos, ¿Cómo y cuándo se me notificará?
Si se produce una violación de datos confirmada causada por las acciones o inacciones de Imagi.ai, notificaremos sin demora indebida al propietario de la cuenta. La información sobre la violación se divulgará a medida que esté disponible, según lo permita el GDPR. El propietario de la cuenta será el principal punto de contacto para todas las notificaciones y se mantendrá al tanto de los esfuerzos de investigación y corrección a medida que avancen.
¿Cómo puedo cumplir con una Solicitud de Acceso del Sujeto y la portabilidad según lo requerido por el GDPR?
Como usted conoce los datos que está recopilando, usted es responsable de gestionar cualquier Solicitud de Acceso del Sujeto (SAR). Imagi.ai solo proporciona la plataforma y no conocería los detalles sobre sus personalizaciones, propiedades o sus clientes.
Un SAR significa que un cliente está preguntando sobre la información que se recopila sobre él o ella. Si ha recopilado datos personales de un ciudadano de la UE o de una persona que reside en la UE, es posible que tenga la obligación legal de responder a un SAR.
Los datos se pueden descargar en formatos estándar de la industria para que la portabilidad de datos cumpla con el GDPR.
Si Imagi.ai recibe un SAR, hará todo lo posible por ponerse en contacto con el propietario. Es posible que no siempre sea posible saber quién es el propietario legítimo.
¿Cómo puedo cumplir con una Solicitud de Acceso del Sujeto y la portabilidad según lo requerido por el GDPR?
Como usted conoce los datos que está recopilando, usted es responsable de gestionar cualquier Solicitud de Acceso del Sujeto (SAR). Imagi.ai solo proporciona la plataforma y no conocería los detalles sobre sus personalizaciones, propiedades o sus clientes.
Un SAR significa que un cliente está preguntando sobre la información que se recopila sobre él o ella. Si ha recopilado datos personales de un ciudadano de la UE o de una persona que reside en la UE, es posible que tenga la obligación legal de responder a un SAR.
Los datos se pueden descargar en formatos estándar de la industria para que la portabilidad de datos cumpla con el GDPR.
Si Imagi.ai recibe un SAR, hará todo lo posible por ponerse en contacto con el propietario. Es posible que no siempre sea posible saber quién es el propietario legítimo.
¿Cómo cumplo con una Solicitud de Acceso del Sujeto para "ser olvidado"?
De forma similar a lo anterior, sabes qué datos tienes. Si ha recopilado datos personales de un ciudadano de la UE o de una persona que reside en la UE, es posible que tenga la obligación legal de responder y cumplir con una solicitud de eliminación de todos los datos identificables.
Como se indicó anteriormente, tiene la capacidad de eliminar los datos de un cliente.
¿Cómo cumple Imagi.ai sus obligaciones en virtud del RGPD de devolver o destruir todos los datos personales de la UE?
De forma similar a lo anterior, sabes qué datos tienes. Si ha recopilado datos personales de un ciudadano de la UE o de una persona que reside en la UE, es posible que tenga la obligación legal de responder y cumplir con una solicitud de eliminación de todos los datos identificables.
Como se indicó anteriormente, tiene la capacidad de eliminar los datos de un cliente.
¿Cómo cumple Imagi.ai sus obligaciones del RGPD de cifrar los datos personales?
Todos los datos almacenados en nuestras bases de datos principales y copias de seguridad están encriptados mediante un cifrado fuerte estándar de la industria. Todos los datos transmitidos a la plataforma Imagi.ai se cifran mediante el protocolo TLS estándar de la industria.
¿Cómo puedo garantizar a mis clientes que Imagi.ai seguridad cumple con la legislación aplicable y el RGPD (artículo 32)?
Imagi.ai compromete a salvaguardar sus datos. Utilizamos controles sofisticados durante el procesamiento para mantener la confidencialidad, integridad, disponibilidad y resiliencia de sus datos. Nuestra página de seguridad describe los detalles de la seguridad de nuestras aplicaciones, la seguridad de la red, las políticas y mucho más.
En relación con el artículo 28 del RGPD, solo Imagi.ai procesará datos personales de acuerdo con sus instrucciones. En otras palabras, los comandos que utiliza en el producto son las "instrucciones" y Imagi.ai no utiliza los datos personales para ningún otro medio. Además, no transfiere datos personales a un tercero sin su consentimiento. Si los datos personales se transfieren de la UE a un tercer país, se aplicarán las salvaguardias adecuadas a la transferencia (como el Marco del Escudo de Privacidad UE-EE. UU.).
Imagi.ai ha desarrollado procedimientos de recuperación para minimizar el tiempo de inactividad relacionado con un desastre, con la capacidad de restaurar el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
Probamos, evaluamos y evaluamos regularmente la eficacia de nuestras medidas técnicas y organizativas para garantizar la seguridad del tratamiento.