📋 Índice de Contenidos
- 1. Introducción al RGPD
- 2. Nuestro Compromiso RGPD
- 3. Principios de Protección de Datos
- 4. Derechos de los Titulares
- 5. Responsabilidades de UniChatIA
- 6. Medidas Técnicas y Organizativas
- 7. Transferencias Internacionales
- 8. Gestión de Violaciones de Datos
- 9. Evaluaciones de Impacto
- 10. Delegado de Protección de Datos
- 11. Auditorías y Cumplimiento
- 12. Sanciones y Multas RGPD
- 13. Formación y Concienciación
- 14. Actualizaciones y Mejoras
- 15. Contacto y Recursos
1. Introducción al RGPD
El Reglamento General de Protección de Datos (RGPD) es la normativa europea más importante en materia de privacidad y protección de datos personales en los últimos 20 años. Aplicable desde el 25 de mayo de 2018, establece un marco legal unificado para la protección de datos en toda la Unión Europea.
1.1 ¿Qué es el RGPD?
El RGPD es un reglamento de la Unión Europea que:
- 🔒 Protege los derechos fundamentales de las personas físicas en relación con el tratamiento de datos personales
- 🌍 Unifica la legislación de protección de datos en todos los Estados miembros de la UE
- ⚖️ Establece sanciones de hasta €20 millones o 4% de la facturación anual
- 🛡️ Refuerza la seguridad y transparencia en el tratamiento de datos
1.2 Ámbito de Aplicación
El RGPD se aplica a:
- 🏢 Empresas establecidas en la UE (como UniChatIA)
- 🌐 Empresas fuera de la UE que ofrecen servicios a ciudadanos europeos
- 📊 Tratamiento de datos personales de personas físicas
- 🤖 Tratamiento automatizado y no automatizado de datos
ℹ️ Importante: UniChatIA, como empresa española que procesa datos de ciudadanos europeos, está completamente sujeta al RGPD y cumple con todas sus disposiciones.
2. Nuestro Compromiso RGPD
En UniChatIA, la protección de datos personales no es solo una obligación legal, sino un compromiso fundamental con nuestros usuarios y clientes.
2.1 Compromisos Principales
🔒 Privacidad por Diseño
Implementamos medidas de protección desde el diseño inicial de nuestros sistemas y servicios.
📊 Transparencia Total
Informamos claramente sobre qué datos recopilamos, cómo los usamos y con quién los compartimos.
⚡ Respuesta Rápida
Respondemos a solicitudes de derechos RGPD en menos de 30 días, generalmente en 24-48 horas.
🛡️ Seguridad Avanzada
Utilizamos las mejores prácticas de seguridad y cifrado para proteger todos los datos.
📚 Formación Continua
Nuestro equipo recibe formación regular en protección de datos y mejores prácticas RGPD.
🔄 Mejora Continua
Revisamos y mejoramos constantemente nuestros procesos de protección de datos.
2.2 Certificaciones y Estándares
- ✅ RGPD Compliant: Cumplimiento completo desde mayo 2018
- ✅ LOPDGDD: Adaptación a la normativa española
- 🔄 ISO 27001: En proceso de certificación
- ✅ PCI DSS: Cumplimiento vía Stripe para pagos
3. Principios de Protección de Datos
El RGPD establece siete principios fundamentales que guían todo el tratamiento de datos personales en UniChatIA:
3.1 Principios Fundamentales
| Principio | Descripción | Implementación en UniChatIA |
|---|---|---|
| Licitud, lealtad y transparencia | Tratamiento lícito, leal y transparente | Políticas claras, avisos legales completos |
| Limitación de la finalidad | Fines específicos, explícitos y legítimos | Finalidades claramente definidas en contratos |
| Minimización de datos | Datos adecuados, pertinentes y limitados | Recopilación mínima necesaria para el servicio |
| Exactitud | Datos exactos y actualizados | Panel de control para actualizar información |
| Limitación del plazo de conservación | Conservación limitada en el tiempo | Políticas de retención claras y automatizadas |
| Integridad y confidencialidad | Tratamiento seguro de los datos | Cifrado, acceso restringido, auditorías |
| Responsabilidad proactiva | Demostrar el cumplimiento | Documentación, registros, evaluaciones |
3.2 Bases Legales del Tratamiento
En UniChatIA utilizamos las siguientes bases legales:
- 📋 Ejecución del contrato (Art. 6.1.b): Para prestar el servicio SaaS
- ✅ Consentimiento (Art. 6.1.a): Para marketing y cookies no esenciales
- ⚖️ Interés legítimo (Art. 6.1.f): Para mejora del servicio y seguridad
- 📊 Cumplimiento legal (Art. 6.1.c): Para obligaciones fiscales
4. Derechos de los Titulares
El RGPD otorga a los titulares de datos personales ocho derechos fundamentales que UniChatIA respeta y facilita:
🔍 Derecho de Acceso
Solicitar información sobre qué datos personales tenemos y cómo los procesamos. Tiempo de respuesta: < 30 días.
✏️ Derecho de Rectificación
Corregir datos inexactos o incompletos. Puedes actualizar tu información desde el Panel de Control.
🗑️ Derecho de Supresión
Solicitar la eliminación de tus datos personales ("derecho al olvido"). Aplicable en ciertas circunstancias.
⏸️ Derecho de Limitación
Restringir el procesamiento de tus datos en determinadas situaciones, como disputas sobre exactitud.
📱 Derecho de Portabilidad
Recibir tus datos en formato estructurado y legible para transferirlos a otro proveedor.
✋ Derecho de Oposición
Oponerte al procesamiento de tus datos basado en interés legítimo o para marketing directo.
🤖 Derecho a no ser objeto de decisiones automatizadas
No ser objeto de decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles.
📧 Derecho de Información
Ser informado sobre el tratamiento de tus datos de forma clara, concisa y comprensible.
4.1 Cómo Ejercer tus Derechos
Para ejercer cualquiera de estos derechos:
- 📧 Envía un email a dpo@unichatia.com
- 📝 Incluye tu nombre completo y email de la cuenta
- 🎯 Especifica claramente qué derecho quieres ejercer
- 🆔 Te solicitaremos verificación de identidad
- ⏱️ Te responderemos en un plazo máximo de 30 días
✅ Garantía: Ejercer tus derechos es completamente gratuito. Si consideras que no hemos tratado tu solicitud correctamente, puedes presentar una reclamación ante la AEPD.
5. Responsabilidades de UniChatIA
Como responsable del tratamiento, UniChatIA tiene múltiples obligaciones bajo el RGPD:
5.1 Obligaciones Principales
- 📋 Documentar el cumplimiento: Mantener registros de actividades de tratamiento
- 🔒 Implementar medidas de seguridad: Técnicas y organizativas apropiadas
- 📧 Notificar violaciones: A la AEPD en 72 horas y a los afectados si hay alto riesgo
- 🔍 Realizar evaluaciones de impacto: Para tratamientos de alto riesgo
- 📚 Formar al personal: En protección de datos y mejores prácticas
- 🤝 Firmar contratos con procesadores: Con cláusulas de protección de datos
5.2 Registro de Actividades de Tratamiento
Mantenemos un registro detallado que incluye:
- 📊 Finalidades del tratamiento: Para qué usamos los datos
- 👥 Categorías de titulares: Qué tipos de personas procesamos
- 📋 Categorías de datos: Qué información recopilamos
- 🤝 Destinatarios: Con quién compartimos los datos
- 🌍 Transferencias internacionales: A qué países transferimos
- ⏰ Plazos de supresión: Cuándo eliminamos los datos
5.3 Contratos con Procesadores
Todos nuestros proveedores (Stripe, Vercel, OpenAI, etc.) han firmado contratos que incluyen:
- 📋 Cláusulas contractuales tipo: Aprobadas por la Comisión Europea
- 🔒 Medidas de seguridad: Técnicas y organizativas apropiadas
- 📊 Limitaciones de uso: Solo para fines autorizados
- 🔍 Auditorías: Derecho a verificar el cumplimiento
6. Medidas Técnicas y Organizativas
Implementamos múltiples capas de seguridad para proteger los datos personales:
6.1 Medidas Técnicas
| Categoría | Medida | Descripción |
|---|---|---|
| Cifrado | HTTPS/TLS 1.3 | Conexiones seguras en tránsito |
| Cifrado | AES-256 | Datos sensibles cifrados en reposo |
| Autenticación | JWT + 2FA | Tokens seguros y autenticación de dos factores |
| Acceso | Principio de menor privilegio | Acceso mínimo necesario para cada rol |
| Backups | Cifrados y distribuidos | Copias de seguridad geográficamente distribuidas |
| Monitorización | 24/7 SIEM | Detección de amenazas en tiempo real |
| Actualizaciones | Parches automáticos | Actualizaciones de seguridad aplicadas regularmente |
6.2 Medidas Organizativas
- 📋 Políticas de seguridad: Documentos internos actualizados regularmente
- 🎓 Formación obligatoria: Cursos en protección de datos para todo el personal
- 🔍 Auditorías internas: Revisiones trimestrales de cumplimiento
- 📞 Procedimientos de respuesta: Plan de respuesta a incidentes de seguridad
- 🤝 Contratos con proveedores: Cláusulas de protección de datos obligatorias
- 📊 Evaluaciones de riesgo: Análisis periódicos de amenazas y vulnerabilidades
6.3 Certificaciones de Seguridad
🔒 Nivel de Seguridad: Aplicamos estándares de seguridad de nivel empresarial, incluyendo medidas técnicas y organizativas que superan los requisitos mínimos del RGPD.
7. Transferencias Internacionales
Algunos de nuestros proveedores están ubicados fuera del Espacio Económico Europeo (EEE). Todas las transferencias están protegidas:
7.1 Proveedores con Transferencias
| Proveedor | País | Garantías | Datos Transferidos |
|---|---|---|---|
| OpenAI LLC | Estados Unidos | Cláusulas Contractuales Tipo + DPA | Conversaciones (anonimizadas) |
| Stripe Inc. | Estados Unidos | PCI DSS + Cláusulas Contractuales Tipo | Datos de pago |
| Vercel Inc. | Estados Unidos | DPA + Cláusulas Contractuales Tipo | Datos de uso, logs |
| Google LLC | Estados Unidos | Consentimiento + IP anonimizada | Analytics (anonimizado) |
7.2 Garantías de Protección
Todas las transferencias internacionales están protegidas mediante:
- 📋 Cláusulas Contractuales Tipo: Aprobadas por la Comisión Europea
- 🤝 Data Processing Agreements (DPA): Contratos específicos de protección
- ✅ Decisiones de adecuación: Cuando aplicable
- 🔒 Medidas técnicas adicionales: Cifrado y pseudonimización
✅ Nivel de Protección: Solo trabajamos con proveedores que garantizan el mismo nivel de protección que requiere la legislación europea. Todos han firmado cláusulas contractuales tipo aprobadas por la UE.
8. Gestión de Violaciones de Datos
En caso de una violación de seguridad que afecte a datos personales, seguimos un protocolo estricto:
8.1 Protocolo de Respuesta
| Fase | Tiempo | Acción |
|---|---|---|
| Detección | Inmediata | Activar protocolo de respuesta a incidentes |
| Evaluación | 0-24h | Evaluar gravedad y riesgo para los derechos |
| Notificación AEPD | 0-72h | Notificar a la autoridad de control |
| Notificación Afectados | 0-72h | Informar a titulares si hay alto riesgo |
| Contención | Inmediata | Contener y mitigar la violación |
| Recuperación | 0-48h | Restaurar sistemas y servicios |
| Análisis Post-Incidente | 1-2 semanas | Identificar causas y mejorar procesos |
8.2 Criterios de Notificación
Notificamos a la AEPD cuando:
- 🔍 Alto riesgo: Para los derechos y libertades de las personas
- 📊 Datos sensibles: Categorías especiales de datos personales
- 👥 Múltiples afectados: Gran número de titulares
- 🌍 Alcance amplio: Violación que afecta a múltiples sistemas
8.3 Medidas Preventivas
- 🔒 Monitorización 24/7: Detección proactiva de amenazas
- 🛡️ Firewalls avanzados: Protección perimetral
- 🔍 Análisis de comportamiento: Detección de anomalías
- 📚 Formación continua: Concienciación del personal
- 🔄 Pruebas de penetración: Evaluaciones de seguridad regulares
⚠️ Transparencia: Si ocurre una violación que te afecte, te notificaremos inmediatamente y te proporcionaremos toda la información necesaria sobre las medidas tomadas.
9. Evaluaciones de Impacto en la Protección de Datos
Realizamos Evaluaciones de Impacto en la Protección de Datos (EIPD) para tratamientos de alto riesgo:
9.1 Cuándo Realizamos EIPD
- 📊 Evaluación sistemática: Tratamiento que implique evaluación sistemática y exhaustiva
- 🤖 Decisión automatizada: Incluida la elaboración de perfiles
- 📋 Datos sensibles: Categorías especiales de datos personales
- 👥 Vigilancia pública: Observación sistemática de una zona de acceso público
- 🔍 Gran escala: Tratamiento a gran escala de datos personales
9.2 Proceso de EIPD
| Fase | Descripción | Responsable |
|---|---|---|
| 1. Análisis | Evaluar necesidad y alcance de la EIPD | DPO + Equipo Legal |
| 2. Descripción | Documentar finalidades y tratamientos | Equipo Técnico |
| 3. Evaluación | Analizar riesgos y medidas de mitigación | DPO + Seguridad |
| 4. Consulta | Consultar con titulares y AEPD si es necesario | DPO |
| 5. Implementación | Aplicar medidas identificadas | Equipo Técnico |
| 6. Revisión | Revisar periódicamente la EIPD | DPO |
9.3 EIPD Realizadas
Hemos realizado EIPD para:
- 🤖 Sistema de IA Conversacional: Evaluación de riesgos en el procesamiento de conversaciones
- 📊 Analytics y Métricas: Análisis de datos de uso y comportamiento
- 💳 Procesamiento de Pagos: Evaluación de riesgos en datos financieros
- 📅 Sistema de Reservas: Análisis de datos de clientes finales
📋 Documentación: Todas nuestras EIPD están documentadas y disponibles para consulta por parte de la AEPD. Las medidas identificadas se implementan antes del inicio del tratamiento.
10. Delegado de Protección de Datos (DPO)
Hemos designado un Delegado de Protección de Datos (DPO) independiente para supervisar nuestro cumplimiento del RGPD:
10.1 Información del DPO
Delegado de Protección de Datos
📧 Email: dpo@unichatia.com
⏰ Horario: L-V 9:00-18:00 CET
⏱️ Tiempo de respuesta: < 24 horas
🌐 Idiomas: Español, Inglés
10.2 Funciones del DPO
- 📋 Supervisión: Monitorear el cumplimiento del RGPD
- 📚 Formación: Formar al personal en protección de datos
- 🔍 Auditorías: Realizar evaluaciones de cumplimiento
- 📞 Consultas: Asesorar sobre cuestiones de protección de datos
- 🤝 Coordinación: Actuar como punto de contacto con la AEPD
- 📊 Informes: Elaborar informes periódicos para la dirección
10.3 Independencia del DPO
Nuestro DPO:
- ✅ Independiente: No recibe instrucciones sobre el ejercicio de sus funciones
- 🔒 Protegido: No puede ser despedido por ejercer sus funciones
- 📊 Recursos: Tiene acceso a todos los recursos necesarios
- 📚 Formación: Mantiene conocimientos actualizados en protección de datos
- 🤝 Confidencialidad: Mantiene confidencialidad en el ejercicio de sus funciones
10.4 Contacto con el DPO
Puedes contactar con nuestro DPO para:
- ❓ Consultas: Preguntas sobre protección de datos
- 📋 Ejercicio de derechos: Solicitar información o ejercer derechos
- ⚠️ Reclamaciones: Presentar quejas sobre el tratamiento de datos
- 📊 Información: Solicitar información sobre nuestras prácticas
11. Auditorías y Cumplimiento
Mantenemos un programa continuo de auditorías para garantizar el cumplimiento del RGPD:
11.1 Tipos de Auditorías
| Tipo | Frecuencia | Alcance | Responsable |
|---|---|---|---|
| Internas | Trimestral | Procesos y controles internos | DPO + Equipo Legal |
| Técnicas | Semestral | Sistemas y medidas de seguridad | Equipo de Seguridad |
| Externas | Anual | Cumplimiento RGPD completo | Auditor externo certificado |
| Proveedores | Anual | Contratos y medidas de seguridad | Equipo Legal + DPO |
11.2 Criterios de Auditoría
- 📋 Cumplimiento legal: Verificar adherencia al RGPD y normativa española
- 🔒 Medidas de seguridad: Evaluar efectividad de controles técnicos y organizativos
- 📊 Procesos internos: Revisar procedimientos y documentación
- 👥 Formación del personal: Verificar concienciación y competencias
- 🤝 Contratos con terceros: Revisar cláusulas de protección de datos
- 📈 Mejoras continuas: Identificar oportunidades de mejora
11.3 Resultados de Auditorías
Los resultados de las auditorías incluyen:
- 📊 Informes detallados: Con hallazgos y recomendaciones
- 📋 Plan de acción: Para corregir deficiencias identificadas
- ⏰ Seguimiento: Verificación de implementación de mejoras
- 📈 Métricas: Indicadores de cumplimiento y progreso
✅ Transparencia: Los informes de auditoría están disponibles para la AEPD y se utilizan para mejorar continuamente nuestros procesos de protección de datos.
12. Sanciones y Multas RGPD
El RGPD establece un sistema de sanciones escalonado según la gravedad de la infracción:
12.1 Tipos de Sanciones
| Gravedad | Multa Máxima | Ejemplos de Infracciones |
|---|---|---|
| Leves | €10M o 2% facturación | Falta de documentación, notificaciones tardías |
| Graves | €20M o 4% facturación | Violaciones de principios básicos, derechos de los titulares |
| Muy Graves | €20M o 4% facturación | Transferencias ilegales, violaciones de datos masivas |
12.2 Factores de Evaluación
La AEPD considera estos factores para determinar las sanciones:
- 🔍 Naturaleza de la infracción: Gravedad y duración
- 📊 Número de afectados: Cantidad de titulares perjudicados
- 💰 Daños causados: Perjuicios materiales o inmateriales
- 🤝 Cooperación: Grado de colaboración con la autoridad
- 📋 Medidas correctivas: Acciones tomadas para remediar
- 📚 Historial: Infracciones anteriores
12.3 Nuestro Enfoque Preventivo
Para evitar sanciones, implementamos:
- 📋 Cumplimiento proactivo: Superamos los requisitos mínimos
- 🔍 Auditorías regulares: Identificación temprana de riesgos
- 📚 Formación continua: Personal actualizado en RGPD
- 🤝 Cooperación: Colaboración transparente con autoridades
- 📊 Documentación completa: Registros detallados de cumplimiento
- 🔄 Mejora continua: Actualización constante de procesos
⚠️ Responsabilidad: Las sanciones RGPD pueden ser muy elevadas. Por eso invertimos significativamente en cumplimiento y protección de datos para minimizar cualquier riesgo.
13. Formación y Concienciación
La formación del personal es fundamental para el cumplimiento del RGPD. Mantenemos un programa integral de concienciación:
13.1 Programa de Formación
| Audiencia | Contenido | Frecuencia | Duración |
|---|---|---|---|
| Todo el personal | Conceptos básicos RGPD | Anual | 4 horas |
| Equipo técnico | Seguridad y privacidad por diseño | Semestral | 8 horas |
| Equipo legal | Actualizaciones normativas | Trimestral | 2 horas |
| Directivos | Responsabilidades y sanciones | Anual | 6 horas |
| Nuevos empleados | Inducción RGPD | Al incorporarse | 2 horas |
13.2 Contenido de la Formación
- 📋 Principios RGPD: Los 7 principios fundamentales
- 🔒 Derechos de los titulares: Los 8 derechos fundamentales
- 🛡️ Medidas de seguridad: Técnicas y organizativas
- 📊 Violaciones de datos: Detección y respuesta
- 🤝 Contratos con terceros: Cláusulas de protección
- 📚 Documentación: Registros y procedimientos
13.3 Evaluación y Seguimiento
- 📝 Exámenes: Evaluación de conocimientos adquiridos
- 📊 Métricas: Seguimiento de asistencia y rendimiento
- 🔄 Actualizaciones: Formación sobre cambios normativos
- 📋 Certificaciones: Reconocimiento de competencias
- 🤝 Feedback: Evaluación de la calidad de la formación
13.4 Recursos de Formación
- 📚 Materiales internos: Guías y procedimientos específicos
- 🎥 Videos formativos: Contenido multimedia interactivo
- 📖 Biblioteca legal: Documentación normativa actualizada
- 🤝 Expertos externos: Formación especializada
- 💻 Plataforma online: Acceso 24/7 a recursos
✅ Compromiso: Invertimos significativamente en la formación de nuestro personal porque creemos que la concienciación es la mejor defensa contra las violaciones de datos.
14. Actualizaciones y Mejoras Continuas
El cumplimiento del RGPD es un proceso dinámico que requiere actualizaciones constantes:
14.1 Proceso de Actualización
| Fuente de Cambio | Frecuencia | Acción | Responsable |
|---|---|---|---|
| Cambios normativos | Según se publiquen | Revisar y adaptar procesos | DPO + Equipo Legal |
| Nuevas tecnologías | Continuo | Evaluar impacto en privacidad | Equipo Técnico + DPO |
| Auditorías | Según resultados | Implementar mejoras | Equipo correspondiente |
| Violaciones | Según ocurran | Mejorar controles | Equipo de Seguridad |
| Feedback usuarios | Continuo | Mejorar transparencia | DPO + Producto |
14.2 Mejoras Implementadas Recientemente
- 🔒 Mejoras de seguridad: Implementación de autenticación de dos factores
- 📊 Transparencia: Actualización de políticas de privacidad
- 🤖 IA responsable: Nuevas medidas para el procesamiento de conversaciones
- 📋 Documentación: Mejora de registros de actividades
- 🎓 Formación: Nuevos módulos de concienciación
14.3 Próximas Mejoras Planificadas
- 📊 Dashboard de cumplimiento: Herramienta interna de monitoreo
- 🤖 Automatización: Procesos automatizados de cumplimiento
- 📱 Portal del usuario: Interfaz mejorada para ejercer derechos
- 🔍 Auditorías externas: Evaluaciones por terceros independientes
- 📚 Certificaciones: Obtención de certificaciones ISO 27001
14.4 Comunicación de Cambios
Te informamos sobre cambios importantes mediante:
- 📧 Email: Notificaciones a tu dirección registrada
- 🔔 Panel de Control: Avisos en la plataforma
- 📅 Páginas legales: Actualización de políticas
- 📢 Blog: Artículos sobre mejoras implementadas
🔄 Compromiso: Nos comprometemos a mantenerte informado sobre todas las mejoras que implementamos para proteger mejor tus datos personales.
15. Contacto y Recursos
¿Preguntas sobre RGPD?
Si tienes preguntas, dudas o quieres ejercer tus derechos RGPD, contáctanos:
📧 DPO (Delegado de Protección de Datos): dpo@unichatia.com
📧 Email General: info@unichatia.com
📍 Dirección: Cangas do Morrazo, Pontevedra, España
⏰ Horario DPO: L-V 9:00-18:00 CET
⏱️ Tiempo de respuesta: < 24 horas (DPO), < 48 horas (general)
Razón Social: Skydesk International
Marca Comercial: UniChatIA
Web: unichatia.com
15.1 Autoridades de Control
También puedes contactar directamente con las autoridades de control:
- 🏛️ Agencia Española de Protección de Datos (AEPD)
- 🌐 Web: www.aepd.es
- 📧 Email: canaldedenuncias@aepd.es
- 📞 Teléfono: 901 100 099 / 912 663 517
- 📍 Dirección: C/ Jorge Juan, 6, 28001 Madrid
15.2 Recursos Adicionales
Para más información sobre RGPD:
- 📋 Política de Privacidad: Detalles completos sobre tratamiento de datos
- 🍪 Política de Cookies: Información sobre cookies y tecnologías de seguimiento
- 📄 Términos y Condiciones: Condiciones de uso del servicio
- 🌐 Comisión Europea: Información oficial sobre RGPD
15.3 Reclamaciones Online
Para reclamaciones online (consumidores UE):
Plataforma de Resolución de Litigios en Línea: https://ec.europa.eu/consumers/odr
Última actualización: 27 de octubre de 2025
Versión: 1.0 - RGPD Compliant
Para más información, consulta nuestra Política de Privacidad
← Volver a UniChatIA