Política de Privacidad

ComplyDev ("nosotros", "nuestro") se compromete a proteger la privacidad de sus usuarios. Esta Política de Privacidad describe cómo recopilamos, utilizamos y protegemos sus datos personales cuando utiliza nuestra plataforma de evaluación de ciberseguridad.

ComplyDev

Sitio web: https://complydev.com — Email: privacy@complydev.com

Utilizamos sus datos para:

• Prestación del servicio: Generar su informe de cumplimiento personalizado
• Comunicación: Comunicaciones futuras (si proporciona su email)
• Marketing (solo con consentimiento): Enviar boletines y actualizaciones normativas
• Seguridad: Prevenir abusos y ciberataques

El tratamiento de datos se basa en:

• Ejecución del contrato (Art. 6.1.b RGPD): Para proporcionar el servicio solicitado
• Consentimiento (Art. 6.1.a RGPD): Para comunicaciones de marketing (opcional)
• Interés legítimo (Art. 6.1.f RGPD): Para seguridad y prevención de fraude

• Respuestas al cuestionario: Eliminadas automáticamente 7 días después de completar
• Informe generado: Disponible 7 días vía enlace firmado, luego eliminado
• Datos de empresa: Conservados hasta la revocación del consentimiento o solicitud de eliminación
• Datos técnicos (IP, logs): Conservados 30 días por seguridad

Sus datos pueden compartirse con:

• Proveedor de IA (DeepSeek): Para procesar respuestas (acuerdo DPA vigente)
• Almacenamiento (Cloudflare R2): Para almacenar temporalmente PDFs (acuerdo DPA vigente)
• Base de datos (Supabase): Para gestión de datos (acuerdo DPA vigente)
• Analytics (Plausible Analytics): Analítica web sin cookies, respetuosa con la privacidad (alojada en la UE, no se recopilan datos personales)
• Performance Monitoring (Vercel Analytics): Métricas de rendimiento sin cookies (no se recopilan datos personales)
• Error Monitoring (Sentry): Seguimiento de errores para la fiabilidad del servicio (acuerdo DPA vigente, puede capturar contexto técnico de errores)

No vendemos ni compartimos sus datos con terceros con fines comerciales.

Algunos de nuestros proveedores están ubicados fuera de la UE. En particular, DeepSeek (nuestro proveedor de IA) tiene su sede en China, que no cuenta con una decisión de adecuación de la UE. Para dichas transferencias, nos basamos en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, complementadas con medidas técnicas adicionales (cifrado en tránsito, minimización de datos, sin almacenamiento persistente por parte del proveedor) de conformidad con la decisión Schrems II. Otros proveedores (Supabase, Sentry) procesan datos dentro de la UE o en países con decisiones de adecuación.

Tiene derecho a:

• Acceso (Art. 15): Obtener una copia de sus datos
• Rectificación (Art. 16): Corregir datos inexactos
• Supresión (Art. 17): Solicitar la eliminación de sus datos
• Limitación (Art. 18): Restringir el tratamiento
• Portabilidad (Art. 20): Recibir sus datos en formato estructurado
• Oposición (Art. 21): Oponerse al tratamiento por motivos legítimos
• Retirada del consentimiento (Art. 7.3): Retirar el consentimiento de marketing en cualquier momento

Para ejercer sus derechos, escríbanos a privacy@complydev.com. Responderemos en un plazo de 30 días conforme al RGPD.

Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos:

• Cifrado TLS/SSL para transmisiones
• Cifrado en reposo para almacenamiento
• Controles de acceso basados en roles
• Registros de auditoría y monitorización
• Copias de seguridad regulares y recuperación ante desastres

Utilizamos únicamente cookies técnicas estrictamente necesarias: una cookie de sesión de autenticación (Supabase), un token de protección CSRF y una cookie de preferencia de idioma (NEXT_LOCALE). No utilizamos ninguna cookie de seguimiento, análisis o publicidad. Nuestras analíticas web son proporcionadas por Plausible Analytics, que funciona sin cookies y cumple con el RGPD por diseño.

Nuestro servicio está dirigido a empresas y no está destinado a menores de 16 años. No recopilamos deliberadamente datos de menores.

Podemos actualizar esta Política de Privacidad periódicamente. El uso continuado del servicio tras los cambios constituye la aceptación de la nueva política.

En caso de una violación de datos personales que suponga un riesgo para sus derechos y libertades, notificaremos a la Autoridad de Protección de Datos competente en un plazo de 72 horas conforme al Art. 33 RGPD. Si la violación puede resultar en un alto riesgo, también notificaremos a los usuarios afectados sin dilación indebida (Art. 34 RGPD).

Dada la naturaleza y el alcance de nuestras actividades de tratamiento de datos, ComplyDev no está obligada a designar un Delegado de Protección de Datos conforme al Art. 37 RGPD. Para cualquier consulta relacionada con la privacidad, puede contactarnos directamente en privacy@complydev.com.

Tiene derecho a presentar una reclamación ante su Autoridad nacional de Protección de Datos. Para los usuarios en Italia, la autoridad competente es el Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it).

Nuestro servicio utiliza inteligencia artificial (DeepSeek) para analizar el perfil de su empresa e identificar las regulaciones de ciberseguridad aplicables. La IA evalúa el sector, el tamaño, el país y la descripción de su empresa para determinar qué regulaciones aplican y generar un informe de análisis de brechas.

Este procesamiento se basa en lógica automatizada pero no produce decisiones jurídicamente vinculantes. El resultado es de naturaleza informativa y consultiva. Usted tiene derecho a solicitar una revisión humana de cualquier evaluación generada por IA contactándonos en privacy@complydev.com.

Para cualquier pregunta sobre esta Política de Privacidad o el tratamiento de sus datos, escríbanos a privacy@complydev.com.