Privacidad

Política de privacidad

Cómo SetAIComply recopila, utiliza y protege sus datos personales conforme al RGPD.

Última actualización: Marzo 2026

1. Introducción

Esta política de privacidad describe cómo SetAIComply (en adelante «SetAIComply», «nosotros», «nuestro») recopila, utiliza, almacena y protege los datos personales de sus usuarios (en adelante «usted», «el Usuario») en relación con el uso de la plataforma SaaS SetAIComply dedicada al cumplimiento del Reglamento Europeo sobre Inteligencia Artificial (Reglamento (UE) 2024/1689, en adelante «Reglamento de IA»).

Esta política se establece de conformidad con el Reglamento General de Protección de Datos (UE) 2016/679 (en adelante «RGPD») y la Ley n.º 78-17 de 6 de enero de 1978 relativa a la informática, los ficheros y las libertades, en su versión modificada.

2. Responsable del tratamiento

El responsable del tratamiento de datos personales es:

Denominación social: SetAIComply
Correo electrónico de contacto: support@setaicomply.com

3. Datos recopilados y finalidades del tratamiento

3.1 Datos de identificación y cuenta

Al crear su cuenta y utilizar la plataforma, recopilamos los siguientes datos:

Apellido y nombre
Dirección de correo electrónico profesional
Nombre de la empresa y sector de actividad de su organización
Cargo dentro de la organización
Contraseña (almacenada en forma cifrada)

Finalidad: creación y gestión de su cuenta de usuario, autenticación, comunicaciones relacionadas con el servicio.

Base jurídica: ejecución del contrato (artículo 6.1.b del RGPD).

3.2 Datos de facturación

Para el tratamiento de sus pagos, recopilamos:

Dirección de facturación
Número de IVA intracomunitario (en su caso)
Historial de facturas y pagos

Los datos de tarjetas de crédito son recopilados y tratados exclusivamente por nuestro proveedor de pagos Stripe, Inc. y nunca se almacenan en nuestros servidores.

Finalidad: facturación, gestión de suscripciones, cumplimiento de obligaciones contables y fiscales.

Base jurídica: ejecución del contrato (artículo 6.1.b del RGPD) y obligación legal (artículo 6.1.c del RGPD).

3.3 Datos de uso de la plataforma

Recopilamos datos relativos a su uso de la plataforma:

Descripciones y parámetros de los sistemas de IA que registra en la plataforma
Resultados de la clasificación de riesgos y evaluaciones de conformidad
Documentos generados (documentación técnica del Anexo IV)
Historial de acciones y registro de auditoría
Comentarios y anotaciones

Finalidad: prestación del servicio de cumplimiento del Reglamento de IA, generación de documentación, seguimiento de la conformidad.

Base jurídica: ejecución del contrato (artículo 6.1.b del RGPD).

3.4 Datos técnicos y de conexión

Recopilamos automáticamente ciertos datos técnicos:

Dirección IP
Tipo y versión del navegador
Sistema operativo
Páginas visitadas y ruta de navegación
Fecha y hora de conexión
Identificadores de sesión

Finalidad: seguridad de la plataforma, mejora del servicio, diagnóstico técnico, cumplimiento de obligaciones legales de conservación de datos de conexión.

Base jurídica: interés legítimo (artículo 6.1.f del RGPD) y obligación legal (artículo 6.1.c del RGPD).

3.5 Cookies

Nuestra plataforma utiliza cookies estrictamente necesarias para el funcionamiento del servicio (autenticación, preferencias de sesión). No utilizamos cookies publicitarias ni rastreadores de terceros con fines de elaboración de perfiles. Para las cookies de análisis de audiencia, se obtiene su consentimiento previamente de conformidad con el artículo 82 de la Ley francesa de protección de datos.

4. Uso de la inteligencia artificial

Nuestra plataforma utiliza servicios de inteligencia artificial proporcionados por Anthropic, PBC (Claude API) para la generación automatizada de documentación técnica y la asistencia en la clasificación de sistemas de IA.

En este contexto, ciertos datos descriptivos de sus sistemas de IA (descripciones funcionales, casos de uso, parámetros técnicos) pueden ser transmitidos a la API de Anthropic Claude para el tratamiento de solicitudes. Estos datos se utilizan exclusivamente para generar respuestas a sus solicitudes y no son utilizados por Anthropic para entrenar sus modelos, de conformidad con nuestro acuerdo de tratamiento de datos con este subencargado.

No se transmiten datos personales que identifiquen directamente a personas físicas a la API de Anthropic Claude en el curso normal del uso de la plataforma.

5. Destinatarios de los datos

Sus datos personales son accesibles exclusivamente para:

El personal autorizado de SetAIComply, estrictamente en la medida necesaria para el desempeño de sus funciones
Nuestros subencargados del tratamiento, en las condiciones descritas en la Sección 6
En su caso, las autoridades competentes en respuesta a una obligación legal o una orden judicial

Nunca vendemos, alquilamos ni compartimos sus datos personales con terceros con fines comerciales o publicitarios.

6. Subencargados del tratamiento y transferencias de datos

Utilizamos los siguientes subencargados del tratamiento para el funcionamiento de la plataforma:

Subencargado	Finalidad	Ubicación de los datos	Garantías
Railway Corporation	Alojamiento de la aplicación, base de datos y caché	Unión Europea (Ámsterdam, Países Bajos)	Región de datos en la UE, SOC 2 Type II, DPA conforme con el RGPD, cifrado en reposo, Cláusulas Contractuales Tipo de la UE cuando corresponda
Stripe, Inc.	Procesamiento de pagos	Unión Europea	Certificado PCI DSS Nivel 1, DPA conforme al RGPD
Anthropic, PBC	Generación de documentación asistida por IA (Claude API)	Estados Unidos	DPA conforme al RGPD, cláusulas contractuales tipo (CCT) de la Comisión Europea
Cloudflare, Inc.	Envío de correos electrónicos transaccionales y DNS	Unión Europea / red de borde global	DPA conforme al RGPD, cláusulas contractuales tipo (CCT) de la Comisión Europea

Las transferencias a subencargados del tratamiento constituidos en EE. UU. —Anthropic (generación por IA) y Cloudflare (envío de correos electrónicos transaccionales y DNS)— se rigen por las cláusulas contractuales tipo adoptadas por la Comisión Europea (Decisión de ejecución 2021/914), complementadas con medidas adicionales apropiadas. La transferencia a Anthropic solo afecta a los datos descriptivos de los sistemas de IA (sin datos directamente identificativos); la transferencia a Cloudflare afecta a la dirección de correo electrónico y al contenido de los mensajes transaccionales que le enviamos.

7. Seguridad de los datos

Implementamos medidas técnicas y organizativas apropiadas para garantizar la seguridad de sus datos, incluyendo:

Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256)
Alojamiento en infraestructura de la UE ubicada en Ámsterdam, Países Bajos (Railway)
Autenticación segura con hash de contraseñas (bcrypt)
Control de acceso basado en roles (RBAC)
Registro de accesos y acciones
Copias de seguridad cifradas periódicas
Pruebas y auditorías de seguridad periódicas
Política de gestión de incidentes de seguridad

8. Plazos de conservación de datos

Sus datos se conservan durante los siguientes períodos:

Datos de cuenta: durante la vigencia de su suscripción, y luego 3 años después del cierre de la cuenta a efectos de gestión de litigios
Datos de facturación: 10 años de conformidad con las obligaciones contables y fiscales (artículo L.123-22 del Código de Comercio francés)
Datos de uso (sistemas de IA, documentos): durante la vigencia de su suscripción, y luego eliminados en un plazo de 90 días tras el cierre de la cuenta, salvo obligación legal en contrario
Datos técnicos y registros: 12 meses de conformidad con la legislación aplicable (Decreto n.º 2011-219 de 25 de febrero de 2011)
Cookies: máximo 13 meses de conformidad con las recomendaciones de la CNIL

Al expirar estos plazos, sus datos serán eliminados de forma permanente o anonimizados de manera irreversible.

9. Sus derechos

De conformidad con el RGPD y la Ley francesa de protección de datos, usted dispone de los siguientes derechos sobre sus datos personales:

Derecho de acceso (artículo 15 del RGPD): obtener confirmación de que se tratan datos que le conciernen y obtener una copia
Derecho de rectificación (artículo 16 del RGPD): solicitar la corrección de datos inexactos o la completitud de datos incompletos
Derecho de supresión (artículo 17 del RGPD): solicitar la eliminación de sus datos en los casos previstos por la normativa
Derecho a la limitación del tratamiento (artículo 18 del RGPD): solicitar la suspensión del tratamiento de sus datos en determinados casos
Derecho a la portabilidad de los datos (artículo 20 del RGPD): recibir sus datos en un formato estructurado, de uso común y lectura mecánica
Derecho de oposición (artículo 21 del RGPD): oponerse al tratamiento de sus datos basado en un interés legítimo
Derecho a establecer directivas post mortem: de conformidad con el artículo 85 de la Ley francesa de protección de datos, establecer directivas sobre el destino de sus datos tras su fallecimiento

Para ejercer sus derechos, puede contactarnos:

Por correo electrónico: support@setaicomply.com

Nos comprometemos a responder a su solicitud en el plazo de un mes a partir de su recepción. Este plazo podrá ampliarse en dos meses en caso de solicitudes complejas o numerosas, de lo cual será informado.

También tiene derecho a presentar una reclamación ante la Commission Nationale de l'Informatique et des Libertés (CNIL):

CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07

Sitio web: www.cnil.fr

10. Modificaciones de la política de privacidad

Nos reservamos el derecho de modificar esta política de privacidad en cualquier momento. En caso de modificación sustancial, se le informará por correo electrónico o mediante una notificación en la plataforma con al menos 30 días de antelación antes de que las modificaciones entren en vigor. El uso continuado de la plataforma tras la entrada en vigor de las modificaciones constituye la aceptación de la política modificada.

11. Contacto

Para cualquier pregunta relativa a esta política de privacidad o al tratamiento de sus datos personales, puede contactarnos en: support@setaicomply.com.