Información sobre el tratamiento de los datos personales

1. Responsable del tratamiento

El responsable del tratamiento es CodeDesign S.r.l., con domicilio social en Via Nino Pesce 38, 18018 Taggia (IM), P. IVA IT01739830089 (en adelante, "CodeDesign" o "Proveedor").

Para cualquier solicitud relativa al tratamiento de los datos personales y para el ejercicio de los derechos previstos por el GDPR es posible escribir a: info@codedesign.it.

2. Función de CodeDesign y ámbito de la información

En la prestación de la plataforma Evolus, CodeDesign opera con una doble función:

• a) en calidad de Responsable del tratamiento, para los datos relativos a la creación y gestión de las cuentas, a la autenticación, al uso de la plataforma, a la seguridad, a la asistencia y al cumplimiento de obligaciones legales;
• b) en calidad de Encargado del tratamiento conforme al art. 28 GDPR, para los datos personales que se tratan por cuenta del Cliente (la organización que ha suscrito la suscripción) a través del Employee AI y de las funcionalidades de la plataforma. Dicho tratamiento se rige por una Autorización para el Tratamiento de los Datos Personales (DPA) suscrita entre CodeDesign y el Cliente, que identifica al Cliente como Responsable de dichos datos.

Para los datos tratados por cuenta del Cliente, la información a los interesados y la recogida de las eventuales bases jurídicas son competencia del Cliente. La presente información describe principalmente los tratamientos para los que CodeDesign actúa como Responsable y aporta transparencia sobre toda la arquitectura de tratamiento de la plataforma.

3. Categorías de datos personales tratados

En función de las funcionalidades activadas, pueden tratarse las siguientes categorías de datos:

Datos de cuenta y perfil

El acceso al portal se realiza mediante el sistema de identidad Keycloak (identity.evolus.ai). Se tratan: nombre, apellidos, nombre de usuario, dirección de correo electrónico, rol/grupos de pertenencia, idioma preferido y eventual imagen de perfil (avatar).

Datos de uso y técnicos

Datos relativos al uso del Servicio, logs técnicos, identificadores de sesión, datos de diagnóstico y telemetría de funcionamiento, registros de audit trail de las actividades realizadas en la plataforma.

Contenidos introducidos en la plataforma

• contenidos de conversaciones y mensajes intercambiados con el Employee AI mediante chat web, mensajería instantánea y correo electrónico;
• grabaciones y transcripciones de conversaciones de voz, cuando la funcionalidad de voz esté activada;
• documentos, archivos y contenidos cargados en la Knowledge Base para la recuperación de información (RAG);
• datos de identificación y de contacto presentes en la agenda (contactos verificados) y en los contenidos gestionados por el Employee AI;
• configuraciones, instrucciones y automatizaciones definidas por el Cliente.

Los contenidos pueden incluir datos personales de terceros (empleados, colaboradores, clientes y contactos del Cliente). El Cliente es responsable de la licitud de su inserción y de la entrega de las correspondientes informaciones.

4. Cookies y tecnologías de almacenamiento local

El portal portal.evolus.ai no utiliza cookies de perfilado ni herramientas de seguimiento publicitario. Para su funcionamiento utiliza exclusivamente tecnologías de almacenamiento local (localStorage) del navegador, indispensables para la prestación del Servicio:

• tokens de autenticación y de refresh, necesarios para mantener la sesión de acceso;
• preferencias de interfaz, como el tema (claro/oscuro) y el idioma seleccionado;
• eventuales parámetros técnicos de administración (por ejemplo, para las funciones de soporte).

Dicha información permanece almacenada en el navegador del usuario y no se utiliza con fines de perfilado. El portal no integra Google Analytics ni otros trackers de terceros. Con fines de monitorización técnica y de seguridad de la infraestructura, el Proveedor puede recoger datos de diagnóstico agregados del lado del servidor.

5. Finalidades y bases jurídicas del tratamiento

Los datos se tratan para las siguientes finalidades y sobre las siguientes bases jurídicas:

• a) prestación de la plataforma Evolus y de las funcionalidades de Employee AI, gestión de la cuenta y de la autenticación — base jurídica: ejecución del contrato (art. 6.1.b GDPR);
• b) asistencia y soporte técnico al usuario — base jurídica: ejecución del contrato e interés legítimo (art. 6.1.b y 6.1.f GDPR);
• c) seguridad de la plataforma, prevención de los abusos y audit trail (Safety Engine) — base jurídica: interés legítimo del Proveedor en garantizar la integridad y la seguridad del Servicio (art. 6.1.f GDPR);
• d) cumplimiento de obligaciones legales, contables y fiscales — base jurídica: obligación legal (art. 6.1.c GDPR);
• e) determinación, ejercicio o defensa de un derecho en sede judicial — base jurídica: interés legítimo (art. 6.1.f GDPR).

Los datos y los contenidos del Cliente no son utilizados por CodeDesign para finalidades propias, ni para entrenar o mejorar modelos de inteligencia artificial de terceros, salvo consentimiento escrito expreso y separado del Cliente.

6. Modalidades del tratamiento y medidas de seguridad

El tratamiento se efectúa con herramientas automatizadas y, cuando sea necesario, con intervenciones manuales autorizadas. CodeDesign adopta medidas técnicas y organizativas adecuadas conforme al art. 32 GDPR, entre ellas:

• control de los accesos: acceso a los datos limitado al personal autorizado, con mecanismos de autenticación fuerte y perfilado de los roles;
• cifrado: datos en tránsito protegidos con TLS 1.3; datos en reposo cifrados con AES-256;
• infraestructura: hosting en centros de datos certificados situados en la Unión Europea;
• audit trail: registro y monitorización de los accesos a los datos;
• Safety Engine: sistema de protección frente a prompt injection, data leakage y uso indebido de las herramientas de IA;
• business continuity: copias de seguridad diarias, disaster recovery con RTO < 24 horas y RPO < 1 hora;
• pruebas de penetración (penetration test) periódicas realizadas por terceros independientes;
• formación del personal en materia de protección de datos y seguridad informática.

7. Inteligencia artificial y proveedores de modelos

Para prestar las funcionalidades conversacionales, de síntesis y de automatización, la plataforma transmite los contenidos necesarios a proveedores de modelos de inteligencia artificial y de servicios de voz (subencargados indicados en la sección 8).

El Employee AI es una herramienta de apoyo y automatización: puede generar resultados imprecisos o incompletos ("alucinaciones"). Los resultados no sustituyen el juicio humano y deben verificarse antes de basarse en ellos para decisiones relevantes. Los contenidos transmitidos a los proveedores de IA no se utilizan para el entrenamiento de sus modelos, salvo consentimiento escrito expreso y separado del Cliente.

8. Destinatarios y subencargados del tratamiento

Los datos pueden comunicarse a proveedores externos nombrados encargados o subencargados del tratamiento, seleccionados entre sujetos que ofrecen garantías adecuadas en materia de protección de los datos y vinculados por contrato con obligaciones equivalentes a las asumidas por CodeDesign. Los subencargados actualmente utilizados pertenecen a las siguientes categorías:

• infraestructura cloud, hosting y almacenamiento: Hetzner Online GmbH y Microsoft (Microsoft Azure), en centros de datos situados en la Unión Europea;
• servicios de IA / modelos lingüísticos (LLM): Anthropic PBC, OpenAI Global LLC, OpenRouter Inc. y Google LLC;
• servicios de transcripción de voz (speech-to-text): Deepgram Inc.;
• servicios de síntesis de voz y agentes de voz: ElevenLabs Ltd;
• integraciones de productividad activadas y autorizadas por el Cliente: Microsoft 365 / Microsoft Graph (correo, calendario, Teams, archivos), Google Workspace y Meta (WhatsApp Business), limitadamente a los datos estrictamente necesarios para la funcionalidad activada.

La lista completa y actualizada de los subencargados está disponible previa solicitud. CodeDesign comunica con la debida antelación las eventuales modificaciones de los subencargados. Los datos no son objeto de difusión ni de venta a terceros.

9. Transferencia de datos a Países terceros

CodeDesign se compromete a mantener los datos personales dentro del Espacio Económico Europeo (EEE). En caso de que la prestación del Servicio requiera una transferencia a Países terceros —por ejemplo, a proveedores de servicios de IA con sede fuera de la UE— dicha transferencia se realiza exclusivamente:

• a) a Países para los que la Comisión Europea ha adoptado una decisión de adecuación (art. 45 GDPR); o bien
• b) en presencia de garantías adecuadas conforme al art. 46 GDPR, como las Cláusulas Contractuales Tipo (Standard Contractual Clauses); o bien
• c) en virtud de una de las excepciones previstas por el art. 49 GDPR.

10. Periodo de conservación

Los datos personales se conservan durante el tiempo estrictamente necesario para la consecución de las finalidades para las que se tratan y, en todo caso:

• los datos de cuenta y los contenidos del Cliente se conservan durante la vigencia de la relación contractual; a su extinción, a elección del Cliente, se devuelven o cancelan de forma segura en el plazo de 60 días, salvo obligaciones legales de conservación;
• los archivos de audit temporales se conservan durante un periodo limitado (a título enunciativo, 24 horas) y se eliminan después automáticamente;
• los datos de las conversaciones pueden ser eliminados por el usuario directamente desde la plataforma; para los canales externos se aplican las ventanas temporales técnicas previstas por el canal (a título enunciativo, 24 horas para la ventana de conversación de WhatsApp);
• los datos tratados por obligaciones contables y fiscales se conservan durante los plazos previstos por la normativa aplicable.

11. Derechos del interesado

Los interesados pueden ejercer en cualquier momento los derechos previstos por los arts. 15-22 GDPR, y en particular:

• acceso a sus datos personales;
• rectificación de los datos inexactos e integración de los datos incompletos;
• supresión de los datos (derecho al olvido);
• limitación del tratamiento;
• portabilidad de los datos;
• oposición al tratamiento basado en el interés legítimo;
• revocación del consentimiento, cuando el tratamiento se base en el consentimiento, sin perjuicio de la licitud del tratamiento efectuado antes de la revocación.

Las solicitudes pueden enviarse a info@codedesign.it; CodeDesign responde en el plazo de un mes desde la solicitud. En caso de que el interesado sea un empleado, colaborador o contacto del Cliente y los datos sean tratados por CodeDesign por cuenta del Cliente, la solicitud se trasladará al Cliente, en calidad de Responsable, sin dilación indebida.

El interesado tiene además el derecho de presentar una reclamación ante la Autoridad de control competente (en Italia, el Garante per la Protezione dei Dati Personali —autoridad italiana de protección de datos— www.garanteprivacy.it).

12. Modificaciones de la información

CodeDesign se reserva el derecho de actualizar la presente información para reflejar modificaciones normativas, técnicas u organizativas. La versión actualizada se publicará en esta página con indicación de la fecha de última actualización. Se invita a consultar periódicamente la página.