Política de Privacidad y Transparencia
Las actividades de procesamiento, bases legales, períodos de retención y subprocesadores están documentados en nuestra Política de Privacidad.
Ver Política de Privacidad →Cumplimiento GDPR.Integrado, no añadido.
mypinio está diseñado para organizaciones que manejan datos personales de manera responsable. Cumplimiento completo de GDPR, derechos de sujeto de datos autoservicio, eliminación automatizada y gestión transparente de subprocesadores — por diseño, no como algo posterior.
Conforme a GDPRResidencia de Datos en la UEDerechos AutoservicioRastro de Auditoría CompletoEliminación Automatizada
DERECHOS DEL TITULAR DE DATOS
Los derechos de tus usuarios, integrados en la plataforma.
Derecho de acceso
Los usuarios pueden ver y exportar todos sus datos personales a través de nuestro centro GDPR de autoservicio. Exportación JSON con enlace de descarga de un solo uso, almacenamiento encriptado, disponibilidad de 48 horas.
Derecho al olvido
Dos opciones de eliminación: inmediata o con un período de gracia de 14 días. Todos los datos del workspace, sesiones, uso de IA y datos de autenticación se eliminan permanentemente. Los registros de eliminación se conservan como prueba legal.
Portabilidad de datos
Exportación completa de datos en formato JSON legible por máquina. Incluye datos de perfil, membresías, sesiones, metadatos de encuestas, notificaciones y registros de auditoría. Una exportación por cada 24 horas, transmitida por servidor.
Derecho de rectificación
Los usuarios pueden actualizar sus datos de perfil directamente en la configuración de la cuenta. Sin necesidad de ticket de soporte — corrección inmediata de autoservicio de información personal.
Derecho de limitación
Los usuarios pueden solicitar restricciones de procesamiento en cualquier momento. Revocación de sesiones disponible a través del centro GDPR — revoca todas las otras sesiones activas con un clic.
Derecho de oposición
Los usuarios pueden oponerse al procesamiento basado en intereses legítimos en cualquier momento. El consentimiento de cookies se puede retirar instantáneamente mediante el banner de cookies o la configuración de la plataforma.
IMPLEMENTACIÓN
Cumplimiento GDPR en cada capa.
Gestión del consentimiento de cookies
Sistema de consentimiento de cuatro categorías (necesarias, análisis, marketing, preferencias). Cookies no esenciales deshabilitadas por defecto. Sin Google Analytics, sin Meta Pixel, sin rastreo de terceros. Consentimiento revocable en cualquier momento.
Encriptación de PII
Campos de datos personales encriptados en reposo. Las claves API se almacenan únicamente como hashes SHA-256. Las contraseñas de comunidad se hashean con bcryptjs (factor de costo 12+). Las cookies de sesión utilizan flags httpOnly, Secure y SameSite.
Aislamiento de datos del workspace
Cada consulta a la base de datos está limitada al nivel del workspace. El acceso a datos entre workspaces es imposible por diseño. El middleware de Prisma aplica el alcance como red de seguridad — las consultas sin alcance lanzan errores en desarrollo.
Registro de auditoría inmutable
Cada acción relevante para la seguridad se registra: exportaciones de datos, eliminaciones, operaciones de claves API, cambios de rol, gestión de miembros. Los registros de auditoría contienen solo IDs de recursos y tipos de acciones — nunca contenido o PII.
Políticas de retención de datos
Períodos de retención concretos: 30 días para sesiones, 48 horas para exportaciones GDPR, 90 días para eventos de pago. Limpieza automatizada a través de trabajos cron diarios y semanales. Sin acumulación indefinida de datos.
Minimización de datos
Direcciones IP almacenadas solo como país. Reportes de errores depurados de PII antes de transmitirse a Sentry. Prompts de IA minimizados — sin correos, nombres o datos de pago enviados a Anthropic. Los encuestados anónimos por defecto.
Gestión transparente de subprocesadores.
Trabajamos con 7 subprocesadores, cada uno con un Acuerdo de Procesamiento de Datos vigente. Todos los subprocesadores, su alcance de datos y ubicaciones de almacenamiento están documentados en nuestra Política de Privacidad. Una lista de subprocesadores actualizada está disponible bajo solicitud.
PARA TUS CLIENTES
Ayuda a tus clientes a confiar en ti.
Encuestados anónimos
Los encuestados son anónimos por defecto — identificados únicamente por un código de respuesta aleatorio. No se almacenan direcciones IP en las sesiones de respuesta. Tú controlas qué datos adicionales recopilar.
Privacidad del miembro de la comunidad
Los miembros de la comunidad se autentican a través de enlace mágico o contraseña. Eliminación permanente al remover miembro — todos los datos asociados se eliminan permanentemente. Sin datos fantasma dejados atrás.
Acuerdo de Procesamiento de Datos
Proporcionamos un DPA para clientes comerciales, cubriendo nuestro rol como procesador de datos bajo Art. 28 GDPR. Disponible bajo solicitud en [email protected].
¿Preguntas sobre cumplimiento GDPR?
Estamos encantados de discutir nuestro enfoque de cumplimiento, proporcionar nuestro DPA o revisar requisitos específicos para su organización.
Preguntas frecuentes