En cumplimiento de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que se deroga la Directiva 95/46/CE (en adelante, «Reglamento General de Protección de Datos» o «RGPD»), así como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, «LOPD-GDD»), se informa al usuario de que el responsable del tratamiento de los datos personales que se recaben a través de la plataforma Clonio es Yoan Lopez, persona física que opera en régimen de trabajador autónomo, con domicilio profesional en Innogune Coworking, Mundaitz Kalea 50, 20012 Donostia-San Sebastián, Gipuzkoa, España, y dirección de correo electrónico kaixoai.contact@gmail.com, a la cual podrá dirigirse el usuario para el ejercicio de cualquiera de los derechos reconocidos por la normativa vigente en materia de protección de datos de carácter personal.
A través de la Plataforma se recaban y tratan las siguientes categorías de datos personales del usuario, de conformidad con las finalidades y bases jurídicas que a continuación se detallan: (i) datos de cuenta, fundamentalmente la dirección de correo electrónico proporcionada durante el proceso de registro y la contraseña asociada, que se almacena exclusivamente en formato cifrado mediante algoritmos de hash unidireccional; (ii) datos vinculados a la cuenta de LinkedIn del usuario, tales como el token de acceso OAuth 2.0, el nombre público del perfil, el identificador único de usuario en LinkedIn y, en su caso, las métricas públicas de rendimiento de las publicaciones, datos todos ellos proporcionados voluntariamente por el usuario al conectar su cuenta de LinkedIn con la Plataforma mediante el flujo de autorización estándar de OAuth; (iii) contenido generado por el usuario a través de la Plataforma, incluyendo textos, imágenes, borradores, programaciones y cualesquiera otros materiales creados mediante las herramientas de inteligencia artificial integradas, los cuales se almacenan asociados a la cuenta del usuario; (iv) datos técnicos recopilados de forma automática durante la navegación y uso de la Plataforma, tales como la dirección IP, el tipo y versión del navegador, la resolución de pantalla, el sistema operativo, las páginas visitadas dentro de la Plataforma, los tiempos de sesión y demás información técnica necesaria para garantizar la seguridad, disponibilidad y correcto funcionamiento del servicio; y (v) datos de contacto, concretamente la dirección de correo electrónico proporcionada voluntariamente por el usuario a través del formulario de inscripción en la lista de espera (waitlist) habilitado en la Plataforma.
El tratamiento de los datos personales del usuario se realiza con las siguientes finalidades: la gestión de la cuenta del usuario y la autenticación de su identidad en la Plataforma; la generación y programación de contenido textual y visual para la red social LinkedIn mediante el uso de modelos de inteligencia artificial de terceros; la publicación automatizada o semiautomatizada de dicho contenido en la cuenta de LinkedIn del usuario, previa autorización expresa de este; y la presentación de estadísticas de rendimiento de las publicaciones realizadas a través de la Plataforma. Las bases jurídicas que legitiman el tratamiento son: (a) la ejecución de un contrato en el que el interesado es parte, o la aplicación a petición de este de medidas precontractuales, conforme al artículo 6, apartado 1, letra b), del RGPD, en la medida en que el tratamiento resulta necesario para la prestación del servicio contratado por el usuario; y (b) el consentimiento del interesado, conforme al artículo 6, apartado 1, letra a), del RGPD, específicamente para la conexión con la cuenta de LinkedIn del usuario y la publicación de contenido en su nombre, consentimiento que podrá ser revocado por el usuario en cualquier momento sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
Los datos personales del usuario podrán ser comunicados a los siguientes prestadores de servicios que actúan en la condición de encargados del tratamiento, en la medida en que dicha comunicación resulte necesaria para la correcta prestación de los servicios contratados: Supabase Inc., con sede en Estados Unidos, en calidad de proveedor de servicios de alojamiento de bases de datos, almacenamiento de archivos y autenticación de usuarios (los servidores pueden estar ubicados en la Unión Europea o en los Estados Unidos de América, estando las transferencias internacionales amparadas por cláusulas contractuales tipo aprobadas por la Comisión Europea); Vercel Inc., con sede en Estados Unidos, en calidad de proveedor de servicios de alojamiento y despliegue de la aplicación web; OpenAI, Inc., con sede en Estados Unidos, en calidad de proveedor de servicios de procesamiento de lenguaje natural mediante inteligencia artificial para la generación de contenido textual; Google LLC, con sede en Estados Unidos, en calidad de proveedor de servicios de generación de imágenes mediante inteligencia artificial; y LinkedIn Corporation, subsidiaria de Microsoft Corporation, con sede en Estados Unidos, en calidad de plataforma de destino para la publicación de contenido y la obtención de métricas de rendimiento. Las transferencias internacionales de datos personales a entidades ubicadas en los Estados Unidos de América se realizan al amparo del Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework), de las cláusulas contractuales tipo aprobadas por la Comisión Europea mediante la Decisión de Ejecución (UE) 2021/914, o de cualesquiera otros mecanismos de transferencia previstos en los artículos 46 y siguientes del RGPD.
Los datos personales del usuario se conservarán durante el tiempo que este mantenga una cuenta activa en la Plataforma y, una vez solicitada la baja o eliminación de la cuenta, serán suprimidos en un plazo máximo de treinta (30) días naturales, salvo que exista una obligación legal que requiera su conservación durante un periodo superior, en cuyo caso los datos se mantendrán bloqueados y a disposición exclusiva de las administraciones públicas, jueces y tribunales competentes durante el tiempo de prescripción de las acciones que pudieran derivarse de la relación con el usuario, y serán eliminados una vez transcurrido dicho plazo. El usuario podrá ejercer en cualquier momento los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de los datos, reconocidos por los artículos 15 a 20 del RGPD, dirigiendo su solicitud a la dirección de correo electrónico kaixoai.contact@gmail.com, acompañada de copia de su documento nacional de identidad o documento equivalente que acredite su identidad, indicando de forma clara el derecho que desea ejercer y, en su caso, los datos concretos respecto de los cuales desea ejercerlo. Asimismo, el usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si considera que el tratamiento de sus datos personales no se ajusta a la normativa vigente.
El titular de la Plataforma aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, incluyendo, entre otras, el cifrado de las comunicaciones en tránsito mediante protocolos TLS, el cifrado en reposo de las contraseñas de usuario, el control de acceso basado en roles, las políticas de seguridad a nivel de fila (Row Level Security) en la base de datos para garantizar el aislamiento de los datos entre usuarios, la autenticación de doble factor cuando sea aplicable, la realización de copias de seguridad periódicas y la monitorización continua de los sistemas para la detección de accesos no autorizados o comportamientos anómalos, todo ello de conformidad con lo dispuesto en el artículo 32 del RGPD y demás normativa complementaria.