Privacy Policy — Xivalo

1. Responsable del Tratamiento

El responsable del tratamiento de los datos personales es Xivalo (xivalo.com). Para cualquier cuestión relacionada con la privacidad, puedes contactarnos en privacy@xivalo.com.

2. Datos que Recopilamos

Recopilamos las siguientes categorías de datos personales:

Datos de cuenta: nombre, dirección de correo electrónico y empresa u organización.
Datos de reuniones: grabaciones de audio, transcripciones y resúmenes generados por inteligencia artificial.
Datos de uso: marcas de tiempo de inicio de sesión, funcionalidades utilizadas y patrones de interacción con la plataforma.
Datos técnicos: dirección IP, tipo de navegador, sistema operativo e información del dispositivo.
Datos de pago: procesados de forma segura por Stripe. Xivalo no almacena números de tarjeta de crédito ni datos bancarios.
Datos de Google: si conectas tu cuenta de Google, accedemos a tu nombre, dirección de correo electrónico, foto de perfil y eventos de tu Google Calendar (solo lectura) para sincronizar tus reuniones con la plataforma.

3. Base Legal del Tratamiento

De conformidad con el artículo 6 del Reglamento General de Protección de Datos (RGPD), tratamos tus datos con base en:

Ejecución del contrato: gestión de tu cuenta y prestación del servicio contratado.
Interés legítimo: mejora del servicio, seguridad de la plataforma y prevención del fraude.
Consentimiento: comunicaciones comerciales, en caso de que las hubieras autorizado.

4. Finalidad del Tratamiento

Tus datos personales son tratados para las siguientes finalidades:

Proporcionar el servicio de inteligencia de reuniones: grabación, transcripción y análisis.
Procesar y analizar reuniones mediante inteligencia artificial.
Enviar comunicaciones transaccionales relacionadas con tu cuenta y el servicio.
Procesar pagos y gestionar la facturación.
Mejorar la calidad y seguridad de la plataforma.

5. Procesamiento con Inteligencia Artificial

Xivalo utiliza modelos de inteligencia artificial de OpenAI (GPT-4, Whisper) para la transcripción, el análisis y la generación de resúmenes de las reuniones. Este procesamiento se realiza bajo las siguientes condiciones:

Los datos enviados a la API de OpenAI se procesan bajo un Acuerdo de Procesamiento de Datos (DPA).
OpenAI no utiliza los datos enviados a través de su API para entrenar sus modelos, de conformidad con su política de uso de datos de la API.
Las grabaciones y transcripciones se almacenan en servidores de AWS en Europa (eu-west-3, París).

6. Datos de Google

Xivalo permite conectar tu cuenta de Google para sincronizar eventos de calendario y programar grabaciones automáticas de reuniones. A continuación se detalla cómo gestionamos los datos obtenidos a través de las APIs de Google:

6.1. Datos que accedemos

Perfil básico: nombre, dirección de correo electrónico y foto de perfil de tu cuenta de Google (scopes: openid, profile, email).
Eventos de calendario: acceso de solo lectura a los eventos de tu Google Calendar (scope: calendar.events.readonly), incluyendo título, fecha, hora, duración y participantes de cada evento.

6.2. Cómo usamos estos datos

Autenticar tu identidad e iniciar sesión en la plataforma.
Mostrar tus próximas reuniones para que puedas programar grabaciones automáticas.
Asociar grabaciones de reuniones con los eventos correspondientes de tu calendario.

6.3. Almacenamiento y compartición

Los datos de Google Calendar se almacenan en nuestra base de datos (Amazon RDS en la UE) y se actualizan periódicamente mientras la conexión esté activa.
No compartimos los datos obtenidos de las APIs de Google con terceros, salvo los proveedores de infraestructura necesarios para el funcionamiento del servicio (AWS).
No utilizamos los datos de Google para publicidad, estudios de mercado ni para crear perfiles de usuario con fines distintos a la funcionalidad del servicio.

6.4. Revocación del acceso

Puedes desconectar tu cuenta de Google en cualquier momento desde la configuración de tu espacio de trabajo. Al hacerlo, eliminamos los tokens de acceso y los datos de calendario almacenados. También puedes revocar el acceso directamente desde tu cuenta de Google.

6.5. Cumplimiento con la Política de Google

El uso y la transferencia a cualquier otra aplicación de la información recibida de las APIs de Google por parte de Xivalo se adhiere a la Política de Datos de Usuario de los Servicios de API de Google, incluidos los requisitos de Uso Limitado.

7. Almacenamiento de Datos

Base de datos: Amazon RDS (PostgreSQL) en la región eu-west-3 (París, Francia).
Almacenamiento de archivos: AWS S3 en región de la Unión Europea.
Cifrado: todos los datos están cifrados tanto en reposo como en tránsito (TLS 1.2+).

8. Compartición de Datos

Compartimos datos únicamente con los siguientes terceros, necesarios para la prestación del servicio:

Google: autenticación OAuth y sincronización de calendario. Los datos de Google se utilizan exclusivamente para las funcionalidades descritas en la sección 6 y conforme a la Política de Datos de Usuario de los Servicios de API de Google.
OpenAI: procesamiento con inteligencia artificial (bajo DPA).
Stripe: procesamiento de pagos.
AWS (Amazon Web Services): alojamiento de infraestructura.
Meta (Facebook): si aceptas las cookies de marketing, compartimos datos de navegación (páginas visitadas, dirección IP anonimizada por Meta, user agent del navegador) para la creación de audiencias publicitarias personalizadas. Base legal: Consentimiento (Art. 6.1.a RGPD). Puedes retirar tu consentimiento en cualquier momento.

No vendemos datos personales a terceros bajo ninguna circunstancia.

9. Retención de Datos

Cuenta activa: los datos se conservan mientras la cuenta del usuario permanezca activa.
Cuenta eliminada: los datos se eliminan en un plazo máximo de 30 días tras la solicitud de baja.
Facturas: se conservan durante 5 años por obligación legal.

10. Derechos del Usuario

De conformidad con los artículos 15 a 22 del RGPD, tienes derecho a:

Acceso: solicitar una copia de tus datos personales.
Rectificación: corregir datos inexactos o incompletos.
Supresión: solicitar la eliminación de tus datos.
Portabilidad: recibir tus datos en un formato legible por máquina.
Oposición: oponerte al tratamiento de tus datos.
Limitación: restringir el tratamiento en determinadas circunstancias.

Para ejercer cualquiera de estos derechos, contacta con nosotros en privacy@xivalo.com. También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

11. Extensión de Chrome

La extensión de Xivalo para Google Chrome permite grabar reuniones de Google Meet directamente desde el navegador. A continuación se detalla qué datos recopila y cómo los gestiona:

11.1. Datos recopilados por la extensión

Audio y vídeo de la pestaña: la extensión captura el audio y el vídeo de la pestaña de Google Meet durante la grabación. Este contenido se almacena localmente en el navegador hasta que finaliza la grabación.
Audio del micrófono: con tu permiso, la extensión captura el audio de tu micrófono para incluir tu voz en la grabación.
Datos de la reunión: título de la reunión y participantes visibles en la interfaz de Google Meet.
Datos de sesión: la extensión utiliza la cookie de sesión de tu cuenta de Xivalo para autenticarte. No almacena credenciales adicionales.

11.2. Permisos del navegador

La extensión solicita los siguientes permisos de Chrome, cada uno necesario para su funcionamiento:

tabCapture: capturar el audio y vídeo de la pestaña de Google Meet para la grabación.
offscreen: procesar y mezclar las pistas de audio (pestaña + micrófono) en segundo plano mediante la Web Audio API.
activeTab: interactuar con la pestaña activa de Google Meet para detectar reuniones y mostrar la interfaz de grabación.
storage: guardar preferencias del usuario (como la opción de grabación automática).
notifications: notificarte cuando una grabación comienza, finaliza o se sube correctamente.
alarms: gestionar temporizadores internos para el estado de la grabación.

11.3. Tratamiento de los datos

La grabación se realiza localmente en tu navegador. No se transmite audio ni vídeo en tiempo real a nuestros servidores durante la grabación.
Al finalizar la grabación, el archivo se sube a los servidores de Xivalo (AWS S3 en la UE) para su transcripción y análisis con inteligencia artificial.
La extensión solo se activa en páginas de meet.google.com. No accede a ningún otro sitio web ni recopila datos de navegación.
No se recopilan datos analíticos, de seguimiento ni de comportamiento del usuario a través de la extensión.

12. Cookies

Para obtener información detallada sobre las cookies que utilizamos, consulta nuestra Política de Cookies.

13. Transferencias Internacionales

Los datos pueden ser procesados por OpenAI en Estados Unidos bajo Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea. El almacenamiento principal de datos se realiza en la Unión Europea (región de París, Francia).

14. Seguridad

Implementamos medidas técnicas y organizativas para proteger tus datos, incluyendo:

Cifrado TLS en todas las comunicaciones.
Base de datos cifrada en reposo.
Controles de acceso basados en roles.
Revisiones periódicas de seguridad.

15. Menores

El Servicio no está dirigido a menores de 16 años. No recopilamos conscientemente datos personales de menores. Si tienes conocimiento de que un menor ha proporcionado datos personales, contacta con nosotros para proceder a su eliminación.

16. Modificaciones

Nos reservamos el derecho de modificar esta Política de Privacidad. Los cambios se notificarán por correo electrónico con al menos 30 días de antelación antes de su entrada en vigor.

Consulta también nuestros Términos de Servicio y nuestra Política de Cookies.