Protección de datos y GDPR

Esta página explica cómo funciona la protección de datos en SOIS, quién es responsable de qué, y qué debes hacer cuando construyes en la plataforma. Complementa la Política de Privacidad y el formulario público de solicitud de derechos de datos.

Quién controla los datos

SOIS es multi-tenant, por lo que la responsabilidad depende de dónde residen los datos.

  • Los operadores de red son controladores. Cuando una organización opera una red con marca en SOIS, esa organización es el controlador de datos para los datos personales que sus inquilinos y clientes introducen en ella. SOIS actúa como un procesador en su nombre.
  • SOIS es controlador para los datos de cuentas creadas directamente con nosotros y para este sitio web.
  • Los inquilinos deciden qué datos personales ingresan en su propio workspace y por qué.

Cada red tiene su propia base de datos y almacenamiento. Los inquilinos están aislados y nunca comparten datos entre sí.

Solicitudes de derechos de datos

Las personas pueden ejercer sus derechos (acceso, rectificación, eliminación, portabilidad, objeción, restricción) de dos maneras:

  1. A través del operador. Si usan una red con marca, la solicitud va a ese operador, quien es el controlador. SOIS, como procesador, ayuda a cumplirla.
  2. Directamente a través de SOIS. El formulario público en sois.ai/legal/gdpr dirige una solicitud al equipo de datos de SOIS para cuentas y datos que controlamos.

El webhook de solicitud

El formulario público envía a una Cloudflare Pages Function, que reenvía la solicitud del lado del servidor al backend de SOIS:

POST /api/data-request
Authorization: Bearer <shared secret>
Content-Type: application/json

{
  "kind": "data_rights_request",
  "type": "access | rectify | delete | export | object | other",
  "name": "...",
  "email": "...",
  "account": "...",
  "details": "...",
  "locale": "en-US",
  "country": "GB",
  "received_at": "2026-05-24T00:00:00Z"
}

La dirección de notificación se configura solo del lado del servidor y nunca se expone en el HTML de la página. El endpoint valida el secreto bearer, escribe una línea de registro de auditoría y notifica al equipo de datos. Las solicitudes se responden dentro del plazo que exige la ley.

Qué significa esto cuando construyes una extensión

Si tu extensión almacena o procesa datos personales, diseñala para que el controlador pueda cumplir con sus obligaciones:

  • Minimiza. Recoge solo lo que la función necesita. Coloca los campos de negocio dentro del JSON de la entidad data, y evita almacenar datos personales que no uses.
  • Debe ser eliminable. Los datos personales deben ser removibles. Usa eliminaciones suaves para los registros orientados al usuario y asegúrate de que una solicitud de eliminación pueda alcanzar las filas que tu extensión posee.
  • Debe ser portátil. Donde tengas datos personales, hazlos exportables en un formato común.
  • Respeta el consentimiento y los permisos. Un agente solo actúa dentro de los permisos de la persona para la que actúa. Nunca amplíes el acceso a datos personales más allá de lo que el inquilino ha concedido.
  • Mantén los secretos en la bóveda. Las credenciales y tokens pertenecen a la bóveda de contraseñas cifrada, recuperados solo cuando una acción los necesita. Nunca registres datos personales o secretos.
  • No hay filtración entre extensiones. No leas los datos de otra extensión excepto a través de un contrato de integración gobernado al que el inquilino haya consentido.

Transferencias internacionales y retención

Los datos pueden ser procesados en países fuera del propio del usuario. Donde lo sean, se aplican salvaguardas apropiadas como cláusulas contractuales estándar. Los datos personales se retienen solo mientras sean necesarios para el propósito para el que fueron recolectados, luego se eliminan o anonimizan. El contenido del Workspace se elimina al cerrar la cuenta, sujeto a requisitos legales.

En resumen

  • Los operadores son controladores; SOIS es el procesador para sus redes.
  • Los inquilinos están aislados; cada red tiene su propia base de datos.
  • Las solicitudes de derechos de datos llegan al controlador correcto, a través del operador o del formulario de SOIS.
  • Construye extensiones para que sean mínimas, eliminables, portátiles, conscientes de los permisos y seguras con los secretos.