La presente Política de privacidad describe las modalidades de tratamiento de los datos personales efectuadas a través de la aplicación móvil y la plataforma web Linkly (la «Plataforma»), proporcionadas por SORAIA S.R.L., y a través del sitio web linkly.events (el «Sitio»).
Este documento se emite conforme al Reglamento (UE) 2016/679 («RGPD»), al Decreto legislativo italiano 196/2003 y sucesivas modificaciones («Código de privacidad»), a la resolución de la Autoridad italiana de protección de datos n.º 231/2021 en materia de cookies y a las directrices aplicables del EDPB.
SORAIA S.R.L. adopta medidas técnicas y organizativas adecuadas (art. 32 RGPD) para garantizar que el tratamiento de los datos personales se realice respetando los principios de licitud, lealtad, transparencia, limitación de las finalidades, minimización de los datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad (art. 5 RGPD).
1. Responsable del tratamiento
Para los tratamientos efectuados directamente por SORAIA S.R.L. en calidad de responsable autónomo, el responsable del tratamiento es:
- SORAIA S.R.L.
- Domicilio social: Via Losana 13, 13900 Biella (BI), Italia
- NIF: IT02820060024 · REA: BI-319659
- Email privacidad: privacy@soraia.io
- Email certificado (PEC): soraia@mypec.eu
Para los tratamientos efectuados por cuenta de las empresas clientes que utilizan Linkly para la gestión de sus contactos comerciales, SORAIA opera en calidad de Encargado del tratamiento conforme al art. 28 RGPD, según lo previsto en el Data Processing Agreement (DPA) firmado con cada cliente.
2. Roles y responsabilidades en materia de privacidad
2.1 Las empresas clientes como responsables autónomos
Las empresas que utilizan Linkly para la recogida, calificación y gestión de los contactos adquiridos en el ámbito de ferias, eventos e iniciativas de networking B2B operan en calidad de responsables autónomos del tratamiento conforme al art. 4(7) RGPD.
Las empresas clientes determinan de forma autónoma:
- las finalidades y los medios del tratamiento
- el contenido y la lógica de las preguntas de calificación configuradas
- los criterios de profilación comercial
- las actividades de seguimiento, comunicación y marketing
- los sistemas terceros destinatarios de los datos (CRM, marketing automation, ERP)
- la base jurídica del tratamiento de los datos de los prospects recogidos (típicamente interés legítimo B2B conforme al art. 6(1)(f) RGPD, evaluado mediante LIA, Legitimate Interest Assessment, bajo su propia responsabilidad)
Las empresas clientes son responsables del cumplimiento de las obligaciones de información hacia los interesados (arts. 13 y 14 RGPD), incluida la entrega o puesta a disposición de una información de privacidad específica en el momento de la recogida de los datos (ej. en el stand de la feria).
2.2 SORAIA S.R.L., doble rol
a) Encargado del tratamiento (art. 28 RGPD)
Por cuenta de las empresas clientes, limitadamente a las actividades de:
- escaneo, adquisición y digitalización de contactos (tarjetas, badges, códigos QR) mediante OCR
- archivo y gestión técnica de los datos
- enriquecimiento de los datos mediante fuentes públicas y proveedores terceros
- estructuración, normalización y calificación mediante IA
- generación de seguimientos comerciales (sobre plantillas e instrucciones del cliente)
- integración técnica con el CRM, ERP y sistemas marketing del cliente
- elaboración de informes post-evento
b) Responsable autónomo
Para las actividades necesarias para:
- garantizar la seguridad de la Plataforma (arts. 32, 33, 34 RGPD)
- asegurar la continuidad operativa
- prevenir abusos y usos ilícitos
- cumplir con las obligaciones legales (fiscales, contractuales, antiblanqueo)
- gestionar la facturación y la relación contractual con el cliente (datos administrativos)
Las relaciones entre SORAIA y cada cliente están reguladas por un Data Processing Agreement conforme al art. 28 RGPD, parte integrante del contrato de suministro.
3. Categorías de datos personales tratados
3.1 Datos técnicos y de uso (Responsable: SORAIA)
- dirección IP (anonimizada o seudonimizada tras 30 días)
- logs de acceso y actividad
- identificadores del dispositivo (user agent, OS, versión de la app)
- información sobre navegador, sistema operativo y versión de aplicación
- datos de sesión (tokens de autenticación)
3.2 Datos de los usuarios profesionales (Responsable: SORAIA para autenticación; Responsable: empresa cliente para el uso operativo)
- nombre y apellido
- email profesional
- número de teléfono profesional (opcional)
- rol y pertenencia al equipo
- credenciales de autenticación (contraseña cifrada, hash bcrypt)
- datos de uso de la Plataforma
- permisos y configuraciones aplicadas por el administrador del cliente
3.3 Datos de los contactos adquiridos, leads (Responsable: empresa cliente)
Datos personales de terceros adquiridos por las empresas clientes durante eventos B2B:
- datos identificativos y profesionales (nombre, apellido, rol)
- información empresarial (razón social, sector, tamaño)
- contactos profesionales (email profesional, teléfono profesional)
- perfiles públicos (ej. URL LinkedIn público)
- respuestas a las preguntas de calificación configuradas por el cliente
- notas y valoraciones comerciales introducidas por los usuarios del cliente
- fuente de adquisición (evento, fecha, modalidad)
Los datos pueden recogerse mediante:
- escaneo de tarjetas de visita (OCR)
- escaneo de badges de evento (OCR)
- lectura de códigos QR
- introducción manual
- formularios personalizados configurados por el cliente
SORAIA no trata categorías especiales de datos (art. 9 RGPD) ni datos relativos a condenas penales (art. 10 RGPD). El cliente se compromete, a través del DPA, a no introducir datos de tales categorías en la Plataforma.
3.4 Datos administrativos y de facturación (Responsable: SORAIA)
- razón social, NIF, código fiscal, dirección del cliente
- datos del representante legal o referente administrativo
- historial de facturación y pagos
4. Finalidades del tratamiento y bases jurídicas
4.1 Prestación de la Plataforma y gestión contractual
Tratamiento de los datos de los usuarios profesionales y administrativos necesario para permitir el uso de la Plataforma, la prestación del servicio, la gestión del contrato, la facturación y la asistencia técnica.
Base jurídica: art. 6(1)(b) RGPD (ejecución de un contrato) y art. 6(1)(c) RGPD (obligaciones legales fiscales y contables).
4.2 Actividades de lead capture, calificación y seguimiento B2B (por cuenta de los clientes)
Tratamiento de los datos de los contactos recogidos para las finalidades definidas por el cliente Responsable:
- digitalización y estructuración del contacto
- calificación comercial
- enriquecimiento informativo
- activación en el CRM corporativo
- envío de seguimientos comerciales
Base jurídica (a cargo de la empresa cliente Responsable): típicamente art. 6(1)(f) RGPD (interés legítimo al networking profesional y a la continuación de una conversación comercial B2B iniciada en contexto ferial). La empresa cliente debe efectuar su propia ponderación (LIA) y garantizar información y derechos a los interesados.
4.3 Seguridad de la Plataforma, prevención de abusos, auditoría
Tratamiento de los datos técnicos y de log para garantizar la seguridad informática, la prevención de fraudes, el análisis de incidentes, las auditorías internas y el cumplimiento de las solicitudes de las autoridades.
Base jurídica: art. 6(1)(f) RGPD (interés legítimo de SORAIA a la seguridad e integridad del servicio); art. 6(1)(c) RGPD (obligaciones legales).
4.4 Respuesta a solicitudes de los interesados y obligaciones RGPD
Tratamiento necesario para dar curso a solicitudes de ejercicio de los derechos (arts. 15-22 RGPD), gestionar reclamaciones, llevar a cabo evaluaciones de impacto (EIPD) o consultas con la autoridad de control.
Base jurídica: art. 6(1)(c) RGPD (obligaciones legales).
5. Tecnologías de inteligencia artificial (IA)
5.1 Modalidades de uso de la IA
La Plataforma utiliza tecnologías de inteligencia artificial proporcionadas por proveedores terceros (ver sección 6) para las siguientes finalidades técnicas:
- Reconocimiento óptico (OCR): lectura y digitalización de tarjetas de visita y badges de evento
- Estructuración y normalización: parseo de los datos extraídos en campos estructurados
- Síntesis y clasificación: categorización automática del contacto para facilitar la calificación
- Generación de plantillas de seguimiento: composición de borradores de email personalizados sobre la base de las instrucciones y plantillas proporcionadas por el cliente
5.2 Exclusiones explícitas
El uso de la IA en la Plataforma NO implica:
- generación autónoma de nuevos datos personales no derivados de fuentes ya disponibles
- decisiones íntegramente automatizadas con efectos jurídicos o significativos para el interesado conforme al art. 22 RGPD
- profilación automatizada con fines de publicidad comportamental
- entrenamiento de los modelos IA de los proveedores terceros con los datos de los clientes (ver sección 6 para las específicas contractuales)
5.3 Enriquecimiento de datos, modalidades operativas
El enriquecimiento de los datos de contacto (ej. email profesional, número de teléfono, perfil LinkedIn) se realiza mediante proveedores externos especializados y está sujeto a las siguientes reglas:
- el enriquecimiento se efectúa solo en los casos en que tales informaciones no estén ya disponibles en el contacto adquirido
- en presencia de datos ya proporcionados (ej. mediante tarjeta), no se efectúan solicitudes a proveedores externos para esos campos
- el sistema puede consultar fuentes públicamente accesibles (resultados de motores de búsqueda, perfiles profesionales públicos) para recuperar información ya disponible públicamente
- este proceso reproduce actividades de búsqueda manual habitualmente realizadas en ámbito profesional; no implica acceso a bases de datos privadas; no utiliza técnicas de scraping masivo no autorizado
6. Destinatarios y subencargados
Los datos personales pueden ser tratados por los siguientes destinatarios, cada uno vinculado por obligaciones contractuales de confidencialidad y protección de los datos equivalentes a las asumidas por SORAIA:
- personal autorizado de SORAIA S.R.L., formado conforme al art. 29 RGPD
- proveedores de infraestructura IT, cloud computing y backend platform
- proveedores de servicios IA para OCR, estructuración y generación de texto
- proveedores de servicios de enriquecimiento de datos B2B
- servicios de automatización y orquestación de workflows
- servicios de búsqueda en fuentes públicas
- consultores técnicos, jurídicos y administrativos
- autoridades públicas, cuando lo requiera la ley
Para cada categoría, SORAIA selecciona proveedores que adoptan medidas de seguridad adecuadas y firma con cada uno de ellos un Data Processing Agreement conforme al art. 28 RGPD. Para los subencargados con sede fuera de la UE, SORAIA firma las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión UE (Decisión de ejecución 2021/914) y, en su caso, verifica la adhesión al EU-US Data Privacy Framework (DPF).
La lista específica y actualizada de los subencargados se comunica a los clientes contratados y está disponible a solicitud escrita motivada de los DPO de los clientes mediante email a privacy@soraia.io.
7. Transferencias de datos fuera de la UE
Los datos personales se tratan principalmente en infraestructuras ubicadas dentro del Espacio Económico Europeo (EEE). Cuando se hagan necesarias transferencias hacia terceros países, estas se realizan respetando los arts. 44 y siguientes del RGPD.
Instrumentos de transferencia utilizados
- Decisión de adecuación (art. 45 RGPD): para los países reconocidos por la Comisión UE como garantes de un nivel de protección adecuado (ej. Reino Unido, Suiza, Japón, Corea del Sur)
- EU-US Data Privacy Framework (decisión de adecuación UE-EE.UU. del 10 de julio de 2023): para los subencargados estadounidenses adheridos al DPF
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión UE con Decisión 2021/914: módulo 2 (responsable-encargado) o módulo 3 (encargado-subencargado) según la relación
- Medidas suplementarias técnicas y organizativas cuando lo requiera la jurisprudencia Schrems II (ej. cifrado de extremo a extremo, seudonimización, controles contractuales de acceso gubernamental)
Transfer Impact Assessment (TIA)
Para cada transferencia fuera de la UE, SORAIA ha realizado una evaluación de impacto de la transferencia (TIA) que considera: la naturaleza de los datos, el riesgo de acceso por parte de autoridades del país tercero, las tutelas legales disponibles para los interesados y las medidas técnicas y organizativas adoptadas.
8. Conservación de los datos
Los plazos de conservación aplicados son los siguientes:
- Datos de los contactos recogidos (leads): durante la duración de la relación contractual entre SORAIA y el cliente Responsable. A la cesación del contrato, los datos quedan disponibles para descarga durante 30 días, tras lo cual se eliminan o anonimizan según las instrucciones del cliente.
- Datos de los usuarios profesionales: durante la duración de la cuenta, y durante 12 meses adicionales tras la desactivación (para la gestión de solicitudes post-cesación).
- Logs de acceso y datos técnicos: 12 meses para finalidades de seguridad y prevención de abusos (en línea con la resolución de la autoridad italiana sobre logs de administrador de sistema).
- Datos administrativos y de facturación: 10 años desde el cese de la relación, en cumplimiento del art. 2220 del Código Civil italiano y de la normativa fiscal.
- Comunicaciones email y PEC: 5 años, salvo específicas exigencias de conservación probatoria.
- Datos de marketing directo (newsletters, seguimientos comerciales de SORAIA hacia prospects): hasta la revocación del consentimiento o la oposición del interesado; como máximo 24 meses desde el último contacto activo.
Para los datos tratados como Encargado, los plazos efectivos de conservación se definen por el cliente Responsable en su Registro de actividades de tratamiento y en las instrucciones documentadas en el DPA.
9. Derechos de los interesados
Conforme a los artículos 15-22 RGPD, los interesados tienen derecho a:
- Acceso (art. 15), obtener confirmación del tratamiento y copia de los datos
- Rectificación (art. 16), corregir los datos inexactos o incompletos
- Supresión (art. 17), «derecho al olvido» en los casos previstos
- Limitación (art. 18), suspender el tratamiento en casos específicos
- Portabilidad (art. 20), recibir sus datos en formato estructurado y legible por máquina
- Oposición (art. 21), oponerse al tratamiento basado en el interés legítimo, en particular con fines de marketing
- No ser sometido a decisiones automatizadas con efectos significativos (art. 22): en la Plataforma no se toman tales decisiones
- Retirada del consentimiento en cualquier momento, sin perjuicio de la licitud del tratamiento anterior
Cómo ejercer los derechos
Las solicitudes deben enviarse por email a privacy@soraia.io indicando:
- la identidad del solicitante (con copia de un documento de identidad para verificación, en caso necesario)
- el derecho que se pretende ejercer
- los hechos y motivaciones de apoyo, en su caso
SORAIA responde en un plazo de 30 días desde la recepción de la solicitud (art. 12 RGPD), extensible a 60 días en caso de solicitudes complejas, con comunicación motivada.
Cuando el interesado ejerce un derecho respecto a datos tratados por SORAIA como Encargado (ej. leads recogidos a través de Linkly por cuenta de un cliente), SORAIA transmite sin dilación la solicitud al cliente Responsable y proporciona a este último la asistencia necesaria (art. 28(3)(e) RGPD).
Reclamación ante la autoridad de control
Queda a salvo el derecho de presentar reclamación ante la Autoridad Garante italiana para la protección de los datos personales (garanteprivacy.it) conforme al art. 77 RGPD, o ante otra autoridad de control competente en función de la residencia o lugar de trabajo habitual del interesado.
10. Medidas de seguridad
Conforme al art. 32 RGPD, SORAIA adopta medidas técnicas y organizativas adecuadas al riesgo, entre las cuales:
- Cifrado de los datos en tránsito mediante TLS 1.2+ con cipher suites modernas
- Cifrado de los datos en reposo en las bases de datos (AES-256)
- Controles de acceso basados en credenciales individuales y el principio del menor privilegio
- Autenticación multifactor obligatoria para las cuentas administrativas
- Hashing de las contraseñas con algoritmos industry-standard (bcrypt)
- Separación lógica entre entornos (desarrollo, staging, producción) y entre datos de los clientes
- Logging y monitoreo de los accesos administrativos (conservación 12 meses)
- Copias de seguridad automáticas diarias con procedimientos de disaster recovery testados
- Gestión de incidentes con procedimiento interno que prevé la notificación a la autoridad italiana en 72 horas (art. 33 RGPD) y a los clientes afectados sin dilación
- Revisión periódica de los accesos (revisión trimestral)
- Formación del personal conforme al art. 29 RGPD (anual)
- Tests de intrusión periódicos sobre los componentes críticos
- Patch management tempestivo para vulnerabilidades conocidas
11. Cookies y tecnologías de tracking
El Sitio utiliza exclusivamente cookies técnicas necesarias para el funcionamiento, conforme al art. 122 del Decreto legislativo italiano 196/2003 (para las cuales no se requiere consentimiento previo).
Para el detalle de las cookies utilizadas, finalidades, duración y gestión, se remite a la Política de cookies dedicada.
12. Tratamiento de datos relativos a menores
La Plataforma Linkly es una herramienta B2B destinada exclusivamente a usuarios profesionales mayores de edad. SORAIA no recoge intencionadamente datos de menores. En caso de que un cliente Responsable introduzca por error datos de menores, está obligado a comunicarlo inmediatamente a privacy@soraia.io para su eliminación.
Contactos para la protección de datos
Para cualquier consulta relativa al tratamiento de datos personales, al ejercicio de los derechos del RGPD, o para recibir copia del Data Processing Agreement, contactar:
- Email privacidad: privacy@soraia.io
- Email certificado (PEC): soraia@mypec.eu
- Dirección: SORAIA S.R.L., Via Losana 13, 13900 Biella (BI), Italia
Delegado de Protección de Datos (DPO): no designado. SORAIA S.R.L. no está sujeta a la obligación de designar un DPO conforme al art. 37 RGPD (no se cumplen los requisitos del párr. 1 letras b y c). Las solicitudes de los interesados y de los DPO de los clientes se gestionan directamente por la función de privacidad de la empresa a través de los contactos indicados arriba.
Reclamaciones: sin perjuicio del derecho a dirigirse directamente al Responsable/Encargado del tratamiento, los interesados tienen derecho a presentar reclamación ante la Autoridad Garante italiana para la protección de datos personales (garanteprivacy.it) o ante otra autoridad de control competente en función de su lugar de residencia.
Modificaciones del documento
SORAIA S.R.L. se reserva el derecho de actualizar el presente documento por razones normativas o de evolución del servicio. Las modificaciones sustanciales se comunicarán a los clientes activos por correo electrónico y se publicarán en esta página con la fecha de última actualización refrescada.