Aviso de Privacidad de 4Books

de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679 sobre la protección de datos personales (RGPD)

Este aviso describe la información recopilada, cómo se utiliza y comparte, y cómo el Responsable del Tratamiento gestiona tu privacidad y tus derechos. El tratamiento de tus datos personales se llevará a cabo respetando los principios de licitud, transparencia, corrección y protección de la confidencialidad y de tus derechos, siempre de conformidad con la normativa nacional y europea vigente (RGPD, Decreto Legislativo 196/2003 y sus modificaciones, Decreto Legislativo 101/2018).

En el presente Aviso, 4books S.r.l., con domicilio social en Via del Tiratoio 1, 50124 Florencia, Italia (en adelante, el “Responsable”), titular del sitio web 4books.com y de la App 4books (en adelante, las “Plataformas”), como Responsable del Tratamiento de datos personales, proporciona información sobre cómo se tratan los datos personales tanto de los Usuarios (“Usuarios Standard”)—que visitan y navegan por las Plataformas—como de los Clientes Business—y de los usuarios autorizados por ellos (“Usuarios Autorizados”)—que celebran acuerdos con 4books, con el fin de utilizar el servicio ofrecido a través de las Plataformas (en adelante, respectivamente, el “Servicio” y los “Usuarios”; y cuando las condiciones de este Aviso se apliquen únicamente a los usuarios autorizados por el Cliente Business, se utilizará el término “Usuario Autorizado”), de conformidad con el artículo 13 del RGPD.

1. Responsable del Tratamiento

El Responsable del Tratamiento es 4books S.r.l. (NIF/IVA 10655340965), con domicilio social en Via del Tiratoio 1, 50124 Florencia, Italia (en adelante, el “Responsable”).

Para determinadas actividades de tratamiento, como se especifica más adelante, el Responsable puede actuar como Encargado del Tratamiento (conforme al artículo 28 del RGPD: entidad delegada para tratar datos personales siguiendo las instrucciones y por cuenta del Responsable) para el Cliente (que, en cambio, actúa como Responsable del Tratamiento). En tal caso, se aplicarán las disposiciones de un acuerdo de encargo del tratamiento separado, suscrito con el Cliente.

De conformidad con el artículo 14 del Reglamento General de Protección de Datos (RGPD), este aviso también se proporciona a los Usuarios Autorizados, es decir, empleados autorizados por Usuarios Business, cuyos datos personales han sido facilitados parcialmente por terceros, concretamente los empleadores, y no se han recogido directamente del interesado. En tal caso, la fuente de la que se recogen los datos personales relativos a los Usuarios Autorizados es el empleador, que los ha proporcionado a 4books para fines relacionados con el uso de las Plataformas. La recogida de dichos datos es necesaria para acceder y utilizar la App en virtud de la suscripción adquirida por el Cliente Business.

Las Plataformas y cualquier servicio ofrecido a través de ellas están reservados a personas que hayan alcanzado los dieciocho (18) años de edad. Por tanto, el Responsable no recopila datos personales relativos a personas menores de 18 años. El Responsable eliminará sin demora cualquier dato personal recopilado inadvertidamente relativo a menores de 18 años.

El Responsable concede la máxima importancia al derecho a la privacidad y a la protección de los datos personales de sus Usuarios. Para cualquier información relativa a este aviso de privacidad, los Usuarios pueden contactar con el Responsable en cualquier momento mediante las siguientes modalidades:

- Enviando una carta certificada con acuse de recibo al domicilio social del Responsable: 4books S.r.l., Via del Tiratoio 1, 50124 Florencia, Italia

- Enviando un correo electrónico a: [email protected]

El Responsable ha designado un Delegado de Protección de Datos (DPO), al que se puede contactar en: [email protected].

2. ¿Qué datos tratamos?

En el ámbito de la relación con 4books como Responsable y Encargado del Tratamiento, se tratarán las siguientes categorías de datos personales (los denominados datos comunes):

  • Datos que proporcionas directamente a través de las distintas secciones/formularios del sitio web y de la App (p. ej., nombre y apellidos, dirección de correo electrónico). Estos datos se utilizan exclusivamente para gestionar tus solicitudes.
  • Datos que envías de manera voluntaria, explícita y opcional a las direcciones de correo electrónico indicadas en el sitio web. En este caso, se adquiere la dirección de correo electrónico del remitente, necesaria para responder a la solicitud, así como cualquier otro dato personal incluido en el mensaje. Estos datos se utilizan exclusivamente para gestionar tus solicitudes.
  • Datos de navegación. Los sistemas informáticos y los procedimientos de software utilizados para el funcionamiento de este sitio web adquieren, durante su funcionamiento normal, datos personales cuya transmisión es implícita en el uso de los protocolos de comunicación de Internet. Esta información no se recopila con el fin de asociarla a interesados identificados; sin embargo, por su naturaleza podría, mediante tratamientos y asociaciones con datos en poder de terceros, permitir identificar a los usuarios. Esta categoría incluye las direcciones IP o los nombres de dominio de los ordenadores utilizados por los usuarios que se conectan al sitio, las direcciones URI (Uniform Resource Identifier) de los recursos solicitados, el navegador, la hora de la solicitud y otros parámetros relativos al sistema operativo y al entorno informático del usuario. Estos datos se utilizan únicamente para obtener información estadística anónima sobre el uso del sitio y para comprobar su correcto funcionamiento, y se eliminan inmediatamente después del tratamiento.
  • Datos recopilados durante el uso de la plataforma por el Usuario Autorizado. Ten en cuenta que, para el Usuario Autorizado—cuando 4books actúa como Encargado del Tratamiento conforme a un acuerdo explícito entre las partes de conformidad con el artículo 28 del RGPD—durante el uso de los Contenidos en 4books se recopilan datos personales relativos a la experiencia de aprendizaje y al uso de la plataforma. Estos datos se recopilan por cuenta y en interés del Usuario Autorizado del Cliente Business, que sigue siendo el Responsable del Tratamiento de los datos en cuestión. Estos datos incluyen:
    • Detalles sobre el proceso de aprendizaje del usuario, como las respuestas proporcionadas, la duración de la sesión, el progreso realizado, los resultados obtenidos, la fecha de creación de la cuenta y el idioma preferido. Estos datos se tratan para proporcionar una experiencia personalizada y mejorar la eficacia de los cursos de formación ofrecidos.
    • Información sobre las sesiones del usuario, incluidos los horarios de acceso, el tipo de navegador y el sistema operativo utilizados, así como la dirección IP del usuario. Esta información se recopila para garantizar la seguridad de la plataforma y mejorar la usabilidad del servicio.
      Para la realización de las actividades de tratamiento descritas anteriormente, existe un acto de designación que nombra a 4books como Encargado del Tratamiento, ejecutado de conformidad con el artículo 28 del RGPD, que establece los derechos y obligaciones de 4books en la gestión de los datos personales por cuenta del Usuario Autorizado del Cliente Business.
    • Datos específicos de Coach AI (Premium+AI). Durante el uso de la funcionalidad Coach AI (un asistente conversacional basado en modelos de inteligencia artificial), tratamos:
      • Textos escritos en el chat y los textos de respuesta generados;
      • Feedback (p. ej., me gusta/no me gusta) y métricas de uso agregadas (número de interacciones, duración de la sesión, errores);
      • Metadatos técnicos mínimos necesarios para la prestación (fecha/hora, estado de la solicitud);

      4Books no envía datos identificativos directos (p. ej., nombre o correo electrónico) a los proveedores de IA; los textos se transmiten desvinculados de la cuenta.

3. Finalidades del tratamiento

Los datos personales de los Usuarios serán tratados lícitamente por el Responsable de conformidad con el artículo 6 del Reglamento para las siguientes finalidades:

a) obligaciones contractuales y prestación del Servicio, para permitir la navegación por las Plataformas y el uso del Servicio (incluido por los usuarios individuales autorizados por el Cliente Business), o para ejecutar los Términos de Uso pertinentes de las Plataformas, que el Usuario acepta durante la prueba y/o la compra del Servicio y/o al firmar la propuesta comercial por parte del Usuario Business;

b) atender solicitudes específicas del Usuario. Los datos del Usuario recopilados por el Responsable para permitir el uso del Servicio incluyen la dirección de correo electrónico y los Datos de Facturación (a saber: nombre, apellidos, empresa, dirección, ciudad, código postal, país, provincia/estado, correo electrónico). Cualquier dato adicional requerido para fines de pago no será tratado por el Responsable, sino por responsables diferentes y autónomos que operan el circuito de pago elegido.

Salvo que el Usuario proporcione al Responsable un consentimiento específico y opcional para el tratamiento de sus datos para las finalidades adicionales indicadas en las siguientes secciones, los datos personales del Usuario serán utilizados por el Responsable exclusivamente para verificar la identidad del Usuario (también mediante la validación de la dirección de correo electrónico), evitando posibles fraudes o abusos, y para contactar con el Usuario únicamente por razones relacionadas con el servicio (p. ej., envío de notificaciones relativas al Servicio). Sin perjuicio de lo indicado en otras partes de este aviso, en ningún caso el Responsable hará accesibles los datos personales de los Usuarios a otros Usuarios y/o a terceros.

El acceso y la navegación por las Plataformas donde el Responsable ofrece sus servicios son gratuitos; sin embargo, el uso de dichos servicios solo se permite tras el registro de Usuarios y Usuarios Autorizados del Cliente Business. El proceso de registro consiste en completar un formulario en el que el Usuario (incluidos los autorizados por el Cliente Business) debe proporcionar sus datos personales—algunos de los cuales son obligatorios—para activar credenciales de autenticación (login + contraseña) con las que posteriormente el Usuario podrá acceder a las Plataformas y utilizar los servicios ofrecidos por el Responsable del Tratamiento.

c) finalidades de marketing, previa obtención del consentimiento explícito del Usuario, para enviar novedades sobre productos, servicios u ofertas promovidas por el Responsable.

d) finalidades administrativas y contables, es decir, para realizar actividades organizativas, administrativas, financieras y contables, tales como actividades organizativas internas y actividades funcionales al cumplimiento de obligaciones contractuales y precontractuales;

e) obligaciones legales, es decir, para cumplir obligaciones previstas por la ley, por una autoridad, por un reglamento o por la normativa europea.

f) Prestación de la funcionalidad Coach AI: para proporcionar respuestas y sugerencias personalizadas mediante modelos de inteligencia artificial; base jurídica: artículo 6.1.b).

g) Mejora de la calidad, seguridad y prevención de abusos relacionados con Coach AI (análisis agregados/anonimizados o, cuando sea necesario, análisis seudonimizados de feedback/métricas): artículo 6.1.f); el Usuario puede oponerse en cualquier momento al tratamiento que no sea estrictamente necesario (artículo 21 RGPD).

Coach AI no adopta decisiones exclusivamente automatizadas que produzcan efectos jurídicos sobre el Usuario.

h) Como Encargado del Tratamiento por cuenta del Usuario Autorizado del Cliente Business, 4books recopila datos personales relativos a la experiencia de aprendizaje y al uso de la plataforma por parte del Usuario Autorizado durante el acceso a cursos de formación o actividades de evaluación. Esta recopilación se realiza conforme al acto que nombra a 4books como Encargado del Tratamiento, suscrito entre 4books y el Cliente Business de conformidad con el artículo 28 del RGPD. Los datos personales recopilados incluyen: (I) detalles del proceso de aprendizaje del usuario, como respuestas proporcionadas, duración de la sesión, progreso, resultados, fecha de creación de la cuenta e idioma preferido; (II) información sobre las sesiones del usuario, incluidos los horarios de acceso, el tipo de navegador y el sistema operativo utilizados, y la dirección IP del usuario.

Estos datos se recopilan únicamente para permitir a 4books prestar el servicio encargado por el Cliente Business y apoyar al Cliente Business, como empleador del Usuario Autorizado, en la integración y el uso eficaz de la Plataforma de aprendizaje dentro de su organización. Esto incluye compartir con el Cliente Business datos de uso de la plataforma para los fines acordados, en cumplimiento del RGPD y del acto de designación como Encargado del Tratamiento.

Al firmar el Acuerdo con 4books, el Cliente Business confirma y asume plena responsabilidad de obtener, cuando proceda, el consentimiento requerido del Usuario Autorizado, o garantiza que el tratamiento se basa en una base jurídica lícita. Esta garantía forma parte integrante de las responsabilidades asumidas por el Cliente Business en el Acuerdo, eximiendo a 4books de cualquier responsabilidad directa relacionada con la obtención de dichos consentimientos. Por tanto, antes de compartir los datos del Usuario Autorizado con el Cliente Business, 4books se basa en las confirmaciones y garantías proporcionadas por el Cliente Business, en cumplimiento de la normativa de protección de datos personales y garantizando el respeto de los derechos de los Usuarios Autorizados.

La comunicación de los datos personales solicitados por el Responsable en las distintas ocasiones de recogida puede ser necesaria para perseguir las finalidades identificadas en el aviso específico, o puede ser opcional. El carácter obligatorio u opcional de la comunicación se indica cada vez en el momento de la recogida, marcando la información obligatoria con un símbolo específico (*). La negativa a proporcionar determinados datos marcados como obligatorios hace imposible perseguir la finalidad principal de la recogida: por ejemplo, podría hacer imposible para el Responsable prestar los servicios disponibles. La comunicación de datos adicionales es opcional y no tiene consecuencias para la finalidad principal de la recogida.

Previo consentimiento explícito del Usuario, los datos personales podrán ser tratados por el Responsable con fines comerciales y promocionales.

4. Modalidades de tratamiento y plazos de conservación

El Responsable tratará los datos personales de los Usuarios mediante herramientas manuales e informáticas, con lógica estrictamente relacionada con las finalidades y, en cualquier caso, de modo que se garantice la seguridad y la confidencialidad de los datos.

Los datos se tratan durante el tiempo necesario para prestar el servicio solicitado por el Usuario o, en general, para alcanzar las finalidades para las que se recopilaron. El Usuario siempre puede solicitar que se interrumpa el tratamiento o que se eliminen los datos. Ten en cuenta que los datos personales de los Usuarios se conservan durante todo el periodo necesario para prestar los servicios y productos solicitados. Además, algunos datos se conservarán durante periodos más largos por obligaciones fiscales-administrativas/contables (10 años conforme al artículo 2220 del Código Civil italiano). Para fines de marketing, el plazo de conservación es de 24 meses.

Coach AI (Premium+AI):

  • Contenido del chat de Coach AI (textos y respuestas): conservado por 4books por un periodo no superior a 30 días desde el final de la conversación; transcurrido dicho plazo, los datos se eliminan o se anonimizan de forma irreversible.
  • Registros técnicos del proveedor de Coach AI: el proveedor puede conservar los datos estrictamente necesarios para fines de seguridad/antiabuso durante un máximo de 30 días; si se configura la opción de Zero Data Retention (ZDR), dicho contenido no se conserva más allá del tiempo de procesamiento técnico.
  • Feedback y telemetría de calidad (p. ej., me gusta/no me gusta; métricas): preferiblemente tratados en forma agregada/anonimizada; cuando no sea posible, en forma seudonimizada. Los registros seudonimizados se conservan hasta 90 días; los conjuntos de datos anonimizados/agregados hasta 12 meses para análisis de calidad y mejora del servicio.
  • Copias de seguridad: las copias de backup están cifradas, no se utilizan con fines operativos y siguen ciclos técnicos de rotación.

5. Ámbito de comunicación y difusión de los datos

Los empleados y/o colaboradores del Responsable encargados de la gestión de las Plataformas pueden tener conocimiento de los datos personales de los Usuarios. Estas personas, formalmente designadas por el Responsable como “personas autorizadas para el tratamiento”, tratarán los datos del Usuario exclusivamente para las finalidades indicadas en este aviso y en cumplimiento de la normativa aplicable.

Además, terceros pueden tener conocimiento de los datos personales de los Usuarios cuando traten datos personales por cuenta del Responsable como “Encargados externos del tratamiento”, como, a título de ejemplo, proveedores de servicios informáticos y logísticos funcionales al funcionamiento de las Plataformas, proveedores de externalización o de cloud computing, profesionales y consultores.

Los Usuarios tienen derecho a obtener una lista de los encargados del tratamiento designados por el Responsable, solicitándola al Responsable mediante las modalidades indicadas en el siguiente apartado 6.

Cuando sea necesario, la información personal del Usuario Autorizado puede comunicarse a determinadas entidades externas, incluido su empleador. Es importante señalar que las respuestas específicas proporcionadas durante las evaluaciones nunca se compartirán con el empleador. No obstante, el empleador puede acceder a detalles sobre la actividad formativa realizada, como inicios de sesión únicos en la app, el número de sesiones de todos los Usuarios Autorizados, datos de lectura/escucha de los distintos contenidos para todos, las actualizaciones leídas, cualquier certificación obtenida y si se ha completado un itinerario formativo—excluyendo, como se indica, los resultados específicos obtenidos.

Proveedor de Coach AI (Premium + AI): para prestar Coach AI, 4books utiliza modelos de inteligencia artificial suministrados por OpenAI (normalmente OpenAI Ireland Ltd para clientes del EEE), designada como Encargado del Tratamiento (artículo 28 RGPD) en virtud de un Data Processing Addendum (DPA). Los contenidos transmitidos se tratan únicamente para prestar el servicio y no para fines propios del proveedor, de conformidad con el acuerdo. Una redacción similar se utiliza en avisos de otros operadores que integran un chat de IA para apoyar la búsqueda/asistencia al usuario.

Los datos pueden ser tratados en servidores ubicados también fuera del Espacio Económico Europeo. En tal caso, el Responsable garantiza que las transferencias se realicen de conformidad con los artículos 44 y siguientes del RGPD (p. ej., Cláusulas Contractuales Tipo), con medidas suplementarias adecuadas (seudonimización previa, minimización de datos, cifrado en tránsito).

Una lista actualizada de Encargados del Tratamiento está disponible previa solicitud, contactando con el Responsable a través de los datos de contacto facilitados.

6. Derechos de los interesados

Los Usuarios pueden ejercer los derechos que les reconoce la normativa aplicable contactando con el Responsable de la siguiente manera:

  • enviando una carta certificada con acuse de recibo al domicilio social del Responsable del Tratamiento (4books S.r.l., Via del Tiratoio 1, 50124 Florencia, Italia);
  • enviando un correo electrónico a: [email protected]

De conformidad con la normativa aplicable, el Responsable informa a los Usuarios de que tienen derecho a obtener información sobre: (i) el origen de los datos personales; (ii) las finalidades y modalidades del tratamiento; (iii) la lógica aplicada cuando el tratamiento se realiza con herramientas electrónicas; (iv) los datos identificativos del Responsable y de los Encargados del Tratamiento; (v) los sujetos o categorías de sujetos a quienes los datos personales pueden comunicarse o que pueden tener conocimiento de ellos como encargados o personas autorizadas.

Además, los Usuarios tienen derecho a obtener:

a) el acceso a, la actualización, rectificación o, cuando exista interés, la integración de los datos;

b) la supresión, transformación en forma anónima o el bloqueo de los datos tratados en violación de la ley, incluidos aquellos cuya conservación no sea necesaria en relación con las finalidades para las que se recopilaron o posteriormente trataron;

c) la certificación de que las operaciones a las que se refieren las letras a) y b) han sido puestas en conocimiento, en cuanto a su contenido, de aquellos a quienes se comunicaron o difundieron los datos, salvo cuando tal exigencia resulte imposible o implique el uso de medios manifiestamente desproporcionados respecto del derecho protegido.

Los Usuarios también tienen:

d) el derecho a retirar el consentimiento en cualquier momento, cuando el tratamiento se base en su consentimiento;

e) el derecho a la portabilidad de los datos (derecho a recibir todos los datos personales que les conciernen en un formato estructurado, de uso común y lectura mecánica), el derecho a la limitación del tratamiento de los datos personales y el derecho a la supresión (“derecho al olvido”);

f) el derecho de oposición:

i) total o parcialmente, por motivos legítimos, al tratamiento de los datos personales que les conciernen, aunque sean pertinentes para la finalidad de la recogida;

ii) total o parcialmente, al tratamiento de los datos personales que les conciernen con el fin de enviar material publicitario o de venta directa o para realizar estudios de mercado o comunicación comercial;

iii) cuando los datos personales se traten para fines de marketing directo, en cualquier momento, al tratamiento de sus datos realizado para ese fin, incluida la elaboración de perfiles en la medida en que esté relacionada con dicho marketing directo.

g) cuando consideren que el tratamiento que les concierne infringe el Reglamento, el derecho a presentar una reclamación ante la autoridad de control (en el Estado miembro de su residencia habitual, lugar de trabajo o lugar de la presunta infracción). La autoridad de control italiana es el Garante per la protezione dei dati personali, con sede en Piazza di Monte Citorio 121, 00186 Roma (http://www.garanteprivacy.it/).

El Responsable no es responsable de la actualización de todos los enlaces que se muestran en este Aviso; por tanto, siempre que un enlace no funcione y/o no esté actualizado, los Usuarios reconocen y aceptan que deberán remitirse siempre al documento y/o a la sección de los sitios web a los que se refiere dicho enlace.

Este aviso es un documento en constante actualización: el Responsable del Tratamiento se reserva el derecho de realizar modificaciones en cualquier momento, también a la luz de cambios en las leyes o reglamentos que regulen esta materia y protejan tus derechos. Las modificaciones se aplicarán desde la fecha de publicación en las Plataformas/sitio web. Por ello, te invitamos a consultar regularmente esta sección para verificar la publicación de la Política de Privacidad más actualizada.