Brobott opera con datos de corredurías y de sus clientes — pólizas, siniestros, conversaciones, expedientes. Tratarlos bien no es una casilla que marcar al final, es la base sobre la que construimos. Aquí está, sin rodeos, qué hacemos para protegerlos.
Brobott está sujeto al Reglamento General de Protección de Datos (RGPD) y a la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Nuestros clientes — corredurías de seguros — están además bajo la supervisión de la DGSFP, lo que añade requisitos específicos sobre el tratamiento de datos de tomadores y asegurados.
Todos los desarrollos del producto se diseñan teniendo en cuenta estos marcos desde el primer día (privacy by design). Cuando una correduría contrata Brobott, firmamos un contrato de encargado del tratamiento conforme al artículo 28 del RGPD que delimita responsabilidades, finalidades y plazos.
Toda la comunicación entre el cliente, los agentes de Brobott y nuestros servicios viaja cifrada por TLS 1.3. Los datos almacenados — bases de datos, grabaciones de llamadas, transcripciones, expedientes — se cifran en reposo con AES-256.
Toda la infraestructura crítica de Brobott — bases de datos, almacenamiento de transcripciones y expedientes, procesamiento de IA — está alojada en centros de datos de la Unión Europea. No hay transferencias internacionales de datos personales fuera del Espacio Económico Europeo en el flujo principal del producto.
Cuando un sub-procesador trate datos fuera de la UE de forma puntual y residual (por ejemplo, ciertos servicios de IA), aplicamos Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y se documenta en la sección de sub-procesadores.
Estos son los proveedores que tratan datos en nombre de Brobott para hacer funcionar el producto. La lista se mantiene pública y se actualiza cuando hay cambios. Nuestros clientes son notificados con antelación razonable antes de incorporar nuevos sub-procesadores.
Aplicamos el principio de minimización: solo almacenamos los datos necesarios para prestar el servicio y durante el tiempo justo. Los plazos concretos se fijan en el contrato con cada correduría, pero como referencia general:
El acceso a los sistemas que tratan datos de clientes está restringido al equipo de Brobott estrictamente necesario, y se rige por el principio de mínimo privilegio: cada persona tiene los permisos que necesita para su rol, ni uno más.
Hacemos copias de seguridad automáticas de las bases de datos críticas cada día, con retención de 30 días. Las copias se almacenan en una región distinta a la principal pero igualmente dentro de la UE. Probamos los procedimientos de restauración periódicamente para asegurar que funcionan cuando hagan falta.
El servicio se monitoriza 24/7 con alertas automáticas a guardia. Tenemos definidos procedimientos de respuesta a incidentes con objetivos de recuperación que comunicamos contractualmente a cada cliente.
Si detectamos una violación de seguridad de los datos personales que pueda suponer un riesgo para los derechos de las personas afectadas, notificamos a las corredurías clientes sin dilación indebida y como máximo en 72 horas, conforme al artículo 33 del RGPD. La notificación incluye la naturaleza del incidente, los datos afectados, las consecuencias probables y las medidas adoptadas.
Si tú — investigador de seguridad, cliente, persona curiosa — descubres una vulnerabilidad en Brobott, te pedimos que nos la reportes de forma responsable. Ningún reporte serio queda sin respuesta. Nos comprometemos a no emprender acciones legales contra quien investigue de buena fe.
Somos honestos sobre dónde estamos. Brobott es una empresa joven, y aunque seguimos las mejores prácticas del sector desde el primer día, las certificaciones formales tienen un calendario propio. Esto es lo que hay en marcha:
Trabajando hacia los estándares que el sector espera de un proveedor de software para corredurías reguladas.
Si eres responsable de seguridad de una correduría y necesitas el detalle técnico, el contrato de encargado de tratamiento, la lista actualizada de sub-procesadores o quieres reportar una vulnerabilidad, escríbenos directamente. Respondemos en horas, no en días.
Vulnerabilidades, contratos DPA, ejercicio de derechos RGPD.
Si tu correduría tiene requisitos específicos de cumplimiento, vamos al detalle contigo. Te enviamos lo que necesites — DPA, lista de sub-procesadores, cuestionarios de seguridad, lo que sea.
Cuéntanos qué necesitas y te respondemos antes de 24 horas.
Hemos recibido tu mensaje. Te respondemos antes de 24 horas.