Política de Privacidad

POLÍTICA DE PRIVACIDAD
CRM Whata – Plataforma de Mensajería Empresarial

Última actualización: 25 de octubre de 2025

═══════════════════════════════════════════════════════════════════════════════

1. INFORMACIÓN DE LA EMPRESA

Razón Social: Saint Denis Del Caribe
Dirección: Calle H #3, Cerros De Gurabo 3, Santiago, República Dominicana
Correo Electrónico: info@crmwhata.com
Nombre Comercial: CRM Whata
Sitio Web: https://crmwhata.com

Responsable del Tratamiento de Datos: Saint Denis Del Caribe
Contacto de Privacidad: info@crmwhata.com

2. INTRODUCCIÓN Y ALCANCE

Saint Denis Del Caribe (“nosotros”, “nuestro” o “la Compañía”) se compromete a proteger su privacidad y sus datos personales. Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos, compartimos y protegemos su información personal cuando utiliza CRM Whata (el “Servicio” o la “Plataforma”).

2.1 Aceptación de esta Política

Al utilizar nuestro Servicio, usted acepta las prácticas descritas en esta Política de Privacidad. Si no está de acuerdo con esta política, no debe utilizar el Servicio.

2.2 Cumplimiento Legal

Esta Política cumple con:
• Ley 172-13 sobre Protección de Datos de Carácter Personal de la República Dominicana
• Reglamento General de Protección de Datos (GDPR) de la Unión Europea (cuando sea aplicable)
• California Consumer Privacy Act (CCPA) de Estados Unidos (cuando sea aplicable)
• Otras leyes de privacidad y protección de datos aplicables

3. INFORMACIÓN QUE RECOPILAMOS

3.1 Información de Registro y Cuenta

Cuando se registra en CRM Whata, recopilamos:

Información de Usuario:
• Nombre completo
• Dirección de correo electrónico
• Contraseña (almacenada cifrada con Bcrypt de 12 rondas)
• País
• Zona horaria
• Foto de perfil (opcional)

Información de Empresa/Cuenta:
• Nombre de la empresa o negocio
• Correo electrónico de la empresa
• Número de teléfono de la empresa
• Notas internas sobre la cuenta

Información de Verificación:
• Tokens de verificación de correo electrónico
• Estado de verificación de correo electrónico
• Tokens de restablecimiento de contraseña

3.2 Información de Conversaciones y Mensajería

Datos de Conversaciones:
• Historial completo de conversaciones con sus clientes
• Contenido de mensajes (texto, imágenes, archivos adjuntos, documentos)
• Metadatos de mensajes (fecha/hora, estado de lectura, plataforma de origen)
• Detección de mensajes reenviados
• Información de grupos de chat

Datos de Contactos de Clientes:
• Números de teléfono de sus clientes
• Nombres de contactos
• Etiquetas y categorías asignadas
• Campos de información rápida
• Información de contacto adicional (correos, ubicaciones, etc.)
• Notas sobre clientes

3.3 Datos de Uso y Configuración

Configuraciones de IA:
• Instrucciones y prompts personalizados para el asistente de IA
• Temperatura y límites de tokens configurados
• Mensajes de bienvenida personalizados
• Configuración de retrasos de respuesta
• Idioma preferido para respuestas

Documentos de Entrenamiento:
• Documentos cargados (PDF, Word, Excel, CSV, TXT)
• Fragmentos de documentos (chunks) procesados
• Embeddings vectoriales generados a partir de documentos
• Estado de procesamiento de documentos

Plantillas y Respuestas Rápidas:
• Plantillas de respuestas guardadas
• Respuestas rápidas configuradas

Configuración del Widget Web:
• Colores y estilos personalizados
• Logos e imágenes del widget
• Horarios de atención
• Mensajes personalizados
• Estado online/offline

3.4 Datos de CRM y Ventas

Pipeline de Ventas:
• Información de oportunidades (deals)
• Valores de oportunidades y probabilidades
• Fechas esperadas de cierre
• Etapas personalizadas de pipeline
• Estados de oportunidades (ganadas, perdidas, razones)

Proyectos:
• Información de proyectos creados
• Bloques de contenido de proyectos
• Archivos adjuntos de proyectos
• Permisos de acceso compartido a proyectos

3.5 Datos de Campañas (Broadcasts)

• Configuración de campañas de difusión masiva
• Listas de destinatarios
• Contenido de mensajes de campaña
• Variaciones de mensajes para pruebas A/B
• Estado de envío y entrega
• Fechas de programación y límites diarios

3.6 Información de Suscripción y Pagos

Datos de Suscripción:
• Plan de suscripción actual (Prueba, Básico, Pro, Empresarial)
• Fecha de inicio y finalización de suscripción
• Estado de suscripción (activa, expirada, cancelada, pago fallido)
• Historial de cambios de plan
• Periodo de prueba y uso de características

Información de Pago (procesada por Lemon Squeezy):
• ID de cliente de Lemon Squeezy
• ID de suscripción de Lemon Squeezy
• Método de pago (procesado y almacenado por Lemon Squeezy, no por nosotros)
• Historial de facturas y referencias
• Historial de pagos exitosos y fallidos
• Periodo de gracia y recuperación de pagos

NOTA IMPORTANTE: No almacenamos directamente información de tarjetas de crédito. Todo el procesamiento de pagos es manejado por Lemon Squeezy, un procesador de pagos certificado PCI-DSS.

3.7 Datos de Uso de IA

• Número de respuestas de IA generadas mensualmente
• Tokens consumidos por mensaje
• Costos estimados por interacción de IA
• Historial de uso de límites de IA

3.8 Información de Equipo y Colaboradores

Agentes y Sub-usuarios:
• Información de usuarios creados bajo su cuenta
• Permisos y roles asignados
• Acceso a funcionalidades por usuario
• Relaciones de compartición de proyectos

3.9 Datos Técnicos y de Sesión

Información de Sesión:
• Tokens de autenticación (Laravel Sanctum)
• Sesiones activas (almacenadas en base de datos)
• Tokens “Remember Me”
• Dirección IP
• Identificadores de dispositivo
• Agente de usuario (navegador y sistema operativo)

Logs y Registros:
• Registros de actividad del sistema
• Logs de errores y excepciones
• Logs de webhooks recibidos
• Registros de envío de correos electrónicos

3.10 Cookies y Tecnologías Similares

Utilizamos cookies y tecnologías similares para:
• Mantener su sesión activa
• Recordar sus preferencias
• Analizar el uso del Servicio
• Mejorar la funcionalidad y experiencia de usuario

Tipos de cookies:
• Cookies esenciales: Necesarias para el funcionamiento del Servicio
• Cookies de sesión: Expiran cuando cierra su navegador
• Cookies persistentes: Permanecen por un periodo específico (120 minutos para sesiones)

4. CÓMO USAMOS SU INFORMACIÓN

4.1 Proporcionar y Mantener el Servicio

Usamos su información para:
• Crear y gestionar su cuenta
• Autenticar su identidad y verificar su correo electrónico
• Procesar y gestionar conversaciones de WhatsApp, Instagram, Facebook y Widget Web
• Generar respuestas automáticas usando inteligencia artificial (Claude AI)
• Almacenar y organizar sus conversaciones y contactos
• Procesar documentos y generar embeddings para búsqueda semántica
• Gestionar su pipeline de ventas y oportunidades
• Facilitar colaboración en proyectos con su equipo
• Ejecutar campañas de difusión masiva
• Proporcionar el widget de chat para su sitio web

4.2 Procesamiento de Pagos y Facturación

• Procesar pagos de suscripciones a través de Lemon Squeezy
• Generar facturas y recibos
• Gestionar actualizaciones, cancelaciones y cambios de plan
• Manejar pagos fallidos y recuperación
• Aplicar límites de uso según su plan de suscripción

4.3 Comunicaciones con Usted

Usamos su correo electrónico para enviarle:
• Correo de verificación de cuenta
• Notificaciones de pago exitoso o fallido
• Confirmaciones de cambio de plan
• Notificaciones de expiración de suscripción
• Recordatorios de renovación
• Avisos de recuperación de pago
• Actualizaciones importantes del Servicio
• Notificaciones de seguridad
• Respuestas a sus consultas de soporte

NOTA: Puede darse de baja de comunicaciones de marketing, pero no de correos transaccionales esenciales.

4.4 Mejora del Servicio

• Analizar patrones de uso para mejorar funcionalidades
• Identificar y resolver problemas técnicos
• Desarrollar nuevas características basadas en necesidades de usuarios
• Optimizar rendimiento y experiencia de usuario
• Realizar pruebas A/B y análisis de funcionalidades

4.5 Seguridad y Prevención de Fraude

• Detectar, prevenir y responder a fraude, abuso o actividades ilegales
• Proteger la seguridad e integridad del Servicio
• Verificar identidad de usuarios
• Investigar violaciones de nuestros Términos y Condiciones
• Cumplir con obligaciones legales y regulatorias

4.6 Investigación y Análisis

• Realizar análisis agregados y anonimizados sobre uso del Servicio
• Comprender tendencias de la industria
• Mejorar algoritmos de IA
• Desarrollar mejores prácticas para CRM y comunicación con clientes

IMPORTANTE: Los datos para investigación son siempre anonimizados y agregados, sin identificación personal.

5. CON QUIÉN COMPARTIMOS SU INFORMACIÓN

No vendemos, alquilamos ni intercambiamos sus datos personales con terceros para fines de marketing.

Compartimos su información únicamente en las siguientes circunstancias:

5.1 Proveedores de Servicios Esenciales

Anthropic (Claude AI):
• Propósito: Procesamiento de lenguaje natural para respuestas automáticas de IA
• Datos compartidos: Mensajes de conversaciones, documentos de entrenamiento, prompts
• Ubicación: Estados Unidos
• Política de privacidad: https://www.anthropic.com/privacy

Lemon Squeezy:
• Propósito: Procesamiento de pagos y gestión de suscripciones
• Datos compartidos: Email, información de facturación, historial de pagos
• Ubicación: Estados Unidos
• Certificación: PCI-DSS Nivel 1
• Política de privacidad: https://www.lemonsqueezy.com/privacy

Supabase:
• Propósito: Base de datos PostgreSQL y almacenamiento de archivos
• Datos compartidos: Todos los datos almacenados en la plataforma
• Ubicación: Estados Unidos (AWS)
• Seguridad: Cifrado en reposo y en tránsito
• Política de privacidad: https://supabase.com/privacy

Railway:
• Propósito: Infraestructura de hosting y servidores
• Datos compartidos: Datos de aplicación durante procesamiento
• Ubicación: Estados Unidos
• Política de privacidad: https://railway.app/legal/privacy

SendGrid (Twilio):
• Propósito: Envío de correos electrónicos transaccionales
• Datos compartidos: Direcciones de email, contenido de correos
• Ubicación: Estados Unidos
• Política de privacidad: https://www.twilio.com/legal/privacy

5.2 Integraciones de Plataformas de Mensajería

Meta Platforms (WhatsApp, Instagram, Facebook):
• Propósito: Conectar y sincronizar conversaciones de sus cuentas
• Datos compartidos: Conversaciones, mensajes, contactos según permisos que otorgue
• Nota: Al conectar estas plataformas, también está sujeto a sus políticas de privacidad
• WhatsApp: https://www.whatsapp.com/legal/privacy-policy
• Instagram: https://help.instagram.com/privacy/policy
• Facebook: https://www.facebook.com/privacy/policy

5.3 Obligaciones Legales

Compartiremos información cuando sea requerido por:
• Orden judicial, citación o proceso legal
• Solicitud de autoridades gubernamentales o regulatorias
• Necesidad de proteger derechos, propiedad o seguridad de Saint Denis Del Caribe, usuarios o público
• Aplicación de nuestros Términos y Condiciones
• Investigación de fraude, seguridad o problemas técnicos

5.4 Transferencias Empresariales

En caso de fusión, adquisición, venta de activos o reorganización empresarial, su información puede ser transferida. Le notificaremos antes de que su información sea transferida y quede sujeta a una política de privacidad diferente.

5.5 Con su Consentimiento

Podemos compartir información con terceros adicionales cuando usted nos dé consentimiento explícito para hacerlo.

6. TRANSFERENCIAS INTERNACIONALES DE DATOS

6.1 Ubicación de Servidores

Sus datos se almacenan y procesan principalmente en:
• Estados Unidos (Supabase en AWS, Railway, Anthropic, Lemon Squeezy)
• República Dominicana (oficinas de Saint Denis Del Caribe)

6.2 Protecciones para Transferencias Internacionales

Cuando transferimos datos fuera de República Dominicana:
• Utilizamos cláusulas contractuales estándar aprobadas
• Aseguramos que proveedores cumplan con estándares equivalentes de protección
• Implementamos medidas técnicas y organizativas apropiadas

6.3 Para Usuarios de la Unión Europea

Si está en la UE, sus datos pueden transferirse fuera del Espacio Económico Europeo (EEE). Aseguramos protección adecuada mediante:
• Cláusulas Contractuales Estándar de la Comisión Europea
• Certificaciones de privacidad de proveedores
• Medidas de seguridad adicionales

7. RETENCIÓN DE DATOS

7.1 Período General de Retención

Conservamos su información personal mientras:
• Su cuenta esté activa
• Sea necesario para proporcionar el Servicio
• Sea requerido para cumplir obligaciones legales, fiscales o contables
• Sea necesario para resolver disputas y hacer cumplir acuerdos

7.2 Períodos Específicos de Retención

Datos de Cuenta y Usuario:
• Durante vida de la cuenta + 30 días después de eliminación

Conversaciones y Mensajes:
• Durante vida de la cuenta + 30 días después de eliminación
• Puede eliminar conversaciones individuales en cualquier momento

Documentos de Entrenamiento:
• Hasta que los elimine manualmente o cierre su cuenta

Información de Facturación:
• 7 años después de última transacción (requerimiento fiscal)

Datos de Suscripción:
• Durante vida de la cuenta + 3 años para fines de auditoría

Logs del Sistema:
• 90 días (para seguridad y resolución de problemas)

Datos de Soporte:
• 2 años después de última interacción

7.3 Eliminación de Datos

Después de la eliminación de cuenta:
• Eliminamos o anonimizamos todos los datos personales dentro de 30 días
• Ciertos datos pueden retenerse en backups por hasta 90 días adicionales
• Información requerida legalmente se conserva según plazos establecidos

7.4 Backups

• Mantenemos backups automáticos por 30 días
• Backups se eliminan según programación automática
• Datos eliminados de backups no son recuperables después de ciclo de backup

8. SEGURIDAD DE DATOS

8.1 Medidas Técnicas

Cifrado:
• TLS 1.3 para datos en tránsito
• Cifrado AES-256 para datos en reposo (base de datos Supabase)
• Contraseñas hasheadas con Bcrypt (12 rondas)
• Tokens de sesión encriptados

Autenticación y Acceso:
• Laravel Sanctum para gestión de tokens de autenticación
• Tokens de sesión de única vez
• Expiración automática de sesiones (120 minutos)
• Verificación de correo electrónico obligatoria
• Restablecimiento seguro de contraseñas con tokens de tiempo limitado

Protección de Infraestructura:
• Firewalls de aplicación web (WAF)
• Protección contra DDoS
• Monitoreo continuo de seguridad
• Análisis de vulnerabilidades regular
• Actualizaciones de seguridad automáticas

8.2 Medidas Organizativas

Control de Acceso:
• Principio de mínimo privilegio
• Acceso basado en roles (RBAC)
• Autenticación de dos factores para personal interno
• Revisión periódica de permisos de acceso
• Registro y auditoría de accesos a datos

Capacitación:
• Capacitación regular en seguridad para empleados
• Políticas de seguridad documentadas
• Procedimientos de respuesta a incidentes
• Acuerdos de confidencialidad con empleados y contratistas

8.3 Aislamiento Multi-Tenant

• Arquitectura de base de datos con separación de datos por cuenta
• Filtrado automático a nivel de ORM (Eloquent)
• Validación de pertenencia de cuenta en todas las consultas
• Auditoría de acceso entre tenants

8.4 Monitoreo y Respuesta

• Monitoreo 24/7 de sistemas
• Alertas automáticas de actividad sospechosa
• Logs de auditoría de todas las acciones críticas
• Plan de respuesta a incidentes documentado
• Notificación a usuarios afectados en caso de brecha

8.5 Limitaciones de Seguridad

A pesar de nuestros esfuerzos:
• Ningún sistema es 100% seguro
• Transmisión por Internet tiene riesgos inherentes
• Usted es responsable de mantener segura su contraseña
• Debe notificarnos inmediatamente de acceso no autorizado

9. SUS DERECHOS DE PRIVACIDAD

9.1 Derechos Aplicables a Todos los Usuarios

Derecho de Acceso:
• Solicitar copia de sus datos personales
• Conocer qué datos tenemos sobre usted
• Formato de exportación: JSON

Derecho de Rectificación:
• Corregir datos inexactos o incompletos
• Actualizar información desactualizada

Derecho de Eliminación:
• Solicitar eliminación de su cuenta y datos
• Procesamos eliminaciones en 30 días
• Ciertas excepciones legales pueden aplicar

Derecho de Portabilidad:
• Recibir sus datos en formato estructurado y legible por máquina
• Transferir datos a otro proveedor cuando sea técnicamente posible

Derecho de Oposición:
• Oponerse al procesamiento de sus datos
• Darse de baja de comunicaciones de marketing

Derecho a Retirar Consentimiento:
• Retirar consentimiento previamente otorgado en cualquier momento
• No afecta legalidad de procesamiento basado en consentimiento previo

9.2 Derechos Adicionales para Usuarios de la UE (GDPR)

Derecho de Limitación de Procesamiento:
• Solicitar que restrinjamos procesamiento de sus datos

Derecho a Presentar Queja:
• Presentar queja ante autoridad supervisora de protección de datos

Derecho a No Ser Objeto de Decisiones Automatizadas:
• No ser sujeto a decisiones basadas únicamente en procesamiento automatizado

9.3 Derechos Adicionales para Usuarios de California (CCPA)

Derecho a Conocer:
• Categorías de información personal recopilada
• Fuentes de información personal
• Propósitos de recopilación
• Terceros con quienes se comparte

Derecho a Eliminar:
• Solicitar eliminación de información personal

Derecho a Optar por No Vender:
• No vendemos información personal (no aplica opt-out ya que no vendemos datos)

No Discriminación:
• No discriminamos por ejercer derechos CCPA

9.4 Cómo Ejercer Sus Derechos

Para ejercer cualquiera de estos derechos:

1. Envíe correo electrónico a: info@crmwhata.com
2. Asunto: “Solicitud de Derechos de Privacidad – [Tipo de Solicitud]”
3. Incluya:
• Su nombre completo
• Email de cuenta registrado
• Descripción específica de su solicitud
• Documentación de verificación de identidad (si es necesario)

Responderemos a su solicitud dentro de:
• 30 días para solicitudes generales
• 45 días para solicitudes complejas (con notificación de extensión)
• 10 días para solicitudes de acceso bajo Ley 172-13 (República Dominicana)

9.5 Verificación de Identidad

Para proteger su privacidad, verificaremos su identidad antes de:
• Proporcionar acceso a datos personales
• Procesar eliminación de datos
• Realizar cambios significativos en cuenta

Métodos de verificación pueden incluir:
• Confirmación por correo electrónico registrado
• Responder preguntas de seguridad
• Proporcionar documentación de identidad

10. PRIVACIDAD DE MENORES

10.1 Restricción de Edad

CRM Whata NO está dirigido a menores de 18 años. No recopilamos conscientemente información personal de menores de 18 años.

10.2 Si Descubrimos Información de Menores

Si descubrimos que hemos recopilado información de un menor de 18 años:
• Eliminaremos inmediatamente esa información
• Cerraremos la cuenta asociada
• Notificaremos según sea requerido por ley

10.3 Responsabilidad de Padres/Tutores

Si es padre o tutor y cree que su hijo nos ha proporcionado información personal, contáctenos inmediatamente en info@crmwhata.com con asunto “Información de Menor”.

10.4 Verificación de Edad

Al registrarse, usted certifica que tiene al menos 18 años de edad.

11. PRIVACIDAD EN FUNCIONALIDAD DE IA

11.1 Cómo Funciona la IA en CRM Whata

Nuestro asistente de IA utiliza Claude AI (Anthropic) para:
• Generar respuestas automáticas a mensajes de clientes
• Analizar contexto de conversaciones
• Buscar información en documentos de entrenamiento cargados
• Sugerir respuestas basadas en su estilo de comunicación

11.2 Datos Compartidos con Anthropic

Cuando usa funciones de IA, compartimos con Anthropic:
• Mensajes de conversaciones (enviados y recibidos)
• Documentos de entrenamiento que haya cargado
• Instrucciones y prompts personalizados
• Contexto de conversación necesario para generar respuestas

11.3 Política de Uso de Datos de Anthropic

Según política de Anthropic:
• No entrenan modelos con datos de clientes de API
• Conservan datos por 30 días solo para abusos y seguridad
• Después de 30 días, datos son eliminados
• Política completa: https://www.anthropic.com/privacy

11.4 Control de Usuario sobre IA

Usted puede:
• Activar o desactivar asistente de IA en cualquier momento
• Configurar qué conversaciones usan IA
• Limitar tipos de respuestas que IA puede generar
• Revisar y editar respuestas antes de enviar
• Elegir no usar IA y responder manualmente

11.5 Limitaciones y Responsabilidades

IMPORTANTE – Usted es responsable de:
• Revisar respuestas de IA antes de enviar a clientes
• Asegurar que respuestas cumplen con sus políticas empresariales
• Obtener consentimiento de sus clientes para procesamiento de IA (si requerido en su jurisdicción)
• Cumplir con leyes de protección de datos aplicables a sus clientes

Nosotros NO somos responsables de:
• Inexactitudes en respuestas generadas por IA
• Decisiones comerciales basadas en sugerencias de IA
• Cumplimiento de sus obligaciones legales con sus clientes

11.6 Mejora de IA

No utilizamos sus datos para entrenar modelos de IA propios o de terceros, excepto que:
• Anthropic puede usar datos según su política (solo 30 días para seguridad)
• Podemos analizar de forma agregada y anonimizada patrones de uso para mejorar configuraciones

12. PRIVACIDAD EN WIDGET WEB

12.1 Funcionamiento del Widget

El Widget Web de CRM Whata se integra en su sitio web para:
• Permitir que visitantes inicien conversaciones
• Recopilar información de contacto de visitantes
• Mostrar horarios de atención y mensajes personalizados

12.2 Datos Recopilados por el Widget

Cuando un visitante usa su widget, recopilamos:
• Nombre proporcionado por visitante
• Email proporcionado por visitante (opcional)
• Número de teléfono (si conversa por WhatsApp)
• Mensajes enviados por visitante
• URL de página donde está widget
• Fecha y hora de conversación
• Datos técnicos: IP, navegador, dispositivo

12.3 Su Responsabilidad como Propietario del Sitio

Al instalar el widget en su sitio web, USTED es responsable de:
• Informar a visitantes sobre recopilación de datos en su política de privacidad
• Obtener consentimiento requerido por leyes aplicables (ej. GDPR)
• Colocar aviso de privacidad visible cerca del widget
• Cumplir con leyes de cookies y rastreo
• Informar que conversaciones pueden procesarse con IA

Recomendamos incluir aviso como:
“Al usar este chat, acepta nuestra [Política de Privacidad] y que sus mensajes pueden procesarse con asistencia de IA.”

12.4 Cookies del Widget

El widget puede usar:
• Cookies de sesión para mantener conversación activa
• LocalStorage para guardar preferencias de usuario
• Identificadores únicos para reconocer visitantes recurrentes

12.5 Consentimiento de Cookies

Si opera en jurisdicción que requiere consentimiento para cookies (ej. UE):
• Debe implementar su propio banner de consentimiento
• Widget solo debe cargarse después de obtener consentimiento
• Proporcionamos opción de carga condicional del widget

13. SERVICIOS DE TERCEROS

13.1 Integraciones con Plataformas de Mensajería

WhatsApp Business API:
• Permite conectar su número de WhatsApp Business a CRM Whata
• Sincroniza conversaciones de WhatsApp
• Sujeto a Términos de Servicio y Política de Privacidad de WhatsApp
• WhatsApp puede procesar datos de mensajes según su política

Instagram y Facebook Messenger:
• Permite conectar cuentas de Instagram y páginas de Facebook
• Sincroniza mensajes y comentarios
• Sujeto a políticas de Meta Platforms
• Meta procesa datos según sus propias políticas

13.2 Responsabilidad por Plataformas de Terceros

NO somos responsables de:
• Políticas de privacidad de plataformas de terceros
• Cambios en APIs o funcionalidad de terceros
• Acciones de terceros con sus datos
• Suspensiones o restricciones de cuentas por terceros

13.3 Revisión de Políticas de Terceros

Le recomendamos revisar las políticas de privacidad de todos los servicios de terceros que utilice:
• WhatsApp: https://www.whatsapp.com/legal/privacy-policy
• Instagram: https://help.instagram.com/privacy/policy
• Facebook: https://www.facebook.com/privacy/policy
• Anthropic: https://www.anthropic.com/privacy
• Lemon Squeezy: https://www.lemonsqueezy.com/privacy

14. CAMBIOS A ESTA POLÍTICA DE PRIVACIDAD

14.1 Derecho a Modificar

Nos reservamos el derecho de modificar esta Política de Privacidad en cualquier momento.

14.2 Notificación de Cambios

Cuando realicemos cambios:
• Actualizaremos la fecha de “Última actualización” al inicio de esta política
• Para cambios materiales, le notificaremos por:
– Correo electrónico a la dirección registrada en su cuenta
– Aviso destacado en la Plataforma
– Notificación al iniciar sesión

14.3 Aceptación de Cambios

• Los cambios entran en vigor inmediatamente después de su publicación
• Su uso continuado del Servicio después de cambios constituye aceptación de la política modificada
• Si no está de acuerdo con los cambios, debe dejar de usar el Servicio y puede solicitar eliminación de su cuenta

15. CONSENTIMIENTO ESPECÍFICO

15.1 Consentimiento para Procesamiento de IA

Al utilizar funciones de IA de CRM Whata, usted:
• Consiente que procesemos sus conversaciones y documentos con Claude AI (Anthropic)
• Comprende que datos se compartirán con Anthropic según su política de privacidad
• Reconoce su responsabilidad de obtener consentimiento de sus clientes para procesamiento de IA

15.2 Consentimiento para Integraciones de Plataformas

Al conectar cuentas de WhatsApp, Instagram o Facebook, usted:
• Consiente que accedamos y procesemos conversaciones de esas plataformas
• Comprende que está sujeto a las políticas de privacidad de Meta/WhatsApp
• Acepta cumplir con los términos de servicio de esas plataformas

15.3 Consentimiento para Comunicaciones por Email

Al registrarse, usted consiente recibir:
• Correos transaccionales (verificación, facturas, notificaciones de seguridad)
• Correos administrativos (actualizaciones de servicio, cambios de términos)
• Correos de marketing (puede darse de baja en cualquier momento)

15.4 Retiro de Consentimiento

Puede retirar su consentimiento en cualquier momento:
• Para procesamiento de IA: desactivando funciones de IA en configuración
• Para integraciones: desconectando cuentas de plataformas
• Para emails de marketing: usando enlace de baja en correos o contactándonos

Tenga en cuenta que retirar ciertos consentimientos puede limitar o impedir el uso del Servicio.

16. ARQUITECTURA MULTI-TENANT Y AISLAMIENTO

16.1 Separación de Datos

CRM Whata utiliza arquitectura multi-tenant:
• Cada cuenta tiene su propio espacio aislado (account_id único)
• Los usuarios solo pueden acceder a datos de su propia cuenta
• Filtrado automático implementado a nivel de base de datos

16.2 Roles y Acceso

Tres niveles de acceso:

1. ADMIN (Administradores de Sistema):
• Personal interno de Saint Denis Del Caribe
• Acceso para soporte técnico y administración de plataforma
• Sin acceso rutinario a datos de clientes salvo necesidad técnica o soporte

2. CLIENT (Propietario de Cuenta):
• Acceso completo a todos los datos de su cuenta
• Puede gestionar equipo y permisos
• Puede gestionar suscripción y facturación

3. AGENT (Agente/Colaborador):
• Acceso limitado según permisos otorgados por CLIENT
• Solo acceso a funcionalidades asignadas
• No puede gestionar usuarios ni facturación

16.3 Acceso de Empleados

Empleados de Saint Denis Del Caribe solo acceden a datos de clientes cuando:
• Es necesario para proporcionar soporte técnico solicitado
• Es requerido para investigar problemas reportados
• Es necesario para cumplir obligaciones legales

Todo acceso a datos de clientes es registrado y auditado.

17. BASE LEGAL PARA PROCESAMIENTO (GDPR)

Si el GDPR le aplica, procesamos sus datos personales bajo las siguientes bases legales:

17.1 Ejecución de Contrato
Procesamos datos necesarios para proporcionar el Servicio según nuestros Términos y Condiciones.

17.2 Consentimiento
Procesamos datos cuando usted nos ha dado consentimiento específico (por ejemplo, para procesamiento de IA).

17.3 Interés Legítimo
Procesamos datos para:
• Mejorar nuestro Servicio
• Prevenir fraude y abuso
• Garantizar seguridad de la plataforma
• Análisis internos

17.4 Obligación Legal
Procesamos datos cuando es requerido por ley (por ejemplo, retención de registros fiscales).

18. CONTACTO Y QUEJAS

18.1 Contacto de Privacidad

Para preguntas, inquietudes o solicitudes relacionadas con privacidad:

Email: info@crmwhata.com
Asunto: Consulta de Privacidad

Dirección Postal:
Saint Denis Del Caribe
Calle H #3, Cerros De Gurabo 3
Santiago, República Dominicana

18.2 Autoridad de Protección de Datos (República Dominicana)

Si no está satisfecho con nuestra respuesta, puede contactar a la autoridad de protección de datos de República Dominicana:

Dirección General de Ética e Integridad Gubernamental (DIGEIG)
Departamento de Protección de Datos Personales
Sitio web: https://www.digeig.gob.do

18.3 Autoridades de la UE (Si Aplica GDPR)

Residentes de la UE pueden presentar quejas ante su autoridad supervisora local de protección de datos.

19. DISPOSICIONES ADICIONALES

19.1 Idioma de la Política

Esta Política está redactada en español. En caso de conflicto entre versiones en diferentes idiomas, prevalecerá la versión en español.

19.2 Divisibilidad

Si alguna disposición de esta Política es considerada inválida o inaplicable, las disposiciones restantes continuarán en pleno vigor.

19.3 No Renuncia

El hecho de que no ejercemos algún derecho bajo esta Política no constituye renuncia a ese derecho.

19.4 Política Completa

Esta Política, junto con nuestros Términos y Condiciones, constituye el acuerdo completo sobre privacidad y protección de datos.

20. RECONOCIMIENTO Y ACEPTACIÓN

Al utilizar CRM Whata, usted reconoce que:

✓ Ha leído y entendido esta Política de Privacidad
✓ Comprende qué datos recopilamos y cómo los usamos
✓ Consiente el procesamiento de sus datos según esta Política
✓ Comprende sus derechos de privacidad y cómo ejercerlos
✓ Reconoce su responsabilidad de obtener consentimiento de sus clientes
✓ Acepta que datos sean procesados por terceros (Anthropic, Lemon Squeezy, etc.)
✓ Comprende las limitaciones de seguridad y exactitud de IA

21. RESUMEN PARA REFERENCIA RÁPIDA

¿Qué datos recopilamos?
• Información de registro (nombre, email, contraseña)
• Conversaciones y mensajes con sus clientes
• Documentos de entrenamiento
• Información de suscripción y pagos
• Datos de uso y configuración

¿Cómo los usamos?
• Proporcionar el servicio de mensajería multi-canal
• Generar respuestas de IA
• Procesar pagos y facturación
• Mejorar el servicio
• Comunicarnos con usted

¿Con quién compartimos?
• Anthropic (IA)
• Lemon Squeezy (pagos)
• Supabase (base de datos y almacenamiento)
• Railway (infraestructura de hosting)
• SendGrid (emails)
• Meta/WhatsApp/Instagram/Facebook (integraciones)

NO VENDEMOS SUS DATOS.

Sus derechos:
• Acceder a sus datos
• Corregir datos incorrectos
• Eliminar su cuenta y datos
• Exportar sus datos
• Oponerse al procesamiento
• Presentar quejas

Eliminación de Datos:
Para solicitar eliminación de sus datos, envíe correo a info@crmwhata.com con asunto “Solicitud de Eliminación de Datos”. Procesaremos su solicitud en 30 días.

Contacto: info@crmwhata.com

Última actualización: 25 de octubre de 2025
Versión: 1.0

Saint Denis Del Caribe
Calle H #3, Cerros De Gurabo 3
Santiago, República Dominicana
Email: info@crmwhata.com