POLÍTICA DE PRIVACIDAD

Política de Privacidad

# POLÍTICA DE PRIVACIDAD

**CRM Whata – Plataforma de Mensajería Empresarial**

**Última actualización: 14 de enero de 2026**


## 1. INFORMACIÓN DE LA EMPRESA

| Campo | Información |
|——-|————-|
| **Razón Social** | Saint Denis Del Caribe |
| **Dirección** | Calle H #3, Cerros De Gurabo 3, Santiago, República Dominicana |
| **Correo Electrónico** | info@crmwhata.com |
| **Nombre Comercial** | CRM Whata |
| **Sitio Web** | https://crmwhata.com |
| **Responsable del Tratamiento de Datos** | Saint Denis Del Caribe |
| **Contacto de Privacidad** | info@crmwhata.com |


## 2. INTRODUCCIÓN Y ALCANCE

Saint Denis Del Caribe (“nosotros”, “nuestro” o “la Compañía”) se compromete a proteger su privacidad y sus datos personales. Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos, compartimos y protegemos su información personal cuando utiliza CRM Whata (el “Servicio” o la “Plataforma”).

### 2.1 Aceptación de esta Política

Al utilizar nuestro Servicio, usted acepta las prácticas descritas en esta Política de Privacidad. Si no está de acuerdo con esta política, no debe utilizar el Servicio.

### 2.2 Cumplimiento Legal

Esta Política cumple con:
– **Ley 172-13** sobre Protección de Datos de Carácter Personal de la República Dominicana
– **Reglamento General de Protección de Datos (GDPR)** de la Unión Europea (cuando sea aplicable)
– **California Consumer Privacy Act (CCPA)** de Estados Unidos (cuando sea aplicable)
– Otras leyes de privacidad y protección de datos aplicables


## 3. INFORMACIÓN QUE RECOPILAMOS

### 3.1 Información de Registro y Cuenta

Cuando se registra en CRM Whata, recopilamos:

**Información de Usuario:**
– Nombre completo
– Dirección de correo electrónico
– Contraseña (almacenada cifrada con Bcrypt de 12 rondas)
– País
– Zona horaria
– Foto de perfil (opcional)

**Información de Empresa/Cuenta:**
– Nombre de la empresa o negocio
– Correo electrónico de la empresa
– Número de teléfono de la empresa
– Notas internas sobre la cuenta

**Información de Verificación:**
– Tokens de verificación de correo electrónico
– Estado de verificación de correo electrónico
– Tokens de restablecimiento de contraseña

**Autenticación con Google (opcional):**
– ID de Google (identificador único para vincular su cuenta)
– Nombre obtenido de su cuenta de Google
– Correo electrónico verificado por Google

> **Nota:** Al usar Google Sign-In, su correo se considera automáticamente verificado ya que Google lo ha verificado previamente.

### 3.2 Información de Conversaciones y Mensajería

**Datos de Conversaciones:**
– Historial completo de conversaciones con sus clientes
– Contenido de mensajes (texto, imágenes, archivos adjuntos, documentos)
– Metadatos de mensajes (fecha/hora, estado de lectura, plataforma de origen)
– Detección de mensajes reenviados
– Información de grupos de chat

**Datos de Contactos de Clientes:**
– Números de teléfono de sus clientes
– Nombres de contactos
– Etiquetas y categorías asignadas
– Campos de información rápida
– Información de contacto adicional (correos, ubicaciones, etc.)
– Notas sobre clientes

### 3.3 Datos de Uso y Configuración

**Configuraciones de IA:**
– Instrucciones y prompts personalizados para el asistente de IA
– Temperatura y límites de tokens configurados
– Mensajes de bienvenida personalizados
– Configuración de retrasos de respuesta
– Idioma preferido para respuestas

**Documentos de Entrenamiento:**
– Documentos cargados (PDF, Word, Excel, CSV, TXT)
– Fragmentos de documentos (chunks) procesados
– Embeddings vectoriales generados a partir de documentos
– Estado de procesamiento de documentos

**Plantillas y Respuestas Rápidas:**
– Plantillas de respuestas guardadas
– Respuestas rápidas configuradas

**Configuración del Widget Web:**
– Colores y estilos personalizados
– Logos e imágenes del widget
– Horarios de atención
– Mensajes personalizados
– Estado online/offline

### 3.4 Datos de CRM y Ventas

**Pipeline de Ventas:**
– Información de oportunidades (deals)
– Valores de oportunidades y probabilidades
– Fechas esperadas de cierre
– Etapas personalizadas de pipeline
– Estados de oportunidades (ganadas, perdidas, razones)

**Proyectos:**
– Información de proyectos creados
– Bloques de contenido de proyectos
– Archivos adjuntos de proyectos
– Permisos de acceso compartido a proyectos

### 3.5 Datos de Campañas (Broadcasts)

– Configuración de campañas de difusión masiva
– Listas de destinatarios
– Contenido de mensajes de campaña
– Variaciones de mensajes para pruebas A/B
– Estado de envío y entrega
– Fechas de programación y límites diarios

#### Consentimiento para Mensajes de Difusión

CRM Whata implementa un modelo de **consentimiento explícito (opt-in)** para mensajes de difusión:

– **Los contactos nuevos NO están automáticamente inscritos** para recibir mensajes de difusión masiva
– Los usuarios de la plataforma deben **habilitar manualmente** la opción de broadcast para cada contacto después de obtener su consentimiento
– El sistema registra automáticamente:
-**Fecha y hora del consentimiento** (`broadcast_consent_at`)
-**Método de consentimiento** (`broadcast_consent_method`): manual, respuesta de WhatsApp, importación, verbal
– Los contactos pueden ser **excluidos de broadcasts en cualquier momento** desactivando la opción en los detalles del chat
– Este registro de consentimiento facilita el cumplimiento con las políticas de WhatsApp Business y regulaciones de protección de datos

### 3.6 Información de Suscripción y Pagos

**Datos de Suscripción:**
– Plan de suscripción actual (Prueba, Básico, Pro, Empresarial)
– Fecha de inicio y finalización de suscripción
– Estado de suscripción (activa, expirada, cancelada, pago fallido)
– Historial de cambios de plan
– Periodo de prueba y uso de características

**Información de Pago (procesada por Lemon Squeezy):**
– ID de cliente de Lemon Squeezy
– ID de suscripción de Lemon Squeezy
– Método de pago (procesado y almacenado por Lemon Squeezy, no por nosotros)
– Historial de facturas y referencias
– Historial de pagos exitosos y fallidos
– Periodo de gracia y recuperación de pagos

> **NOTA IMPORTANTE:** No almacenamos directamente información de tarjetas de crédito. Todo el procesamiento de pagos es manejado por Lemon Squeezy, un procesador de pagos certificado PCI-DSS.

### 3.7 Datos de Uso de IA

– Número de respuestas de IA generadas mensualmente
– Tokens consumidos por mensaje
– Costos estimados por interacción de IA
– Historial de uso de límites de IA

### 3.8 Información de Equipo y Colaboradores

**Agentes y Sub-usuarios:**
– Información de usuarios creados bajo su cuenta
– Permisos y roles asignados
– Acceso a funcionalidades por usuario
– Relaciones de compartición de proyectos

### 3.9 Datos Técnicos y de Sesión

**Información de Sesión:**
– Tokens de autenticación (Laravel Sanctum)
– Sesiones activas (almacenadas en base de datos)
– Tokens “Remember Me”
– Dirección IP
– Identificadores de dispositivo
– Agente de usuario (navegador y sistema operativo)

**Logs y Registros:**
– Registros de actividad del sistema
– Logs de errores y excepciones
– Logs de webhooks recibidos
– Registros de envío de correos electrónicos

### 3.10 Cookies y Tecnologías Similares

Utilizamos cookies y tecnologías similares para:
– Mantener su sesión activa
– Recordar sus preferencias
– Analizar el uso del Servicio
– Mejorar la funcionalidad y experiencia de usuario

**Tipos de cookies:**
– **Cookies esenciales:** Necesarias para el funcionamiento del Servicio
– **Cookies de sesión:** Expiran cuando cierra su navegador
– **Cookies persistentes:** Permanecen por un periodo específico (120 minutos para sesiones)


## 4. CÓMO USAMOS SU INFORMACIÓN

### 4.1 Proporcionar y Mantener el Servicio

Usamos su información para:
– Crear y gestionar su cuenta
– Autenticar su identidad y verificar su correo electrónico
– Procesar y gestionar conversaciones de WhatsApp, Instagram, Facebook y Widget Web
– Generar respuestas automáticas usando inteligencia artificial (Claude AI)
– Almacenar y organizar sus conversaciones y contactos
– Procesar documentos y generar embeddings para búsqueda semántica
– Gestionar su pipeline de ventas y oportunidades
– Facilitar colaboración en proyectos con su equipo
– Ejecutar campañas de difusión masiva
– Proporcionar el widget de chat para su sitio web

### 4.2 Procesamiento de Pagos y Facturación

– Procesar pagos de suscripciones a través de Lemon Squeezy
– Generar facturas y recibos
– Gestionar actualizaciones, cancelaciones y cambios de plan
– Manejar pagos fallidos y recuperación
– Aplicar límites de uso según su plan de suscripción

### 4.3 Comunicaciones con Usted

Usamos su correo electrónico para enviarle:
– Correo de verificación de cuenta
– Notificaciones de pago exitoso o fallido
– Confirmaciones de cambio de plan
– Notificaciones de expiración de suscripción
– Recordatorios de renovación
– Avisos de recuperación de pago
– Actualizaciones importantes del Servicio
– Notificaciones de seguridad
– Respuestas a sus consultas de soporte

> **NOTA:** Puede darse de baja de comunicaciones de marketing, pero no de correos transaccionales esenciales.

### 4.4 Mejora del Servicio

– Analizar patrones de uso para mejorar funcionalidades
– Identificar y resolver problemas técnicos
– Desarrollar nuevas características basadas en necesidades de usuarios
– Optimizar rendimiento y experiencia de usuario
– Realizar pruebas A/B y análisis de funcionalidades

### 4.5 Seguridad y Prevención de Fraude

– Detectar, prevenir y responder a fraude, abuso o actividades ilegales
– Proteger la seguridad e integridad del Servicio
– Verificar identidad de usuarios
– Investigar violaciones de nuestros Términos y Condiciones
– Cumplir con obligaciones legales y regulatorias

### 4.6 Investigación y Análisis

– Realizar análisis agregados y anonimizados sobre uso del Servicio
– Comprender tendencias de la industria
– Mejorar algoritmos de IA
– Desarrollar mejores prácticas para CRM y comunicación con clientes

> **IMPORTANTE:** Los datos para investigación son siempre anonimizados y agregados, sin identificación personal.


## 5. CON QUIÉN COMPARTIMOS SU INFORMACIÓN

**No vendemos, alquilamos ni intercambiamos sus datos personales con terceros para fines de marketing.**

Compartimos su información únicamente en las siguientes circunstancias:

### 5.1 Proveedores de Servicios Esenciales

**Google (Autenticación OAuth):**
– **Propósito:** Autenticación de usuarios mediante Google Sign-In
– **Datos compartidos:** Código de autorización OAuth, recibimos nombre y correo electrónico del usuario
– **Ubicación:** Estados Unidos
– **Política de privacidad:** https://policies.google.com/privacy

**Anthropic (Claude AI):**
– **Propósito:** Procesamiento de lenguaje natural para respuestas automáticas de IA
– **Datos compartidos:** Mensajes de conversaciones, documentos de entrenamiento, prompts
– **Ubicación:** Estados Unidos
– **Política de privacidad:** https://www.anthropic.com/privacy

**Lemon Squeezy:**
– **Propósito:** Procesamiento de pagos y gestión de suscripciones
– **Datos compartidos:** Email, información de facturación, historial de pagos
– **Ubicación:** Estados Unidos
– **Certificación:** PCI-DSS Nivel 1
– **Política de privacidad:** https://www.lemonsqueezy.com/privacy

**Supabase:**
– **Propósito:** Base de datos PostgreSQL y almacenamiento de archivos
– **Datos compartidos:** Todos los datos almacenados en la plataforma
– **Ubicación:** Estados Unidos (AWS)
– **Seguridad:** Cifrado en reposo y en tránsito
– **Política de privacidad:** https://supabase.com/privacy

**Railway:**
– **Propósito:** Infraestructura de hosting y servidores
– **Datos compartidos:** Datos de aplicación durante procesamiento
– **Ubicación:** Estados Unidos
– **Política de privacidad:** https://railway.app/legal/privacy

**SendGrid (Twilio):**
– **Propósito:** Envío de correos electrónicos transaccionales
– **Datos compartidos:** Direcciones de email, contenido de correos
– **Ubicación:** Estados Unidos
– **Política de privacidad:** https://www.twilio.com/legal/privacy

### 5.2 Integraciones de Plataformas de Mensajería

**Meta Platforms (WhatsApp, Instagram, Facebook):**
– **Propósito:** Conectar y sincronizar conversaciones de sus cuentas
– **Datos compartidos:** Conversaciones, mensajes, contactos según permisos que otorgue
– **Nota:** Al conectar estas plataformas, también está sujeto a sus políticas de privacidad
– WhatsApp: https://www.whatsapp.com/legal/privacy-policy
– Instagram: https://help.instagram.com/privacy/policy
– Facebook: https://www.facebook.com/privacy/policy

### 5.3 Integración con WhatsApp Business Cloud API

#### Uso de la API Oficial de WhatsApp Business

CRM Whata utiliza la **WhatsApp Business Cloud API** (API oficial de Meta) para:
– Enviar y recibir mensajes de WhatsApp en nombre de su negocio
– Gestionar plantillas de mensajes (message templates) para comunicaciones fuera de la ventana de 24 horas
– Recibir notificaciones en tiempo real mediante webhooks
– Acceder a información de su cuenta de WhatsApp Business (WABA)

#### Datos que Accedemos de WhatsApp Business

Mediante su autorización OAuth, accedemos a:
– **ID de cuenta de WhatsApp Business (WABA):** Para identificar su cuenta
– **Números de teléfono registrados:** Para enviar y recibir mensajes
– **Plantillas de mensajes:** Para gestionar y enviar mensajes de re-engagement
– **Mensajes entrantes y salientes:** Contenido, multimedia, estados de entrega
– **Información del perfil de negocio:** Nombre verificado, foto de perfil

#### Almacenamiento de Tokens de Acceso

– Los tokens de acceso de WhatsApp Business API se almacenan **cifrados** en nuestra base de datos
– Utilizamos estos tokens únicamente para operar el servicio en su nombre
– Los tokens pueden ser revocados por usted en cualquier momento desde Meta Business Suite

#### Regla de Ventana de 24 Horas

WhatsApp Business API tiene una política de ventana de servicio al cliente:
– Puede responder libremente a clientes dentro de las **24 horas** después de su último mensaje
– Para contactar clientes fuera de esta ventana, se requieren **plantillas de mensajes aprobadas por Meta**
– CRM Whata crea automáticamente plantillas de re-engagement para facilitar este proceso

#### Webhooks y Notificaciones en Tiempo Real

Recibimos webhooks de Meta para:
– Mensajes entrantes de sus clientes
– Estados de entrega de mensajes (enviado, entregado, leído)
– Actualizaciones de estado de plantillas (aprobadas, rechazadas)
– Cambios en la configuración de su cuenta

#### Su Responsabilidad con WhatsApp Business API

> **Importante:** Al usar la integración de WhatsApp Business Cloud API, usted:
> – Acepta cumplir con la [Política de Comercio de WhatsApp](https://www.whatsapp.com/legal/commerce-policy)
> – Acepta cumplir con la [Política de Mensajes de WhatsApp Business](https://www.whatsapp.com/legal/business-policy)
> – Es responsable del contenido de los mensajes enviados a través de su cuenta
> – Garantiza tener el consentimiento de sus clientes para contactarlos por WhatsApp
> – Acepta no enviar spam, contenido prohibido o mensajes no solicitados

### 5.4 Obligaciones Legales

Compartiremos información cuando sea requerido por:
– Orden judicial, citación o proceso legal
– Solicitud de autoridades gubernamentales o regulatorias
– Necesidad de proteger derechos, propiedad o seguridad de Saint Denis Del Caribe, usuarios o público
– Aplicación de nuestros Términos y Condiciones
– Investigación de fraude, seguridad o problemas técnicos

### 5.5 Transferencias Empresariales

En caso de fusión, adquisición, venta de activos o reorganización empresarial, su información puede ser transferida. Le notificaremos antes de que su información sea transferida y quede sujeta a una política de privacidad diferente.

### 5.6 Con su Consentimiento

Podemos compartir información con terceros adicionales cuando usted nos dé consentimiento explícito para hacerlo.


## 6. TRANSFERENCIAS INTERNACIONALES DE DATOS

### 6.1 Ubicación de Servidores

Sus datos se almacenan y procesan principalmente en:
– **Estados Unidos** (Supabase en AWS, Railway, Anthropic, Lemon Squeezy)
– **República Dominicana** (oficinas de Saint Denis Del Caribe)

### 6.2 Protecciones para Transferencias Internacionales

Cuando transferimos datos fuera de República Dominicana:
– Utilizamos cláusulas contractuales estándar aprobadas
– Aseguramos que proveedores cumplan con estándares equivalentes de protección
– Implementamos medidas técnicas y organizativas apropiadas

### 6.3 Para Usuarios de la Unión Europea

Si está en la UE, sus datos pueden transferirse fuera del Espacio Económico Europeo (EEE). Aseguramos protección adecuada mediante:
– Cláusulas Contractuales Estándar de la Comisión Europea
– Certificaciones de privacidad de proveedores
– Medidas de seguridad adicionales


## 7. RETENCIÓN DE DATOS

### 7.1 Período General de Retención

Conservamos su información personal mientras:
– Su cuenta esté activa
– Sea necesario para proporcionar el Servicio
– Sea requerido para cumplir obligaciones legales, fiscales o contables
– Sea necesario para resolver disputas y hacer cumplir acuerdos

### 7.2 Períodos Específicos de Retención

**Datos de Cuenta y Usuario:**
– Durante vida de la cuenta + 30 días después de eliminación

**Conversaciones y Mensajes:**
– Durante vida de la cuenta + 30 días después de eliminación
– Puede eliminar conversaciones individuales en cualquier momento

**Documentos de Entrenamiento:**
– Hasta que los elimine manualmente o cierre su cuenta

**Información de Facturación:**
– 7 años después de última transacción (requisitos fiscales)

**Logs de Seguridad:**
– 1 año para propósitos de seguridad y auditoría

### 7.3 Eliminación de Datos

#### Eliminación por Autoservicio

Usted puede eliminar su cuenta directamente desde la página de Perfil en la sección “Zona de Peligro”:

1. **Requisito de suscripción:** Si tiene una suscripción activa, debe cancelarla primero
2. **Confirmación de contraseña:** Por seguridad, se requiere ingresar su contraseña
3. **Solo propietarios:** Únicamente el propietario de la cuenta (rol “cliente”) puede solicitar la eliminación

#### Qué se elimina

Al eliminar su cuenta, se eliminarán:
– Todos los datos de su cuenta y usuarios asociados
– Conversaciones, mensajes y contactos
– Integraciones y configuraciones
– Documentos de entrenamiento de IA

#### Periodo de gracia y recuperación

– **Soft delete inicial:** Las cuentas eliminadas se marcan como eliminadas pero no se borran inmediatamente
– **Periodo de gracia de 30 días:** Durante este tiempo, puede solicitar la restauración de su cuenta contactando a info@crmwhata.com
– **Después del periodo de gracia:** La eliminación es permanente y los datos no pueden recuperarse

#### Cronograma de eliminación

Cuando elimine su cuenta:
– Datos personales eliminados en 30 días
– Backups eliminados en 90 días
– Datos anonimizados para análisis pueden conservarse indefinidamente
– Datos requeridos por ley conservados según periodo legal


## 8. SEGURIDAD DE DATOS

### 8.1 Medidas Técnicas

**Cifrado:**
– Contraseñas: Bcrypt con 12 rondas
– Datos en tránsito: TLS 1.3
– Tokens sensibles: Cifrado AES-256 en base de datos
– Conexiones a base de datos: SSL obligatorio

**Autenticación:**
– Tokens de API seguros (Laravel Sanctum)
– Verificación de email obligatoria
– Expiración automática de sesiones
– Protección CSRF

**Infraestructura:**
– Firewalls y reglas de red restrictivas
– Monitoreo continuo de vulnerabilidades
– Actualizaciones regulares de seguridad
– Backups cifrados automáticos

### 8.2 Medidas Organizativas

**Control de Acceso:**
– Principio de mínimo privilegio
– Autenticación multi-factor para empleados
– Revisión periódica de permisos de acceso
– Registro y auditoría de accesos a datos

**Capacitación:**
– Capacitación regular en seguridad para empleados
– Políticas de seguridad documentadas
– Procedimientos de respuesta a incidentes
– Acuerdos de confidencialidad con empleados y contratistas

### 8.3 Aislamiento Multi-Tenant

– Arquitectura de base de datos con separación de datos por cuenta
– Filtrado automático a nivel de ORM (Eloquent)
– Validación de pertenencia de cuenta en todas las consultas
– Auditoría de acceso entre tenants

### 8.4 Monitoreo y Respuesta

– Monitoreo 24/7 de sistemas
– Alertas automáticas de actividad sospechosa
– Logs de auditoría de todas las acciones críticas
– Plan de respuesta a incidentes documentado
– Notificación a usuarios afectados en caso de brecha

### 8.5 Limitaciones de Seguridad

> **Importante:** A pesar de nuestros esfuerzos:
> – Ningún sistema es 100% seguro
> – Transmisión por Internet tiene riesgos inherentes
> – Usted es responsable de mantener segura su contraseña
> – Debe notificarnos inmediatamente de acceso no autorizado


## 9. SUS DERECHOS DE PRIVACIDAD

### 9.1 Derechos Aplicables a Todos los Usuarios

**Derecho de Acceso:**
– Solicitar copia de sus datos personales
– Conocer qué datos tenemos sobre usted
– Formato de exportación: JSON

**Derecho de Rectificación:**
– Corregir datos inexactos o incompletos
– Actualizar información desactualizada

**Derecho de Eliminación:**
– Eliminar su cuenta directamente desde la página de Perfil (sección “Zona de Peligro”)
– O solicitar eliminación por correo electrónico a info@crmwhata.com
– Procesamos eliminaciones en 30 días
– Periodo de gracia de 30 días para recuperación antes de eliminación permanente
– Ciertas excepciones legales pueden aplicar

**Derecho de Portabilidad:**
– Recibir sus datos en formato estructurado y legible por máquina
– Transferir datos a otro proveedor cuando sea técnicamente posible

**Derecho de Oposición:**
– Oponerse al procesamiento de sus datos
– Darse de baja de comunicaciones de marketing

**Derecho a Retirar Consentimiento:**
– Retirar consentimiento previamente otorgado en cualquier momento
– No afecta legalidad de procesamiento basado en consentimiento previo

### 9.2 Derechos Adicionales para Usuarios de la UE (GDPR)

**Derecho de Limitación de Procesamiento:**
– Solicitar que restrinjamos procesamiento de sus datos

**Derecho a Presentar Queja:**
– Presentar queja ante autoridad supervisora de protección de datos

**Derecho a No Ser Objeto de Decisiones Automatizadas:**
– No ser sujeto a decisiones basadas únicamente en procesamiento automatizado

### 9.3 Derechos Adicionales para Usuarios de California (CCPA)

**Derecho a Conocer:**
– Categorías de información personal recopilada
– Fuentes de información personal
– Propósitos de recopilación
– Terceros con quienes se comparte

**Derecho a Eliminar:**
– Solicitar eliminación de información personal

**Derecho a Optar por No Vender:**
– No vendemos información personal (no aplica opt-out ya que no vendemos datos)

**No Discriminación:**
– No discriminamos por ejercer derechos CCPA

### 9.4 Cómo Ejercer Sus Derechos

Para ejercer cualquiera de estos derechos:

1. Envíe correo electrónico a: **info@crmwhata.com**
2. Asunto: “Solicitud de Derechos de Privacidad – [Tipo de Solicitud]”
3. Incluya:
– Su nombre completo
– Email de cuenta registrado
– Descripción específica de su solicitud
– Documentación de verificación de identidad (si es necesario)

**Responderemos a su solicitud dentro de:**
– 30 días para solicitudes generales
– 45 días para solicitudes complejas (con notificación de extensión)
– 10 días para solicitudes de acceso bajo Ley 172-13 (República Dominicana)

### 9.5 Verificación de Identidad

Para proteger su privacidad, verificaremos su identidad antes de:
– Proporcionar acceso a datos personales
– Procesar eliminación de datos
– Realizar cambios significativos en cuenta

Métodos de verificación pueden incluir:
– Confirmación por correo electrónico registrado
– Responder preguntas de seguridad
– Proporcionar documentación de identidad


## 10. PRIVACIDAD DE MENORES

### 10.1 Restricción de Edad

CRM Whata **NO está dirigido a menores de 18 años**. No recopilamos conscientemente información personal de menores de 18 años.

### 10.2 Si Descubrimos Información de Menores

Si descubrimos que hemos recopilado información de un menor de 18 años:
– Eliminaremos inmediatamente esa información
– Cerraremos la cuenta asociada
– Notificaremos según sea requerido por ley

### 10.3 Responsabilidad de Padres/Tutores

Si es padre o tutor y cree que su hijo nos ha proporcionado información personal, contáctenos inmediatamente en info@crmwhata.com con asunto “Información de Menor”.

### 10.4 Verificación de Edad

Al registrarse, usted certifica que tiene al menos 18 años de edad.


## 11. PRIVACIDAD EN FUNCIONALIDAD DE IA

### 11.1 Cómo Funciona la IA en CRM Whata

Nuestro asistente de IA utiliza Claude AI (Anthropic) para:
– Generar respuestas automáticas a mensajes de clientes
– Analizar contexto de conversaciones
– Buscar información en documentos de entrenamiento cargados
– Sugerir respuestas basadas en su estilo de comunicación

### 11.2 Datos Compartidos con Anthropic

Cuando usa funciones de IA, compartimos con Anthropic:
– Mensajes de conversaciones (enviados y recibidos)
– Documentos de entrenamiento que haya cargado
– Instrucciones y prompts personalizados
– Contexto de conversación necesario para generar respuestas

### 11.3 Política de Uso de Datos de Anthropic

Según política de Anthropic:
– No entrenan modelos con datos de clientes de API
– Conservan datos por 30 días solo para abusos y seguridad
– Después de 30 días, datos son eliminados
– Política completa: https://www.anthropic.com/privacy

### 11.4 Control de Usuario sobre IA

Usted puede:
– Activar o desactivar asistente de IA en cualquier momento
– Configurar qué conversaciones usan IA
– Limitar tipos de respuestas que IA puede generar
– Revisar y editar respuestas antes de enviar
– Elegir no usar IA y responder manualmente

### 11.5 Limitaciones y Responsabilidades

> **IMPORTANTE – Usted es responsable de:**
> – Revisar respuestas de IA antes de enviar a clientes
> – Asegurar que respuestas cumplen con sus políticas empresariales
> – Obtener consentimiento de sus clientes para procesamiento de IA (si requerido en su jurisdicción)
> – Cumplir con leyes de protección de datos aplicables a sus clientes

**Nosotros NO somos responsables de:**
– Inexactitudes en respuestas generadas por IA
– Decisiones comerciales basadas en sugerencias de IA
– Cumplimiento de sus obligaciones legales con sus clientes

### 11.6 Mejora de IA

No utilizamos sus datos para entrenar modelos de IA propios o de terceros, excepto que:
– Anthropic puede usar datos según su política (solo 30 días para seguridad)
– Podemos analizar de forma agregada y anonimizada patrones de uso para mejorar configuraciones


## 12. PRIVACIDAD EN WIDGET WEB

### 12.1 Funcionamiento del Widget

El Widget Web de CRM Whata se integra en su sitio web para:
– Permitir que visitantes inicien conversaciones
– Recopilar información de contacto de visitantes
– Mostrar horarios de atención y mensajes personalizados

### 12.2 Datos Recopilados por el Widget

Cuando un visitante usa su widget, recopilamos:
– Nombre proporcionado por visitante
– Email proporcionado por visitante (opcional)
– Número de teléfono (si conversa por WhatsApp)
– Mensajes enviados por visitante
– URL de página donde está widget
– Fecha y hora de conversación
– Datos técnicos: IP, navegador, dispositivo

### 12.3 Su Responsabilidad como Propietario del Sitio

Al instalar el widget en su sitio web, **USTED es responsable de:**
– Informar a visitantes sobre recopilación de datos en su política de privacidad
– Obtener consentimiento requerido por leyes aplicables (ej. GDPR)
– Colocar aviso de privacidad visible cerca del widget
– Cumplir con leyes de cookies y rastreo
– Informar que conversaciones pueden procesarse con IA

**Recomendamos incluir aviso como:**
> “Al usar este chat, acepta nuestra [Política de Privacidad] y que sus mensajes pueden procesarse con asistencia de IA.”

### 12.4 Cookies del Widget

El widget puede usar:
– Cookies de sesión para mantener conversación activa
– LocalStorage para guardar preferencias de usuario
– Identificadores únicos para reconocer visitantes recurrentes

### 12.5 Consentimiento de Cookies

Si opera en jurisdicción que requiere consentimiento para cookies (ej. UE):
– Debe implementar su propio banner de consentimiento
– Widget solo debe cargarse después de obtener consentimiento
– Proporcionamos opción de carga condicional del widget


## 13. ENLACES A TERCEROS

### 13.1 Sitios Web de Terceros

Nuestro Servicio puede contener enlaces a sitios web de terceros. No somos responsables de las prácticas de privacidad de estos sitios.

### 13.2 Políticas de Proveedores

Le recomendamos revisar las políticas de privacidad de nuestros proveedores:
– **WhatsApp:** https://www.whatsapp.com/legal/privacy-policy
– **Instagram:** https://help.instagram.com/privacy/policy
– **Facebook:** https://www.facebook.com/privacy/policy
– **Anthropic:** https://www.anthropic.com/privacy
– **Lemon Squeezy:** https://www.lemonsqueezy.com/privacy


## 14. CAMBIOS A ESTA POLÍTICA DE PRIVACIDAD

### 14.1 Derecho a Modificar

Nos reservamos el derecho de modificar esta Política de Privacidad en cualquier momento.

### 14.2 Notificación de Cambios

Cuando realicemos cambios:
– Actualizaremos la fecha de “Última actualización” al inicio de esta política
– Para cambios materiales, le notificaremos por:
– Correo electrónico a la dirección registrada en su cuenta
– Aviso destacado en la Plataforma
– Notificación al iniciar sesión

### 14.3 Aceptación de Cambios

– Los cambios entran en vigor inmediatamente después de su publicación
– Su uso continuado del Servicio después de cambios constituye aceptación de la política modificada
– Si no está de acuerdo con los cambios, debe dejar de usar el Servicio y puede solicitar eliminación de su cuenta


## 15. CONSENTIMIENTO ESPECÍFICO

### 15.1 Consentimiento para Procesamiento de IA

Al utilizar funciones de IA de CRM Whata, usted:
– Consiente que procesemos sus conversaciones y documentos con Claude AI (Anthropic)
– Comprende que datos se compartirán con Anthropic según su política de privacidad
– Reconoce su responsabilidad de obtener consentimiento de sus clientes para procesamiento de IA

### 15.2 Consentimiento para Integraciones de Plataformas

Al conectar cuentas de WhatsApp, Instagram o Facebook, usted:
– Consiente que accedamos y procesemos conversaciones de esas plataformas
– Comprende que está sujeto a las políticas de privacidad de Meta/WhatsApp
– Acepta cumplir con los términos de servicio de esas plataformas

### 15.3 Consentimiento para WhatsApp Business Cloud API

Al conectar su cuenta de WhatsApp Business mediante la API oficial de Meta, usted:
– Autoriza a CRM Whata a acceder a su cuenta de WhatsApp Business (WABA)
– Consiente el almacenamiento cifrado de tokens de acceso
– Acepta que gestionemos plantillas de mensajes en su nombre
– Comprende la regla de ventana de 24 horas de WhatsApp
– Acepta cumplir con las políticas de WhatsApp Business

### 15.4 Consentimiento para Comunicaciones por Email

Al registrarse, usted consiente recibir:
– Correos transaccionales (verificación, facturas, notificaciones de seguridad)
– Correos administrativos (actualizaciones de servicio, cambios de términos)
– Correos de marketing (puede darse de baja en cualquier momento)

### 15.5 Consentimiento para Autenticación con Google

Al utilizar Google Sign-In para registrarse o iniciar sesión, usted:
– Consiente que recibamos su nombre y correo electrónico de su cuenta de Google
– Comprende que su correo se considerará automáticamente verificado
– Acepta que vinculemos su ID de Google con su cuenta de CRM Whata
– Acepta la [Política de Privacidad de Google](https://policies.google.com/privacy)

> **Nota:** Si ya existe una cuenta con el mismo correo electrónico, su cuenta de Google se vinculará automáticamente a esa cuenta existente.

### 15.6 Retiro de Consentimiento

Puede retirar su consentimiento en cualquier momento:
– Para procesamiento de IA: desactivando funciones de IA en configuración
– Para integraciones: desconectando cuentas de plataformas
– Para WhatsApp Cloud API: revocando acceso desde Meta Business Suite
– Para Google Sign-In: desvinculando desde la configuración de su cuenta de Google en https://myaccount.google.com/permissions
– Para emails de marketing: usando enlace de baja en correos o contactándonos

> **Nota:** Retirar ciertos consentimientos puede limitar o impedir el uso del Servicio.


## 16. ARQUITECTURA MULTI-TENANT Y AISLAMIENTO

### 16.1 Separación de Datos

CRM Whata utiliza arquitectura multi-tenant:
– Cada cuenta tiene su propio espacio aislado (account_id único)
– Los usuarios solo pueden acceder a datos de su propia cuenta
– Filtrado automático implementado a nivel de base de datos

### 16.2 Roles y Acceso

Tres niveles de acceso:

**1. ADMIN (Administradores de Sistema):**
– Personal interno de Saint Denis Del Caribe
– Acceso para soporte técnico y administración de plataforma
– Sin acceso rutinario a datos de clientes salvo necesidad técnica o soporte

**2. CLIENT (Propietario de Cuenta):**
– Acceso completo a todos los datos de su cuenta
– Puede gestionar equipo y permisos
– Puede gestionar suscripción y facturación

**3. AGENT (Agente/Colaborador):**
– Acceso limitado según permisos otorgados por CLIENT
– Solo acceso a funcionalidades asignadas
– No puede gestionar usuarios ni facturación

### 16.3 Acceso de Empleados

Empleados de Saint Denis Del Caribe solo acceden a datos de clientes cuando:
– Es necesario para proporcionar soporte técnico solicitado
– Es requerido para investigar problemas reportados
– Es necesario para cumplir obligaciones legales

**Todo acceso a datos de clientes es registrado y auditado.**


## 17. BASE LEGAL PARA PROCESAMIENTO (GDPR)

Si el GDPR le aplica, procesamos sus datos personales bajo las siguientes bases legales:

### 17.1 Ejecución de Contrato

Procesamos datos necesarios para proporcionar el Servicio según nuestros Términos y Condiciones.

### 17.2 Consentimiento

Procesamos datos cuando usted nos ha dado consentimiento específico (por ejemplo, para procesamiento de IA).

### 17.3 Interés Legítimo

Procesamos datos para:
– Mejorar nuestro Servicio
– Prevenir fraude y abuso
– Garantizar seguridad de la plataforma
– Análisis internos

### 17.4 Obligación Legal

Procesamos datos cuando es requerido por ley (por ejemplo, retención de registros fiscales).


## 18. CONTACTO Y QUEJAS

### 18.1 Contacto de Privacidad

Para preguntas, inquietudes o solicitudes relacionadas con privacidad:

**Email:** info@crmwhata.com
**Asunto:** Consulta de Privacidad

**Dirección Postal:**
Saint Denis Del Caribe
Calle H #3, Cerros De Gurabo 3
Santiago, República Dominicana

### 18.2 Autoridad de Protección de Datos (República Dominicana)

Si no está satisfecho con nuestra respuesta, puede contactar a la autoridad de protección de datos de República Dominicana:

**Dirección General de Ética e Integridad Gubernamental (DIGEIG)**
Departamento de Protección de Datos Personales
Sitio web: https://www.digeig.gob.do

### 18.3 Autoridades de la UE (Si Aplica GDPR)

Residentes de la UE pueden presentar quejas ante su autoridad supervisora local de protección de datos.


## 19. DISPOSICIONES ADICIONALES

### 19.1 Idioma de la Política

Esta Política está redactada en español. En caso de conflicto entre versiones en diferentes idiomas, prevalecerá la versión en español.

### 19.2 Divisibilidad

Si alguna disposición de esta Política es considerada inválida o inaplicable, las disposiciones restantes continuarán en pleno vigor.

### 19.3 No Renuncia

El hecho de que no ejercemos algún derecho bajo esta Política no constituye renuncia a ese derecho.

### 19.4 Política Completa

Esta Política, junto con nuestros Términos y Condiciones, constituye el acuerdo completo sobre privacidad y protección de datos.


## 20. RECONOCIMIENTO Y ACEPTACIÓN

Al utilizar CRM Whata, usted reconoce que:

– [x] Ha leído y entendido esta Política de Privacidad
– [x] Comprende qué datos recopilamos y cómo los usamos
– [x] Consiente el procesamiento de sus datos según esta Política
– [x] Comprende sus derechos de privacidad y cómo ejercerlos
– [x] Reconoce su responsabilidad de obtener consentimiento de sus clientes
– [x] Acepta que datos sean procesados por terceros (Anthropic, Lemon Squeezy, etc.)
– [x] Comprende las limitaciones de seguridad y exactitud de IA


## 21. RESUMEN PARA REFERENCIA RÁPIDA

### ¿Qué datos recopilamos?
– Información de registro (nombre, email, contraseña)
– Conversaciones y mensajes con sus clientes
– Documentos de entrenamiento
– Información de suscripción y pagos
– Datos de uso y configuración

### ¿Cómo los usamos?
– Proporcionar el servicio de mensajería multi-canal
– Generar respuestas de IA
– Procesar pagos y facturación
– Mejorar el servicio
– Comunicarnos con usted

### ¿Con quién compartimos?
– Anthropic (IA)
– Lemon Squeezy (pagos)
– Supabase (base de datos y almacenamiento)
– Railway (infraestructura de hosting)
– SendGrid (emails)
– Meta/WhatsApp/Instagram/Facebook (integraciones)

**NO VENDEMOS SUS DATOS.**

### Sus derechos:
– Acceder a sus datos
– Corregir datos incorrectos
– Eliminar su cuenta y datos
– Exportar sus datos
– Oponerse al procesamiento
– Presentar quejas

### Eliminación de Datos:
Puede eliminar su cuenta de dos formas:
1. **Autoservicio:** Desde la página de Perfil → sección “Zona de Peligro” → “Eliminar Cuenta”
2. **Por correo:** Envíe email a **info@crmwhata.com** con asunto “Solicitud de Eliminación de Datos”

**Nota:** Si tiene suscripción activa, debe cancelarla primero. Tiene 30 días para recuperar su cuenta después de eliminarla.

### Contacto:
**Email:** info@crmwhata.com


**Última actualización:** 14 de enero de 2026
**Versión:** 1.4


**Saint Denis Del Caribe**
Calle H #3, Cerros De Gurabo 3
Santiago, República Dominicana
Email: info@crmwhata.com