POLÍTICA DE PRIVACIDAD
CRM Whata – Plataforma de Mensajería Empresarial
Última actualización: 15 de mayo de 2026 Versión: 2.0
1. INFORMACIÓN DE LA EMPRESA
| Campo | Información |
|---|---|
| Razón Social | Saint Denis Del Caribe |
| Dirección | Calle H #3, Cerros De Gurabo 3, Santiago, República Dominicana |
| Correo Electrónico | [email protected] |
| Nombre Comercial | CRM Whata |
| Sitio Web | https://crmwhata.com |
| Responsable del Tratamiento de Datos | Saint Denis Del Caribe |
| Contacto de Privacidad | [email protected] |
2. INTRODUCCIÓN Y ALCANCE
Saint Denis Del Caribe (“nosotros”, “nuestro” o “la Compañía”) se compromete a proteger su privacidad y sus datos personales. Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos, compartimos y protegemos su información personal cuando utiliza CRM Whata (el “Servicio” o la “Plataforma”).
2.1 Aceptación de esta Política
Al utilizar nuestro Servicio, usted acepta las prácticas descritas en esta Política de Privacidad. Si no está de acuerdo con esta política, no debe utilizar el Servicio.
2.2 Cumplimiento Legal
Esta Política cumple con:
- Ley 172-13 sobre Protección de Datos de Carácter Personal de la República Dominicana
- Reglamento General de Protección de Datos (GDPR) de la Unión Europea (cuando sea aplicable)
- California Consumer Privacy Act (CCPA) de Estados Unidos (cuando sea aplicable)
- Otras leyes de privacidad y protección de datos aplicables
3. INFORMACIÓN QUE RECOPILAMOS
3.1 Información de Registro y Cuenta
Cuando se registra en CRM Whata, recopilamos:
Información de Usuario:
- Nombre completo
- Dirección de correo electrónico
- Contraseña (almacenada cifrada con Bcrypt de 12 rondas)
- País
- Zona horaria
- Foto de perfil (opcional)
Información de Empresa/Cuenta:
- Nombre de la empresa o negocio
- Correo electrónico de la empresa
- Número de teléfono de la empresa
- Notas internas sobre la cuenta
Información de Verificación:
- Tokens de verificación de correo electrónico
- Estado de verificación de correo electrónico
- Tokens de restablecimiento de contraseña
Autenticación con Google (opcional):
- ID de Google (identificador único para vincular su cuenta)
- Nombre obtenido de su cuenta de Google
- Correo electrónico verificado por Google
Nota: Al usar Google Sign-In, su correo se considera automáticamente verificado ya que Google lo ha verificado previamente.
3.2 Información de Conversaciones y Mensajería
Datos de Conversaciones:
- Historial completo de conversaciones con sus clientes
- Contenido de mensajes (texto, imágenes, archivos adjuntos, documentos)
- Metadatos de mensajes (fecha/hora, estado de lectura, plataforma de origen)
- Detección de mensajes reenviados
- Información de grupos de chat
Datos de Contactos de Clientes:
- Números de teléfono de sus clientes
- Nombres de contactos
- Correo electrónico, dirección, ciudad, país
- Empresa, cargo, sitio web
- Fecha de cumpleaños
- Etiquetas y categorías asignadas
- Campos de información rápida
- Notas sobre clientes
- Puntuación de lead (lead score) calculada automáticamente
- Estado de lead (nuevo, contactado, calificado, convertido, perdido)
- Análisis de sentimiento de conversaciones (positivo, negativo, neutro)
Datos de Ubicación:
- Coordenadas de ubicación (latitud y longitud) cuando se comparten en mensajes
- Nombre y dirección de ubicación
- Ubicación en vivo (live location): coordenadas, precisión, velocidad, dirección y tiempo de expiración
- País e información geográfica inferida de perfiles de contacto
3.3 Datos de Uso y Configuración
Configuraciones de IA:
- Instrucciones y prompts personalizados para el asistente de IA
- Temperatura y límites de tokens configurados
- Mensajes de bienvenida personalizados
- Configuración de retrasos de respuesta
- Idioma preferido para respuestas
Documentos de Entrenamiento:
- Documentos cargados (PDF, Word, Excel, CSV, TXT)
- Fragmentos de documentos (chunks) procesados
- Embeddings vectoriales generados a partir de documentos
- Estado de procesamiento de documentos
Plantillas y Respuestas Rápidas:
- Plantillas de respuestas guardadas
- Respuestas rápidas configuradas
Configuración del Widget Web:
- Colores y estilos personalizados
- Logos e imágenes del widget
- Horarios de atención
- Mensajes personalizados
- Estado online/offline
3.4 Datos de CRM y Ventas
Pipeline de Ventas:
- Información de oportunidades (deals)
- Valores de oportunidades y probabilidades
- Fechas esperadas de cierre
- Etapas personalizadas de pipeline
- Estados de oportunidades (ganadas, perdidas, razones)
Citas y Agenda:
- Título y descripción de citas
- Nombre y teléfono del cliente
- Fecha y hora de inicio y fin
- Estado de la cita (pendiente, aprobada, rechazada, cancelada)
- Razón de rechazo (si aplica)
- Indicador de si la cita fue creada por IA
- Configuración de disponibilidad (horarios, duración, fechas bloqueadas)
Solicitudes de Pago:
- Monto y moneda de la solicitud
- Descripción y estado (pendiente, aprobada, rechazada, enviada, pagada)
- Enlace de pago generado
- Método de pago (tarjeta, transferencia bancaria, PayPal, etc.)
- Productos incluidos en la solicitud
- Información de aprobación y fecha de pago
Catálogo de Productos:
- Nombre, descripción y precio de productos
- Imágenes de productos almacenadas en Supabase
- Descripciones generadas por IA a partir de imágenes
- Embeddings vectoriales de imágenes para búsqueda visual
- Código SKU e identificadores de producto
- Datos de importación (archivo de origen, hoja, fila)
Información Financiera Sensible:
- Información bancaria para compartir con clientes vía IA (almacenada cifrada)
- Enlace de PayPal.me para recepción de pagos (almacenado cifrado)
Registros de Asignación y Resolución de Chats:
- Historial de asignación de chats a agentes (quién asignó, a quién, desde quién)
- Registro de resolución de conversaciones (quién resolvió, cuándo)
- Configuración de auto-asignación de chats
Proyectos:
- Información de proyectos creados
- Bloques de contenido de proyectos (texto, tareas, tablas, Kanban, archivos)
- Archivos adjuntos de proyectos
- Permisos de acceso compartido a proyectos (visor, editor, administrador)
Importación de Contactos:
- Datos de contactos importados desde archivos Excel/CSV
- Información de leads capturados desde formularios de Facebook Lead Ads (nombre, email, teléfono, datos del formulario)
3.5 Datos de Campañas (Broadcasts)
- Configuración de campañas de difusión masiva
- Listas de destinatarios
- Contenido de mensajes de campaña
- Variaciones de mensajes para pruebas A/B
- Estado de envío y entrega
- Fechas de programación y límites diarios
Consentimiento para Mensajes de Difusión
CRM Whata implementa un modelo de consentimiento explícito (opt-in) para mensajes de difusión:
- Los contactos nuevos NO están automáticamente inscritos para recibir mensajes de difusión masiva
- Los usuarios de la plataforma deben habilitar manualmente la opción de broadcast para cada contacto después de obtener su consentimiento
- El sistema registra automáticamente:
- Fecha y hora del consentimiento (
broadcast_consent_at) - Método de consentimiento (
broadcast_consent_method): manual, respuesta de WhatsApp, importación, verbal
- Fecha y hora del consentimiento (
- Los contactos pueden ser excluidos de broadcasts en cualquier momento desactivando la opción en los detalles del chat
- Este registro de consentimiento facilita el cumplimiento con las políticas de WhatsApp Business y regulaciones de protección de datos
3.6 Información de Suscripción y Pagos
Datos de Suscripción:
- Plan de suscripción actual (Prueba, Básico, Pro, Empresarial)
- Fecha de inicio y finalización de suscripción
- Estado de suscripción (activa, expirada, cancelada, pago fallido)
- Historial de cambios de plan
- Periodo de prueba y uso de características
Información de Pago (procesada por PayPal):
- ID de pagador (payer ID) de PayPal
- ID de suscripción de PayPal
- Método de pago (procesado y almacenado por PayPal, no por nosotros)
- Historial de facturas y referencias de pago
- Historial de pagos exitosos y fallidos
- Periodo de gracia y recuperación de pagos
NOTA IMPORTANTE: No almacenamos directamente información de tarjetas de crédito ni de cuentas bancarias. Todo el procesamiento de pagos es manejado por PayPal, un procesador de pagos certificado PCI-DSS Nivel 1.
3.7 Datos de Uso de IA
- Número de respuestas de IA generadas mensualmente
- Tokens consumidos por mensaje
- Costos estimados por interacción de IA
- Historial de uso de límites de IA
3.8 Información de Equipo y Colaboradores
Agentes y Sub-usuarios:
- Información de usuarios creados bajo su cuenta
- Permisos y roles asignados
- Acceso a funcionalidades por usuario
- Relaciones de compartición de proyectos
3.9 Datos Técnicos y de Sesión
Información de Sesión:
- Tokens de autenticación (Laravel Sanctum)
- Sesiones activas (almacenadas en base de datos)
- Tokens “Remember Me”
- Dirección IP
- Identificadores de dispositivo
- Agente de usuario (navegador y sistema operativo)
Monitoreo de Errores (Sentry):
- Errores y excepciones de la aplicación con trazas de pila (stack traces)
- Grabaciones de sesión de usuario (session replays) con texto y medios enmascarados para proteger la privacidad
- Métricas de rendimiento web (Core Web Vitals: CLS, FID, FCP, LCP, TTFB)
- Breadcrumbs de navegación (logs, caché, consultas SQL, solicitudes HTTP)
- Agente de usuario enviado a Sentry para diagnóstico
Nota sobre grabaciones de sesión: Las grabaciones capturan la interacción del usuario para diagnóstico de errores. Todo el texto visible se enmascara y los medios se bloquean. Se capturan el 5% de sesiones normales y el 100% de sesiones con errores.
Protección Anti-Bot (Google reCAPTCHA v3):
- Patrones de interacción del usuario (no información personal identificable)
- Puntuación de riesgo calculada por Google
- Utilizado en formularios de inicio de sesión, registro y restablecimiento de contraseña
Aplicación Web Progresiva (PWA):
- Estado de registro del Service Worker
- Detección de tipo de dispositivo (iOS, Android, escritorio)
- Estado de conectividad (online/offline)
- Cola de mensajes pendientes en almacenamiento local para soporte offline
Logs y Registros:
- Registros de actividad del sistema
- Logs de errores y excepciones
- Logs de webhooks recibidos
- Registros de envío de correos electrónicos
- Registros de asignación de chats (auditoría)
- Logs de uso de IA (tokens, costos, fuente)
- Registros de sesiones de soporte técnico con acceso a cuentas (
impersonation_logs): identificador del administrador, identificador del usuario accedido, fechas de inicio y finalización, motivo de cierre, dirección IP y agente de usuario (ver sección 16.4)
3.10 Cookies y Tecnologías Similares
Utilizamos cookies y tecnologías similares para:
- Mantener su sesión activa
- Recordar sus preferencias
- Analizar el uso del Servicio
- Mejorar la funcionalidad y experiencia de usuario
Tipos de cookies:
- Cookies esenciales: Necesarias para el funcionamiento del Servicio
- Cookies de sesión: Expiran cuando cierra su navegador
- Cookies persistentes: Permanecen por un periodo específico (120 minutos para sesiones)
4. CÓMO USAMOS SU INFORMACIÓN
4.1 Proporcionar y Mantener el Servicio
Usamos su información para:
- Crear y gestionar su cuenta
- Autenticar su identidad y verificar su correo electrónico
- Procesar y gestionar conversaciones de WhatsApp, Instagram, Facebook, Telegram, TikTok, Google Business y Widget Web
- Generar respuestas automáticas usando inteligencia artificial (Claude AI)
- Transcribir mensajes de audio y voz a texto usando OpenAI Whisper
- Almacenar y organizar sus conversaciones y contactos
- Procesar documentos y generar embeddings para búsqueda semántica
- Analizar imágenes de productos y generar descripciones automáticas con IA
- Gestionar su pipeline de ventas y oportunidades
- Calcular puntuaciones de lead (lead scoring) y análisis de sentimiento automatizados mediante IA
- Facilitar colaboración en proyectos con su equipo
- Ejecutar campañas de difusión masiva
- Proporcionar el widget de chat para su sitio web
- Gestionar citas y agenda con sus clientes
- Procesar solicitudes de pago y generar enlaces de cobro
- Importar y exportar contactos desde archivos Excel/CSV
- Capturar leads desde formularios de Facebook Lead Ads
- Asignar y distribuir chats automáticamente entre agentes de su equipo
- Responder automáticamente a reseñas de Google Business con IA
- Proporcionar funcionalidad offline mediante aplicación web progresiva (PWA)
- Enviar notificaciones en tiempo real mediante WebSocket
4.2 Procesamiento de Pagos y Facturación
- Procesar pagos de suscripciones a través de PayPal
- Generar facturas y recibos
- Gestionar actualizaciones, cancelaciones y cambios de plan
- Manejar pagos fallidos y recuperación
- Aplicar límites de uso según su plan de suscripción
4.3 Comunicaciones con Usted
Usamos su correo electrónico para enviarle:
- Correo de verificación de cuenta
- Notificaciones de pago exitoso o fallido
- Confirmaciones de cambio de plan
- Notificaciones de expiración de suscripción
- Recordatorios de renovación
- Avisos de recuperación de pago
- Actualizaciones importantes del Servicio
- Notificaciones de seguridad
- Respuestas a sus consultas de soporte
NOTA: Puede darse de baja de comunicaciones de marketing, pero no de correos transaccionales esenciales.
4.4 Mejora del Servicio
- Analizar patrones de uso para mejorar funcionalidades
- Identificar y resolver problemas técnicos
- Desarrollar nuevas características basadas en necesidades de usuarios
- Optimizar rendimiento y experiencia de usuario
- Realizar pruebas A/B y análisis de funcionalidades
4.5 Seguridad y Prevención de Fraude
- Detectar, prevenir y responder a fraude, abuso o actividades ilegales
- Proteger la seguridad e integridad del Servicio
- Verificar identidad de usuarios
- Investigar violaciones de nuestros Términos y Condiciones
- Cumplir con obligaciones legales y regulatorias
4.6 Investigación y Análisis
- Realizar análisis agregados y anonimizados sobre uso del Servicio
- Comprender tendencias de la industria
- Mejorar algoritmos de IA
- Desarrollar mejores prácticas para CRM y comunicación con clientes
IMPORTANTE: Los datos para investigación son siempre anonimizados y agregados, sin identificación personal.
5. CON QUIÉN COMPARTIMOS SU INFORMACIÓN
No vendemos, alquilamos ni intercambiamos sus datos personales con terceros para fines de marketing.
Compartimos su información únicamente en las siguientes circunstancias:
5.1 Proveedores de Servicios Esenciales
Google (Autenticación OAuth):
- Propósito: Autenticación de usuarios mediante Google Sign-In
- Datos compartidos: Código de autorización OAuth, recibimos nombre y correo electrónico del usuario
- Ubicación: Estados Unidos
- Política de privacidad: https://policies.google.com/privacy
Anthropic (Claude AI):
- Propósito: Procesamiento de lenguaje natural para respuestas automáticas de IA
- Datos compartidos: Mensajes de conversaciones, documentos de entrenamiento, prompts
- Ubicación: Estados Unidos
- Política de privacidad: https://www.anthropic.com/privacy
PayPal (Procesamiento de Pagos y Suscripciones):
- Propósito: Procesamiento de pagos de suscripciones, gestión de cobros recurrentes y generación de enlaces de pago PayPal.me para solicitudes de cobro de su negocio
- Datos compartidos: Email, nombre, información de facturación, historial de pagos, datos de la suscripción
- Ubicación: Estados Unidos (PayPal Holdings, Inc.); los residentes de la Unión Europea pueden ser atendidos por PayPal (Europe) S.à r.l. et Cie, S.C.A. en Luxemburgo
- Certificación: PCI-DSS Nivel 1
- Política de privacidad: https://www.paypal.com/legalhub/privacy-full
Supabase:
- Propósito: Base de datos PostgreSQL y almacenamiento de archivos
- Datos compartidos: Todos los datos almacenados en la plataforma
- Ubicación: Estados Unidos (AWS)
- Seguridad: Cifrado en reposo y en tránsito
- Política de privacidad: https://supabase.com/privacy
Railway:
- Propósito: Infraestructura de hosting y servidores
- Datos compartidos: Datos de aplicación durante procesamiento
- Ubicación: Estados Unidos
- Política de privacidad: https://railway.app/legal/privacy
SendGrid (Twilio):
- Propósito: Envío de correos electrónicos transaccionales
- Datos compartidos: Direcciones de email, contenido de correos
- Ubicación: Estados Unidos
- Política de privacidad: https://www.twilio.com/legal/privacy
OpenAI (Transcripción de Audio):
- Propósito: Transcripción de mensajes de audio y voz a texto mediante Whisper
- Datos compartidos: Archivos de audio de mensajes de voz
- Ubicación: Estados Unidos
- Política de privacidad: https://openai.com/privacy
Sentry (Monitoreo de Errores y Rendimiento):
- Propósito: Monitoreo de errores, rendimiento y diagnóstico de problemas técnicos
- Datos compartidos: Errores, trazas de pila, grabaciones de sesión (con texto/medios enmascarados), métricas de rendimiento
- Ubicación: Estados Unidos
- Política de privacidad: https://sentry.io/privacy
Google reCAPTCHA v3 (Protección Anti-Bot):
- Propósito: Detección de bots y prevención de abuso en formularios
- Datos compartidos: Patrones de interacción del usuario (no PII), puntuación de riesgo
- Ubicación: Estados Unidos
- Política de privacidad: https://policies.google.com/privacy
Redis:
- Propósito: Almacenamiento temporal de caché, colas de trabajo y sesiones
- Datos compartidos: Datos de sesión y caché temporal
- Ubicación: Infraestructura de Railway
Laravel Reverb (WebSocket):
- Propósito: Comunicación en tiempo real para notificaciones y actualizaciones de chat
- Datos compartidos: Eventos de mensajes, estados de chat, presencia de usuarios
5.2 Integraciones de Plataformas de Mensajería
Meta Platforms (WhatsApp, Instagram, Facebook):
- Propósito: Conectar y sincronizar conversaciones de sus cuentas
- Datos compartidos: Conversaciones, mensajes, contactos según permisos que otorgue
- Captura de leads desde formularios de Facebook Lead Ads
- Nota: Al conectar estas plataformas, también está sujeto a sus políticas de privacidad
- WhatsApp: https://www.whatsapp.com/legal/privacy-policy
- Instagram: https://help.instagram.com/privacy/policy
- Facebook: https://www.facebook.com/privacy/policy
Telegram:
- Propósito: Integración con Telegram Bot API para mensajería
- Datos compartidos: Mensajes, medios, datos de contacto de Telegram
- Política de privacidad: https://telegram.org/privacy
TikTok:
- Propósito: Integración con TikTok Business Messaging API
- Datos compartidos: Mensajes directos, medios, datos de usuario
- Política de privacidad: https://www.tiktok.com/legal/privacy-policy
Google Business Profile:
- Propósito: Gestión de reseñas de clientes y respuesta automática con IA
- Datos compartidos: Datos de reseñas, respuestas, información de perfil de negocio
- Política de privacidad: https://policies.google.com/privacy
Nota: PayPal se describe en detalle en la Sección 5.1 (Proveedores de Servicios Esenciales), ya que ahora cumple dos funciones: procesamiento de las suscripciones de CRM Whata y generación de enlaces de pago PayPal.me para que usted cobre a sus clientes.
iProyal (Proxy Geográfico - Opcional):
- Propósito: Servicio de proxy para conexión de WhatsApp Web con geolocalización
- Datos compartidos: Datos de conexión (dirección IP, sesión) pueden pasar a través de sus servidores
- Política de privacidad: https://iproyal.com/privacy-policy
5.3 Integración con WhatsApp Business Cloud API
Uso de la API Oficial de WhatsApp Business
CRM Whata utiliza la WhatsApp Business Cloud API (API oficial de Meta) para:
- Enviar y recibir mensajes de WhatsApp en nombre de su negocio
- Gestionar plantillas de mensajes (message templates) para comunicaciones fuera de la ventana de 24 horas
- Recibir notificaciones en tiempo real mediante webhooks
- Acceder a información de su cuenta de WhatsApp Business (WABA)
Datos que Accedemos de WhatsApp Business
Mediante su autorización OAuth, accedemos a:
- ID de cuenta de WhatsApp Business (WABA): Para identificar su cuenta
- Números de teléfono registrados: Para enviar y recibir mensajes
- Plantillas de mensajes: Para gestionar y enviar mensajes de re-engagement
- Mensajes entrantes y salientes: Contenido, multimedia, estados de entrega
- Información del perfil de negocio: Nombre verificado, foto de perfil
Almacenamiento de Tokens de Acceso
- Los tokens de acceso de WhatsApp Business API se almacenan cifrados en nuestra base de datos
- Utilizamos estos tokens únicamente para operar el servicio en su nombre
- Los tokens pueden ser revocados por usted en cualquier momento desde Meta Business Suite
Regla de Ventana de 24 Horas
WhatsApp Business API tiene una política de ventana de servicio al cliente:
- Puede responder libremente a clientes dentro de las 24 horas después de su último mensaje
- Para contactar clientes fuera de esta ventana, se requieren plantillas de mensajes aprobadas por Meta
- CRM Whata crea automáticamente plantillas de re-engagement para facilitar este proceso
Webhooks y Notificaciones en Tiempo Real
Recibimos webhooks de Meta para:
- Mensajes entrantes de sus clientes
- Estados de entrega de mensajes (enviado, entregado, leído)
- Actualizaciones de estado de plantillas (aprobadas, rechazadas)
- Cambios en la configuración de su cuenta
Su Responsabilidad con WhatsApp Business API
Importante: Al usar la integración de WhatsApp Business Cloud API, usted:
- Acepta cumplir con la Política de Comercio de WhatsApp
- Acepta cumplir con la Política de Mensajes de WhatsApp Business
- Es responsable del contenido de los mensajes enviados a través de su cuenta
- Garantiza tener el consentimiento de sus clientes para contactarlos por WhatsApp
- Acepta no enviar spam, contenido prohibido o mensajes no solicitados
5.4 Conexión de WhatsApp mediante Código QR (Método No Oficial)
Descripción
Además de la integración oficial de WhatsApp Business Cloud API (sección 5.3), CRM Whata ofrece una conexión alternativa a WhatsApp mediante escaneo de código QR que utiliza el protocolo de WhatsApp Web. Este método NO es un producto oficial de Meta/WhatsApp y no está respaldado, autorizado ni afiliado con Meta Platforms, Inc.
Datos Recopilados mediante Conexión QR
Cuando utiliza la conexión por código QR, recopilamos:
- Mensajes entrantes y salientes (texto, imágenes, documentos, audio, video)
- Información de contactos (números de teléfono, nombres)
- Metadatos de mensajes (fecha/hora, estado de entrega)
- Credenciales de sesión de WhatsApp Web (almacenadas cifradas)
- Archivos multimedia compartidos en conversaciones
Diferencias con la API Oficial
A diferencia de la API oficial de WhatsApp Business:
- Las credenciales de sesión se obtienen mediante escaneo de código QR, no mediante autorización OAuth de Meta
- La conexión puede interrumpirse sin previo aviso si WhatsApp detecta el uso de métodos no oficiales
- No podemos garantizar la persistencia ni seguridad de los datos en caso de suspensión de su cuenta de WhatsApp por parte de Meta
- La disponibilidad del servicio depende de la compatibilidad con el protocolo de WhatsApp Web, que puede cambiar sin aviso
Riesgos y Responsabilidad
⚠️ IMPORTANTE: El uso de este método de conexión conlleva riesgos significativos, incluyendo la posible suspensión o eliminación de su cuenta de WhatsApp por parte de Meta. Saint Denis Del Caribe no es responsable por la pérdida de datos, interrupción del servicio, daños financieros o de cualquier otra naturaleza derivados del uso de este método. Para los términos completos de exclusión de responsabilidad, indemnización y asunción de riesgo, consulte la Sección 7.3 de nuestros Términos y Condiciones de Uso.
5.5 Obligaciones Legales
Compartiremos información cuando sea requerido por:
- Orden judicial, citación o proceso legal
- Solicitud de autoridades gubernamentales o regulatorias
- Necesidad de proteger derechos, propiedad o seguridad de Saint Denis Del Caribe, usuarios o público
- Aplicación de nuestros Términos y Condiciones
- Investigación de fraude, seguridad o problemas técnicos
5.6 Transferencias Empresariales
En caso de fusión, adquisición, venta de activos o reorganización empresarial, su información puede ser transferida. Le notificaremos antes de que su información sea transferida y quede sujeta a una política de privacidad diferente.
5.7 Con su Consentimiento
Podemos compartir información con terceros adicionales cuando usted nos dé consentimiento explícito para hacerlo.
6. TRANSFERENCIAS INTERNACIONALES DE DATOS
6.1 Ubicación de Servidores
Sus datos se almacenan y procesan principalmente en:
- Estados Unidos (Supabase en AWS, Railway, Anthropic, OpenAI, PayPal, Sentry, Google)
- República Dominicana (oficinas de Saint Denis Del Caribe)
6.2 Protecciones para Transferencias Internacionales
Cuando transferimos datos fuera de República Dominicana:
- Utilizamos cláusulas contractuales estándar aprobadas
- Aseguramos que proveedores cumplan con estándares equivalentes de protección
- Implementamos medidas técnicas y organizativas apropiadas
6.3 Para Usuarios de la Unión Europea
Si está en la UE, sus datos pueden transferirse fuera del Espacio Económico Europeo (EEE). Aseguramos protección adecuada mediante:
- Cláusulas Contractuales Estándar de la Comisión Europea
- Certificaciones de privacidad de proveedores
- Medidas de seguridad adicionales
7. RETENCIÓN DE DATOS
7.1 Período General de Retención
Conservamos su información personal mientras:
- Su cuenta esté activa
- Sea necesario para proporcionar el Servicio
- Sea requerido para cumplir obligaciones legales, fiscales o contables
- Sea necesario para resolver disputas y hacer cumplir acuerdos
7.2 Períodos Específicos de Retención
Datos de Cuenta y Usuario:
- Durante vida de la cuenta + 30 días después de eliminación
Conversaciones y Mensajes:
- Durante vida de la cuenta + 30 días después de eliminación
- Puede eliminar conversaciones individuales en cualquier momento
Documentos de Entrenamiento:
- Hasta que los elimine manualmente o cierre su cuenta
Información de Facturación:
- 7 años después de última transacción (requisitos fiscales)
Logs de Seguridad:
- 1 año para propósitos de seguridad y auditoría
7.3 Eliminación de Datos
Eliminación por Autoservicio
Usted puede eliminar su cuenta directamente desde la página de Perfil en la sección “Zona de Peligro”:
- Requisito de suscripción: Si tiene una suscripción activa, debe cancelarla primero
- Confirmación de contraseña: Por seguridad, se requiere ingresar su contraseña
- Solo propietarios: Únicamente el propietario de la cuenta (rol “cliente”) puede solicitar la eliminación
Qué se elimina
Al eliminar su cuenta, se eliminarán:
- Todos los datos de su cuenta y usuarios asociados
- Conversaciones, mensajes y contactos
- Integraciones y configuraciones
- Documentos de entrenamiento de IA
Periodo de gracia y recuperación
- Soft delete inicial: Las cuentas eliminadas se marcan como eliminadas pero no se borran inmediatamente
- Periodo de gracia de 30 días: Durante este tiempo, puede solicitar la restauración de su cuenta contactando a [email protected]
- Después del periodo de gracia: La eliminación es permanente y los datos no pueden recuperarse
Cronograma de eliminación
Cuando elimine su cuenta:
- Datos personales eliminados en 30 días
- Backups eliminados en 90 días
- Datos anonimizados para análisis pueden conservarse indefinidamente
- Datos requeridos por ley conservados según periodo legal
8. SEGURIDAD DE DATOS
8.1 Medidas Técnicas
Cifrado:
- Contraseñas: Bcrypt con 12 rondas
- Datos en tránsito: TLS 1.3
- Tokens sensibles: Cifrado AES-256 en base de datos
- Conexiones a base de datos: SSL obligatorio
Autenticación:
- Tokens de API seguros (Laravel Sanctum)
- Verificación de email obligatoria
- Expiración automática de sesiones
- Protección CSRF
Infraestructura:
- Firewalls y reglas de red restrictivas
- Monitoreo continuo de vulnerabilidades
- Actualizaciones regulares de seguridad
- Backups cifrados automáticos
8.2 Medidas Organizativas
Control de Acceso:
- Principio de mínimo privilegio
- Autenticación multi-factor para empleados
- Revisión periódica de permisos de acceso
- Registro y auditoría de accesos a datos
Capacitación:
- Capacitación regular en seguridad para empleados
- Políticas de seguridad documentadas
- Procedimientos de respuesta a incidentes
- Acuerdos de confidencialidad con empleados y contratistas
8.3 Aislamiento Multi-Tenant
- Arquitectura de base de datos con separación de datos por cuenta
- Filtrado automático a nivel de ORM (Eloquent)
- Validación de pertenencia de cuenta en todas las consultas
- Auditoría de acceso entre tenants
8.4 Monitoreo y Respuesta
- Monitoreo 24/7 de sistemas
- Alertas automáticas de actividad sospechosa
- Logs de auditoría de todas las acciones críticas
- Plan de respuesta a incidentes documentado
- Notificación a usuarios afectados en caso de brecha
8.5 Limitaciones de Seguridad
Importante: A pesar de nuestros esfuerzos:
- Ningún sistema es 100% seguro
- Transmisión por Internet tiene riesgos inherentes
- Usted es responsable de mantener segura su contraseña
- Debe notificarnos inmediatamente de acceso no autorizado
9. SUS DERECHOS DE PRIVACIDAD
9.1 Derechos Aplicables a Todos los Usuarios
Derecho de Acceso:
- Solicitar copia de sus datos personales
- Conocer qué datos tenemos sobre usted
- Formato de exportación: JSON
Derecho de Rectificación:
- Corregir datos inexactos o incompletos
- Actualizar información desactualizada
Derecho de Eliminación:
- Eliminar su cuenta directamente desde la página de Perfil (sección “Zona de Peligro”)
- O solicitar eliminación por correo electrónico a [email protected]
- Procesamos eliminaciones en 30 días
- Periodo de gracia de 30 días para recuperación antes de eliminación permanente
- Ciertas excepciones legales pueden aplicar
Derecho de Portabilidad:
- Recibir sus datos en formato estructurado y legible por máquina
- Transferir datos a otro proveedor cuando sea técnicamente posible
Derecho de Oposición:
- Oponerse al procesamiento de sus datos
- Darse de baja de comunicaciones de marketing
Derecho a Retirar Consentimiento:
- Retirar consentimiento previamente otorgado en cualquier momento
- No afecta legalidad de procesamiento basado en consentimiento previo
9.2 Derechos Adicionales para Usuarios de la UE (GDPR)
Derecho de Limitación de Procesamiento:
- Solicitar que restrinjamos procesamiento de sus datos
Derecho a Presentar Queja:
- Presentar queja ante autoridad supervisora de protección de datos
Derecho a No Ser Objeto de Decisiones Automatizadas:
- No ser sujeto a decisiones basadas únicamente en procesamiento automatizado
9.3 Derechos Adicionales para Usuarios de California (CCPA)
Derecho a Conocer:
- Categorías de información personal recopilada
- Fuentes de información personal
- Propósitos de recopilación
- Terceros con quienes se comparte
Derecho a Eliminar:
- Solicitar eliminación de información personal
Derecho a Optar por No Vender:
- No vendemos información personal (no aplica opt-out ya que no vendemos datos)
No Discriminación:
- No discriminamos por ejercer derechos CCPA
9.4 Cómo Ejercer Sus Derechos
Para ejercer cualquiera de estos derechos:
- Envíe correo electrónico a: [email protected]
- Asunto: “Solicitud de Derechos de Privacidad – [Tipo de Solicitud]”
- Incluya:
- Su nombre completo
- Email de cuenta registrado
- Descripción específica de su solicitud
- Documentación de verificación de identidad (si es necesario)
Responderemos a su solicitud dentro de:
- 30 días para solicitudes generales
- 45 días para solicitudes complejas (con notificación de extensión)
- 10 días para solicitudes de acceso bajo Ley 172-13 (República Dominicana)
9.5 Verificación de Identidad
Para proteger su privacidad, verificaremos su identidad antes de:
- Proporcionar acceso a datos personales
- Procesar eliminación de datos
- Realizar cambios significativos en cuenta
Métodos de verificación pueden incluir:
- Confirmación por correo electrónico registrado
- Responder preguntas de seguridad
- Proporcionar documentación de identidad
10. PRIVACIDAD DE MENORES
10.1 Restricción de Edad
CRM Whata NO está dirigido a menores de 18 años. No recopilamos conscientemente información personal de menores de 18 años.
10.2 Si Descubrimos Información de Menores
Si descubrimos que hemos recopilado información de un menor de 18 años:
- Eliminaremos inmediatamente esa información
- Cerraremos la cuenta asociada
- Notificaremos según sea requerido por ley
10.3 Responsabilidad de Padres/Tutores
Si es padre o tutor y cree que su hijo nos ha proporcionado información personal, contáctenos inmediatamente en [email protected] con asunto “Información de Menor”.
10.4 Verificación de Edad
Al registrarse, usted certifica que tiene al menos 18 años de edad.
11. PRIVACIDAD EN FUNCIONALIDAD DE IA
11.1 Cómo Funciona la IA en CRM Whata
Nuestro asistente de IA utiliza Claude AI (Anthropic) para:
- Generar respuestas automáticas a mensajes de clientes
- Analizar contexto de conversaciones
- Buscar información en documentos de entrenamiento cargados
- Sugerir respuestas basadas en su estilo de comunicación
- Generar descripciones automáticas de imágenes de productos
- Calcular puntuaciones de lead (lead scoring) basadas en historial de interacciones
- Realizar análisis de sentimiento (positivo, negativo, neutro) en conversaciones
- Agendar citas automáticamente basándose en conversaciones
- Responder automáticamente a reseñas de Google Business
- Gestionar solicitudes de pago e información de contactos mediante herramientas de IA
Adicionalmente, utilizamos OpenAI Whisper para:
- Transcribir mensajes de audio y voz recibidos en conversaciones a texto en español
- Formatos de audio procesados: MP3, OGG, WAV, WebM, AAC, FLAC
11.2 Datos Compartidos con Anthropic
Cuando usa funciones de IA, compartimos con Anthropic:
- Mensajes de conversaciones (enviados y recibidos)
- Documentos de entrenamiento que haya cargado
- Instrucciones y prompts personalizados
- Contexto de conversación necesario para generar respuestas
- Imágenes de productos para análisis y descripción automática
- Datos de contactos y citas para gestión automatizada
11.3 Datos Compartidos con OpenAI
Cuando se reciben mensajes de audio, compartimos con OpenAI:
- Archivos de audio de mensajes de voz de sus conversaciones
- El audio se envía a los servidores de OpenAI exclusivamente para transcripción
Política de OpenAI:
- OpenAI procesa los datos según su Política de Privacidad: https://openai.com/privacy
- Los archivos de audio procesados vía API no se retienen permanentemente según la política de uso de API de OpenAI
- Recomendamos revisar las políticas de OpenAI para comprender su tratamiento de datos
11.4 Política de Uso de Datos de Anthropic
Según política de Anthropic:
- No entrenan modelos con datos de clientes de API
- Conservan datos por 30 días solo para abusos y seguridad
- Después de 30 días, datos son eliminados
- Política completa: https://www.anthropic.com/privacy
11.5 Toma de Decisiones Automatizada
CRM Whata utiliza IA para tomar decisiones automatizadas que pueden afectar la experiencia de sus clientes:
- Lead Scoring: Se calcula automáticamente una puntuación numérica para cada contacto basada en su historial de conversaciones y nivel de interacción.
- Análisis de Sentimiento: Se clasifica automáticamente el tono de las conversaciones como positivo, negativo o neutro.
- Auto-Asignación de Chats: Los chats pueden ser asignados automáticamente a agentes basándose en la carga de trabajo.
- Respuestas Automáticas: El asistente de IA puede responder automáticamente según la configuración del usuario.
Nota: Estas funciones son herramientas de apoyo y no sustituyen la supervisión humana. Usted mantiene el control total para desactivar, ajustar o anular cualquier decisión automatizada.
11.6 Control de Usuario sobre IA
Usted puede:
- Activar o desactivar asistente de IA en cualquier momento
- Configurar qué conversaciones usan IA
- Limitar tipos de respuestas que IA puede generar
- Revisar y editar respuestas antes de enviar
- Elegir no usar IA y responder manualmente
- Desactivar la transcripción automática de audio
11.7 Limitaciones y Responsabilidades
IMPORTANTE – Usted es responsable de:
- Revisar respuestas de IA antes de enviar a clientes
- Asegurar que respuestas cumplen con sus políticas empresariales
- Obtener consentimiento de sus clientes para procesamiento de IA (si requerido en su jurisdicción)
- Informar a sus clientes que los mensajes de audio pueden ser transcritos por servicios de terceros
- Cumplir con leyes de protección de datos aplicables a sus clientes
Nosotros NO somos responsables de:
- Inexactitudes en respuestas generadas por IA
- Inexactitudes en transcripciones de audio
- Puntuaciones de lead o análisis de sentimiento incorrectos
- Decisiones comerciales basadas en sugerencias de IA
- Cumplimiento de sus obligaciones legales con sus clientes
11.8 Mejora de IA
No utilizamos sus datos para entrenar modelos de IA propios o de terceros, excepto que:
- Anthropic puede usar datos según su política (solo 30 días para seguridad)
- OpenAI no retiene datos de audio procesados vía API según su política
- Podemos analizar de forma agregada y anonimizada patrones de uso para mejorar configuraciones
12. PRIVACIDAD EN WIDGET WEB
12.1 Funcionamiento del Widget
El Widget Web de CRM Whata se integra en su sitio web para:
- Permitir que visitantes inicien conversaciones
- Recopilar información de contacto de visitantes
- Mostrar horarios de atención y mensajes personalizados
12.2 Datos Recopilados por el Widget
Cuando un visitante usa su widget, recopilamos:
- Nombre proporcionado por visitante
- Email proporcionado por visitante (opcional)
- Número de teléfono (si conversa por WhatsApp)
- Mensajes enviados por visitante
- URL de página donde está widget
- Fecha y hora de conversación
- Datos técnicos: IP, navegador, dispositivo
12.3 Su Responsabilidad como Propietario del Sitio
Al instalar el widget en su sitio web, USTED es responsable de:
- Informar a visitantes sobre recopilación de datos en su política de privacidad
- Obtener consentimiento requerido por leyes aplicables (ej. GDPR)
- Colocar aviso de privacidad visible cerca del widget
- Cumplir con leyes de cookies y rastreo
- Informar que conversaciones pueden procesarse con IA
Recomendamos incluir aviso como:
“Al usar este chat, acepta nuestra [Política de Privacidad] y que sus mensajes pueden procesarse con asistencia de IA.”
12.4 Cookies del Widget
El widget puede usar:
- Cookies de sesión para mantener conversación activa
- LocalStorage para guardar preferencias de usuario
- Identificadores únicos para reconocer visitantes recurrentes
12.5 Consentimiento de Cookies
Si opera en jurisdicción que requiere consentimiento para cookies (ej. UE):
- Debe implementar su propio banner de consentimiento
- Widget solo debe cargarse después de obtener consentimiento
- Proporcionamos opción de carga condicional del widget
13. ENLACES A TERCEROS
13.1 Sitios Web de Terceros
Nuestro Servicio puede contener enlaces a sitios web de terceros. No somos responsables de las prácticas de privacidad de estos sitios.
13.2 Políticas de Proveedores
Le recomendamos revisar las políticas de privacidad de nuestros proveedores:
- WhatsApp: https://www.whatsapp.com/legal/privacy-policy
- Instagram: https://help.instagram.com/privacy/policy
- Facebook: https://www.facebook.com/privacy/policy
- Anthropic: https://www.anthropic.com/privacy
- PayPal: https://www.paypal.com/legalhub/privacy-full
- OpenAI: https://openai.com/privacy
14. CAMBIOS A ESTA POLÍTICA DE PRIVACIDAD
14.1 Derecho a Modificar
Nos reservamos el derecho de modificar esta Política de Privacidad en cualquier momento.
14.2 Notificación de Cambios
Cuando realicemos cambios:
- Actualizaremos la fecha de “Última actualización” al inicio de esta política
- Para cambios materiales, le notificaremos por:
- Correo electrónico a la dirección registrada en su cuenta
- Aviso destacado en la Plataforma
- Notificación al iniciar sesión
14.3 Aceptación de Cambios
- Los cambios entran en vigor inmediatamente después de su publicación
- Su uso continuado del Servicio después de cambios constituye aceptación de la política modificada
- Si no está de acuerdo con los cambios, debe dejar de usar el Servicio y puede solicitar eliminación de su cuenta
15. CONSENTIMIENTO ESPECÍFICO
15.1 Consentimiento para Procesamiento de IA
Al utilizar funciones de IA de CRM Whata, usted:
- Consiente que procesemos sus conversaciones y documentos con Claude AI (Anthropic) y audio con OpenAI Whisper
- Comprende que datos se compartirán con Anthropic según su política de privacidad
- Reconoce su responsabilidad de obtener consentimiento de sus clientes para procesamiento de IA
15.2 Consentimiento para Integraciones de Plataformas
Al conectar cuentas de WhatsApp, Instagram o Facebook, usted:
- Consiente que accedamos y procesemos conversaciones de esas plataformas
- Comprende que está sujeto a las políticas de privacidad de Meta/WhatsApp
- Acepta cumplir con los términos de servicio de esas plataformas
15.3 Consentimiento para WhatsApp Business Cloud API
Al conectar su cuenta de WhatsApp Business mediante la API oficial de Meta, usted:
- Autoriza a CRM Whata a acceder a su cuenta de WhatsApp Business (WABA)
- Consiente el almacenamiento cifrado de tokens de acceso
- Acepta que gestionemos plantillas de mensajes en su nombre
- Comprende la regla de ventana de 24 horas de WhatsApp
- Acepta cumplir con las políticas de WhatsApp Business
15.4 Consentimiento para Comunicaciones por Email
Al registrarse, usted consiente recibir:
- Correos transaccionales (verificación, facturas, notificaciones de seguridad)
- Correos administrativos (actualizaciones de servicio, cambios de términos)
- Correos de marketing (puede darse de baja en cualquier momento)
15.5 Consentimiento para Autenticación con Google
Al utilizar Google Sign-In para registrarse o iniciar sesión, usted:
- Consiente que recibamos su nombre y correo electrónico de su cuenta de Google
- Comprende que su correo se considerará automáticamente verificado
- Acepta que vinculemos su ID de Google con su cuenta de CRM Whata
- Acepta la Política de Privacidad de Google
Nota: Si ya existe una cuenta con el mismo correo electrónico, su cuenta de Google se vinculará automáticamente a esa cuenta existente.
15.6 Retiro de Consentimiento
Puede retirar su consentimiento en cualquier momento:
- Para procesamiento de IA: desactivando funciones de IA en configuración
- Para integraciones: desconectando cuentas de plataformas
- Para WhatsApp Cloud API: revocando acceso desde Meta Business Suite
- Para Google Sign-In: desvinculando desde la configuración de su cuenta de Google en https://myaccount.google.com/permissions
- Para emails de marketing: usando enlace de baja en correos o contactándonos
Nota: Retirar ciertos consentimientos puede limitar o impedir el uso del Servicio.
16. ARQUITECTURA MULTI-TENANT Y AISLAMIENTO
16.1 Separación de Datos
CRM Whata utiliza arquitectura multi-tenant:
- Cada cuenta tiene su propio espacio aislado (account_id único)
- Los usuarios solo pueden acceder a datos de su propia cuenta
- Filtrado automático implementado a nivel de base de datos
16.2 Roles y Acceso
Tres niveles de acceso:
1. ADMIN (Administradores de Sistema):
- Personal interno de Saint Denis Del Caribe
- Acceso para soporte técnico y administración de plataforma
- Sin acceso rutinario a datos de clientes salvo necesidad técnica o soporte
2. CLIENT (Propietario de Cuenta):
- Acceso completo a todos los datos de su cuenta
- Puede gestionar equipo y permisos
- Puede gestionar suscripción y facturación
3. AGENT (Agente/Colaborador):
- Acceso limitado según permisos otorgados por CLIENT
- Solo acceso a funcionalidades asignadas
- No puede gestionar usuarios ni facturación
16.3 Acceso de Empleados
Empleados de Saint Denis Del Caribe solo acceden a datos de clientes cuando:
- Es necesario para proporcionar soporte técnico solicitado
- Es requerido para investigar problemas reportados
- Es necesario para cumplir obligaciones legales
Todo acceso a datos de clientes es registrado y auditado. El mecanismo técnico mediante el cual ocurre este acceso se describe en detalle en la sección 16.4.
16.4 Acceso Administrativo Temporal a Cuentas de Usuario (Impersonation)
Para investigar incidencias reportadas y prestar soporte técnico, CRM Whata implementa una funcionalidad mediante la cual un administrador autorizado puede acceder de forma temporal y limitada a una cuenta de usuario, conocida técnicamente como account impersonation. Esta funcionalidad está diseñada conforme a los principios de finalidad limitada, minimización de datos y rendición de cuentas exigidos por la Ley 172-13 y el GDPR.
16.4.1 Restricciones de Activación
- Únicamente los administradores con el permiso explícito
can_impersonatehabilitado en su perfil pueden iniciar una sesión de acceso; el rol de administrador por sí solo no es suficiente - No es posible acceder a la cuenta del propio administrador ni a las cuentas de otros administradores
- Solo puede existir una sesión activa por administrador en un momento dado; al iniciarse una nueva sesión, las anteriores son revocadas inmediatamente
16.4.2 Acceso de Solo Lectura (Minimización de Datos)
- La sesión se autentica con un token específicamente marcado como token de acceso administrativo (ability
impersonate), separado de la sesión habitual del administrador - Un componente del servidor (middleware
BlockWritesIfImpersonating) rechaza automáticamente cualquier intento de crear, modificar o eliminar información durante la sesión - El administrador únicamente puede consultar información (operaciones de lectura); cualquier intento de escritura es bloqueado por el servidor con el código de error
impersonation_read_only - Esta restricción se hace cumplir a nivel de servidor y no puede ser eludida por el administrador
16.4.3 Duración Limitada
- Cada sesión expira automáticamente a los 30 minutos desde su inicio, sin posibilidad de extensión
- El administrador puede finalizar la sesión manualmente en cualquier momento
16.4.4 Registro de Auditoría (Rendición de Cuentas)
Cada sesión de acceso queda registrada en la tabla de auditoría impersonation_logs con la siguiente información:
- Identificador del administrador que inició la sesión
- Identificador del usuario cuya cuenta fue accedida
- Fecha y hora de inicio y de finalización
- Motivo de finalización: manual, expirada o revocada
- Dirección IP desde la que se inició la sesión
- Agente de usuario (navegador y sistema operativo)
Estos registros se conservan como parte del historial de auditoría de seguridad y se utilizan para demostrar el cumplimiento de esta política.
16.4.5 Notificación al Titular de la Cuenta
- Al finalizar una sesión de acceso (ya sea de forma manual o por expiración automática), el usuario titular de la cuenta accedida recibe automáticamente una notificación dentro de la plataforma indicando la fecha y la duración del acceso
- La notificación se envía aunque el administrador no la dispare expresamente: el cierre por expiración la genera automáticamente mediante un proceso programado del servidor (
impersonation:close-expired) - Esta notificación garantiza que usted siempre esté informado de cualquier acceso administrativo a su cuenta
16.4.6 Finalidad Limitada
Esta funcionalidad se utiliza exclusivamente para:
- Soporte técnico y resolución de incidencias reportadas por el usuario
- Investigación de problemas operativos o de seguridad
- Cumplimiento de obligaciones legales
Importante: Saint Denis Del Caribe no utiliza esta funcionalidad para fines de marketing, análisis comercial, ventas ni para ningún otro propósito ajeno al soporte técnico legítimo.
16.4.7 Sus Derechos al Respecto
- Puede solicitar copia del registro de auditoría correspondiente a su cuenta enviando un correo a [email protected] con el asunto “Solicitud de Registro de Acceso Administrativo”
- Puede oponerse al uso de esta funcionalidad escribiendo a [email protected]; tenga en cuenta que esta oposición puede limitar nuestra capacidad de prestarle soporte técnico que requiera acceso a su cuenta para diagnóstico
17. BASE LEGAL PARA PROCESAMIENTO (GDPR)
Si el GDPR le aplica, procesamos sus datos personales bajo las siguientes bases legales:
17.1 Ejecución de Contrato
Procesamos datos necesarios para proporcionar el Servicio según nuestros Términos y Condiciones.
17.2 Consentimiento
Procesamos datos cuando usted nos ha dado consentimiento específico (por ejemplo, para procesamiento de IA).
17.3 Interés Legítimo
Procesamos datos para:
- Mejorar nuestro Servicio
- Prevenir fraude y abuso
- Garantizar seguridad de la plataforma
- Análisis internos
17.4 Obligación Legal
Procesamos datos cuando es requerido por ley (por ejemplo, retención de registros fiscales).
18. CONTACTO Y QUEJAS
18.1 Contacto de Privacidad
Para preguntas, inquietudes o solicitudes relacionadas con privacidad:
Email: [email protected] Asunto: Consulta de Privacidad
Dirección Postal: Saint Denis Del Caribe Calle H #3, Cerros De Gurabo 3 Santiago, República Dominicana
18.2 Autoridad de Protección de Datos (República Dominicana)
Si no está satisfecho con nuestra respuesta, puede contactar a la autoridad de protección de datos de República Dominicana:
Dirección General de Ética e Integridad Gubernamental (DIGEIG) Departamento de Protección de Datos Personales Sitio web: https://www.digeig.gob.do
18.3 Autoridades de la UE (Si Aplica GDPR)
Residentes de la UE pueden presentar quejas ante su autoridad supervisora local de protección de datos.
19. DISPOSICIONES ADICIONALES
19.1 Idioma de la Política
Esta Política está redactada en español. En caso de conflicto entre versiones en diferentes idiomas, prevalecerá la versión en español.
19.2 Divisibilidad
Si alguna disposición de esta Política es considerada inválida o inaplicable, las disposiciones restantes continuarán en pleno vigor.
19.3 No Renuncia
El hecho de que no ejercemos algún derecho bajo esta Política no constituye renuncia a ese derecho.
19.4 Política Completa
Esta Política, junto con nuestros Términos y Condiciones, constituye el acuerdo completo sobre privacidad y protección de datos.
20. RECONOCIMIENTO Y ACEPTACIÓN
Al utilizar CRM Whata, usted reconoce que:
- Ha leído y entendido esta Política de Privacidad
- Comprende qué datos recopilamos y cómo los usamos
- Consiente el procesamiento de sus datos según esta Política
- Comprende sus derechos de privacidad y cómo ejercerlos
- Reconoce su responsabilidad de obtener consentimiento de sus clientes
- Acepta que datos sean procesados por terceros (Anthropic, OpenAI, PayPal, Sentry, Google reCAPTCHA, etc.)
- Comprende las limitaciones de seguridad y exactitud de IA
21. RESUMEN PARA REFERENCIA RÁPIDA
¿Qué datos recopilamos?
- Información de registro (nombre, email, contraseña)
- Conversaciones y mensajes con sus clientes (texto, audio, imágenes, documentos)
- Datos de ubicación (cuando se comparten en mensajes, incluyendo ubicación en vivo)
- Documentos de entrenamiento para IA
- Información de suscripción y pagos
- Datos de citas, solicitudes de pago y pipeline de ventas
- Catálogo de productos con análisis de IA
- Información financiera sensible (datos bancarios y PayPal, almacenados cifrados)
- Datos técnicos: errores (Sentry), protección anti-bot (reCAPTCHA), sesiones
- Datos de uso, configuración y registros de auditoría
¿Cómo los usamos?
- Proporcionar el servicio de mensajería multi-canal (WhatsApp, Instagram, Facebook, Telegram, TikTok, Google Business, Widget Web)
- Generar respuestas de IA (Claude AI) y transcribir audio (OpenAI Whisper)
- Calcular lead scoring y análisis de sentimiento automatizados
- Gestionar citas, solicitudes de pago y pipeline de ventas
- Asignar chats automáticamente entre agentes
- Responder automáticamente a reseñas de Google Business
- Procesar pagos y facturación
- Mejorar el servicio y diagnosticar errores
- Comunicarnos con usted
¿Con quién compartimos?
- Anthropic (IA - respuestas, análisis)
- OpenAI (transcripción de audio)
- PayPal (procesamiento de pagos de suscripciones y enlaces de pago a sus clientes)
- Supabase (base de datos y almacenamiento)
- Railway (infraestructura de hosting)
- SendGrid (emails)
- Sentry (monitoreo de errores y rendimiento)
- Google (reCAPTCHA, autenticación, Google Business)
- Meta/WhatsApp/Instagram/Facebook (integraciones de mensajería y leads)
- Telegram (mensajería)
- TikTok (mensajería)
- iProyal (proxy geográfico, opcional)
- Redis (caché y colas)
- Laravel Reverb (WebSocket en tiempo real)
NO VENDEMOS SUS DATOS.
Sus derechos:
- Acceder a sus datos
- Corregir datos incorrectos
- Eliminar su cuenta y datos
- Exportar sus datos
- Oponerse al procesamiento
- Presentar quejas
- Ser notificado automáticamente cada vez que un administrador acceda a su cuenta para soporte técnico (acceso de solo lectura, máximo 30 minutos, registrado y auditado — ver sección 16.4)
Eliminación de Datos:
Puede eliminar su cuenta de dos formas:
- Autoservicio: Desde la página de Perfil → sección “Zona de Peligro” → “Eliminar Cuenta”
- Por correo: Envíe email a [email protected] con asunto “Solicitud de Eliminación de Datos”
Nota: Si tiene suscripción activa, debe cancelarla primero. Tiene 30 días para recuperar su cuenta después de eliminarla.
Contacto:
Email: [email protected]
Última actualización: 15 de mayo de 2026 Versión: 2.0
Saint Denis Del Caribe Calle H #3, Cerros De Gurabo 3 Santiago, República Dominicana Email: [email protected]