Política de Privacidad

Vigente desde: 25 de abril de 2026 — Versión 2.0

1. Responsable del tratamiento

Wappi Holding LLC (en adelante, "Wappi", "nosotros" o "nuestro") es una sociedad de responsabilidad limitada constituida bajo las leyes del Estado de Wyoming, Estados Unidos. Wappi opera como responsable del tratamiento de los datos personales de los usuarios de la plataforma (titulares de cuenta) y como encargado del tratamiento (processor) de los datos personales de los clientes finales que los usuarios procesan a través de nuestros servicios.

Wappi Holding LLC
Jurisdicción de constitución: Estado de Wyoming, Estados Unidos
Delegado de protección de datos (DPO): [email protected]
Sitio web: https://wappi.chat

Esta Política de Privacidad aplica a todos los servicios, sitios web, aplicaciones y comunicaciones ofrecidos por Wappi. Al utilizar nuestros servicios, usted reconoce haber leído, comprendido y aceptado las prácticas de tratamiento de datos descritas en este documento.

2. Información que recopilamos

2.1 Datos proporcionados directamente por el usuario

Nombre completo y apellidos
Dirección de correo electrónico corporativo o personal
Número de teléfono con indicativo internacional
Datos de facturación: dirección fiscal, NIT/RFC/CIF según jurisdicción, datos de tarjeta procesados por Stripe (Wappi no almacena datos de tarjeta)
Información empresarial: razón social, sector, número de empleados, país de operación
Credenciales de servicios externos integrados (WhatsApp Business API, Mastershop, pasarelas de pago), almacenadas con cifrado AES-256-GCM en reposo
Contenido de comunicaciones con nuestro equipo de soporte

2.2 Datos recolectados automáticamente

Dirección IP y geolocalización aproximada derivada
Identificadores de dispositivo, tipo de navegador, sistema operativo y resolución de pantalla
Datos de cookies y tecnologías de rastreo similares (ver Política de Cookies)
Registros de actividad dentro de la plataforma (logs de acceso, acciones realizadas, timestamps)
Metadatos de mensajes procesados: remitente, destinatario, timestamp, estado de entrega (no el contenido del mensaje salvo cuando sea necesario para los servicios de IA)
Datos de rendimiento y diagnóstico: tiempos de respuesta, errores, métricas de uso

2.3 Datos procesados a través de nuestros servicios (datos de clientes finales)

Wappi es una plataforma de automatización con IA y mensajería. En el ejercicio de su actividad, nuestros usuarios introducen datos de sus propios clientes finales en la plataforma. Estos datos pueden incluir:

2.3 Datos procesados a través de nuestros servicios (datos de clientes finales)

Contenido de conversaciones a través de WhatsApp, Telegram y otros canales integrados
Datos identificativos de clientes finales: nombre, teléfono, correo electrónico
Historial de pedidos, preferencias de compra y datos transaccionales
Archivos multimedia: imágenes, documentos, notas de voz enviados en conversaciones
Grabaciones y transcripciones de llamadas telefónicas realizadas mediante agentes de voz
Datos de citas y programación de agendas

Aviso legal importante: Respecto a los datos de clientes finales, Wappi actúa exclusivamente como encargado del tratamiento (data processor) bajo las instrucciones del usuario (data controller). El usuario es el único responsable de obtener los consentimientos necesarios, informar a sus clientes finales sobre el tratamiento de sus datos y cumplir con la legislación de protección de datos aplicable en su jurisdicción. Para más detalles, consulte nuestro Acuerdo de Procesamiento de Datos (DPA).

3. Finalidad y base legal del tratamiento

Cada actividad de tratamiento tiene una finalidad específica y una base legal que la justifica conforme al Artículo 6 del RGPD y la legislación aplicable:

Prestación del servicio contratado: operar, mantener y mejorar la plataforma SaaS — Base legal: ejecución del contrato (Art. 6.1.b RGPD)
Procesamiento de pagos y facturación: gestionar suscripciones, cobros y emisión de facturas a través de Stripe — Base legal: ejecución del contrato
Funcionamiento de agentes de IA: procesar conversaciones, generar respuestas, realizar búsquedas semánticas y análisis de intenciones — Base legal: ejecución del contrato y consentimiento del usuario al activar funcionalidades de IA
Comunicaciones operativas: enviar notificaciones de servicio, alertas de seguridad, actualizaciones de funcionalidad — Base legal: interés legítimo
Seguridad y prevención de fraude: detectar accesos no autorizados, prevenir abusos, monitorear actividad anómala — Base legal: interés legítimo (Art. 6.1.f RGPD)
Cumplimiento normativo: responder a requerimientos legales, cooperar con autoridades competentes — Base legal: obligación legal (Art. 6.1.c RGPD)
Mejora del servicio y analítica interna: analizar métricas de uso agregadas, rendimiento de la plataforma y comportamiento de los agentes de IA — Base legal: interés legítimo con minimización de datos
Sincronización con plataformas externas: conectar con Mastershop, n8n y otras integraciones configuradas por el usuario — Base legal: ejecución del contrato

4. Compartición y divulgación de datos

4.1 Sub-procesadores tecnológicos autorizados

Para la prestación del servicio, compartimos datos con los siguientes proveedores, todos ellos sujetos a acuerdos de procesamiento de datos (DPA) y medidas de seguridad adecuadas:

Meta Platforms Inc. (WhatsApp Cloud API) — Mensajería y entrega de mensajes — EE.UU.
Twilio Inc. — Llamadas de voz, IVR y verificación telefónica — EE.UU.
Stripe Inc. — Procesamiento de pagos y facturación — EE.UU.
Supabase Inc. — Base de datos, autenticación, almacenamiento de archivos y vectores — EE.UU./UE
OpenAI LLC — Modelos de lenguaje para agentes conversacionales (GPT-4o, GPT-4o-mini) — EE.UU.
Anthropic PBC — Modelos de lenguaje para agentes conversacionales (Claude Sonnet) — EE.UU.
Google LLC — Modelos de lenguaje (Gemini), síntesis de voz (TTS), calendario (Calendar API) — EE.UU.
Groq Inc. — Inferencia acelerada de modelos de IA open-source (Llama, Gemma, Mistral) — EE.UU.
OpenRouter Inc. — Enrutamiento y acceso a múltiples modelos de IA — EE.UU.
Deepgram Inc. — Transcripción de voz en tiempo real (speech-to-text) — EE.UU.
ElevenLabs Inc. — Síntesis de voz de alta fidelidad (text-to-speech, opcional) — EE.UU.
Cartesia AI — Síntesis de voz en streaming (text-to-speech, opcional) — EE.UU.
Cloudflare Inc. — Seguridad web y prevención de bots (Turnstile) — EE.UU.
Mastershop — Sincronización de productos, pedidos y clientes (e-commerce) — Colombia
Calendly LLC — Programación de citas y disponibilidad (opcional) — EE.UU.
Twilio SendGrid — Correo electrónico transaccional (opcional) — EE.UU.
Mailgun Technologies Inc. — Correo electrónico transaccional (opcional) — EE.UU.
n8n GmbH — Automatización de flujos de trabajo y eventos — Alemania
Telegram FZ-LLC — Mensajería por bot (opcional) — Emiratos Árabes Unidos

4.2 Autoridades y requerimientos legales

Podremos divulgar datos personales cuando sea estrictamente necesario para: (a) cumplir con una obligación legal, orden judicial o proceso administrativo vinculante; (b) proteger los derechos, propiedad o seguridad de Wappi, nuestros usuarios o terceros; (c) detectar, prevenir o abordar fraude, problemas de seguridad o técnicos; o (d) responder a una emergencia que amenace la vida o integridad física de una persona.

4.3 Transferencias internacionales de datos

Dado que Wappi opera desde Estados Unidos y utiliza sub-procesadores ubicados en distintas jurisdicciones, los datos personales pueden transferirse fuera del país de residencia del usuario, incluyendo transferencias desde el Espacio Económico Europeo (EEE), Reino Unido y Latinoamérica hacia Estados Unidos. Para garantizar un nivel adecuado de protección, implementamos las siguientes salvaguardas:

Cláusulas Contractuales Estándar (SCCs) aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914)
Acuerdos de procesamiento de datos (DPA) con todos los sub-procesadores
Evaluaciones de impacto de transferencias (TIA) cuando la legislación del país de destino lo requiera
Medidas técnicas suplementarias: cifrado en tránsito (TLS 1.2+) y en reposo (AES-256-GCM)
Compromiso de notificación en caso de solicitudes de acceso gubernamental

4.4 No venta de datos personales

Wappi no vende, alquila ni comercializa datos personales de sus usuarios ni de los clientes finales de estos. Conforme a la Sección 1798.140(ad) del California Consumer Privacy Act (CCPA/CPRA), declaramos expresamente que no realizamos "venta" ni "compartición" de información personal tal como se define en dicha legislación.

5. Cookies y tecnologías de rastreo

Utilizamos cookies y tecnologías similares para autenticación, preferencias de usuario, seguridad y analítica de rendimiento. No utilizamos cookies publicitarias ni de rastreo con fines de marketing de terceros. Para información detallada sobre las cookies que utilizamos, sus finalidades, duración y cómo gestionarlas, consulte nuestra Política de Cookies.

6. Retención de datos

Conservamos los datos personales durante el tiempo estrictamente necesario para cumplir con las finalidades descritas en esta política. Los criterios de retención específicos son:

Datos de cuenta del usuario: durante la vigencia de la relación contractual y hasta 30 días después de la cancelación definitiva de la cuenta, salvo obligación legal de conservación
Datos de facturación y transacciones: 7 años desde la fecha de la transacción, conforme a obligaciones fiscales y contables aplicables
Registros de auditoría y logs de seguridad: 12 meses desde su generación
Datos de clientes finales (procesados como encargado): según las instrucciones del usuario (controlador), con eliminación dentro de los 30 días siguientes a la terminación del servicio, salvo obligación legal
Conversaciones y contenido multimedia: durante la vigencia de la cuenta del usuario, con posibilidad de eliminación anticipada por solicitud del usuario
Datos de cookies: según la duración específica de cada cookie (ver Política de Cookies)
Copias de seguridad: máximo 90 días tras la eliminación de los datos principales

7. Seguridad de la información

Implementamos medidas de seguridad técnicas, organizativas y administrativas diseñadas para proteger los datos personales contra acceso no autorizado, alteración, divulgación, pérdida o destrucción. Estas medidas incluyen, entre otras:

7. Seguridad de la información

Cifrado AES-256-GCM para credenciales y datos sensibles almacenados en reposo
Cifrado TLS 1.2 o superior para todos los datos en tránsito
Verificación de integridad de webhooks mediante HMAC-SHA256
Aislamiento de datos por tenant mediante Row Level Security (RLS) a nivel de base de datos
Control de acceso basado en roles (RBAC) con principio de mínimo privilegio
Autenticación de dos factores (2FA) disponible para cuentas de usuario
Monitoreo continuo de actividad anómala y alertas de seguridad
Evaluaciones de seguridad y pruebas de vulnerabilidad periódicas
Plan documentado de respuesta a incidentes de seguridad

Declaración de limitación: A pesar de nuestros esfuerzos razonables por proteger los datos personales, ningún sistema de transmisión o almacenamiento electrónico es infalible. No podemos garantizar la seguridad absoluta de los datos. En caso de brecha de seguridad que afecte datos personales, notificaremos a los usuarios afectados y a las autoridades competentes dentro de los plazos legalmente establecidos (72 horas conforme al Art. 33 del RGPD).

8. Derechos del usuario

Dependiendo de su jurisdicción de residencia, usted puede ejercer los siguientes derechos sobre sus datos personales:

8.1 Derechos bajo el RGPD (Espacio Económico Europeo y Reino Unido)

Derecho de acceso: obtener confirmación de si se tratan sus datos y una copia de los mismos (Art. 15 RGPD)
Derecho de rectificación: corregir datos inexactos o incompletos (Art. 16 RGPD)
Derecho de supresión ("derecho al olvido"): solicitar la eliminación de sus datos cuando ya no sean necesarios (Art. 17 RGPD)
Derecho a la limitación del tratamiento: restringir el uso de sus datos en determinadas circunstancias (Art. 18 RGPD)
Derecho a la portabilidad: recibir sus datos en formato estructurado, de uso común y lectura mecánica (Art. 20 RGPD)
Derecho de oposición: oponerse al tratamiento basado en intereses legítimos o marketing directo (Art. 21 RGPD)
Derecho a no ser objeto de decisiones automatizadas: no ser sometido a decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos significativos (Art. 22 RGPD)
Derecho a presentar reclamación ante la autoridad de supervisión competente de su país de residencia

8.2 Derechos bajo CCPA/CPRA (residentes de California, EE.UU.)

Derecho a saber: conocer qué información personal se recopila, utiliza, comparte o vende, y con qué fin
Derecho a eliminar: solicitar la eliminación de su información personal, con ciertas excepciones legales
Derecho a la corrección: solicitar la corrección de información personal inexacta
Derecho a opt-out de la venta/compartición: Wappi no vende ni comparte información personal, por lo que este derecho no aplica en la práctica
Derecho a no ser discriminado: no recibir trato diferenciado por ejercer sus derechos de privacidad
Derecho a limitar el uso de información personal sensible: restringir el tratamiento de categorías sensibles de datos

8.3 Ejercicio de derechos

Para ejercer cualquiera de los derechos anteriores, envíe una solicitud a [email protected] con el asunto "Solicitud de derechos de privacidad", indicando: (a) su nombre completo y correo electrónico asociado a la cuenta; (b) el derecho específico que desea ejercer; y (c) cualquier información adicional relevante. Responderemos dentro de los 30 días calendario siguientes a la recepción (ampliable a 45 días para solicitudes complejas bajo CCPA, o a 90 días bajo RGPD, previa notificación). Podremos solicitar verificación de identidad antes de procesar la solicitud.

9. Privacidad de menores

Los servicios de Wappi no están dirigidos a menores de 18 años. No recopilamos intencionalmente datos personales de menores. Si tiene conocimiento de que un menor ha proporcionado datos personales a Wappi sin el consentimiento de su representante legal, contáctenos a [email protected] y procederemos a eliminar dicha información de forma inmediata. Conforme a la Children's Online Privacy Protection Act (COPPA) de Estados Unidos, no recopilamos datos de menores de 13 años bajo ninguna circunstancia.

10. Servicios e integraciones de terceros

Nuestra plataforma se integra con servicios de terceros (WhatsApp/Meta, Telegram, plataformas de e-commerce, proveedores de IA, entre otros) según la configuración elegida por el usuario. Cada servicio de terceros opera bajo sus propias políticas de privacidad, sobre las cuales Wappi no tiene control ni responsabilidad. Recomendamos encarecidamente a los usuarios revisar las políticas de privacidad de cada servicio que integren. Los enlaces a las políticas de privacidad de nuestros principales sub-procesadores están disponibles en nuestro Acuerdo de Procesamiento de Datos (DPA).

11. Divulgaciones específicas de California ("Shine the Light")

Conforme a la Sección 1798.83 del Código Civil de California, los residentes de California tienen derecho a solicitar información sobre la divulgación de datos personales a terceros con fines de marketing directo. Wappi no divulga datos personales a terceros con fines de marketing directo.

12. Solicitud de eliminación de datos

Para solicitar la eliminación completa de sus datos personales, envíe un correo electrónico a [email protected] con el asunto "Solicitud de eliminación de datos", incluyendo su nombre completo y la dirección de correo electrónico asociada a su cuenta. Procesaremos su solicitud dentro de los 30 días calendario siguientes. Una vez confirmada la eliminación: (a) sus datos de cuenta serán suprimidos de nuestros sistemas activos; (b) los datos de clientes finales procesados en su nombre serán eliminados; (c) las copias de seguridad que contengan sus datos serán purgadas en un plazo máximo de 90 días. Ciertos datos podrán conservarse cuando exista obligación legal de retención (ej.: registros fiscales).

13. Modificaciones a esta política

Nos reservamos el derecho de actualizar esta Política de Privacidad en cualquier momento para reflejar cambios en nuestras prácticas, obligaciones legales o funcionalidades del servicio. En caso de modificaciones sustanciales, notificaremos a los usuarios con al menos 30 días de antelación mediante: (a) aviso destacado en la plataforma; (b) notificación por correo electrónico; y (c) actualización de la fecha de vigencia al inicio de este documento. El uso continuado del servicio tras la entrada en vigor de las modificaciones constituye aceptación de las mismas.

14. Contacto y reclamaciones

Para cualquier consulta, solicitud o reclamación relacionada con esta Política de Privacidad o el tratamiento de sus datos personales, póngase en contacto con nuestro equipo de protección de datos: [email protected] — https://wappi.chat. Si considera que el tratamiento de sus datos personales infringe la normativa aplicable, tiene derecho a presentar una reclamación ante la autoridad de protección de datos competente de su país de residencia.

legal.nav.related

Términos Cookies DPA Aviso IA Uso Aceptable Consentimiento Eliminacion de Datos