Politica de Privacidad

1. Introduccion y alcance

La presente Politica de Privacidad describe como autoasistente.com (en adelante, "la Plataforma", "nosotros" o "el Servicio"), operada por Gomez Smart Group LLC, recopila, utiliza, almacena, comparte y protege la informacion personal de los usuarios que acceden al sitio web autoasistente.com, al panel de administracion y a cualquier servicio relacionado.

Esta politica se aplica a:

Visitantes del sitio web autoasistente.com.
Clientes que contratan un plan de suscripcion (Starter, Business o Premium) para utilizar nuestros asistentes virtuales con inteligencia artificial.
Usuarios finales que interactuan con los asistentes virtuales desplegados en canales de mensajeria (WhatsApp, Facebook Messenger, Instagram Direct, TikTok) de los negocios clientes.
Empleados y colaboradores que acceden al panel de administracion del negocio.

Al utilizar la Plataforma, aceptas las practicas descritas en esta Politica de Privacidad. Si no estas de acuerdo con alguna de estas practicas, te recomendamos no utilizar nuestros servicios.

2. Responsable del tratamiento

El responsable del tratamiento de los datos personales es:

Razon social: Gomez Smart Group LLC
Nombre comercial: autoasistente.com
Correo electronico: info@autoasistente.com
Sitio web: https://autoasistente.com

Gomez Smart Group LLC actua como responsable del tratamiento respecto a los datos de los clientes y visitantes del sitio. Para los datos de los usuarios finales que interactuan con los asistentes virtuales en los canales de mensajeria de los negocios clientes, Gomez Smart Group LLC actua como encargado del tratamiento, siendo el negocio cliente el responsable del tratamiento de dichos datos.

3. Datos que recopilamos

3.1 Datos de registro y cuenta

Cuando creas una cuenta en autoasistente.com, recopilamos:

Nombre completo del titular.
Direccion de correo electronico.
Numero de telefono (opcional, para notificaciones y WhatsApp).
Nombre del negocio o empresa.
Contrasena (almacenada unicamente en formato hash criptografico mediante bcrypt; nunca almacenamos contrasenas en texto plano).
Rol dentro de la plataforma (propietario, administrador, miembro).

3.2 Datos de uso y navegacion

Recopilamos automaticamente informacion tecnica cuando utilizas la Plataforma:

Direccion IP.
Tipo y version de navegador.
Sistema operativo y dispositivo.
Paginas visitadas, tiempo de permanencia y patrones de navegacion.
Fecha y hora de acceso.
URL de referencia.
Identificador de sesion y tokens de autenticacion (JWT).
User-Agent del navegador (registrado en sesiones activas para seguridad).

3.3 Datos de conversaciones gestionadas

Los asistentes virtuales desplegados en los canales de mensajeria de los negocios clientes procesan mensajes de los usuarios finales. Esto incluye:

Contenido de los mensajes de texto enviados y recibidos a traves de WhatsApp, Facebook Messenger, Instagram Direct y TikTok.
Metadatos de las conversaciones (fecha, hora, identificador del canal, identificador del remitente).
Nombre del contacto y numero de telefono (tal como lo proporcionan las APIs de las plataformas de mensajeria).
Historial de conversaciones almacenado para continuidad del servicio y entrenamiento del asistente.

Estos datos se almacenan en la base de datos de la Plataforma de forma segregada por negocio (aislamiento multi-tenant), de modo que cada negocio solo puede acceder a las conversaciones de sus propios canales.

3.4 Datos de pago

Para el procesamiento de pagos de suscripciones, utilizamos Stripe como procesador de pagos. En relacion con los datos de pago:

No almacenamos numeros de tarjetas de credito o debito, fechas de vencimiento ni codigos CVV en nuestros servidores.
Almacenamos unicamente el identificador del cliente de Stripe (customer_id) y el identificador de la suscripcion (subscription_id) para gestionar la relacion de facturacion.
Registramos los eventos de webhook de Stripe (identificador del evento, tipo, fecha) con fines de idempotencia y auditoria.
Stripe procesa y almacena los datos de pago de acuerdo con su propia politica de privacidad y cumplimiento PCI-DSS.

3.5 Datos de integraciones con terceros

Si el negocio cliente activa integraciones con servicios de Google, recopilamos y gestionamos:

Google Calendar: Direccion de correo del calendario configurado, eventos de citas y reservas creados por el asistente virtual.
Google Drive: Identificadores de carpetas y archivos creados para el negocio, documentos de configuracion del asistente.
Google Sheets: Identificadores de hojas de calculo utilizadas para catalogos de productos y servicios.

El acceso a estos servicios de Google se realiza mediante una cuenta de servicio con delegacion a nivel de dominio. No accedemos a cuentas personales de Google de los usuarios.

3.6 Cookies y tecnologias similares

Utilizamos cookies y tecnologias similares para el funcionamiento de la Plataforma. Los detalles completos se encuentran en la Seccion 13 de esta politica.

4. Finalidad del tratamiento

Tratamos los datos personales para las siguientes finalidades:

Prestacion del servicio: Crear y gestionar cuentas de usuario, configurar y desplegar asistentes virtuales con IA, procesar conversaciones en canales de mensajeria y administrar suscripciones.
Procesamiento de pagos: Gestionar cobros de suscripciones, emitir facturas y administrar el ciclo de vida de la facturacion a traves de Stripe.
Provisionamiento automatizado: Configurar recursos de Google (Drive, Sheets, Calendar), workflows de automatizacion y agentes de IA para cada negocio cliente.
Seguridad y autenticacion: Verificar la identidad de los usuarios, gestionar sesiones, detectar actividades sospechosas y proteger la integridad de la Plataforma.
Comunicaciones: Enviar notificaciones relacionadas con el servicio, alertas de seguridad, reportes operativos y actualizaciones del producto.
Mejora del servicio: Analizar patrones de uso para mejorar la funcionalidad, rendimiento y experiencia de usuario de la Plataforma.
Soporte tecnico: Atender solicitudes de soporte, gestionar tickets y resolver incidencias tecnicas.
Cumplimiento legal: Cumplir con obligaciones legales, regulatorias y fiscales aplicables.
Auditoria interna: Registrar eventos de auditoria para trazabilidad, seguridad y resolucion de disputas.

5. Base legal del tratamiento

El tratamiento de datos personales se fundamenta en las siguientes bases legales:

Ejecucion de contrato (Art. 6.1.b RGPD): El tratamiento es necesario para la prestacion del servicio contratado, incluyendo la creacion de cuentas, gestion de suscripciones, configuracion de asistentes virtuales y procesamiento de conversaciones.
Consentimiento (Art. 6.1.a RGPD): Para el uso de cookies no esenciales, comunicaciones de marketing y la activacion de integraciones opcionales con servicios de terceros.
Interes legitimo (Art. 6.1.f RGPD): Para la mejora continua del servicio, la seguridad de la Plataforma, la prevencion de fraude y el analisis agregado de uso.
Obligacion legal (Art. 6.1.c RGPD): Para el cumplimiento de obligaciones fiscales, contables y regulatorias aplicables.

Cuando el tratamiento se base en el consentimiento, tendras derecho a retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo.

6. Comparticion de datos con terceros

Compartimos datos personales unicamente con los terceros necesarios para la prestacion del servicio. No vendemos, alquilamos ni cedemos datos personales a terceros con fines de marketing.

6.1 Stripe (procesamiento de pagos)

Datos compartidos: Nombre, correo electronico, datos de tarjeta de pago (procesados directamente por Stripe).
Finalidad: Procesamiento de cobros de suscripciones, gestion de facturas y portal de cliente.
Cumplimiento: Stripe cumple con PCI-DSS Nivel 1 y opera bajo su propia Politica de Privacidad.

6.2 Meta / Facebook / Instagram (APIs de mensajeria)

Datos compartidos: Mensajes enviados y recibidos, identificadores de usuario de las plataformas, metadatos de conversaciones.
Finalidad: Operacion de los asistentes virtuales en Facebook Messenger e Instagram Direct.
Cumplimiento: La integracion opera bajo las Politicas de Meta y las condiciones de uso de la API de Meta Business.

6.3 WhatsApp (mensajeria via Baileys)

Datos compartidos: Mensajes de texto, numeros de telefono, metadatos de conversaciones.
Finalidad: Operacion de los asistentes virtuales en WhatsApp para los negocios clientes.
Nota: La conexion se realiza mediante sesiones autenticadas por QR por cada negocio cliente.

6.4 Google (Calendar, Drive, Sheets)

Datos compartidos: Eventos de calendario (citas, reservas), documentos de configuracion, catalogos de productos en hojas de calculo.
Finalidad: Sincronizacion de citas, almacenamiento de recursos del negocio y gestion de catalogos.
Cumplimiento: Acceso mediante cuenta de servicio con delegacion de dominio, conforme a la Politica de Privacidad de Google.

6.5 Proveedores de inteligencia artificial (procesamiento de lenguaje)

Datos compartidos: Contenido de conversaciones procesado para generar respuestas del asistente virtual. Los datos se envian de forma contextualizada y se minimiza la informacion personal identificable.
Finalidad: Generacion de respuestas inteligentes por parte del asistente virtual.
Proveedores: Utilizamos modelos de lenguaje de terceros (incluyendo servicios accesibles via API como OpenRouter). Los datos se procesan en tiempo real y no se utilizan para entrenar modelos de terceros.

6.6 Proveedor de hosting (OVH)

Datos compartidos: Todos los datos almacenados en la Plataforma residen en servidores gestionados por OVH.
Finalidad: Alojamiento de la infraestructura de servidores, base de datos y servicios de la Plataforma.
Ubicacion: Servidores ubicados en centros de datos de OVH.
Cumplimiento: OVH opera bajo su propia Politica de Proteccion de Datos.

7. Transferencias internacionales de datos

Dado que autoasistente.com opera a nivel global y utiliza proveedores de servicios ubicados en diferentes jurisdicciones, tus datos personales pueden ser transferidos y procesados fuera de tu pais de residencia, incluyendo:

Estados Unidos: Stripe (procesamiento de pagos), proveedores de IA (procesamiento de lenguaje).
Canada: Servidores de aplicacion (OVH).
Union Europea / Internacional: Google (servicios de Workspace).

Para las transferencias a paises que no ofrecen un nivel de proteccion adecuado segun la legislacion aplicable, implementamos las siguientes garantias:

Clausulas contractuales tipo aprobadas por las autoridades competentes.
Evaluacion de la legislacion del pais de destino en materia de proteccion de datos.
Medidas tecnicas complementarias (cifrado en transito y en reposo).

Puedes solicitar informacion adicional sobre las garantias aplicadas a las transferencias internacionales escribiendonos a info@autoasistente.com.

8. Seguridad de los datos

Implementamos medidas tecnicas y organizativas apropiadas para proteger los datos personales contra accesos no autorizados, alteracion, divulgacion o destruccion. Estas medidas incluyen:

Medidas tecnicas

Cifrado en transito: Todas las comunicaciones entre el navegador del usuario y nuestros servidores se realizan mediante HTTPS/TLS.
Hash de contrasenas: Las contrasenas se almacenan utilizando el algoritmo bcrypt con salt, lo que hace computacionalmente inviable obtener la contrasena original a partir del hash.
Autenticacion con tokens: Utilizamos JSON Web Tokens (JWT) con expiracion corta (15 minutos) para tokens de acceso y rotacion automatica de tokens de refresco (30 dias).
Autenticacion de dos factores (2FA): Los usuarios pueden habilitar autenticacion de dos factores mediante aplicaciones TOTP (Google Authenticator, Authy, etc.) para una capa adicional de seguridad.
Aislamiento multi-tenant: Los datos de cada negocio estan aislados a nivel de aplicacion y base de datos, garantizando que ningun negocio pueda acceder a los datos de otro.
Control de acceso basado en roles (RBAC): El sistema implementa permisos granulares por rol (propietario, administrador, miembro) y por seccion del panel.
Registro de sesiones: Cada sesion activa registra la direccion IP y el User-Agent del dispositivo, permitiendo al usuario revocar sesiones sospechosas.
Auditoria de eventos: Las acciones criticas se registran en un log de auditoria con trazabilidad completa.
Webhook idempotente: Los eventos de Stripe se procesan de forma idempotente para evitar duplicacion de operaciones.

Medidas organizativas

Acceso restringido a los servidores de produccion solo al personal autorizado.
Revision periodica de las politicas de seguridad y acceso.
Procedimiento de respuesta ante incidentes de seguridad.
Copias de seguridad periodicas de la base de datos.

Aunque implementamos medidas robustas de seguridad, ningun sistema es completamente inviolable. En caso de una brecha de seguridad que afecte tus datos personales, te notificaremos a la mayor brevedad posible y a las autoridades competentes conforme a la legislacion aplicable.

9. Retencion de datos

Conservamos los datos personales unicamente durante el tiempo necesario para cumplir con las finalidades para las que fueron recopilados, salvo que una obligacion legal exija un periodo de conservacion mayor.

Tipo de dato	Periodo de retencion
Datos de cuenta (registro)	Mientras la cuenta este activa + 12 meses tras su eliminacion
Datos de conversaciones	Mientras la suscripcion este activa + 90 dias tras cancelacion
Datos de facturacion	5 años desde la ultima transaccion (obligacion fiscal)
Logs de acceso y auditoria	12 meses desde su generacion
Tokens de refresco	30 dias desde su emision o hasta su revocacion
Tickets de soporte	24 meses desde su cierre
Datos de cookies	Segun la duracion de cada cookie (ver Seccion 13)

Al finalizar el periodo de retencion, los datos se eliminan de forma segura o se anonimizan de manera irreversible para su uso con fines estadisticos.

10. Derechos del usuario

De conformidad con la legislacion aplicable en materia de proteccion de datos, tienes los siguientes derechos respecto a tus datos personales:

Derecho de acceso: Solicitar una copia de los datos personales que tenemos sobre ti, incluyendo la informacion sobre como se procesan.
Derecho de rectificacion: Solicitar la correccion de datos personales inexactos o incompletos. Puedes actualizar gran parte de tus datos directamente desde el panel de administracion.
Derecho de supresion ("derecho al olvido"): Solicitar la eliminacion de tus datos personales cuando ya no sean necesarios para la finalidad para la que fueron recopilados, retires tu consentimiento o te opongas al tratamiento.
Derecho a la portabilidad: Recibir tus datos personales en un formato estructurado, de uso comun y lectura mecanica (por ejemplo, JSON o CSV), y transmitirlos a otro responsable del tratamiento.
Derecho de oposicion: Oponerte al tratamiento de tus datos personales basado en el interes legitimo, incluyendo la elaboracion de perfiles.
Derecho a la limitacion del tratamiento: Solicitar la restriccion temporal del tratamiento de tus datos en determinadas circunstancias.
Derecho a no ser objeto de decisiones automatizadas: No ser sometido a decisiones basadas unicamente en el tratamiento automatizado que produzcan efectos juridicos o significativos.
Derecho a retirar el consentimiento: Si el tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento.

Para ejercer cualquiera de estos derechos, puedes:

Enviar un correo electronico a info@autoasistente.com con el asunto "Ejercicio de derechos de privacidad".
Utilizar la opcion de eliminacion de datos disponible en nuestra pagina de eliminacion de datos.

Responderemos a tu solicitud en un plazo maximo de 30 dias naturales. En caso de solicitudes complejas o multiples, el plazo podra extenderse hasta 60 dias adicionales, previa notificacion.

Si consideras que el tratamiento de tus datos no es conforme a la normativa vigente, tienes derecho a presentar una reclamacion ante la autoridad de proteccion de datos competente de tu jurisdiccion.

11. Datos de menores

La Plataforma autoasistente.com no esta dirigida a menores de 18 años. No recopilamos intencionalmente datos personales de menores de edad.

Si eres padre, madre o tutor legal y tienes conocimiento de que un menor bajo tu responsabilidad ha proporcionado datos personales a traves de la Plataforma, te rogamos que nos contactes a info@autoasistente.com para que podamos tomar las medidas necesarias para eliminar dichos datos.

En relacion con los usuarios finales que interactuan con los asistentes virtuales desplegados en canales de mensajeria, los negocios clientes son responsables de cumplir con las normativas aplicables en materia de proteccion de datos de menores en sus respectivas jurisdicciones.

12. Cambios a esta politica

Nos reservamos el derecho de actualizar o modificar esta Politica de Privacidad en cualquier momento. Cuando realicemos cambios sustanciales:

Actualizaremos la fecha de "Ultima actualizacion" en la parte superior de esta pagina.
Publicaremos un aviso visible en la Plataforma o en el panel de administracion.
Para cambios que afecten significativamente el tratamiento de datos, enviaremos una notificacion por correo electronico a la direccion asociada a tu cuenta.

Te recomendamos revisar esta politica periodicamente. El uso continuado de la Plataforma despues de la publicacion de cambios constituye la aceptacion de los mismos.

Las versiones anteriores de esta politica estaran disponibles bajo solicitud.

13. Cookies y tecnologias similares

Utilizamos cookies y tecnologias similares para garantizar el funcionamiento correcto de la Plataforma y mejorar la experiencia del usuario.

13.1 Tipos de cookies que utilizamos

Tipo	Finalidad	Duracion
Esenciales / Tecnicas	Necesarias para el funcionamiento de la Plataforma: autenticacion (JWT), gestion de sesiones, preferencia de idioma, proteccion CSRF.	Sesion / hasta 30 dias
Funcionales	Recordar preferencias del usuario como el idioma seleccionado (ES/EN/PT), configuracion del panel y estado de elementos de la interfaz.	Hasta 12 meses
Analiticas	Recopilar informacion anonima sobre el uso de la Plataforma para mejorar la funcionalidad y el rendimiento.	Hasta 24 meses

13.2 Almacenamiento local (localStorage)

Ademas de cookies, utilizamos el almacenamiento local del navegador (localStorage) para:

Almacenar tokens de autenticacion (access token y refresh token).
Guardar preferencias de idioma y configuracion de la interfaz.
Mantener el estado de la sesion del usuario.

13.3 Como gestionar las cookies

Puedes controlar y gestionar las cookies a traves de:

Configuracion del navegador: La mayoria de los navegadores permiten bloquear o eliminar cookies desde su configuracion. Consulta la ayuda de tu navegador para instrucciones especificas.
Desactivacion selectiva: Puedes desactivar cookies no esenciales sin afectar el funcionamiento basico de la Plataforma.

Importante: Si desactivas las cookies esenciales o eliminas los datos de almacenamiento local, es posible que no puedas utilizar algunas funciones de la Plataforma, como el inicio de sesion automatico.

13.4 Cookies de terceros

Algunos servicios de terceros integrados en la Plataforma pueden establecer sus propias cookies:

Stripe: Cookies de seguridad y prevencion de fraude durante el procesamiento de pagos.
Google Fonts: Cookies funcionales para la carga optimizada de tipografias.
Font Awesome (cdnjs): Cookies de entrega de contenido para iconos.

14. Contacto y delegado de proteccion de datos

Si tienes preguntas, inquietudes o solicitudes relacionadas con esta Politica de Privacidad o con el tratamiento de tus datos personales, puedes contactarnos a traves de:

Correo electronico: info@autoasistente.com
Asunto sugerido: "Consulta de privacidad" o "Ejercicio de derechos de privacidad"
Empresa: Gomez Smart Group LLC
Sitio web: https://autoasistente.com

Para consultas especificas sobre proteccion de datos, nuestro equipo de privacidad atendera tu solicitud y se asegurara de que se tramite conforme a la normativa aplicable.

Nos comprometemos a responder a todas las consultas de privacidad dentro de un plazo de 30 dias naturales desde la recepcion de la solicitud.

Tabla de contenidos