Política de Privacidad — AtentoBot MiPyME

Business Name (Responsable): AtentoBot

App Name: AtentoBot MiPyME

Contacto de privacidad: soporteatentobot@gmail.com

Última actualización: 22 de febrero de 2025

1) Quiénes somos, alcance y definiciones

Esta Política describe cómo AtentoBot ("nosotros", "el Proveedor") trata datos personales en:

  • Sitio web atentobot.com: formularios de contacto, cotizador, páginas informativas y widget de chat (Paco) cuando esté habilitado.
  • Plataforma CloudBot: registro de cuenta, inicio de sesión, recuperación de contraseña, panel de control (dashboard), configuración del bot (comportamiento, perfil, escalamiento, calendario, plantillas, webchat, conexiones WhatsApp/Facebook/Instagram), historial de conversaciones y citas, analíticas, suscripciones y métodos de pago.
  • AtentoBot MiPyME / integración WhatsApp: conexión de número WhatsApp Business mediante Embedded Signup, recepción de mensajes por webhook y respuestas dentro de la ventana de 24 horas usando WhatsApp Cloud API. Por defecto no se inician ni reabren conversaciones; si el Cliente habilita plantillas ya aprobadas, el envío se limita a fines permitidos por WhatsApp.

En adelante nos referimos al sitio web, CloudBot y la integración WhatsApp de forma conjunta como "el Servicio" o "los Servicios".

Roles

Para datos de cuenta del Cliente (administración, configuración, facturación) somos Responsable/Controlador.

Para datos de mensajería de Usuarios Finales (personas que escriben al WhatsApp del Cliente) actuamos como Encargado/Procesador en nombre del Cliente (quien es el Controlador).

Aplicamos la LFPDPPP (México) y, cuando corresponda, RGPD/UK GDPR y CCPA/CPRA (California). En caso de conflicto, aplicaremos el estándar más protector.

2) Datos que tratamos

2.1 Datos de cuenta del Cliente (Controlador: AtentoBot)

  • Registro y autenticación CloudBot: usuario, correo electrónico, contraseña (almacenada de forma segura, no en texto plano), nombre o razón social de la empresa; datos de verificación de correo y, cuando se usa, recuperación de contraseña (token temporal, correo).
  • Sesión: identificadores de sesión (p. ej. client_id y token) almacenados en sessionStorage del navegador para el acceso al dashboard; no utilizamos cookies persistentes para la sesión de CloudBot.
  • Identificadores y contacto del Cliente (nombre comercial, email de acceso, teléfono para notificaciones/escalamiento).
  • Configuración del bot y perfil: nombre para mostrar, correo público, sitio web, categoría de negocio, descripción (about), dirección; prompt base e instrucciones del bot, temperatura, archivos de contexto (PDF/Word) que subas; datos de escalamiento (teléfono WhatsApp, correo para notificaciones, activación de handoff y notificaciones por correo); configuración de calendario (horarios, días laborables, duración de citas); plantillas de mensajes; personalización del webchat (colores, mensaje de bienvenida, slug); y estado de conexiones (WhatsApp, Facebook, Instagram).
  • Activos de WhatsApp Business: WABA_ID, phone_number_id, nombre para mostrar, estado de verificación, sitio web, categoría, foto de perfil.
  • Credenciales y permisos de Meta otorgados en Embedded Signup (tokens y scopes), metadatos de sesión y suscripción de webhooks.
  • Registros operativos/técnicos (fechas de alta/último uso, eventos de error, comprobantes de validación de activos, auditoría mínima).
  • Pagos y facturación: gestión de suscripciones y métodos de pago a través de Stripe; no almacenamos números completos de tarjetas (Stripe procesa los pagos). Podemos almacenar identificadores de método de pago, estado de suscripción e historial de facturación; razón social, RFC y domicilio fiscal cuando el Cliente los proporcione.

2.2 Datos de mensajería de Usuarios Finales (Controlador: el Cliente; AtentoBot como Encargado)

  • Contenido de mensajes entrantes entregados vía webhooks de WhatsApp (texto y, si existen, adjuntos que el Cliente decida gestionar).
  • Metadatos: números/IDs de WhatsApp, marcas de tiempo, IDs de conversación y mensajes, estado de entrega, referencias de hilo.
  • Contenido de las respuestas enviadas por el negocio y metadatos necesarios para mantener el hilo.
  • No realizamos scraping de contactos, enriquecimiento de terceros ni reidentificación.

2.3 Datos técnicos y cookies

  • Registros de servidor (p. ej., IP pública, user-agent, códigos de estado HTTP, marcas de tiempo en UTC), para seguridad y depuración.
  • Cookies estrictamente necesarias para sesión, seguridad (CSRF) y preferencia de idioma cuando se usen en el sitio.
  • Analítica opcional (solo si el Cliente la habilita): agregada/anonimizada, proporcional y sin perfiles publicitarios.
  • Instrumentación técnica (dashboard): en el panel de CloudBot podemos capturar errores técnicos del navegador (mensaje de error, archivo y línea de código, URL de la página) en memoria en el dispositivo, únicamente para mejorar la estabilidad del servicio. Esta información no se envía automáticamente a nuestros servidores; si en el futuro se habilitara un envío voluntario, se informaría y se minimizarían los datos personales.

2.4 Categorías especiales

No solicitamos ni buscamos categorías sensibles (salud, religión, etc.). Si los Usuarios Finales envían voluntariamente esa información en un mensaje, el Controlador es el Cliente; nosotros la tratamos solo para el fin técnico de entregar/procesar la conversación.

3) Finalidades del tratamiento

  • Sitio web: atender solicitudes de contacto y cotización, mostrar información y ofrecer el widget de chat cuando corresponda.
  • CloudBot: registro, inicio de sesión y recuperación de contraseña; proporcionar el panel de control y guardar la configuración del bot (comportamiento, perfil, escalamiento, calendario, plantillas, webchat, conexiones); gestionar suscripciones y pagos (vía Stripe); mostrar historial de conversaciones y citas, y analíticas.
  • Operar la integración WhatsApp: conectar WhatsApp mediante Embedded Signup, recibir webhooks y responder dentro de 24 h.
  • Validar/mostrar activos (WABA y número), configurar y mantener la suscripción de webhooks y el perfil de WhatsApp Business del Cliente (p. ej., "about", sitio web, foto).
  • Plantillas: por defecto no creamos ni editamos plantillas en la interfaz. Si el Cliente habilita el uso de plantillas aprobadas, el envío se realiza de forma controlada y conforme a políticas de WhatsApp.
  • Seguridad, prevención de abuso y fraude; continuidad de negocio y respaldo.
  • Soporte, facturación y cumplimiento legal (p. ej., atender requerimientos válidos de autoridades).
  • Mejora del servicio (métricas técnicas, estabilidad, detección de errores); sin publicidad conductual.

4) Bases jurídicas (cuando aplican)

  • Ejecución de contrato con el Cliente para proveer la App.
  • Interés legítimo en seguridad, estabilidad y mejora del servicio.
  • Consentimiento cuando la norma lo requiera (p. ej., analítica opcional o ciertos proveedores de IA).
  • Obligación legal para cumplir requerimientos válidos.

5) Conservación (retención)

  • Tokens/configuración: mientras la cuenta esté activa o hasta su revocación.
  • Contenido de mensajes: por defecto hasta 30 días para continuidad/soporte/auditoría; el Cliente puede solicitar períodos más cortos o anonimización.
  • Metadatos y logs: típicamente 90 días (algunos eventos de seguridad pueden requerir plazos mayores justificados).
  • Facturación: según normativa fiscal aplicable.

Llevamos registros razonables de eliminación y políticas de retención; los Clientes pueden solicitar exportación o borrado acorde con la ley.

6) Destinatarios, encargados y transferencias internacionales

Compartimos datos únicamente con encargados/subencargados necesarios, bajo contrato y con medidas equivalentes de protección (p. ej., SCC/cláusulas contractuales tipo, cifrado, evaluaciones de transferencia). Ejemplos típicos:

  • Meta Platforms (WhatsApp Cloud API / Facebook Graph API): entrega/recepción de mensajes, administración de activos (WABA/número), conexiones Facebook/Instagram y webhooks.
  • Stripe: procesamiento de pagos, suscripciones y métodos de pago; no almacenamos datos completos de tarjetas (Stripe cumple PCI-DSS).
  • Google (Apps Script u otros servicios que utilicemos como backend): procesamiento de datos de cuenta y configuración, autenticación y operación del servicio.
  • Infraestructura/hosting y CDN (proveedor cloud, almacenamiento, seguridad, balanceadores).
  • Túneles/edge (p. ej., Cloudflare, si aplica).
  • Proveedores de IA (opcionales y configurables por el Cliente) como Google Gemini y/o OpenAI, solo para redactar respuestas, con el mínimo contexto necesario; buscamos desactivar entrenamiento/retención cuando el proveedor lo permite y aplicamos minimización (el Cliente puede deshabilitar IA).
  • Correo/soporte (notificaciones, gestión de incidencias).

El archivo ai.txt y los contenidos públicos del sitio (p. ej. para motores de búsqueda o asistentes de IA) no recopilan datos personales; son información pública sobre nuestros servicios.

Las transferencias pueden involucrar EE. UU. u otros países. Aplicamos salvaguardas legales y técnicas adecuadas.

7) Seguridad

  • TLS en tránsito; cifrado de secretos/tokens en reposo con estándares de la industria.
  • Controles de acceso de mínimo privilegio, autenticación reforzada, rotación de secretos y registro de eventos relevantes.
  • Separación de entornos, gestión de parches, backups cifrados y pruebas de restauración.
  • Procedimiento de respuesta a incidentes y notificación conforme a la ley aplicable.
  • Minimización y "necesidad de saber" en el personal con acceso.

8) Derechos de los titulares y solicitudes

  • México (ARCO): Acceso, Rectificación, Cancelación y Oposición.
  • UE/RU (RGPD/UK GDPR): acceso, rectificación, supresión, limitación, portabilidad, oposición; y derechos frente a decisiones automatizadas con efectos jurídicos relevantes (no aplican en nuestra App).
  • California (CCPA/CPRA): acceso, eliminación, corrección y limitación de uso; no vendemos ni "compartimos" datos para publicidad conductual cruzada.

Usuarios Finales: normalmente deben dirigir su solicitud al Cliente (Controlador). También pueden escribirnos a soporteatentobot@gmail.com y coordinaremos con el Cliente.

Clientes: pueden ejercer sus derechos y solicitar ajustes de retención, exportación o eliminación.

9) Menores de edad

La App no está dirigida a menores de 13 años ni a menores de 18 sin base legal y supervisión del Cliente. Los Clientes no deben usar la App para recopilar datos de menores sin fundamento legal.

10) Automatización y perfiles

Podemos asistir al Cliente creando borradores de respuestas a mensajes entrantes; el Cliente puede revisar, editar, desactivar o escalar a humano. No realizamos perfiles publicitarios ni decisiones automatizadas con efectos jurídicos relevantes sobre los titulares.

11) Relación con WhatsApp/Meta y uso de plantillas

AtentoBot MiPyME usa WhatsApp Cloud API y Facebook Graph API.

Por defecto, no iniciamos ni reabrimos conversaciones; respondemos dentro de 24 h.

La App no crea ni edita plantillas en su interfaz. Si el Cliente habilita plantillas aprobadas, su uso se limita a fines permitidos por WhatsApp y a la configuración y responsabilidad del Cliente.

12) Conservación de evidencias y auditoría

Mantenemos evidencias técnicas razonables (p. ej., logs de suscripción de webhooks, comprobaciones de activos, marcas de tiempo) para asegurar trazabilidad, soporte y cumplimiento. Estos registros siguen los plazos de retención indicados.

13) Integraciones opcionales del Cliente

El Cliente puede conectar herramientas de terceros (p. ej., correo, almacenamiento, automatizaciones, hojas de cálculo, notificaciones). En tales casos, el tratamiento por esos terceros se rige por sus propias políticas; recomendamos revisar y firmar los acuerdos de tratamiento correspondientes.

14) Solicitudes de autoridades y emergencias

Atenderemos solamente requerimientos válidos y proporcionados conforme a derecho. En casos de riesgo inminente para la vida o integridad física, podemos actuar de forma diligente y proporcional, documentando la base legal y notificando al Cliente cuando sea permitido.

15) Transferencias, "venta" y "compartición" (CCPA/CPRA)

No vendemos datos personales ni los "compartimos" con fines de publicidad conductual cruzada. Si en el futuro existiera un cambio, lo comunicaremos y daremos mecanismos de opt-out conforme a la ley.

16) Conservación geográfica y ubicación de datos

Los datos pueden alojarse y respaldarse en infraestructuras ubicadas dentro y fuera de su país de residencia (p. ej., EE. UU.). Implementamos salvaguardas técnicas/contractuales para mantener un nivel equivalente de protección.

17) Cambios a esta Política

Publicaremos cambios en esta página con la fecha de "Última actualización". Si el cambio es sustancial, avisaremos a los Clientes por medios razonables (p. ej., email o aviso en el panel).

18) Contacto

AtentoBot
Correo: soporteatentobot@gmail.com

Privacy Policy — AtentoBot MiPyME (English Reference)

Business Name (Controller): AtentoBot

App Name: AtentoBot MiPyME

Privacy contact: soporteatentobot@gmail.com

Last updated: February 22, 2025

AtentoBot ("we", "the Provider") operates AtentoBot MiPyME ("the App"). The App lets business Clients connect their WhatsApp Business number via Embedded Signup, receive inbound webhooks, and reply within the 24-hour service window using WhatsApp Cloud API. By default, the App does not initiate or reopen conversations and does not create/edit templates in its UI. If a Client enables use of approved templates, usage remains limited and compliant with WhatsApp policies.

Roles: For Client account/admin data we are the Controller. For End-User message data we act as a Processor on behalf of the Client (Controller).

We comply with Mexican LFPDPPP and, where applicable, EU/UK GDPR and CCPA/CPRA. Where frameworks conflict, we apply the most protective standard.

For detailed information about data processing, purposes, retention, security, rights, and contact, please refer to the Spanish version above or contact us at soporteatentobot@gmail.com.