Política de privacidad

Venderetta es una plataforma multitenant que permite a pequeños negocios operar bots de ventas y soporte impulsados por inteligencia artificial sobre WhatsApp, Telegram e Instagram, usando su propio catálogo de productos como contexto.

Nos importa tu privacidad y la de las personas que conversan con tus bots. Esta política te explica en lenguaje claro qué información tratamos y por qué. Si tienes dudas, escríbenos a la dirección incluida al final del documento.

Venderetta actúa como responsable del tratamiento de los datos de las cuentas de sus usuarios (las personas que crean y administran un workspace) y como encargado del tratamiento para los datos que tus bots intercambian con tus clientes finales en tu nombre.

Cuando integras WhatsApp, Telegram o Instagram, sigues siendo el responsable frente a tus clientes finales: Venderetta procesa esos mensajes únicamente con el propósito de hacer funcionar el bot que tú configuraste.

Datos de cuenta: correo electrónico, nombre mostrado y proveedor de autenticación (por ejemplo Google) cuando creas tu cuenta. También guardamos el nombre del workspace, el idioma preferido y las preferencias de la interfaz.

Catálogos e ingestiones: los archivos CSV, Excel, PDF y DOCX que subes para alimentar la base de conocimiento de tus bots. Estos archivos se procesan para extraer productos, descripciones e imágenes, y se almacenan junto con sus vectores de embedding asociados.

Mensajes y conversaciones: el texto de los mensajes que recibe y envía cada bot, junto con un identificador del cliente final propio del canal (número de teléfono de WhatsApp, chat ID de Telegram, IGSID de Instagram), idioma detectado y marcas temporales.

Credenciales de canales: tokens de acceso de WhatsApp Cloud API, Telegram Bot API e Instagram (Pages o Instagram Login). Se cifran en reposo usando Cloud KMS antes de almacenarse en una colección separada del resto de los datos.

Datos técnicos: registros estructurados de Cloud Logging con identificadores de petición, IDs de tenant, métricas de rendimiento y métricas anónimas de uso del panel a través de Vercel Analytics. La carga de Vercel Analytics está condicionada a tu consentimiento desde el banner de cookies; si lo rechazas, no se inicializa.

Cookies: usamos cookies estrictamente necesarias para la sesión de autenticación, la preferencia de idioma (NEXT_LOCALE), el estado de la barra lateral del panel, y una cookie propia (venderetta-cookie-consent) para recordar tu elección sobre el banner de cookies.

Operar el servicio: enrutar mensajes entrantes al tenant correcto, generar respuestas con IA, enviar respuestas salientes por el canal original y mostrar el historial de conversaciones en el panel.

Mejorar las respuestas: indexar tu catálogo en vectores y recuperar fragmentos relevantes para cada consulta entrante (Retrieval-Augmented Generation). Esto se hace exclusivamente dentro del ámbito de tu tenant; nunca cruzamos datos entre workspaces.

Seguridad y depuración: detectar usos anómalos, prevenir abuso y diagnosticar errores. Los logs incluyen IDs internos pero evitan deliberadamente registrar el contenido completo de los mensajes salvo cuando es estrictamente necesario para depurar un incidente reproducible.

Las respuestas de los bots se generan con modelos Gemini de Google a través de Vertex AI. Cuando llega un mensaje, lo enviamos al modelo junto con los fragmentos de tu catálogo recuperados por relevancia y con instrucciones que limitan la respuesta a tu contexto. El proveedor de IA no usa estos datos para entrenar modelos generales según el contrato de procesamiento de datos de Google Cloud.

Los embeddings de tu catálogo se calculan con el modelo gemini-embedding-001 y se almacenan en Firestore como parte de tu tenant. Si eliminas un documento del catálogo, sus embeddings asociados también se borran.

Google Cloud y Firebase: proveedores de infraestructura (autenticación, base de datos, almacenamiento, ejecución de la API y modelos de IA). Sujetos al Adendum de Tratamiento de Datos de Google Cloud.

Meta Platforms: cuando conectas WhatsApp o Instagram, los mensajes entrantes y salientes pasan por las APIs de Meta (WhatsApp Cloud API e Instagram Graph API). Meta procesa esos datos según su propia política de privacidad.

Telegram: cuando conectas un bot de Telegram, los mensajes pasan por la Bot API de Telegram. Telegram procesa esos datos según su propia política de privacidad.

Vercel: utilizamos Vercel Analytics para métricas agregadas de uso del panel, sin cookies ni huellas dactilares persistentes.

Conservamos los datos de tu cuenta y de tu workspace mientras la cuenta esté activa. Las conversaciones y catálogos se conservan indefinidamente para que puedas consultarlos, salvo que los elimines manualmente desde el panel.

Cuando eliminas tu cuenta, borramos los datos asociados a tu workspace dentro de los 30 días siguientes, salvo aquello que estemos obligados a conservar por razones legales (por ejemplo, registros fiscales o de seguridad).

Tienes derecho a acceder a los datos que tengamos sobre ti, rectificarlos si son inexactos, solicitar su eliminación, oponerte a determinados tratamientos y solicitar la portabilidad de tu información en un formato estructurado.

Puedes ejercer la mayoría de estos derechos directamente desde el panel: editar tu perfil, exportar o borrar catálogos, desconectar bots y eliminar tu cuenta. Para cualquier otra solicitud, escríbenos a la dirección incluida en la sección de contacto.

Si crees que tratamos tus datos de forma incorrecta, también puedes presentar una reclamación ante la autoridad de protección de datos de tu país.

Aplicamos defensa en profundidad: aislamiento por tenant en cada consulta a la base de datos, cifrado en reposo de tokens de canales con Cloud KMS, verificación HMAC de cada webhook entrante de Meta y Telegram, y reglas de Firestore que niegan por defecto el acceso del cliente a colecciones sensibles.

Ninguna medida de seguridad es infalible. Si detectas una vulnerabilidad, reporta el hallazgo de forma responsable a la dirección de contacto y te responderemos lo antes posible.

Venderetta opera principalmente sobre infraestructura de Google Cloud en regiones de Estados Unidos. Si te encuentras fuera de Estados Unidos, ten en cuenta que tus datos pueden tratarse allí. Trabajamos con proveedores que ofrecen garantías adecuadas (cláusulas contractuales estándar de la UE u otros mecanismos equivalentes según el caso).

Venderetta no está dirigida a menores de 16 años. No recopilamos a sabiendas datos de menores. Si crees que un menor nos ha facilitado información, escríbenos y la eliminaremos.

Podemos actualizar esta política conforme evolucionen el servicio, los proveedores que utilizamos o el marco legal aplicable. Cuando hagamos cambios materiales, actualizaremos la fecha que aparece arriba y, cuando proceda, te avisaremos por correo electrónico o desde el panel.

Para cualquier consulta relacionada con esta política o con tus datos personales, escríbenos a privacy@venderetta.com. Atenderemos tu solicitud dentro de un plazo razonable y como máximo en 30 días.