Términos de ServicioPolítica de PrivacidadEliminación de Datos

Política de Privacidad

MAROUANE EL HAMDI MASKOURI (en adelante, “ChatKit”, “nosotros” o “nuestro”) con domicilio social en España, opera la plataforma ChatKit accesible en chatkit.es. Esta Política de Privacidad describe cómo recopilamos, usamos, almacenamos y protegemos tu información personal de conformidad con el Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y las políticas de la Plataforma de Meta.

1.Responsable del Tratamiento

El responsable del tratamiento de tus datos personales es:

  • Entidad: MAROUANE EL HAMDI MASKOURI
  • Email de contacto: hola@chatkit.es
  • Sitio web: chatkit.es

2.Información que Recopilamos

2.1 Información de Cuenta

Nombre, dirección de correo electrónico, contraseña (almacenada con hash seguro, nunca en texto plano), nombre de la empresa, industria y zona horaria.

2.2 Datos de WhatsApp Business API

Cuando conectas tu cuenta de WhatsApp Business a través de Meta Embedded Signup, recopilamos y almacenamos de forma segura:

  • WhatsApp Business Account ID (WABA ID): Identificador único de tu cuenta de WhatsApp Business asignado por Meta.
  • Phone Number ID: Identificador del número de teléfono registrado en la WhatsApp Business API.
  • Access Token: Token de autenticación proporcionado por Meta. Se almacena encriptado con AES-256 y nunca se expone en texto plano.
  • Contenido de mensajes: Mensajes enviados y recibidos a través de tu número de WhatsApp Business conectado. ChatKit actúa como Encargado del Tratamiento por cuenta de tu negocio y procesa este contenido únicamente para prestarte el servicio: mostrar las conversaciones en tu CRM, proporcionar contexto al agente de IA que configures y permitir el traspaso a tu equipo humano. Los mensajes se almacenan cifrados en reposo en infraestructura europea (Supabase, UE) con control de acceso por Row-Level Security.
  • Plantillas de mensajes: Plantillas creadas y su estado de aprobación por Meta.

Importante: ChatKit NO recopila ni almacena números de tarjetas de pago, números de cuentas bancarias ni documentos de identidad gubernamentales a través de WhatsApp, en cumplimiento con la Política de Mensajería de WhatsApp Business.

Uso limitado del contenido de WhatsApp. El contenido de los mensajes y los metadatos obtenidos a través de la WhatsApp Business Platform no se utilizan con fines publicitarios, no se venden ni se ceden a terceros con fines comerciales, no se emplean para entrenar modelos de inteligencia artificial propios ni de terceros, y no se comparten con ninguna otra entidad salvo (i) los subencargados estrictamente necesarios para prestar el servicio (p. ej. alojamiento, correo transaccional, proveedores de IA invocados en tiempo real para responder en tu nombre), (ii) cuando tú lo autorices expresamente o (iii) cuando exista una obligación legal. Todo tratamiento se realiza conforme a las WhatsApp Business Solution Terms y a las Meta Platform Terms de Meta Platforms Ireland Ltd.

2.3 Datos de Contactos/Clientes

Nombres, números de teléfono y datos proporcionados por los contactos que interactúan con tu WhatsApp Business. Historial de conversaciones, estado en el pipeline de ventas, citas agendadas y notas.

2.4 Datos de Uso

Páginas visitadas, funciones utilizadas, dirección IP, tipo de navegador, dispositivo, cookies técnicas y de sesión.

3.Finalidad y Base Legal del Tratamiento

Usamos la información recopilada para las siguientes finalidades:

  • Prestación del servicio (base legal: ejecución del contrato) — Proporcionar y mantener el servicio de CRM para WhatsApp, enviar y recibir mensajes en tu nombre a través de la WhatsApp Cloud API de Meta, gestionar plantillas de mensajes y su aprobación con Meta, y permitir la conexión de tu cuenta de WhatsApp Business mediante Meta Embedded Signup.
  • Comunicaciones del servicio (base legal: interés legítimo) — Enviar notificaciones técnicas, actualizaciones de seguridad y comunicaciones operativas relacionadas con tu cuenta.
  • Mejora del servicio (base legal: interés legítimo) — Analizar patrones de uso anonimizados para mejorar y optimizar la plataforma.
  • Cumplimiento legal (base legal: obligación legal) — Cumplir con obligaciones fiscales, contables y regulatorias aplicables.

4.Consentimiento para Mensajería de WhatsApp

Como usuario de ChatKit, eres responsable de obtener el consentimiento previo (opt-in) de tus contactos antes de enviarles mensajes a través de WhatsApp, conforme a la Política de Mensajería de WhatsApp Business. ChatKit proporciona las herramientas para gestionar la mensajería, pero la responsabilidad de obtener y documentar el consentimiento de los destinatarios recae en ti como controlador de datos de tus contactos.

Los usuarios finales que reciben mensajes pueden optar por no recibir más comunicaciones en cualquier momento respondiendo al mensaje o solicitándolo a tu empresa. Debes respetar estas solicitudes de manera inmediata.

5.Integración con Meta / WhatsApp Business API

ChatKit utiliza la WhatsApp Cloud API oficial de Meta para la prestación del servicio. Cumplimos con las Políticas de la Plataforma de Meta, los Términos del Servicio de WhatsApp Business y la Política de Mensajería de WhatsApp Business. Los mensajes están sujetos a la regla de ventana de 24 horas de Meta.

5.1 Datos compartidos con Meta

Cuando envías mensajes a través de ChatKit, se transmite a Meta a través de su API: contenido del mensaje, número de teléfono del destinatario, archivos adjuntos e identificador de plantilla (para mensajes con plantilla). Esta transmisión es necesaria para la prestación del servicio y se realiza exclusivamente a través de la API oficial de Meta.

6.Separación y Aislamiento de Datos

ChatKit opera como una plataforma multi-tenant. Esto significa que:

  • Los datos de cada cliente (empresa) están completamente aislados de los datos de otros clientes mediante Row Level Security (RLS) a nivel de base de datos.
  • Ningún cliente puede acceder, ver o modificar datos de otro cliente.
  • Compartimos los datos de un cliente únicamente con: (a) el propio cliente, (b) cuando sea requerido por ley, (c) bajo instrucción explícita del cliente, o (d) con proveedores de servicios (subencargados) necesarios para la prestación del servicio (Supabase para base de datos, Meta para la API de WhatsApp, OpenRouter para funcionalidades de IA, y Stripe para el procesamiento de pagos de la suscripción a ChatKit).

6.1 Procesamiento de pagos (Stripe)

El cobro de la suscripción a ChatKit lo gestiona Stripe Payments Europe, Ltd. (Irlanda), que puede transferir datos a Stripe, Inc. (EE. UU.) amparada en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea y el EU-US Data Privacy Framework.

  • Datos tratados por Stripe: email, nombre, país, identificador fiscal (si lo facilitas), los últimos 4 dígitos de la tarjeta e historial de facturación.
  • ChatKit nunca almacena el número completo de la tarjeta ni el CVV. En nuestra base de datos solo guardamos identificadores de Stripe (stripe_customer_id y stripe_subscription_id).
  • Base legal: ejecución del contrato (art. 6.1.b RGPD).
  • Conservación: mientras la suscripción esté activa y, después, durante los plazos legales de facturación (mínimo 4 años conforme a la normativa tributaria española).

Puedes consultar el Acuerdo de Tratamiento de Datos de Stripe en stripe.com/legal/dpa.

7.Seguridad de los Datos

Implementamos medidas técnicas y organizativas para proteger tus datos:

  • Encriptación AES-256 para tokens de acceso de WhatsApp.
  • Validación HMAC-SHA256 para verificar la autenticidad de los webhooks de Meta.
  • HTTPS/TLS en todas las comunicaciones entre el navegador y nuestros servidores.
  • Row Level Security (RLS) en la base de datos para aislamiento entre clientes.
  • Infraestructura en la UE — Base de datos en Irlanda (eu-west-1), servidor de aplicaciones en Dublín (dub1).
  • Acceso restringido por roles y autenticación segura con hash de contraseñas.

8.Retención y Eliminación de Datos

Los datos de cuenta se conservan mientras mantengas una cuenta activa. Los tokens de WhatsApp se eliminan inmediatamente al desconectar tu cuenta. Tras la eliminación de tu cuenta, todos los datos personales se eliminan en un plazo máximo de 30 días, excepto los datos que debamos conservar por obligaciones legales.

Para solicitar la eliminación de tus datos, puedes:

  • Visitar nuestra página de Eliminación de Datos
  • Enviar un email a hola@chatkit.es
  • Desautorizar ChatKit desde tu configuración de Facebook/Meta (la solicitud se procesa automáticamente)

9.Tus Derechos (RGPD)

De acuerdo con el RGPD y la LOPDGDD, tienes derecho a:

Acceso

Solicitar una copia de tus datos personales.

Rectificación

Corregir datos inexactos o incompletos.

Supresión

Solicitar la eliminación de tus datos ("derecho al olvido").

Portabilidad

Recibir tus datos en un formato estructurado y de uso común.

Oposición

Oponerte al tratamiento de tus datos en determinadas circunstancias.

Limitación

Solicitar la restricción del tratamiento de tus datos.

Para ejercer cualquiera de estos derechos, contacta con nosotros en hola@chatkit.es. Responderemos en un plazo máximo de 30 días. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

10.Cookies

Usamos únicamente cookies técnicas y de sesión estrictamente necesarias para el funcionamiento del servicio (autenticación de usuario). No usamos cookies de seguimiento, analíticas ni de publicidad de terceros.

11.Transferencias Internacionales de Datos

Los datos se almacenan en servidores de Supabase (AWS) en la región de la UE (Irlanda, eu-west-1). El servidor de aplicaciones está en Dublín (dub1) a través de Vercel. La API de WhatsApp es operada por Meta Platforms, Inc. (EE.UU.), y las transferencias de datos necesarias para el funcionamiento de la API se realizan bajo las cláusulas contractuales tipo aprobadas por la Comisión Europea y las políticas de transferencia de datos de Meta.

12.Menores

El Servicio no está dirigido a menores de 18 años. No recopilamos intencionalmente datos de menores. Si tienes conocimiento de que un menor ha proporcionado datos personales, contáctanos para proceder a su eliminación.

13.Cambios a esta Política

Nos reservamos el derecho de modificar esta Política de Privacidad. Notificaremos cualquier cambio material por email y/o mediante un aviso en la plataforma con al menos 30 días de anticipación. El uso continuado del servicio tras la notificación constituye aceptación de los cambios.

14.Contacto

Para cualquier consulta sobre privacidad o protección de datos: