Saltar al contenido

Política de Privacidad

Versión: 1.5 Última revisión: 2026-06-10 Vigente desde: 2026-06-10

La versión en inglés es la versión legalmente vinculante y de carácter auténtico de la presente Política de Privacidad. Cualquier traducción se proporciona únicamente a título informativo. En caso de conflicto, discrepancia o inconsistencia, prevalecerá estrictamente esta versión en inglés en todos los supuestos.

Política de Privacidad de CeroVueltas

Sitio web: CeroVueltas.com

Prestador del Servicio: SUITE IMPERIAL LLC, titular y operadora de la marca y plataforma CeroVueltas.

La presente Política de Privacidad explica la forma en que SUITE IMPERIAL LLC, que opera bajo la denominación comercial CeroVueltas (“CeroVueltas”, “nosotros”, “nos” o “nuestro/a”), recopila, utiliza, divulga, conserva y protege la información en relación con CeroVueltas.com, el panel de control de CeroVueltas, las integraciones con la WhatsApp Business Platform, Facebook Login, la automatización de mensajes entrantes, el enrutamiento asistido por IA, la generación de respuestas basada en RAG, el soporte, la facturación, la seguridad y los servicios conexos (en conjunto, los “Servicios”).

CeroVueltas es una plataforma SaaS empresarial estrictamente de Empresa a Empresa (B2B). La presente Política de Privacidad se encuentra subordinada a nuestros Términos del Servicio y, cuando resulte aplicable, a nuestro Anexo de Tratamiento de Datos (“DPA”), de conformidad con el Orden de Prelación establecido en la Sección 1 de los Términos del Servicio.

CeroVueltas trata la información personal en dos calidades jurídicas diferenciadas:

Calidad Datos de quién Qué significa esto
Responsable / Empresa Clientes: las empresas y organizaciones que se registran y utilizan los Servicios (incluido su personal autorizado). Determinamos cómo y por qué se tratan estos datos. La presente Política de Privacidad aplica en su totalidad.
Encargado / Prestador del Servicio Usuarios Finales: las personas físicas que se comunican con nuestros Clientes a través de WhatsApp o de los widgets del sitio web conectados a los Servicios. Tratamos estos datos exclusivamente por cuenta del Cliente, y siguiendo sus instrucciones, quien actúa como Responsable. Véanse la Sección 4 y la Sección 11.2.

Si usted es un Usuario Final (conversó con una empresa a través de WhatsApp o de un widget de sitio web operado mediante CeroVueltas): la empresa con la que usted se comunicó (y no CeroVueltas) es el Responsable de sus datos personales. Le rogamos dirigir cualquier solicitud de privacidad o de supresión de datos directamente a dicha empresa.

CeroVueltas recopila únicamente la información razonablemente necesaria para prestar, asegurar y dar soporte a los Servicios.

  • Datos de la Cuenta: Dirección de correo electrónico corporativa (almacenada cifrada), denominación de la empresa, identificadores de cuenta y los proveedores de autenticación que usted utilice (Google, Facebook o correo electrónico). La autenticación se gestiona a través de Google Firebase, y en ningún momento almacenamos contraseñas en texto plano en nuestros servidores.
  • Datos de Facturación: Los pagos son procesados íntegramente por Stripe, Inc. Únicamente almacenamos su identificador de cliente de Stripe, los identificadores de transacción (para acreditar los saldos de su cuenta) y el nivel de su plan. En ningún momento recopilamos, almacenamos ni tenemos acceso a los números completos de tarjetas de pago.
  • Datos de Conexión con WhatsApp / Meta: El WABA ID de su WhatsApp Business Account, el Phone ID, el número público de WhatsApp Business, el Meta User ID y el token de acceso de Meta requerido para enrutar los mensajes. Los tokens de acceso se almacenan cifrados mediante AES-256-GCM.
  • Datos de la Base de Conocimiento: Texto extraído de documentos (p. ej., PDF, TXT) y las reglas de negocio que usted cargue para aprovisionar el sistema RAG (Generación Aumentada por Recuperación). Este contenido se vectoriza y se almacena cifrado en reposo.
  • Datos del Sitio Web y de los Visitantes: Datos técnicos limitados, descritos en la Sección 16 (Cookies y Rastreo).

Hemos diseñado los Servicios para recopilar y conservar la menor cantidad de información personal que resulte técnicamente factible:

  • Las direcciones IP nunca se almacenan en texto plano. Las IP de visitantes y de Clientes se procesan mediante un hash HMAC SHA-256 con clave y una sal rotativa diaria, lo que las vuelve matemáticamente anónimas al final de cada día.
  • Redacción automática de registros. Antes de que cualquier error o evento se escriba en nuestros registros de auditoría de seguridad, sistemas automatizados detectan y sustituyen las direcciones de correo electrónico, los números de teléfono y los tokens de autenticación por marcadores de redacción (p. ej., [EMAIL], [PHONE], [REDACTED]).
  • Indexación ciega. Los números de teléfono de los Usuarios Finales se almacenan cifrados y se consultan a nivel de base de datos únicamente mediante un índice ciego HMAC SHA-256 con clave, nunca en texto plano.
  • Sin almacenamiento de archivos multimedia. No descargamos ni almacenamos imágenes, audios, videos ni archivos adjuntos enviados por los Usuarios Finales a través de WhatsApp. Únicamente se procesa texto plano.
  • Truncamiento de mensajes. El contenido de los mensajes se trunca estrictamente a 4.096 caracteres para prevenir abusos y se almacena con cifrado AES-256-GCM.

Cuando los Usuarios Finales se comunican con un Cliente a través de los Servicios, tratamos los siguientes datos estrictamente por cuenta del Cliente, conforme a lo regulado por el DPA:

Datos Tratamiento
Número de teléfono de WhatsApp Cifrado en reposo; seudonimizado mediante indexación ciega (Sección 4).
Nombre de perfil público de WhatsApp Capturado únicamente si Meta lo transmite intencionalmente.
Contenido de los mensajes (solo texto) Truncado a 4.096 caracteres; cifrado en reposo (AES-256-GCM).
Archivos multimedia adjuntos (imágenes, audio, video, documentos) No se descargan, no se almacenan, no se tratan.

El Cliente determina las finalidades de este tratamiento. CeroVueltas utiliza los datos de los Usuarios Finales exclusivamente para prestar los Servicios (enrutamiento de mensajes, generación de respuestas mediante IA y visualización en el panel de control del Cliente) y nunca para fines propios.

Utilizamos la información personal de los Clientes para:

  1. Crear, autenticar y administrar cuentas;
  2. Prestar, operar, asegurar y resolver incidencias de los Servicios, incluida la automatización de respuestas mediante IA;
  3. Procesar pagos, acreditar saldos y gestionar suscripciones;
  4. Enviar comunicaciones transaccionales esenciales;
  5. Detectar, prevenir y responder ante fraudes, abusos e incidentes de seguridad;
  6. Cumplir con obligaciones legales, fiscales y contables; y
  7. Generar métricas operativas anonimizadas de forma irreversible y agregadas para la planificación de capacidad y la optimización de la plataforma. Estos datos estadísticos no contienen Datos del Cliente, contenido de la Base de Conocimiento ni contenido de los mensajes de los Usuarios Finales.

Cuando resulten aplicables el GDPR o normas análogas, nuestras bases jurídicas son: la ejecución de un contrato (puntos 1 a 4), el interés legítimo (puntos 5 y 7) y el cumplimiento de obligaciones legales (punto 6).

Los Servicios utilizan la Generación Aumentada por Recuperación (RAG) y Modelos de Lenguaje de Gran Escala (LLM) de terceros, a los que se accede mediante pasarelas de API de IA con enrutamiento dinámico, según se describe en nuestra Lista de Subencargados.

  • No utilizamos sus datos para entrenar modelos de IA. En consonancia con la Sección 10.2 de los Términos del Servicio, CeroVueltas nunca utiliza los Datos del Cliente, el contenido de la Base de Conocimiento ni los mensajes de los Usuarios Finales para entrenar ningún modelo de IA o de aprendizaje automático.
  • Seleccionamos únicamente a proveedores de IA cuyas políticas publicadas prohíben utilizar los datos de la API para entrenar sus modelos fundacionales de propósito general.
  • Determinados proveedores de IA podrán conservar temporalmente los registros de la API estrictamente con fines de seguridad, supervisión de abusos y confianza y seguridad (trust-and-safety), de conformidad con sus respectivas políticas de privacidad.

No vendemos información personal. No alquilamos ni monetizamos datos personales. Divulgamos información personal únicamente en las siguientes circunstancias:

  1. A subencargados: Entidades que prestan servicios de infraestructura, pagos, autenticación, mensajería e inferencia de IA, estrictamente en la medida necesaria para prestar los Servicios. La lista vigente se mantiene en nuestra Lista de Subencargados.
  2. A Socios Publicitarios: Con sujeción a su consentimiento otorgado a través de nuestro banner de cookies, podremos "compartir" datos limitados de navegación del sitio web con plataformas publicitarias (p. ej., Meta, TikTok, Google) para medir conversiones publicitarias. Nunca compartimos datos de WhatsApp de los Usuarios Finales ni contenido de la Base de Conocimiento del Cliente con fines publicitarios.
  3. A Meta Platforms, Inc. (Enrutamiento de WhatsApp): Por resultar inherentemente necesario para enrutar los mensajes de WhatsApp. Meta trata estos datos conforme a sus propios términos y políticas de privacidad.
  4. Por motivos legales: Cuando lo exija la ley, una citación judicial o un requerimiento gubernamental válido, o para proteger los derechos, la seguridad y la integridad de CeroVueltas, de nuestros Clientes o del público.
  5. En una transmisión empresarial: En relación con una fusión, adquisición o venta de activos, con sujeción a los compromisos de la presente Política de Privacidad.
Dato Retención
Datos de la cuenta del Cliente Durante la vigencia de la cuenta, más eliminación dentro de los 30 días posteriores a la rescisión o solicitud verificada.
Mensajes e identificadores de Usuarios Finales Durante la vigencia de la relación con el Cliente, sujeto a las instrucciones de eliminación del Cliente, callbacks automatizados de Meta, o los plazos estándar de cumplimiento normativo.
Registros financieros, de facturación y de saldo-crédito Hasta 7 años (cumplimiento fiscal y de auditoría en EE. UU.).
Copias de seguridad de infraestructura Sobreescritas o purgadas dentro de los 90 días.
Datos de IP hasheados Anonimizados matemáticamente de forma diaria (sal rotativa utilizada exclusivamente para limitación de velocidad de solicitudes).

Solicitudes de Eliminación Manual: Los Clientes podrán solicitar la eliminación completa de su espacio de trabajo, Base de Conocimiento y datos asociados de Usuarios Finales mediante la presentación de una solicitud por escrito dirigida a privacidad@cerovueltas.com. Procesaremos y ejecutaremos dichas eliminaciones dentro de los treinta (30) días siguientes a la verificación de la identidad del solicitante.

Callbacks Automatizados de Meta (Eliminación de Datos): En caso de que Meta transmita una solicitud automatizada de eliminación de datos a través de webhooks (p. ej., porque un usuario haya solicitado directamente a Meta la eliminación de sus datos a través de Facebook/WhatsApp), nuestros sistemas procesarán y completarán dicha solicitud dentro de un plazo máximo de hasta treinta (30) días, alineándose estrictamente con los plazos máximos de cumplimiento permitidos por Meta. A fin de preservar la coherencia irrevocable de los análisis estadísticos y del registro contable del sistema, los identificadores específicos proporcionados por Meta y el contenido de los mensajes asociados serán destruidos criptográficamente y sobreescritos con el marcador de seguimiento de base de datos específico [PURGEDBYPRIVACY_REQUEST].

Tokens de Prevención de Fraude e Integridad de Afiliados: A fin de preservar la integridad de nuestra infraestructura de referidos y bonificaciones de bienvenida, prevenir el abuso financiero a escala industrial y mitigar los ataques Sybil, ciertos identificadores únicos proporcionados por Meta (tales como los IDs de Cuenta de WhatsApp Business y los IDs de Número de Teléfono) son procesados mediante un hash criptográfico irreversible de un solo sentido (SHA-256) en el momento del alta en la plataforma. Estos tokens de detección de fraude generados criptográficamente no contienen ningún dato personal bruto del usuario final (Información de Identificación Personal) y no pueden ser objeto de ingeniería inversa para identificar a una persona física. A efectos de mantener defensas de deduplicación precisas, estas huellas digitales criptográficas estáticas se conservan de forma indefinida en estado de solo adición dentro de nuestras estructuras internas de seguridad, y quedan expresamente excluidas de los flujos de trabajo de eliminación estándar o manual bajo el marco jurídico del Interés Legítimo (Prevención del Fraude e Integridad de la Seguridad).

La desconexión de la aplicación CeroVueltas de su Meta Business Manager o la revocación de los permisos de WhatsApp únicamente elimina nuestro acceso a sus tokens de Meta (WABA ID, Phone ID). Ello no implica automáticamente la eliminación de su cuenta de Cliente, de su Base de Conocimiento propietaria, de sus registros de facturación ni de sus paneles de control históricos. La eliminación completa de la cuenta y de la Base de Conocimiento debe solicitarse de forma expresa a través de privacidad@cerovueltas.com.

11.1 Clientes

Usted podrá solicitar el acceso, la obtención de una copia portable, la rectificación o la supresión de los datos de su cuenta en cualquier momento, escribiendo a privacidad@cerovueltas.com. Verificaremos su identidad y responderemos dentro de los plazos exigidos por la legislación aplicable.

11.2 Usuarios Finales (Usuarios de WhatsApp / Widget)

CeroVueltas actúa exclusivamente como Encargado del Tratamiento respecto de los datos de los Usuarios Finales. Si usted es un Usuario Final y desea acceder a sus datos o suprimirlos, deberá contactar a la empresa con la que se comunicó, la cual es el Responsable de su información. Tras una instrucción verificada de dicha empresa, ejecutaremos la supresión mediante el proceso de purga descrito en la Sección 9.

11.3 Visitantes Internacionales

Los Servicios son operados desde los Estados Unidos y no están dirigidos activamente a jurisdicciones fuera de los Estados Unidos. No hemos designado un representante en la UE o el Reino Unido ni un Delegado de Protección de Datos. Si accede a los Servicios desde fuera de los Estados Unidos, usted reconoce que sus datos serán procesados en los Estados Unidos y en las jurisdicciones indicadas en nuestra Lista de Subencargados, y que su uso de los Servicios se rige estrictamente por la legislación de los Estados Unidos conforme a lo estipulado en nuestros Términos de Servicio.

Enviamos únicamente correos electrónicos transaccionales esenciales (p. ej., recuperación de contraseña mediante Firebase, recibos de pago mediante Stripe, alertas de seguridad). No enviamos boletines de marketing ni campañas de correo electrónico masivo desde la plataforma. Dado que no enviamos comunicaciones de marketing directo, no se requiere ninguna opción de baja (opt-out) de marketing para los correos electrónicos de la plataforma.

Esta sección aplica a los residentes de California cuando resulte aplicable la Ley de Privacidad del Consumidor de California (CCPA), según su modificación por la CPRA.

13.1 Categorías de Información Personal Recopilada: Recopilamos identificadores, información comercial, actividad en Internet o en redes electrónicas, e información personal sensible (tales como credenciales de cuenta y contenido de mensajes, cuando se tratan a través de los Servicios). Utilizamos la información personal sensible exclusivamente para los fines permitidos conforme a la normativa de la CCPA (p. ej., la prestación de los Servicios, la seguridad y la integridad), por lo que no ofrecemos una opción separada de "Limitar el Uso".

13.2 Fuentes y Finalidades: Recopilamos información de los Clientes, los Usuarios Finales, Meta, los navegadores, los procesadores de pagos y los prestadores de servicios, para los fines descritos en la Sección 5 y la Sección 6.

13.3 Ausencia de Venta / Compartición Limitada: No vendemos información personal. Podremos "compartir" datos limitados de navegación (mediante píxeles de rastreo) con plataformas publicitarias para fines de publicidad conductual de contexto cruzado, con sujeción a su control a través de nuestro banner de consentimiento de cookies. Nunca vendemos ni compartimos datos de WhatsApp de los Usuarios Finales.

13.4 Derechos en California: Usted podrá tener derecho a conocer, acceder, rectificar, suprimir y oponerse a la "compartición" de información personal. Podrá ejercer su derecho de oposición a través de nuestro banner de cookies o mediante la emisión de una señal de preferencia de exclusión, tal como el Global Privacy Control (GPC). Respetamos las señales de Global Privacy Control (GPC) como una oposición válida a la compartición. Presente las demás solicitudes en privacidad@cerovueltas.com.

CeroVueltas emplea medidas administrativas, técnicas y organizativas comercialmente razonables, diseñadas para proteger la información, incluido el cifrado en reposo AES-256-GCM, el cifrado en tránsito TLS, la inyección de secretos únicamente en tiempo de ejecución y protecciones estrictas de Política de Seguridad de Contenido (CSP). En el Anexo II del DPA se establece un resumen de nuestras medidas de seguridad.

Los Servicios están destinados a un uso B2B y no se dirigen a menores. Los Clientes no deberán utilizar los Servicios para recopilar a sabiendas información personal de personas menores de 18 años. Si tomamos conocimiento de que se ha tratado información personal de un menor, adoptaremos las medidas apropiadas para suprimirla (si se trata de datos de la cuenta del Cliente) o instruiremos al Cliente correspondiente para que adopte las medidas apropiadas (si se trata de datos de Usuarios Finales).

Utilizamos tanto cookies estrictamente necesarias como, con sujeción a su consentimiento, tecnologías de rastreo de rendimiento y de marketing.

Cookie Tipo Duración Finalidad
__Host-cv_sess / cv_secure_sess Estrictamente necesaria Sesión Gestión cifrada de la sesión (HttpOnly, Strict)
nr_identity Estrictamente necesaria 30 días Token de persistencia de la cuenta
cv_lang Funcional Persistente Preferencia de idioma
cv_ref Funcional 30 días Atribución de referidos/afiliados (almacena únicamente un UUID aleatorio)

16.1 Analítica y Gestión del Consentimiento: Utilizamos analítica web sin cookies y centrada en la privacidad (Cloudflare Insights) para supervisar la salud y el rendimiento de la plataforma. Empleamos CookieYes como nuestra Plataforma de Gestión del Consentimiento. Con sujeción a su consentimiento explícito otorgado a través del banner de CookieYes, podremos desplegar píxeles de marketing (p. ej., Meta Pixel, TikTok Ads, Google Ads) para medir la efectividad de la publicidad del sitio web. Si usted rechaza las cookies de marketing, estos rastreadores quedan estrictamente deshabilitados.

Podremos actualizar la presente Política de Privacidad periódicamente. Para los cambios sustanciales, proporcionaremos un aviso previo de al menos treinta (30) días, en consonancia con la Sección 21.6 de los Términos del Servicio. La fecha de vigencia de la presente Política de Privacidad se indica en la parte superior de esta página.

  • Solicitudes de Privacidad y Supresión: privacidad@cerovueltas.com
  • Notificaciones Legales: legal@cerovueltas.com
  • Correspondencia Postal: SUITE IMPERIAL LLC, 8206 LOUISIANA BLVD NE, STE A #696, Albuquerque, New Mexico, 87113, USA. (Nota: Estrictamente para correspondencia legal y administrativa. Por motivos de seguridad y de cumplimiento normativo, esta dirección corporativa no acepta paquetes, encomiendas ni bienes físicos de ningún tipo; dichos envíos serán rechazados de forma automática).

SUITE IMPERIAL LLC Nuevo México, EE. UU.