Español

Política de Privacidad

Última actualización: 31 de mayo de 2025 · Vigente desde: 31 de mayo de 2025

    DigiActiva es una plataforma de agentes de inteligencia artificial, CRM y mensajería para pequeñas y medianas empresas. Operamos como procesador de datos en nombre de los comercios que usan nuestro servicio, y como responsable del tratamiento de los datos de los usuarios de la plataforma.
  

Contenido

¿Quiénes somos?
Qué datos recopilamos
Por qué y cómo usamos tus datos (base legal)
Integraciones con Meta: WhatsApp e Instagram
Con quién compartimos información
Transferencias internacionales
Retención de datos
Seguridad
Tus derechos
Decisiones automatizadas e IA
Cookies y tecnologías similares
Menores de edad
Usuarios de California (CCPA)
Cambios a esta política
Contacto y reclamaciones

1. ¿Quiénes somos?

DigiActiva ("nosotros", "nuestro") opera la plataforma disponible en www.digiactiva.com, incluyendo el panel CRM, los agentes de inteligencia artificial, los módulos de mensajería y las integraciones con plataformas de terceros (WhatsApp Business, Instagram, Facebook, entre otras).

Para consultas sobre privacidad: info@digiactiva.com

2. Qué datos recopilamos

2.1 Datos que tú nos proporcionas directamente

Datos de cuenta: nombre completo, dirección de correo electrónico, nombre de la empresa, número de teléfono y contraseña al registrarte.
Datos de pago: nombre del titular, últimos 4 dígitos de la tarjeta y dirección de facturación. Los datos completos de pago los procesa nuestro proveedor (Stripe u otro procesador certificado PCI-DSS); DigiActiva no almacena números de tarjeta completos.
Datos de soporte: mensajes, archivos y capturas que compartes al contactar a nuestro equipo.
Perfil de negocio: información que ingresas sobre tu empresa (horarios, catálogo, prompts del agente IA, etc.).

2.2 Datos generados por el uso del servicio

Datos de uso: páginas visitadas, funciones utilizadas, clics, tiempos de sesión y flujos de navegación dentro de la plataforma.
Datos técnicos: dirección IP, tipo y versión de navegador, sistema operativo, resolución de pantalla, zona horaria e identificadores de dispositivo.
Registros del sistema (logs): eventos de la plataforma necesarios para el diagnóstico de errores y la seguridad.

2.3 Datos de clientes finales (en nombre del comercio)

Cuando un comercio usa DigiActiva para gestionar sus contactos y conversaciones, los datos de sus propios clientes (nombre, teléfono, correo, historial de mensajes, notas, etiquetas del pipeline) son tratados por DigiActiva en calidad de procesador. El comercio es el responsable del tratamiento de esos datos y debe tener su propia base legal para recopilarlos.

2.4 Datos de integraciones con terceros

Tokens de acceso y permisos otorgados al conectar WhatsApp Business, Instagram, Facebook u otras plataformas.
Metadatos de mensajes (remitente, destinatario, timestamp, tipo de mensaje) necesarios para enrutar las conversaciones.
Contenido de mensajes procesado para ejecutar las respuestas automáticas del agente IA.

3. Por qué y cómo usamos tus datos (base legal)

Finalidad	Base legal (GDPR Art. 6)
Crear y gestionar tu cuenta	Ejecución de contrato (Art. 6.1.b)
Proveer el servicio de CRM, mensajería y agente IA	Ejecución de contrato (Art. 6.1.b)
Procesar pagos y emitir facturas	Ejecución de contrato + obligación legal (Art. 6.1.b / 6.1.c)
Enviarte comunicaciones de servicio y alertas de seguridad	Interés legítimo (Art. 6.1.f)
Mejorar la plataforma con análisis de uso	Interés legítimo (Art. 6.1.f)
Enviarte comunicaciones de marketing	Consentimiento (Art. 6.1.a) — puedes revocar en cualquier momento
Cumplir obligaciones legales y fiscales	Obligación legal (Art. 6.1.c)
Detectar fraude, abuso y vulnerabilidades de seguridad	Interés legítimo (Art. 6.1.f)

No vendemos tu información personal a terceros bajo ninguna circunstancia.

4. Integraciones con Meta: WhatsApp e Instagram

    DigiActiva es un Proveedor de Soluciones de Negocios (BSP) que utiliza la WhatsApp Business API
    y la Instagram Graph API de Meta Platforms, Inc. Esta sección describe específicamente
    cómo manejamos los datos obtenidos a través de estas integraciones.
  

4.1 WhatsApp Business API

Datos accedidos: número de teléfono del remitente, contenido del mensaje (texto, imagen, audio, documento), timestamp y estado de entrega.
Finalidad exclusiva: entregar, enrutar y responder mensajes a través del agente IA configurado por el comercio.
Almacenamiento de mensajes: los mensajes procesados a través de la Cloud API de WhatsApp (Meta) se eliminan automáticamente de los servidores de Meta en un plazo máximo de 30 días. DigiActiva conserva el historial de conversaciones en nombre del comercio según el período acordado en el contrato de servicio.
No publicidad: no usamos datos de WhatsApp para mostrar anuncios ni para ningún fin publicitario.
No entrenamiento de modelos: no usamos el contenido de mensajes de WhatsApp para entrenar, ajustar ni mejorar modelos de IA propios o de terceros.

4.2 Instagram Graph API

Datos accedidos: mensajes directos (DMs), comentarios en publicaciones donde el comercio ha activado automatización, nombre de usuario de Instagram y metadatos de la cuenta de negocio.
Finalidad exclusiva: automatizar respuestas a DMs y comentarios según la configuración del comercio, gestionar el pipeline de contactos provenientes de Instagram.
No publicidad: no usamos datos de Instagram para mostrar anuncios ni para perfilar usuarios con fines publicitarios.
No entrenamiento de modelos: no usamos contenido de Instagram para entrenar modelos de IA.
Permisos solicitados: únicamente los permisos estrictamente necesarios para las funciones activadas por el comercio (p. ej. instagram_manage_messages, instagram_manage_comments).

4.3 Facebook Pages API

Cuando el comercio conecta su Página de Facebook, accedemos a mensajes de Messenger y comentarios de la página con la misma finalidad exclusiva: gestionar y automatizar la comunicación con sus clientes.
Las mismas restricciones de no publicidad y no entrenamiento aplican a los datos de Facebook.

4.4 Cumplimiento de las políticas de Meta

Cumplimos con las Condiciones de la Plataforma de Meta.
Cumplimos con la Política de datos de Meta.
Cumplimos con las Políticas de WhatsApp Business.
Los tokens de acceso de Meta se almacenan cifrados y se revocan inmediatamente cuando el comercio desvincula la integración.
No compartimos datos obtenidos de las APIs de Meta con terceros distintos de los proveedores de infraestructura que operan bajo acuerdos de procesamiento de datos.

5. Con quién compartimos información

Solo compartimos datos en estos casos:

Proveedores de servicio (subprocesadores): empresas que nos ayudan a operar la plataforma, incluyendo servicios de hosting y nube (Google Cloud), base de datos (MongoDB Atlas), correo transaccional, modelos de IA (OpenAI/Anthropic), y herramientas de análisis. Todos operan bajo acuerdos de procesamiento de datos con estándares equivalentes a los nuestros.
Requerimientos legales: cuando la ley, un tribunal o una autoridad regulatoria lo exija formalmente.
Protección de derechos: cuando sea necesario para proteger la seguridad, los derechos legales o la propiedad de DigiActiva, nuestros usuarios o terceros.
Transferencia de negocio: en caso de fusión, adquisición o venta de activos, con notificación previa a los usuarios afectados al menos 30 días antes.

Nunca vendemos datos personales. Nunca compartimos datos de las APIs de Meta para fines publicitarios.

6. Transferencias internacionales de datos

DigiActiva opera en múltiples países (Chile, Colombia, México, EE.UU. y otros). Algunos de nuestros subprocesadores pueden procesar datos fuera del país donde resides. Cuando esto ocurre, garantizamos protecciones adecuadas mediante:

Cláusulas contractuales tipo aprobadas por la Comisión Europea (SCCs).
Adhesión de los subprocesadores al Marco de Privacidad de Datos UE-EE.UU. (DPF), cuando aplica.
Evaluaciones de impacto de transferencia cuando es requerido por la regulación aplicable.

7. Retención de datos

Tipo de dato	Período de retención
Datos de cuenta activa	Mientras la cuenta esté activa
Datos de cuenta cancelada	90 días tras la cancelación, luego eliminación o anonimización
Mensajes WhatsApp (Cloud API de Meta)	Eliminados de servidores de Meta en máximo 30 días
Historial de conversaciones (CRM)	Según contrato de servicio; eliminable a petición del comercio
Logs del sistema	30 a 90 días según tipo de registro
Datos de facturación	7 años (obligación fiscal en la mayoría de jurisdicciones)
Datos de marketing (newsletter)	Hasta que revoques el consentimiento

8. Seguridad

Cifrado en tránsito: todas las comunicaciones usan HTTPS/TLS 1.2 o superior.
Cifrado en reposo: los datos sensibles (tokens, contraseñas) se almacenan cifrados.
Control de acceso: acceso por roles (RBAC); los empleados solo acceden a los datos necesarios para su función.
Auditoría: registros de acceso a datos sensibles disponibles para revisión.
Notificación de brechas: en caso de una brecha de seguridad que afecte tus datos, te notificaremos dentro de las 72 horas de tenerla confirmada, o en el plazo que exija la ley local aplicable.

9. Tus derechos

Dependiendo de tu país de residencia, puedes ejercer los siguientes derechos respecto a tus datos personales. Respondemos todas las solicitudes en un plazo máximo de 30 días.

Acceso: solicitar una copia de los datos que tenemos sobre ti.
Rectificación: corregir datos incorrectos o incompletos.
Supresión ("derecho al olvido"): solicitar la eliminación de tus datos cuando ya no sean necesarios o revoques el consentimiento.
Portabilidad: recibir tus datos en formato estructurado y legible por máquina (JSON o CSV).
Oposición: oponerte al procesamiento basado en interés legítimo.
Limitación: solicitar que restrinjamos el procesamiento en ciertos casos.
Revocación del consentimiento: retirar el consentimiento en cualquier momento sin afectar la licitud del procesamiento previo.
Reclamación: presentar una queja ante la autoridad de protección de datos de tu país.

Para ejercer cualquiera de estos derechos: info@digiactiva.com

10. Decisiones automatizadas e inteligencia artificial

DigiActiva usa modelos de IA (de proveedores como OpenAI o Anthropic) para generar respuestas automáticas en nombre de los comercios. Estas respuestas se producen según la configuración que cada comercio define en su perfil de agente.

No tomamos decisiones con efectos jurídicos o significativos sobre personas físicas de forma exclusivamente automatizada sin intervención humana disponible (Art. 22 GDPR). Si eres cliente final de un comercio y tienes dudas sobre cómo te trata el agente IA, puedes contactar directamente a ese comercio.

Los datos que fluyen a través de los agentes IA no se usan para entrenar ni mejorar los modelos base de los proveedores de IA que utilizamos.

11. Cookies y tecnologías similares

Tipo	Finalidad	Duración
Esenciales (sesión)	Autenticación, seguridad, funcionamiento básico	Sesión
Preferencias	Idioma, workspace activo, configuración de UI	1 año
Analíticas	Entender cómo se usa la plataforma (Google Analytics u similar)	Hasta 2 años
Marketing	Solo en sitio web público, no dentro del panel CRM	Hasta 6 meses

Puedes rechazar cookies no esenciales en el banner de consentimiento al acceder al sitio, o configurando tu navegador. Rechazar cookies analíticas no afecta el funcionamiento del servicio.

12. Menores de edad

DigiActiva es un servicio B2B dirigido exclusivamente a empresas y profesionales mayores de 18 años. No recopilamos intencionalmente datos de menores de edad. Si tienes conocimiento de que un menor ha creado una cuenta, contáctanos a info@digiactiva.com y eliminaremos la cuenta de inmediato.

13. Usuarios de California (CCPA / CPRA)

Si resides en California, EE.UU., tienes derechos adicionales bajo la California Consumer Privacy Act:

Conocer qué categorías de datos personales recopilamos y con quién los compartimos.
Solicitar la eliminación de tus datos personales.
Derecho a no vender ni compartir: DigiActiva no vende datos personales ni los comparte para publicidad dirigida entre contextos. No es necesario optar por salir porque no lo hacemos.
No discriminación por ejercer tus derechos CCPA.

Para solicitudes CCPA: info@digiactiva.com

14. Cambios a esta política

Cuando realicemos cambios materiales a esta política, te notificaremos por correo electrónico y con un aviso destacado en la plataforma con al menos 15 días de anticipación. Los cambios menores (ortografía, clarificaciones sin impacto en tus derechos) se publicarán sin notificación especial. La fecha de la última actualización siempre estará visible al inicio de este documento.

15. Contacto y reclamaciones

Para cualquier consulta, solicitud de derechos o reclamación:

Correo: info@digiactiva.com
Sitio web: www.digiactiva.com

Si consideras que hemos tratado tus datos de forma incorrecta, tienes derecho a presentar una reclamación ante la autoridad de protección de datos competente en tu país de residencia.

English

Privacy Policy

Last updated: May 31, 2025 · Effective: May 31, 2025

    DigiActiva is an AI agent, CRM, and messaging platform for small and medium-sized businesses.
    We act as a data processor on behalf of the businesses using our service,
    and as a data controller for platform users' own data.
  

Contents

Who We Are
Data We Collect
Why and How We Use Your Data (Legal Basis)
Meta Integrations: WhatsApp and Instagram
Information Sharing
International Data Transfers
Data Retention
Security
Your Rights
Automated Decisions and AI
Cookies and Similar Technologies
Children
California Residents (CCPA)
Changes to This Policy
Contact and Complaints

1. Who We Are

DigiActiva ("we", "our") operates the platform available at www.digiactiva.com, including the CRM dashboard, AI agents, messaging modules, and integrations with third-party platforms (WhatsApp Business, Instagram, Facebook, and others).

Privacy inquiries: info@digiactiva.com

2. Data We Collect

2.1 Data you provide directly

Account data: full name, email address, company name, phone number, and password.
Payment data: cardholder name, last 4 digits, and billing address. Full payment details are processed by our PCI-DSS certified payment provider; DigiActiva does not store complete card numbers.
Support data: messages, files, and screenshots you share when contacting our team.
Business profile: information you enter about your business (schedules, catalog, AI agent prompts, etc.).

2.2 Data generated through service use

Usage data: pages visited, features used, clicks, session duration, and navigation flows.
Technical data: IP address, browser type and version, operating system, screen resolution, time zone, and device identifiers.
System logs: platform events needed for error diagnosis and security monitoring.

2.3 End-customer data (on behalf of merchants)

When a business uses DigiActiva to manage contacts and conversations, their customers' data (name, phone, email, message history, notes, pipeline labels) is processed by DigiActiva as a data processor. The business is the data controller for that data and must have its own legal basis for collecting it.

2.4 Integration data

Access tokens and permissions granted when connecting WhatsApp Business, Instagram, Facebook, or other platforms.
Message metadata (sender, recipient, timestamp, message type) needed to route conversations.
Message content processed to execute AI agent responses.

3. Why and How We Use Your Data (Legal Basis)

Purpose	Legal basis (GDPR Art. 6)
Creating and managing your account	Contract performance (Art. 6.1.b)
Providing the CRM, messaging, and AI agent service	Contract performance (Art. 6.1.b)
Processing payments and issuing invoices	Contract performance + legal obligation (Art. 6.1.b / 6.1.c)
Sending service communications and security alerts	Legitimate interest (Art. 6.1.f)
Improving the platform through usage analytics	Legitimate interest (Art. 6.1.f)
Sending marketing communications	Consent (Art. 6.1.a) — revocable at any time
Complying with legal and tax obligations	Legal obligation (Art. 6.1.c)
Detecting fraud, abuse, and security vulnerabilities	Legitimate interest (Art. 6.1.f)

We do not sell your personal information to any third party under any circumstance.

4. Meta Integrations: WhatsApp and Instagram

    DigiActiva is a Business Solution Provider (BSP) using the WhatsApp Business API
    and the Instagram Graph API from Meta Platforms, Inc. This section specifically
    describes how we handle data obtained through these integrations.
  

4.1 WhatsApp Business API

Data accessed: sender's phone number, message content (text, image, audio, document), timestamp, and delivery status.
Exclusive purpose: to deliver, route, and respond to messages through the AI agent configured by the business.
Message storage: messages processed through WhatsApp's Cloud API (Meta) are automatically deleted from Meta's servers within 30 days. DigiActiva retains conversation history on behalf of the business for the period agreed in the service contract.
No advertising: we do not use WhatsApp data to display ads or for any advertising purpose.
No model training: we do not use WhatsApp message content to train, fine-tune, or improve AI models — ours or third parties'.

4.2 Instagram Graph API

Data accessed: direct messages (DMs), comments on posts where the business has enabled automation, Instagram username, and business account metadata.
Exclusive purpose: automating responses to DMs and comments as configured by the business; managing the contact pipeline from Instagram leads.
No advertising: we do not use Instagram data to display ads or to profile users for advertising purposes.
No model training: we do not use Instagram content to train AI models.
Permissions requested: only those strictly necessary for features enabled by the business (e.g. instagram_manage_messages, instagram_manage_comments).

4.3 Facebook Pages API

When a business connects their Facebook Page, we access Messenger messages and page comments with the same exclusive purpose: managing and automating their customer communications.
The same no-advertising and no-model-training restrictions apply to Facebook data.

4.4 Meta Policy Compliance

We comply with Meta's Platform Terms.
We comply with Meta's Data Policy.
We comply with WhatsApp Business Policies.
Meta access tokens are stored encrypted and revoked immediately when the business disconnects the integration.
We do not share data obtained from Meta APIs with any third party other than infrastructure providers operating under data processing agreements.

5. Information Sharing

We only share data in these cases:

Service providers (sub-processors): companies that help us operate the platform, including cloud hosting (Google Cloud), database (MongoDB Atlas), transactional email, AI models (OpenAI/Anthropic), and analytics tools. All operate under data processing agreements with equivalent standards.
Legal requirements: when formally required by law, a court, or a regulatory authority.
Rights protection: when necessary to protect the safety, legal rights, or property of DigiActiva, our users, or third parties.
Business transfer: in the event of a merger, acquisition, or asset sale, with prior notice to affected users at least 30 days in advance.

We never sell personal data. We never share Meta API data for advertising purposes.

6. International Data Transfers

DigiActiva operates across multiple countries (Chile, Colombia, Mexico, USA, and others). Some of our sub-processors may process data outside your country of residence. When this occurs, we ensure adequate protections through:

Standard Contractual Clauses (SCCs) approved by the European Commission.
Sub-processor adherence to the EU-US Data Privacy Framework (DPF), where applicable.
Transfer impact assessments where required by applicable regulation.

7. Data Retention

Data type	Retention period
Active account data	While the account is active
Cancelled account data	90 days after cancellation, then deletion or anonymization
WhatsApp messages (Meta Cloud API)	Deleted from Meta's servers within 30 days
Conversation history (CRM)	Per service contract; deletable upon merchant request
System logs	30–90 days depending on log type
Billing data	7 years (tax obligation in most jurisdictions)
Marketing data (newsletter)	Until you withdraw consent

8. Security

Encryption in transit: all communications use HTTPS/TLS 1.2 or higher.
Encryption at rest: sensitive data (tokens, passwords) is stored encrypted.
Access control: role-based access (RBAC); employees only access data necessary for their function.
Audit trail: access logs to sensitive data are available for review.
Breach notification: in the event of a security breach affecting your data, we will notify you within 72 hours of confirmation, or within the timeframe required by applicable local law.

9. Your Rights

Depending on your country of residence, you may exercise the following rights regarding your personal data. We respond to all requests within a maximum of 30 days.

Access: request a copy of the data we hold about you.
Rectification: correct inaccurate or incomplete data.
Erasure ("right to be forgotten"): request deletion of your data when it is no longer necessary or you withdraw consent.
Portability: receive your data in a structured, machine-readable format (JSON or CSV).
Objection: object to processing based on legitimate interest.
Restriction: request that we restrict processing in certain circumstances.
Consent withdrawal: withdraw consent at any time without affecting the lawfulness of prior processing.
Complaint: lodge a complaint with the data protection authority in your country.

To exercise any of these rights: info@digiactiva.com

10. Automated Decisions and Artificial Intelligence

DigiActiva uses AI models (from providers such as OpenAI or Anthropic) to generate automatic responses on behalf of businesses. These responses are produced according to the configuration each business defines in their agent profile.

We do not make decisions with legal or similarly significant effects on individuals through exclusively automated means without available human oversight (GDPR Art. 22). If you are an end customer of a business and have concerns about how the AI agent treats you, you may contact that business directly.

Data flowing through AI agents is not used to train or improve the base models of the AI providers we use.

11. Cookies and Similar Technologies

Type	Purpose	Duration
Essential (session)	Authentication, security, basic functionality	Session
Preferences	Language, active workspace, UI settings	1 year
Analytics	Understanding platform usage (Google Analytics or similar)	Up to 2 years
Marketing	Public website only, not inside the CRM dashboard	Up to 6 months

You can reject non-essential cookies in the consent banner when accessing the site, or by configuring your browser. Rejecting analytics cookies does not affect service functionality.

12. Children

DigiActiva is a B2B service directed exclusively at businesses and professionals aged 18 and over. We do not knowingly collect data from minors. If you become aware that a minor has created an account, contact us at info@digiactiva.com and we will delete it immediately.

13. California Residents (CCPA / CPRA)

If you reside in California, USA, you have additional rights under the California Consumer Privacy Act:

Know what categories of personal information we collect and with whom we share it.
Request deletion of your personal information.
Right to opt out of sale or sharing: DigiActiva does not sell personal data or share it for cross-context behavioral advertising. There is nothing to opt out of because we do not engage in these practices.
Non-discrimination for exercising your CCPA rights.

For CCPA requests: info@digiactiva.com

14. Changes to This Policy

When we make material changes to this policy, we will notify you by email and with a prominent notice on the platform at least 15 days before the changes take effect. Minor changes (typos, clarifications with no impact on your rights) will be published without special notice. The date of the last update is always visible at the top of this document.

15. Contact and Complaints

For any inquiry, rights request, or complaint:

Email: info@digiactiva.com
Website: www.digiactiva.com

If you believe we have handled your data incorrectly, you have the right to file a complaint with the competent data protection authority in your country of residence.