Política de Cookies de Guapu

1. 1. Qué es esta Política y a qué se aplica

Esta Política de Cookies (la "Política") explica cómo Guapu ("Guapu", "el Servicio", "nosotros") utiliza cookies y tecnologías similares en el sitio web y la aplicación accesibles desde el dominio guapu.io y sus subdominios (por ejemplo www.guapu.io). Guapu es un CRM multi-tenant con inteligencia artificial para PYMEs de Latinoamérica, que incluye una bandeja unificada de WhatsApp y otros canales, y agentes de IA que responden de forma automática.

El responsable del tratamiento de los datos personales asociados a estas cookies es [ENTIDAD LEGAL], identificada con [NIT] y domicilio en [DOMICILIO] (estos campos registrales deben ser completados por el equipo legal antes de la publicación definitiva). Para cualquier asunto relacionado con datos personales y cookies puedes escribir a privacidad@guapu.io.

Esta Política es un documento complementario de la Política de Privacidad de Guapu, disponible en https://guapu.io/privacy. En caso de duda o contradicción sobre el tratamiento de datos personales, la Política de Privacidad prevalece, salvo en lo específicamente relativo a cookies y tecnologías de almacenamiento en el dispositivo, donde rige esta Política.

Esta Política cubre las cookies que se utilizan en las páginas públicas y de marketing de guapu.io (landing, registro, inicio de sesión) y en la aplicación una vez que has iniciado sesión. No regula las cookies o tecnologías que puedan utilizar terceros en sus propios sitios (por ejemplo, las páginas de pago alojadas por Stripe, o las plataformas de Meta), que se rigen por las políticas de esos terceros, aunque sí las identificamos cuando se activan a través de Guapu.

2. 2. Qué son las cookies y las tecnologías similares

Una "cookie" es un pequeño archivo de texto que un sitio web guarda en tu navegador (computador, teléfono u otro dispositivo) cuando lo visitas. Permite reconocer tu navegador en visitas posteriores, mantener tu sesión iniciada, recordar preferencias o medir cómo se usa el sitio. Las cookies pueden ser "de origen" (first-party), si las establece el propio dominio guapu.io, o "de terceros" (third-party), si las establece otro dominio (por ejemplo, Stripe o Meta) cuyo contenido o servicios cargamos.

Junto con las cookies, en esta Política el término "tecnologías similares" abarca otros mecanismos que cumplen funciones equivalentes de almacenamiento o lectura de información en tu dispositivo. Guapu utiliza, además de cookies HTTP, las siguientes tecnologías:

• Almacenamiento local del navegador (localStorage): Guapu guarda en el localStorage de tu navegador la clave guapu_consent, que registra tu decisión sobre las cookies (aceptar todas o solo las necesarias), y diversas claves de preferencias de interfaz (por ejemplo, tema claro/oscuro, idioma, paneles abiertos o cerrados). El localStorage no se envía automáticamente al servidor en cada solicitud, a diferencia de las cookies.
• Beacon de atribución (sendBeacon / pixel de medición): cuando visitas Guapu a través de un enlace de campaña que contiene parámetros UTM (etiquetas que identifican el origen del tráfico: utm_source, utm_medium, utm_campaign, etc.), un script del lado del cliente envía de forma asíncrona una señal ("beacon") al punto de medición de Guapu (/api/utm/capture) usando la API navigator.sendBeacon del navegador (o, como alternativa, una solicitud fetch). Esta señal transmite los parámetros UTM previamente guardados en cookies, junto con la URL de aterrizaje, la página de origen (referrer), el tipo de dispositivo, el agente de usuario del navegador y, de forma aproximada, el país y la ciudad derivados de la dirección IP. Esta tecnología es la base de nuestra medición de atribución de marketing.
• Identificadores: Guapu genera un identificador anónimo de visitante (un UUID aleatorio almacenado en la cookie guapu_anon_id) que permite relacionar varias visitas del mismo navegador con la campaña por la que llegó, sin asociarlo por sí mismo a tu nombre o identidad. Solo si más adelante creas una cuenta, este identificador puede vincularse a tu registro para medir qué campaña originó la conversión.
• Píxeles y beacons de terceros: si están habilitados con tu consentimiento, terceros de marketing como Meta (Facebook/Instagram) pueden establecer identificadores propios (por ejemplo, la cookie _fbp) o leer parámetros de clic de anuncios (como fbclid) para medir la efectividad de la publicidad, incluso mediante el envío de eventos de conversión desde el servidor (Conversions API).

3. 3. Categorías de cookies que utilizamos y su base legal

Clasificamos las cookies y tecnologías similares en cuatro categorías según su finalidad. La base legal indica el fundamento jurídico por el cual podemos usarlas. En coherencia con la normativa ePrivacy (las reglas europeas y de buenas prácticas internacionales sobre el acceso a información almacenada en el dispositivo del usuario) y con la Ley Estatutaria 1581 de 2012 de Colombia y su Decreto Reglamentario 1377 de 2013 (régimen de protección de datos personales / habeas data), solo las cookies estrictamente necesarias se activan sin tu consentimiento; el resto requiere tu autorización previa, expresa e informada.

• Estrictamente necesarias (esenciales). Imprescindibles para que el sitio y la aplicación funcionen y para prestarte el Servicio que solicitas; sin ellas no podrías iniciar sesión ni navegar de forma segura. Incluyen: la sesión autenticada (mantener tu sesión iniciada tras el login), la seguridad (prevención de fraude y de uso indebido, protección frente a abusos, balanceo de carga) y la preferencia de idioma y de tema (claro/oscuro). Base legal: ejecución del contrato de prestación del Servicio e interés legítimo en la seguridad y el funcionamiento (en los términos del artículo 6.1.b y 6.1.f del Reglamento (UE) 2016/679 — GDPR; y como dato necesario para la relación contractual conforme a la Ley 1581 de 2012). No requieren consentimiento previo y no pueden desactivarse desde el banner, porque el Servicio no funcionaría sin ellas; puedes bloquearlas desde tu navegador, asumiendo que esto puede impedir el inicio de sesión.
• Funcionales. Mejoran tu experiencia recordando elecciones que haces dentro del producto (por ejemplo, el estado de paneles abiertos/cerridos, densidad de la interfaz u otras preferencias de presentación) que van más allá de lo estrictamente imprescindible. La mayoría de estas preferencias se guardan en localStorage de origen. Base legal: consentimiento (artículo 6.1.a GDPR; autorización del titular conforme a la Ley 1581 de 2012). Cuando una preferencia es indispensable para que funcione una pantalla que pediste, puede tratarse como esencial.
• Analíticas. Nos permiten entender de forma agregada cómo se usa el sitio (páginas vistas, recorridos, rendimiento) para mejorar Guapu. A la fecha de esta Política, Guapu no incorpora una plataforma de analítica de terceros con cookies (por ejemplo, no usamos Google Analytics) en sus páginas públicas; nuestra medición se apoya en el beacon de atribución descrito más abajo y en métricas de servidor. Si en el futuro incorporamos una herramienta de analítica con cookies, te lo informaremos y solo se activará con tu consentimiento. Base legal: consentimiento previo (artículo 6.1.a GDPR; autorización conforme a la Ley 1581 de 2012).
• Atribución y marketing. Nos permiten saber por qué canal o campaña llegaste a Guapu (atribución) y medir la efectividad de nuestra publicidad. Incluyen las cookies de UTM de origen (guapu_anon_id, guapu_first_touch, guapu_last_touch), el beacon de atribución que las envía a nuestro servidor, y los identificadores de terceros de marketing (por ejemplo, la cookie _fbp de Meta y el envío de eventos a la Conversions API de Meta), si están habilitados. Base legal: consentimiento previo (artículo 6.1.a GDPR; autorización previa, expresa e informada del titular conforme al artículo 9 de la Ley 1581 de 2012 y artículos 5 a 7 del Decreto 1377 de 2013). Nada de esta categoría debe activarse antes de que aceptes.

4. 4. Tabla detallada de cookies y tecnologías que usamos

La siguiente tabla describe las cookies y tecnologías de almacenamiento que Guapu utiliza o puede utilizar. La columna "Proveedor/Dominio" indica quién la establece; "de origen" significa el dominio guapu.io. Las duraciones son aproximadas y pueden variar por motivos técnicos o de configuración de los proveedores. Las cookies de terceros (Stripe, Meta) solo aparecen cuando interactúas con esas funciones (pago, anuncios) y se rigen también por las políticas de dichos terceros.

• Nombre: sb-sacpofdahcxyaqkrvjly-auth-token (puede dividirse en fragmentos terminados en .0, .1, etc.) · Proveedor/Dominio: Supabase, de origen (guapu.io) · Finalidad: mantener tu sesión autenticada tras iniciar sesión; almacena de forma segura los tokens de acceso y de actualización (JWT) emitidos por Supabase Auth. Es indispensable para usar la aplicación. · Duración: dura la sesión y se renueva mientras la sesión siga activa; se elimina al cerrar sesión. · Categoría: Estrictamente necesaria.
• Nombre: guapu_consent (almacenado en localStorage, no es una cookie HTTP) · Proveedor/Dominio: de origen (guapu.io) · Finalidad: recordar tu decisión sobre cookies ("all" = aceptar todas; "essential" = solo las necesarias) para no volver a mostrarte el banner y para respetar tu elección. · Duración: persiste en tu navegador hasta que borres el almacenamiento del sitio o la restablezcas desde el centro de preferencias. · Categoría: Estrictamente necesaria (es el registro de tu propia elección de consentimiento).
• Nombre: guapu_anon_id · Proveedor/Dominio: de origen (guapu.io) · Finalidad: identificador anónimo de visitante (UUID aleatorio) para relacionar tus visitas con la campaña por la que llegaste y, si te registras, atribuir la conversión a su origen. Se establece únicamente cuando llegas con parámetros UTM en la URL. · Duración: 365 días. · Categoría: Atribución/marketing (requiere consentimiento).
• Nombre: guapu_first_touch · Proveedor/Dominio: de origen (guapu.io) · Finalidad: guardar los parámetros UTM de tu PRIMER clic/visita (origen, medio, campaña, término, contenido, identificadores de anuncio y, en su caso, gclid/fbclid), codificados en base64, para atribución "first-touch". No se sobrescribe en visitas posteriores. · Duración: 90 días. · Categoría: Atribución/marketing (requiere consentimiento).
• Nombre: guapu_last_touch · Proveedor/Dominio: de origen (guapu.io) · Finalidad: guardar los parámetros UTM de tu ÚLTIMO clic/visita para atribución "last-touch"; se actualiza cada vez que llegas con nuevos parámetros UTM. · Duración: 90 días. · Categoría: Atribución/marketing (requiere consentimiento).
• Nombre: cookies de infraestructura de Vercel (por ejemplo, cookies de balanceo de carga/enrutamiento de borde que la plataforma de hosting pueda establecer) · Proveedor/Dominio: Vercel, de origen (guapu.io) · Finalidad: enrutar tu solicitud al servidor adecuado y servir la aplicación de forma estable; no se usan para perfilarte. · Duración: normalmente de sesión. · Categoría: Estrictamente necesaria.
• Nombre: cookie de borrado de estado / Clear-Site-Data (no es propiamente una cookie de seguimiento) · Proveedor/Dominio: de origen (guapu.io) · Finalidad: en situaciones de soporte (por ejemplo, sesiones corruptas) Guapu puede instruir a tu navegador para borrar cookies, almacenamiento y caché del dominio mediante la cabecera Clear-Site-Data, a fin de recuperar el acceso. · Duración: acción puntual, sin persistencia. · Categoría: Estrictamente necesaria (mantenimiento de seguridad/sesión).
• Nombre: __stripe_mid y __stripe_sid · Proveedor/Dominio: Stripe (dominios de Stripe, por ejemplo js.stripe.com), de terceros · Finalidad: prevención de fraude y correcto funcionamiento del proceso de pago cuando se carga un formulario o página de pago de Stripe (por ejemplo, un cobro generado por el agente de Ventas o la facturación de tu suscripción a Guapu). · Duración: __stripe_mid aproximadamente 1 año; __stripe_sid aproximadamente 30 minutos. · Categoría: Estrictamente necesaria para el servicio de pago/antifraude (cuando interactúas con el pago).
• Nombre: _fbp (y lectura del parámetro fbclid) · Proveedor/Dominio: Meta Platforms, de terceros (dominios de Facebook/Meta), establecida vía guapu.io · Finalidad: medir la efectividad de la publicidad en Facebook/Instagram y atribuir conversiones, incluso mediante el envío de eventos desde el servidor (Conversions API). Solo se activa si Guapu ha habilitado el píxel/CAPI de Meta y tú has consentido. · Duración: _fbp aproximadamente 90 días. · Categoría: Marketing (requiere consentimiento).
• Nombre: claves de preferencias de interfaz en localStorage (por ejemplo, tema, idioma, estado de paneles) · Proveedor/Dominio: de origen (guapu.io) · Finalidad: recordar tus preferencias de presentación dentro de la aplicación. · Duración: persisten hasta que borres el almacenamiento del sitio. · Categoría: Funcional (las que sean indispensables para una pantalla solicitada se tratan como esenciales).

5. 5. Consentimiento previo y banner de cookies (cumplimiento ePrivacy)

Guapu aplica el principio de consentimiento PREVIO para todo lo que no sea estrictamente necesario. Esto significa que, cuando visitas guapu.io por primera vez (o cuando aún no has expresado una elección), te mostramos un banner de cookies y NO se activan, leen ni cargan cookies o tecnologías analíticas, de atribución o de marketing hasta que nos des tu consentimiento. Las cookies estrictamente necesarias sí se activan, porque sin ellas el sitio no funciona.

El banner de consentimiento de Guapu cumple los siguientes principios, que son obligaciones vinculantes para nosotros:

• Nada no esencial antes del opt-in: el beacon de atribución de UTM, las cookies guapu_anon_id, guapu_first_touch y guapu_last_touch, y cualquier identificador de terceros de marketing (por ejemplo, _fbp de Meta) solo se cargan o se mantienen activos después de que pulses "Aceptar todas". Si no aceptas, esas tecnologías permanecen inactivas.
• Rechazo tan fácil como la aceptación (simetría): el banner ofrece un botón para rechazar todas las cookies no esenciales con la misma prominencia y el mismo número de clics que el botón para aceptarlas. La opción de rechazo (etiquetada como "Rechazar todas" o "Solo las necesarias") tiene el mismo peso visual que "Aceptar todas"; no usamos diseños engañosos (patrones oscuros) que dificulten el rechazo.
• Cerrar no es aceptar: cerrar el banner con la "X", ignorarlo o seguir navegando NO se interpreta como consentimiento. Mientras no elijas expresamente, no se activa ninguna cookie no esencial. Solo el clic en "Aceptar todas" constituye consentimiento para las categorías no esenciales.
• Consentimiento informado y granular: el banner identifica brevemente las finalidades (entender de dónde vienen los visitantes y mejorar Guapu) y enlaza a esta Política de Cookies y a la Política de Privacidad para que decidas con información suficiente. Cuando habilitemos un control granular por categoría, podrás aceptar unas categorías y rechazar otras.

6. 6. Cómo retirar o cambiar tu consentimiento en cualquier momento

Tu consentimiento es revocable en todo momento, sin que ello afecte la licitud del tratamiento previo a la revocación. Disponemos de un centro de preferencias de cookies reabrible, accesible desde el enlace "Preferencias de cookies" del pie de página de guapu.io, donde puedes:

• Cambiar tu elección anterior (por ejemplo, pasar de "Aceptar todas" a "Solo las necesarias", o viceversa).
• Retirar tu consentimiento a las categorías no esenciales, lo que detiene la analítica, la atribución y el marketing basados en cookies hacia adelante.
• Volver a abrir el banner para revisar las finalidades y los enlaces a esta Política y a la Política de Privacidad.

7. 7. Señales de privacidad del navegador: Global Privacy Control y Do Not Track

Algunos navegadores y extensiones permiten emitir señales automáticas de privacidad: la señal Global Privacy Control (GPC), que comunica de forma legible por máquina tu rechazo a la venta o el intercambio de tus datos y a ciertos tratamientos de marketing, y la antigua señal Do Not Track (DNT), que pedía no ser rastreado.

Nuestro compromiso respecto de estas señales es el siguiente:

• Global Privacy Control (GPC): trataremos una señal GPC válida emitida por tu navegador como una retirada o denegación de consentimiento para las categorías no esenciales (analítica, atribución y marketing). En la práctica, cuando detectemos GPC activo, no activaremos las cookies de atribución de UTM, el beacon ni los identificadores de marketing de terceros, y daremos prioridad a esa señal sobre una aceptación previa en el banner.
• Do Not Track (DNT): dado que no existe un estándar uniforme de la industria sobre cómo responder a DNT, históricamente muchos servicios no le dan un efecto único. Guapu, no obstante, atenderá la señal DNT con el mismo criterio conservador que GPC siempre que sea técnicamente viable: ante DNT activo, nos abstendremos de activar cookies no esenciales de seguimiento.

8. 8. Cookies de terceros (analítica, Stripe, Meta) y subprocesadores relacionados

Algunas tecnologías que aparecen al usar Guapu provienen de proveedores externos (terceros) que actúan como subprocesadores o como destinatarios de datos. A continuación describimos los principales en relación con cookies y tecnologías de medición; la lista completa de subprocesadores de Guapu y las garantías aplicables figuran en la Política de Privacidad (https://guapu.io/privacy).

• Supabase Inc. (Estados Unidos / UE): infraestructura de base de datos y autenticación. Establece la cookie esencial de sesión (sb-...-auth-token) en el dominio de Guapu para mantenerte conectado. No es una cookie de marketing.
• Vercel Inc. (Estados Unidos): hosting, CDN y enrutamiento de borde de la aplicación. Puede establecer cookies técnicas de balanceo/enrutamiento estrictamente necesarias. No se utiliza para perfilado publicitario.
• Stripe Inc. (Estados Unidos / Irlanda): procesamiento de pagos. Cuando se carga un formulario o página de pago de Stripe (cobros generados por el agente de Ventas o la facturación de tu suscripción a Guapu), Stripe establece cookies propias (por ejemplo, __stripe_mid y __stripe_sid) con fines de prevención de fraude y funcionamiento del pago. Guapu no almacena los números de tarjeta; los datos de la tarjeta los gestiona Stripe directamente.
• Meta Platforms Inc. (Estados Unidos / Irlanda): además de operar los canales de mensajería (WhatsApp Business, Instagram, Facebook Messenger), Meta puede actuar como proveedor de medición publicitaria si Guapu habilita su píxel o su Conversions API. En ese caso, y solo con tu consentimiento, pueden establecerse identificadores como _fbp o leerse parámetros de clic de anuncios (fbclid) para medir conversiones. Esta funcionalidad pertenece a la categoría de marketing y está sujeta a opt-in.
• Proveedores de analítica de terceros: a la fecha de esta Política, Guapu no utiliza una plataforma de analítica de terceros basada en cookies en sus páginas públicas. Si llegáramos a incorporarla, se clasificaría como analítica, requeriría tu consentimiento previo y se añadiría a la tabla de la sección 4.

9. 9. Base legal por categoría y tus derechos como titular

Resumimos la base legal aplicable a cada categoría y los derechos que puedes ejercer. Para las cookies estrictamente necesarias, la base es la ejecución del contrato y el interés legítimo en la seguridad y el funcionamiento del Servicio; no requieren consentimiento. Para las cookies funcionales, analíticas, de atribución y de marketing, la base es tu consentimiento previo, expreso e informado.

Como titular de los datos personales tratados a través de cookies, y de acuerdo con la Ley 1581 de 2012 de Colombia y el GDPR cuando resulte aplicable, tienes derecho a:

• Conocer qué cookies usamos y con qué finalidad (esta Política y la tabla de la sección 4 sirven a ese fin).
• Otorgar, negar y retirar tu consentimiento a las categorías no esenciales en cualquier momento, sin que ello afecte el tratamiento previo.
• Acceder, actualizar y rectificar los datos asociados, y solicitar su supresión cuando proceda.
• Oponerte o restringir el tratamiento con fines de analítica, atribución o marketing.
• Solicitar prueba de la autorización otorgada y presentar consultas o reclamos.
• Acudir a la autoridad de protección de datos competente: en Colombia, la Superintendencia de Industria y Comercio (SIC); o, si te encuentras en el EEE, la autoridad de control de tu país.

10. 10. Reconciliación con la Política de Privacidad

La versión vigente de la Política de Privacidad de Guapu indica, en su sección de cookies, que "no usamos cookies de publicidad ni de seguimiento cross-site". Esta Política de Cookies precisa y corrige ese punto para reflejar el funcionamiento real del Servicio: Guapu sí utiliza cookies de origen de atribución de marketing (guapu_anon_id, guapu_first_touch, guapu_last_touch) junto con un beacon que envía esos datos a nuestro servidor, y puede habilitar identificadores de terceros de marketing (por ejemplo, Meta). Por tanto, la afirmación absoluta de que "no usamos cookies de seguimiento" no es exacta y queda matizada de la siguiente forma:

• Guapu utiliza tecnologías de atribución y, potencialmente, de marketing, que son cookies/beacons de seguimiento a efectos de esta Política.
• Estas tecnologías están condicionadas a tu consentimiento previo: no se activan si no las aceptas, y se desactivan si las rechazas o retiras tu consentimiento, o ante una señal GPC válida.
• Salvo que habilitemos expresamente un píxel de terceros con tu consentimiento (por ejemplo, Meta), la atribución de Guapu se basa en cookies de origen y medición en nuestro propio servidor, no en cookies de terceros de seguimiento cross-site.

11. 11. Cambios a esta Política, versión y contacto

Podemos actualizar esta Política de Cookies para reflejar cambios en las tecnologías que usamos, en nuestros proveedores o en la normativa aplicable. Cuando los cambios sean sustanciales, lo comunicaremos por los medios habituales (por ejemplo, aviso en el sitio o, para titulares de cuenta, por correo electrónico) y actualizaremos la fecha que figura a continuación. Te recomendamos revisar esta página periódicamente.

Versión del documento: 1.0. Fecha de última actualización: 2026.

Para cualquier pregunta sobre esta Política de Cookies o para ejercer tus derechos, escribe a privacidad@guapu.io (asuntos de datos y privacidad) o a hi@guapu.io (contacto general). Responsable del tratamiento: [ENTIDAD LEGAL], [NIT], con domicilio en [DOMICILIO]. Estos datos registrales deben ser verificados y completados por el equipo legal de Guapu antes de la publicación definitiva.