Política de Mensajería y Antispam de Guapu

1. 0. Resumen en lenguaje sencillo

Esta página explica las reglas para enviar mensajes por WhatsApp y correo usando Guapu. Está escrita para que cualquier persona la entienda, aunque también sirve como documento legal.

En pocas palabras:

• Solo escribe a quien te autorizó. Necesitas el permiso (opt-in) de cada persona ANTES de enviarle el primer mensaje, documentado por cada canal, y debes poder demostrarlo.
• Respeta siempre las bajas. Si alguien escribe STOP, CANCELAR, BAJA o usa el enlace de cancelación, deja de escribirle. En correo, la baja se honra a más tardar en 10 días hábiles; en WhatsApp y demás canales de mensajería, de inmediato.
• Cumple las reglas de WhatsApp y Meta. Fuera de la ventana de 24 horas de atención al cliente solo puedes usar plantillas aprobadas en su categoría correcta (utilidad, autenticación o marketing); no se permite spam, rubros prohibidos ni mensajes no solicitados.
• Cumple las leyes antispam de tu público. Si tus destinatarios pueden estar en Estados Unidos aplica CAN-SPAM; si pueden estar en Canadá aplica CASL; y siempre aplican las normas de protección de datos que correspondan (Colombia, Unión Europea, América Latina).
• Nada de listas compradas. No puedes usar listas compradas, alquiladas, raspadas (scraping) ni de origen ilícito o desconocido. Tú garantizas que tus contactos son legales y que tienes su permiso.
• Guapu es la herramienta, tú eres el remitente. Guapu es un proveedor tecnológico (tech provider) que procesa los datos por instrucción tuya (como encargado), pero el contenido, el público, el origen de las listas y la legalidad del envío los decides y respondes tú. Si Meta te sanciona o bloquea, la responsabilidad es tuya.
• Si abusas, te suspendemos. Quejas de spam, número marcado como de baja calidad por WhatsApp, bloqueos masivos o conductas prohibidas nos permiten limitar o suspender tu envío para proteger la plataforma y a los demás clientes.

2. 1. Objeto, ámbito y definiciones

Esta Política de Mensajería y Antispam (la "Política") regula todo envío de mensajes salientes que un Cliente realice a través de Guapu ("el Servicio", guapu.io), ya sea por canales de mensajería (WhatsApp Business, Instagram Direct, Facebook Messenger, Telegram, SMS) o por correo electrónico. El Servicio es operado por [RAZÓN SOCIAL] ([ENTIDAD LEGAL], [NIT]), con domicilio en [DOMICILIO] (Building A1, Dubai Digital Park, Dubai Silicon Oasis, Emiratos Árabes Unidos).

Esta Política forma parte integral de los Términos de Servicio y del Acuerdo de Tratamiento de Datos (DPA) de Guapu. En caso de conflicto entre esta Política y las políticas de las plataformas de terceros (Meta, WhatsApp), prevalecen las de la plataforma respectiva en lo que les concierne; el incumplimiento de aquellas constituye también incumplimiento de esta Política.

Para efectos de claridad, definimos los siguientes términos:

• "Cliente" o "tenant": la organización que contrata Guapu y opera sus canales conectados. Es el remitente de los mensajes y el Responsable del tratamiento de los datos de sus contactos.
• "Guapu" o "nosotros": [RAZÓN SOCIAL], proveedor tecnológico de la plataforma (tech provider / technology provider). Actúa como Encargado del tratamiento (procesador) por cuenta y bajo instrucciones del Cliente respecto de los datos de mensajería. Guapu no es el remitente de los mensajes del Cliente.
• "Proveedor tecnológico" (tech provider): la condición en que Guapu opera frente a Meta/WhatsApp; provee la tecnología que permite al Cliente enviar y recibir mensajes, pero no origina ni decide el contenido, el público ni la finalidad de los envíos del Cliente.
• "Remitente" (sender): el Cliente, única parte responsable de iniciar la comunicación, de su contenido, del consentimiento de los destinatarios y del cumplimiento legal de cada envío.
• "Usuario final" o "contacto": la persona que recibe los mensajes del Cliente o que escribe a sus canales (por WhatsApp, Instagram, Facebook, Telegram, SMS o correo).
• "Opt-in" (consentimiento de entrada): autorización previa, informada e inequívoca de un usuario final para recibir mensajes de un Cliente por un canal determinado, documentada y demostrable por canal.
• "Opt-out" (baja): la acción del usuario final de retirar ese consentimiento y dejar de recibir mensajes (p. ej. responder STOP, BAJA, CANCELAR, o usar un enlace de cancelación).
• "Plantilla" (template): mensaje preformateado y aprobado por WhatsApp/Meta que el Cliente puede enviar fuera de la ventana de 24 horas, dentro de la categoría que le corresponde (utilidad, autenticación o marketing).
• "Ventana de 24 horas" (customer service window / ventana de atención al cliente): periodo de 24 horas en que el Cliente puede responder con mensajes de formato libre tras el último mensaje del usuario final; fuera de ella solo caben plantillas aprobadas.
• "Spam": cualquier mensaje no solicitado, masivo, engañoso o enviado sin consentimiento válido, o que vulnere las reglas de la plataforma o la ley aplicable.

3. 2. Principio rector: consentimiento y reparto de responsabilidad

El principio central de esta Política es simple: no se envía nada a quien no lo autorizó. El consentimiento del usuario final no es opcional ni una formalidad; es la condición legal y técnica para usar las funciones de mensajería de Guapu.

El reparto de responsabilidad entre Guapu (plataforma y proveedor tecnológico) y el Cliente (remitente y responsable) es el siguiente y se aplica de forma estricta:

• El Cliente es el remitente y Responsable. Decide a quién escribe, qué contenido envía, con qué frecuencia y con qué propósito. Garantiza la licitud, exactitud, origen y procedencia de sus listas; obtiene, documenta y conserva el opt-in por canal; honra las bajas; e identifica correctamente su identidad como remitente. El Cliente responde frente a los usuarios finales, frente a las autoridades de protección de datos y frente a Meta/WhatsApp por el contenido y la legalidad de sus envíos.
• Guapu es la plataforma, el proveedor tecnológico y el Encargado. Provee la infraestructura técnica (bandeja, agentes de IA, conectores, plantillas, registro de consentimiento, mecanismos de baja). Procesa los datos de mensajería únicamente por instrucciones documentadas del Cliente y conforme al DPA. Guapu no es el remitente, no determina las finalidades de marketing del Cliente ni audita previamente cada mensaje, pero sí impone estas reglas, monitorea señales de abuso y puede suspender el envío.
• La carga de la prueba del consentimiento recae siempre en el Cliente. Guapu puede facilitar el registro de la fuente y fecha del opt-in, pero la obligación de obtenerlo, documentarlo por canal, conservarlo y exhibirlo ante una autoridad o ante Meta es del Cliente.
• Frente a Meta/WhatsApp, Guapu actúa como proveedor tecnológico y el Cliente como remitente responsable. Esta calificación rige todas las relaciones derivadas del uso de los canales de Meta: las obligaciones de remitente (consentimiento, contenido, categorías, calidad del número) son del Cliente; las de proveedor tecnológico (operar la integración conforme a los términos de la plataforma) son de Guapu.

4. 3. Cumplimiento de la WhatsApp Business Messaging Policy y los Meta Platform Terms

Cuando el Cliente conecta WhatsApp, Instagram o Facebook Messenger a Guapu, queda obligado a cumplir, además de esta Política, las normas de Meta vigentes en cada momento, en particular la WhatsApp Business Messaging Policy, los Meta Platform Terms, los WhatsApp Business Solution Terms y las Políticas de Comercio de WhatsApp y de Meta. Estas normas son condición de uso de los canales de Meta y su incumplimiento puede acarrear la limitación, suspensión o eliminación de la cuenta de WhatsApp Business (WABA) o del número del Cliente, sanciones que Meta aplica directamente y que Guapu no puede revertir.

En esta relación, Guapu actúa como proveedor tecnológico (tech provider) que habilita la conexión con las plataformas de Meta, y el Cliente es el remitente responsable de los mensajes, de su contenido y del consentimiento de los destinatarios. La obligación de cumplir las normas de Meta es del Cliente como remitente; Guapu no responde por los incumplimientos del Cliente frente a Meta.

El Cliente se obliga específicamente a lo siguiente:

• Opt-in previo, documentado y por canal. Antes de enviar el primer mensaje por WhatsApp, el Cliente debe haber obtenido el opt-in del usuario final por un medio que deje constancia, identificando claramente a la empresa y dejando claro que el usuario recibirá mensajes por WhatsApp de ese remitente. El opt-in es por canal: el consentimiento para correo o SMS no habilita WhatsApp, y viceversa. Puede recogerse dentro o fuera de WhatsApp (formulario web, casilla, mensaje del propio usuario iniciando la conversación, etc.), pero siempre debe quedar documentado y ser demostrable por el canal específico.
• Ventana de 24 horas de atención al cliente. La ventana de 24 horas (customer service window) es el periodo de 24 horas contado desde el último mensaje del usuario final dentro del cual el Cliente puede responder con mensajes de formato libre. Una vez transcurrida esa ventana, el Cliente solo puede volver a escribir mediante plantillas aprobadas por WhatsApp; cualquier mensaje iniciado por la empresa fuera de la ventana requiere plantilla. Guapu refleja técnicamente el estado de la ventana en la bandeja, pero el respeto a sus límites es responsabilidad del Cliente.
• Categorías de plantillas correctas (utilidad, autenticación, marketing). Toda plantilla debe estar aprobada por WhatsApp y enviarse en la categoría que le corresponde según su contenido: utilidad (utility: confirmaciones, actualizaciones de pedido, recordatorios u otra información ligada a una transacción o solicitud específica del usuario), autenticación (authentication: códigos de verificación y de un solo uso) y marketing (marketing: promociones, ofertas, novedades, recuperación de carrito y cualquier mensaje promocional). Está prohibido camuflar mensajes de marketing como utilidad o autenticación para evadir restricciones o costos, así como usar plantillas con contenido distinto al aprobado. WhatsApp puede recategorizar o rechazar plantillas mal clasificadas, y el Cliente asume esa consecuencia.
• Contenidos y comercios prohibidos. El Cliente no usará WhatsApp ni los canales de Meta para promover bienes o servicios prohibidos por las Políticas de Comercio de Meta/WhatsApp (entre otros: drogas ilegales o recreativas, tabaco y vapeo, armas y municiones, productos sexuales o para adultos, juego de azar no autorizado, productos médicos o sanitarios restringidos, suplementos peligrosos, criptoactivos cuando la política lo restrinja, productos falsificados, animales vivos, servicios financieros engañosos, esquemas multinivel o de enriquecimiento rápido) ni para contenido prohibido (engaño, suplantación, acoso, discurso de odio, contenido sexual infantil, violencia, desinformación dañina).
• No reventa ni uso no autorizado de la plataforma de Meta. Conforme a los Meta Platform Terms, el Cliente y Guapu no venderán, licenciarán ni transferirán a terceros los datos obtenidos de las plataformas de Meta, ni los usarán para fines distintos a la operación del Servicio para el Cliente. No se construirán perfiles para fines no autorizados ni se transferirán datos de Meta a brokers de datos.
• Calidad y reputación del número. El Cliente mantendrá una calidad de envío adecuada (quality rating) evitando bloqueos y reportes. WhatsApp asigna límites de mensajería (messaging limits / tiers) y un indicador de calidad por número; las conductas que degraden ese indicador son responsabilidad del Cliente.

5. 4. Obligación del tenant: opt-in demostrable y gestión de bajas

El Cliente debe poseer, para cada contacto al que escriba, un opt-in demostrable: un registro que permita acreditar quién consintió, cuándo, por qué medio y para qué canal y finalidad. El opt-in se documenta por canal. Esto aplica tanto a los usuarios finales de WhatsApp y demás canales como a los contactos que el Cliente cargue manualmente, importe desde un archivo o sincronice desde una integración (Shopify, WooCommerce, Mercado Libre, Tiendanube, Mailchimp, etc.).

En materia de protección de datos de América Latina y Europa, este consentimiento debe cumplir, según corresponda, la autorización previa, expresa e informada exigida por la Ley 1581 de 2012 y el Decreto 1377 de 2013 de Colombia (donde la carga de la prueba recae en el Responsable), y los requisitos de licitud y consentimiento del GDPR de la Unión Europea. El Cliente es el Responsable de ese tratamiento; Guapu actúa como Encargado.

Respecto de las bajas, el Cliente se obliga a:

• Honrar toda solicitud de baja sin demora. Cuando un usuario final solicite dejar de recibir mensajes —respondiendo STOP, BAJA, CANCELAR, NO, o equivalentes, o usando un enlace de cancelación— el Cliente debe suprimir ese contacto de sus envíos. En canales de mensajería, el cese debe ser inmediato; en correo, el plazo máximo es el legal aplicable (a más tardar 10 días hábiles bajo CAN-SPAM; ver las secciones de CAN-SPAM y CASL).
• No reenviar a quien se dio de baja. Una vez registrada la baja, está prohibido volver a contactar a esa persona por el mismo canal salvo que vuelva a otorgar un nuevo opt-in inequívoco.
• No exigir condiciones para la baja. La baja debe ser gratuita, sencilla y no puede condicionarse a que el usuario entregue datos adicionales, pague, inicie sesión o explique motivos.
• Respetar los derechos del titular. El Cliente atenderá las solicitudes de conocer, actualizar, rectificar, suprimir y revocar la autorización, así como de oposición y portabilidad, en los plazos de la normativa aplicable (en Colombia, consultas en 10 días hábiles prorrogables y reclamos en 15 días hábiles prorrogables). Guapu pone a disposición herramientas para localizar y eliminar datos, pero la atención al titular es del Cliente como Responsable.
• Responsabilidad frente a Meta. El Cliente responde directamente ante Meta/WhatsApp por la validez del opt-in y por el respeto a las bajas. Si Meta limita, suspende o elimina el número o la WABA del Cliente por falta de consentimiento, reportes de spam o bloqueos, esa consecuencia y sus efectos comerciales son de cuenta y riesgo del Cliente.

6. 5. Origen y legalidad de las listas: prohibición de listas compradas

El Cliente es el único responsable de la legalidad, el origen y el consentimiento de todas sus listas de contactos, sin importar el canal (WhatsApp, demás canales de mensajería o correo). Antes de cargar, importar, sincronizar o usar cualquier lista en Guapu, el Cliente garantiza que cada contacto fue obtenido lícitamente y que existe un opt-in válido y demostrable para el canal por el que se le escribirá.

Queda terminantemente prohibido usar en Guapu, por cualquier canal:

• Listas compradas o alquiladas a terceros, así como bases de datos adquiridas, intercambiadas o cedidas sin consentimiento de los titulares para recibir mensajes del Cliente.
• Listas obtenidas por raspado (scraping) de sitios web, redes sociales, directorios, marketplaces o cualquier fuente, o extraídas de plataformas de terceros sin autorización.
• Listas de origen ilícito, dudoso o desconocido, o respecto de las cuales el Cliente no pueda acreditar cómo y cuándo se obtuvo el consentimiento.
• Listas de contactos que se dieron de baja, o que nunca otorgaron opt-in para el canal específico por el que se les pretende escribir.
• Datos de menores fuera de los supuestos legales, o datos sensibles sin la autorización explícita y las advertencias que la ley exige.

7. 6. Correo electrónico comercial: CAN-SPAM (Estados Unidos)

Cuando el Cliente envíe correo electrónico comercial que pueda alcanzar a destinatarios en Estados Unidos, deberá cumplir la ley CAN-SPAM Act de 2003. Esta ley se aplica al correo cuyo propósito principal es promover un producto o servicio, e impone obligaciones que el Cliente, como remitente, debe respetar. Guapu provee la herramienta de envío; el cumplimiento de CAN-SPAM corresponde al Cliente como remitente:

• Identificación veraz del remitente. La información de "De", "Para", el nombre de dominio y la dirección de origen, así como los encabezados de enrutamiento, deben identificar con exactitud y de forma no engañosa a quien envía. No se permite suplantar, falsear ni ocultar al remitente real.
• Línea de asunto no engañosa. La línea de asunto debe reflejar de forma honesta el contenido del mensaje. Está prohibido inducir a error sobre el contenido o el propósito del correo.
• Identificación como publicidad. El mensaje debe revelar de forma clara y visible que es una comunicación comercial o publicitaria, cuando corresponda.
• Dirección postal física válida. Todo correo comercial debe incluir una dirección postal física real y vigente del remitente (una dirección de calle válida, un apartado postal registrado ante el servicio postal, o un buzón comercial registrado conforme a la ley).
• Mecanismo de baja (opt-out) claro y funcional. Cada correo debe incluir una forma evidente y operativa de darse de baja, que el destinatario pueda usar sin costo y que permanezca funcional durante al menos 30 días después del envío.
• Baja honrada en 10 días hábiles. Las solicitudes de baja deben procesarse y hacerse efectivas en un máximo de 10 días hábiles, tras lo cual no podrá enviarse más correo comercial a esa dirección. No se permite vender, ceder, alquilar ni transferir las direcciones de quienes se dieron de baja.
• Responsabilidad por terceros. El Cliente sigue siendo el remitente responsable aunque contrate a un tercero para sus envíos; no puede trasladar el cumplimiento de CAN-SPAM a Guapu ni a otro proveedor.

8. 7. Correo electrónico comercial: CASL (Canadá)

Cuando el Cliente envíe Mensajes Electrónicos Comerciales (CEM, por su sigla en inglés) que puedan alcanzar a destinatarios en Canadá, deberá cumplir la Canadian Anti-Spam Legislation (CASL). CASL es una de las normas antispam más estrictas del mundo y exige, por regla general, consentimiento antes del envío. Guapu provee la herramienta; el cumplimiento de CASL corresponde al Cliente como remitente:

• Consentimiento expreso o tácito previo. Como regla, se requiere consentimiento expreso del destinatario antes de enviarle un CEM. CASL admite un consentimiento tácito (implícito) limitado en supuestos definidos (por ejemplo, una relación comercial o no comercial existente dentro de los plazos legales, o la divulgación pública de una dirección sin aviso de no contacto), pero el Cliente debe poder acreditar la base en que se ampara.
• Identificación clara del remitente. Todo CEM debe identificar con claridad a la persona o empresa que envía (y, si aplica, en cuyo nombre se envía), con información de contacto válida y vigente durante al menos 60 días después del envío.
• Enlace o mecanismo de baja funcional. Cada CEM debe incluir un mecanismo de exclusión (enlace de baja) sencillo, sin costo, que permita darse de baja fácilmente. La baja debe procesarse sin demora y, a más tardar, en el plazo legal aplicable (10 días hábiles bajo CASL).
• Carga de la prueba. Bajo CASL, la carga de probar el consentimiento recae en quien envía. El Cliente debe conservar registros del consentimiento de cada destinatario canadiense.
• Alcance amplio. CASL aplica a correo y, según el caso, a otros mensajes electrónicos comerciales. El Cliente es responsable de evaluar su exposición cuando su público incluya residentes en Canadá.

9. 8. WhatsApp por gateway no oficial (Baileys / Evolution API): riesgo y asunción por el Cliente

Guapu ofrece dos formas de conectar WhatsApp. El Cliente debe entender la diferencia antes de elegir, porque el nivel de riesgo es muy distinto.

La primera y recomendada es la WhatsApp Business Cloud API oficial de Meta, que cumple los términos de WhatsApp, respeta la ventana de 24 horas y las plantillas aprobadas, y ofrece estabilidad y soporte. Es la vía adecuada para envíos a escala y para cualquier operación que requiera previsibilidad.

La segunda es la conexión por código QR mediante un gateway no oficial basado en la biblioteca Baileys, operado a través de Evolution API. En la infraestructura actual de Guapu, este gateway corre como software auto-hospedado (self-hosted) en un servidor (VPS) gestionado por la operación de Guapu/MENDEZ GROWTH a través de Hostinger, fuera de las APIs oficiales de Meta. Respecto de esta modalidad, el Cliente reconoce y acepta expresamente lo siguiente:

• No es un canal oficial de Meta. Baileys/Evolution API no está sancionado por WhatsApp ni se rige por los WhatsApp Business Solution Terms. Su uso puede contravenir los Términos de Servicio de WhatsApp.
• Riesgo de bloqueo o baneo del número. WhatsApp puede detectar, limitar, suspender o banear de forma permanente el número de teléfono conectado por esta vía, sin previo aviso y sin posibilidad de apelación efectiva. Ese riesgo es inherente a la modalidad no oficial.
• Sin garantías de disponibilidad ni de entrega. La sesión puede caerse, requerir reescaneo del QR o dejar de funcionar si WhatsApp cambia su protocolo. Guapu no garantiza continuidad, entregabilidad ni soporte equivalente al de la API oficial para esta vía.
• Recomendación expresa de la Cloud API oficial. Guapu recomienda usar la WhatsApp Business Cloud API oficial para cualquier uso serio o a escala, y reservar la conexión por QR para pruebas o casos de bajo volumen y bajo riesgo.
• Asunción de riesgo por el Cliente. El Cliente que elige conectar WhatsApp por Baileys/Evolution API asume íntegramente el riesgo de pérdida del número, interrupción del servicio y eventuales sanciones de WhatsApp. En la máxima medida permitida por la ley, Guapu no será responsable de los daños derivados del uso de esta modalidad no oficial.

10. 9. Conductas prohibidas

Con independencia del canal, queda terminantemente prohibido usar Guapu para cualquiera de las siguientes conductas. Esta lista es enunciativa, no taxativa:

• Enviar mensajes a personas que no otorgaron opt-in válido y documentado, o que se dieron de baja.
• Comprar, alquilar, raspar (scraping), intercambiar o usar listas de contactos obtenidas sin consentimiento o de origen ilícito o desconocido.
• Enviar spam: mensajes masivos no solicitados, en serie, repetitivos o de alta frecuencia abusiva.
• Falsear la identidad del remitente, el asunto, los encabezados o el propósito del mensaje, o suplantar a otra persona o empresa.
• Eludir la ventana de 24 horas, las categorías de plantillas (utilidad, autenticación, marketing) o cualquier control de WhatsApp/Meta mediante engaño o categorización incorrecta.
• Promover bienes, servicios o contenidos prohibidos por las políticas de Meta/WhatsApp o por la ley aplicable (ver sección 3).
• Enviar contenido fraudulento, engañoso, phishing, malware, estafas, esquemas piramidales o de enriquecimiento rápido.
• Acosar, amenazar, discriminar o difundir discurso de odio, contenido sexual infantil, violencia o desinformación dañina.
• Recolectar o tratar datos sensibles (salud, religión, orientación sexual, datos biométricos, origen racial, convicciones) sin la autorización explícita y las advertencias que la ley exige, o tratar datos de menores fuera de los supuestos legales.
• Ignorar o demorar el procesamiento de bajas, o condicionarlas indebidamente.
• Usar la plataforma para revender datos de Meta o de otras plataformas, o para finalidades no autorizadas por estas políticas o por los términos de las plataformas conectadas.
• Realizar pruebas de envío contra audiencias reales del Cliente o de terceros; las pruebas deben hacerse contra los propios contactos del Cliente que hayan consentido o contra los entornos de prueba que Guapu provea.

11. 10. Medidas anti-ban y buenas prácticas de envío

Para proteger la reputación del número y la cuenta del Cliente, y la salud de la plataforma para todos los tenants, Guapu recomienda y, cuando es técnicamente posible, aplica medidas para reducir el riesgo de bloqueo. El Cliente se compromete a colaborar con ellas:

• Calentamiento gradual del número. Iniciar con volúmenes bajos e incrementarlos progresivamente, en lugar de enviar grandes volúmenes desde un número nuevo.
• Segmentación y relevancia. Escribir solo a quienes esperan el mensaje y con contenido pertinente, para minimizar bloqueos y reportes.
• Plantillas correctas y de calidad. Usar plantillas aprobadas, bien redactadas, en la categoría adecuada, con valor real para el destinatario.
• Respeto de límites de mensajería. Mantenerse dentro de los messaging limits/tiers asignados por WhatsApp y no forzar volúmenes que disparen restricciones.
• Vigilancia del indicador de calidad. Monitorear el quality rating y reaccionar (reduciendo volumen, mejorando contenido) cuando baje.
• Frecuencia razonable. Evitar la sobrecarga de mensajes a un mismo contacto en periodos cortos.
• Inclusión de salida de baja. Ofrecer siempre una vía clara para dejar de recibir mensajes.

12. 11. Quejas de spam, señales de calidad y derecho de suspensión por abuso

Las sanciones que Meta, WhatsApp o un proveedor de correo impongan directamente al Cliente (limitación, suspensión o eliminación de su número, WABA, dominio o reputación de envío) son consecuencia de la conducta del Cliente como remitente y no generan responsabilidad para Guapu. El derecho de Guapu a suspender por abuso es adicional e independiente de cualquier acción que tomen las plataformas de terceros. Ante quejas de spam, señales de baja calidad o conductas prohibidas, Guapu podrá:

• Solicitar al Cliente prueba del opt-in de los contactos afectados.
• Requerir cambios en el contenido, la frecuencia o la segmentación de los envíos.
• Aplicar límites temporales de volumen (throttling) o pausar campañas concretas.
• Suspender total o parcialmente la capacidad de envío del Cliente, por canal o en su conjunto.
• Suspender o terminar la cuenta del Cliente en casos de abuso grave, reiterado o que ponga en riesgo la cuenta de Guapu ante Meta u otros proveedores.
• Atender y dar trámite a las quejas de usuarios finales y de terceros, y cooperar con Meta y con las autoridades cuando proceda.

13. 12. Tratamiento de los datos de mensajería: Guapu como Encargado

Los datos de mensajería que se procesan al usar el Servicio —números de teléfono o usuarios de WhatsApp, Instagram, Facebook, Telegram o SMS; nombres; contenido de los mensajes (texto, imágenes, stickers, notas de voz, documentos); metadatos de canal; estado de consentimiento y de baja— son tratados por Guapu en condición de Encargado del tratamiento (procesador), por cuenta y bajo las instrucciones documentadas del Cliente, que es el Responsable.

Esto significa, en concreto:

• Instrucciones del Cliente. Guapu trata los datos de mensajería solo para prestar el Servicio (recibir, almacenar, enrutar y enviar mensajes; operar los agentes de IA; mantener el registro de consentimiento y de bajas) según lo que el Cliente configura e instruye, y conforme al DPA.
• Subprocesadores bajo contrato. Para operar la mensajería intervienen subprocesadores, cada uno bajo acuerdo de tratamiento (DPA): Supabase (base de datos y almacenamiento de mensajes y adjuntos), Vercel (hosting y ejecución), Meta (WhatsApp Cloud API, Instagram, Facebook), Evolution API auto-hospedado sobre Hostinger (gateway WhatsApp por QR cuando el Cliente lo elige), Resend (correo transaccional), Stripe (pagos), y los proveedores de IA (Anthropic, Groq, OpenAI y, si se configura, Google) que generan respuestas y transcriben notas de voz. La lista completa y actualizada de subprocesadores está disponible en la Política de Privacidad de Guapu y bajo solicitud a privacidad@guapu.io.
• No reventa de datos de plataforma. Conforme a los Meta Platform Terms, ni Guapu ni el Cliente venderán, licenciarán ni cederán a terceros los datos obtenidos de las plataformas de Meta, ni los usarán para fines distintos de operar el Servicio para el Cliente. Los datos de mensajería no se comparten con brokers de datos ni se usan para entrenar modelos de IA de terceros (los DPAs con los proveedores de IA prohíben ese uso).
• Transmisión internacional. Parte del procesamiento ocurre en Estados Unidos, la Unión Europea y los Emiratos Árabes Unidos. Esta transmisión a Encargados se ampara en los contratos de tratamiento correspondientes y, para flujos desde la UE/EEE, en las Cláusulas Contractuales Tipo (SCCs). En el marco colombiano se trata de una transmisión a Encargado, regida por el contrato de transmisión, distinta de una transferencia a otro Responsable.
• Seguridad. Guapu aplica cifrado en tránsito (TLS 1.3) y en reposo (AES-256), Row-Level Security en base de datos, control de acceso y cifrado de los tokens de las integraciones del Cliente (AES-256-GCM), entre otras medidas técnicas y organizativas.
• Responsabilidad del Cliente como Responsable. La definición de las finalidades, la base de legitimación (consentimiento u otra), la atención a los titulares y, en su caso, las inscripciones registrales aplicables (como el Registro Nacional de Bases de Datos ante la SIC en Colombia, cuando corresponda al Cliente) son responsabilidad del Cliente.

14. 13. Correo transaccional y de marketing: footer de baja y dirección postal

Los correos estrictamente transaccionales y de servicio (confirmación de compra, factura, recuperación de contraseña, alertas técnicas) que no contienen mensaje comercial tienen un tratamiento legal distinto y más flexible, pero no pueden usarse como vehículo encubierto de marketing. Si un correo mezcla contenido de servicio con promoción, prevalecen las exigencias del correo comercial (CAN-SPAM y CASL). El Cliente es el remitente responsable de configurar correctamente sus plantillas y de incluir estos elementos:

• Un pie de página (footer) con un mecanismo de baja claro, visible y funcional (enlace de cancelación o instrucción equivalente).
• La dirección postal física válida y vigente del Cliente como remitente.
• La identificación correcta y veraz del remitente (nombre comercial y, cuando aplique, la entidad en cuyo nombre se envía).
• Un asunto y unos encabezados veraces, no engañosos.

15. 14. Incumplimiento y consecuencias

El incumplimiento de esta Política constituye una violación de los Términos de Servicio de Guapu y puede dar lugar, según la gravedad, a: requerimientos de subsanación; limitación o pausa de envíos; suspensión temporal o definitiva de la capacidad de mensajería o de la cuenta; y, cuando proceda, a la terminación del contrato. Estas medidas son sin perjuicio de las acciones que Meta, WhatsApp, los proveedores de correo o las autoridades competentes puedan ejercer directamente contra el Cliente.

El Cliente, en su condición de remitente y Responsable, mantendrá indemne a Guapu (proveedor tecnológico y Encargado) frente a reclamaciones, sanciones o daños derivados del incumplimiento de esta Política por su parte, incluyendo el envío sin consentimiento, el uso de listas compradas o ilícitas, la vulneración de las políticas de Meta/WhatsApp o de las leyes antispam (CAN-SPAM, CASL) y de protección de datos aplicables, en los términos previstos en los Términos de Servicio y el DPA.

16. 15. Cambios a esta Política

Guapu podrá actualizar esta Política para reflejar cambios legales, de las plataformas de terceros (Meta/WhatsApp), del stack técnico o de las prácticas del Servicio. Los cambios sustanciales se comunicarán con antelación razonable al titular de la cuenta por correo electrónico y mediante aviso en la aplicación. El uso continuado del Servicio tras la entrada en vigor de los cambios implica su aceptación.

Última actualización: 22 de junio de 2026.