Política de Tratamiento de Datos Personales · Guapu

1. Resumen en lenguaje sencillo

Guapu es un software (CRM) que ayuda a empresas y emprendedores de Latinoamérica a centralizar sus conversaciones de WhatsApp, Instagram, Facebook y otros canales, y a responder con agentes de inteligencia artificial. Para hacerlo, tratamos datos personales: los de la empresa que contrata Guapu y los de las personas que le escriben a esa empresa.

Este documento es la Política de Tratamiento de Datos Personales exigida por la ley colombiana (Ley 1581 de 2012 y Decreto 1377 de 2013). Explica quién es el responsable, qué datos recogemos, para qué los usamos, con qué proveedores los compartimos, cómo los protegemos y cuánto tiempo los guardamos.

Tienes derecho a conocer, actualizar, rectificar y suprimir tus datos, a revocar la autorización que diste y a pedir prueba de esa autorización. Si estás en la Unión Europea, además tienes los derechos del GDPR (acceso, rectificación, supresión, limitación, portabilidad y oposición). Para ejercerlos, escribe a privacidad@guapu.io.

2. 1. Objeto, alcance y marco legal

La presente Política de Tratamiento de Datos Personales (en adelante, la "Política") regula la recolección, almacenamiento, uso, circulación, transmisión, transferencia y supresión de los datos personales tratados por el Responsable con ocasión de la prestación del servicio de software como servicio (SaaS) denominado "Guapu" / "Guapu CRM" (en adelante, el "Servicio"), accesible a través del dominio guapu.io.

Guapu es una plataforma multi-tenant (es decir, que aloja de forma lógicamente separada a múltiples organizaciones clientes en una misma infraestructura) que centraliza comunicaciones de clientes provenientes de varios canales (WhatsApp Business, Instagram Direct, Facebook Messenger, Telegram, chat web y correo electrónico) y opera agentes de inteligencia artificial (IA) que asisten y responden de forma automatizada.

Esta Política es un documento de carácter vinculante y obligatorio, de naturaleza distinta al Aviso de Privacidad, y se publica de forma permanente y de fácil acceso, en cumplimiento del artículo 13 del Decreto 1377 de 2013.

• Colombia: Ley Estatutaria 1581 de 2012 (Régimen General de Protección de Datos Personales / Habeas Data) y su Decreto Reglamentario 1377 de 2013, junto con las instrucciones de la Superintendencia de Industria y Comercio (SIC).
• Unión Europea / Espacio Económico Europeo: Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, "GDPR"), aplicable cuando se traten datos de interesados ubicados en la UE/EEE en el marco de la oferta del Servicio.
• Ámbito de aplicación: la Política aplica a todos los datos personales tratados por el Responsable, tanto de los titulares de cuenta (las organizaciones que contratan Guapu) como de los usuarios finales (las personas que escriben a los canales conectados por dichas organizaciones).

3. 2. Identificación del Responsable del Tratamiento

El Responsable del Tratamiento de los datos personales recolectados a través del Servicio es la sociedad operadora de Guapu, cuyos datos de identificación registral son los siguientes (los marcadores entre corchetes deberán ser completados por el equipo legal con la información registral definitiva antes de la publicación de esta Política):

• Razón social: MENDEZ GROWTH CONSULTING - FZCO [ENTIDAD LEGAL — confirmar antes de publicar].
• Identificación tributaria: [NIT].
• Domicilio: [DOMICILIO]. Domicilio internacional declarado de la sociedad operadora: Building A1, Dubai Digital Park, Dubai Silicon Oasis, Emiratos Árabes Unidos.
• Correo de contacto general: hi@guapu.io.
• Correo para asuntos de protección de datos (consultas, reclamos y ejercicio de derechos): privacidad@guapu.io.
• Canal y área responsable de la atención en Colombia: el Área de Protección de Datos / Oficial de Privacidad, contactable en privacidad@guapu.io, encargada de atender peticiones, consultas y reclamos de los titulares. La dirección física y el teléfono de atención para titulares en Colombia se indicarán en [DOMICILIO] / [TELÉFONO] una vez completados por el equipo legal.

4. 3. Definiciones

Para la correcta interpretación de esta Política, se adoptan las definiciones de la Ley 1581 de 2012, el Decreto 1377 de 2013 y el GDPR. Las principales son:

• Titular: persona natural cuyos datos personales son objeto de Tratamiento. En Guapu, pueden ser titulares tanto las personas vinculadas al titular de cuenta como los usuarios finales.
• Titular de cuenta (Cliente o "tenant"): la organización (persona natural o jurídica) que contrata y administra una cuenta de Guapu para gestionar sus comunicaciones.
• Usuario final: la persona natural que escribe o interactúa con los canales conectados por un Cliente (por ejemplo, quien envía un mensaje de WhatsApp al número del Cliente).
• Dato personal: cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
• Dato sensible: aquel que afecta la intimidad del Titular o cuyo uso indebido puede generar discriminación (salud, vida sexual, orientación sexual, datos biométricos, origen racial o étnico, convicciones religiosas, filosóficas o políticas, entre otros).
• Tratamiento: cualquier operación sobre datos personales, como recolección, almacenamiento, uso, circulación o supresión.
• Responsable del Tratamiento: quien decide sobre la base de datos y/o el Tratamiento (rol que asume el Responsable identificado en la Sección 2 respecto de los datos de cuenta).
• Encargado del Tratamiento: quien realiza el Tratamiento por cuenta del Responsable (rol que asume Guapu respecto de los datos de usuarios finales que el Cliente gestiona; ver Sección 5).
• Autorización: consentimiento previo, expreso e informado del Titular para tratar sus datos.
• Aviso de Privacidad: comunicación dirigida al Titular en el momento de la recolección, con la información mínima del artículo 14 del Decreto 1377 de 2013, cuando no sea posible poner a su disposición la Política completa.
• Transferencia: envío de datos a otro Responsable, dentro o fuera del país.
• Transmisión: envío de datos a un Encargado para que los trate por cuenta del Responsable.

5. 4. Categorías de datos personales tratados

El Servicio trata dos grandes grupos de datos personales, que se distinguen para efectos de roles, finalidades y derechos:

• A. Datos de titulares de cuenta (organizaciones que contratan Guapu): nombre, correo electrónico y número de teléfono de las personas administradoras; datos de la organización (nombre comercial, industria, país); credenciales de acceso (la contraseña se almacena cifrada/hasheada mediante el proveedor de autenticación Supabase Auth; Guapu no conoce la contraseña en texto claro); rol y pertenencia a la organización (identificadores internos organization_id y role).
• B. Datos de facturación y pago de la cuenta: información de pago procesada por la pasarela Stripe (Guapu NO almacena números de tarjeta; los datos de la tarjeta los maneja directamente Stripe); registros contables y fiscales asociados a la suscripción.
• C. Logs y métricas de uso del Servicio: mensajes procesados, conversaciones, métricas de desempeño, conteo de resultados ("outcomes") y costos por turno de conversación (por ejemplo, tokens consumidos, modelo utilizado y costo, registrados en la entidad conversation_turns).
• D. Datos de usuarios finales (personas que escriben a los canales conectados del Cliente): nombre y número de teléfono o nombre de usuario en la plataforma de origen (WhatsApp, Instagram, Facebook, Telegram, chat web o email).
• E. Contenido de los mensajes intercambiados con la organización: texto y contenido multimedia (imágenes, stickers, notas de voz/audio y documentos).
• F. Información que el usuario final comparta voluntariamente (por ejemplo, correo electrónico, nombre de empresa), incluida la que el Servicio pueda extraer del propio mensaje mediante un componente de extracción de datos de contacto (lead-info-extractor).
• G. Metadatos de la conversación: marcas de tiempo (timestamps), canal de origen, idioma detectado y análisis de sentimiento de la conversación.
• H. Datos derivados del tratamiento por IA: transcripciones de notas de voz, descripciones automáticas de imágenes y stickers, clasificación de intención y resúmenes de contexto generados para que los agentes puedan responder.

6. 5. Roles: Responsable y Encargado en cada flujo

La calidad en que actúa el Responsable identificado en la Sección 2 varía según el tipo de dato, lo que determina las obligaciones aplicables conforme a la Ley 1581 de 2012 y al GDPR:

• Respecto de los datos de titulares de cuenta, facturación y uso del Servicio (categorías A, B y C), el operador de Guapu actúa como Responsable del Tratamiento, pues decide las finalidades y los medios.
• Respecto de los datos de usuarios finales que cada Cliente gestiona a través de sus canales (categorías D a H), el Cliente (tenant) es el Responsable del Tratamiento de los datos de sus propios contactos, y Guapu actúa como Encargado del Tratamiento, tratando dichos datos por cuenta y siguiendo las instrucciones del Cliente, exclusivamente para prestar la funcionalidad CRM contratada.
• En consecuencia, cada Cliente es responsable de contar con la autorización válida de sus usuarios finales y de atender, en primera línea, las solicitudes de estos respecto de los datos que el Cliente controla. Guapu, como Encargado, prestará la colaboración razonable y las herramientas necesarias (exportación, rectificación y supresión) para que el Cliente cumpla sus deberes.
• Bajo el GDPR, esta distinción equivale a la de Responsable (controller) y Encargado (processor) del artículo 28; el tratamiento por Guapu como Encargado se rige por el correspondiente acuerdo de tratamiento de datos (Data Processing Agreement, DPA).

7. 6. Finalidades del Tratamiento

Los datos personales se tratan para las siguientes finalidades, determinadas, explícitas y legítimas:

• Prestar el Servicio de CRM y operar los agentes de IA que asisten y responden a las comunicaciones de los canales conectados, de forma automatizada y disponible de manera continua.
• Recibir, almacenar, organizar, enrutar y responder los mensajes de los canales conectados (WhatsApp, Instagram, Facebook, Telegram, chat web, email), incluyendo la descarga y el procesamiento de contenido multimedia entrante.
• Generar respuestas mediante modelos de IA, lo que incluye transcribir notas de voz, describir imágenes y stickers, clasificar la intención del mensaje y construir el contexto necesario para la respuesta.
• Gestionar la relación contractual con el Cliente: registro, autenticación, administración de la cuenta, roles y permisos.
• Procesar pagos y administrar la suscripción al Servicio a través de Stripe, así como, cuando el Cliente lo active, generar enlaces de cobro a sus propios clientes finales (incluido el uso de Stripe Connect hacia la cuenta del Cliente).
• Enviar comunicaciones transaccionales y de servicio (bienvenida, facturas, alertas técnicas, restablecimiento de contraseña, enlaces de acceso e invitaciones) a través del proveedor de correo Resend.
• Cumplir obligaciones legales, contables, tributarias y de prevención de fraude y abuso.
• Mejorar el Servicio mediante análisis agregados y, en lo posible, anonimizados, así como mantener la seguridad, integridad y disponibilidad de la plataforma.
• Atender peticiones, consultas, reclamos y el ejercicio de derechos de los titulares.
• El Responsable NO vende ni alquila datos personales a terceros para fines de marketing.

8. 7. Autorización del Titular

El Tratamiento requiere la autorización previa, expresa e informada del Titular, obtenida antes de iniciar el Tratamiento y por un medio que permita conservar prueba de ella. De conformidad con el artículo 9 de la Ley 1581 de 2012 y los artículos 5 a 7 del Decreto 1377 de 2013, la carga de probar la autorización recae en el Responsable.

La autorización puede constar por escrito, de forma oral o mediante conductas inequívocas del Titular que permitan concluir razonablemente que la otorgó. En ningún caso el silencio se asimila a la autorización.

• Titulares de cuenta: la autorización se obtiene al momento del registro y la contratación del Servicio, mediante la aceptación expresa de esta Política y de los Términos de Servicio (por ejemplo, marcando la casilla correspondiente), quedando registro electrónico de dicha aceptación (fecha, hora e identificador) como prueba conservable.
• Usuarios finales: el Cliente, en su calidad de Responsable de sus contactos, debe obtener la autorización de los usuarios finales antes de gestionar sus datos a través de Guapu. En los canales de mensajería, dicha autorización se materializa típicamente mediante el opt-in: el usuario final es quien inicia voluntariamente la conversación escribiendo al Cliente, o acepta de forma previa recibir comunicaciones por WhatsApp conforme a las políticas de la plataforma de Meta.
• Prueba de la autorización: el Servicio conserva los registros de las conversaciones y sus metadatos (incluido el mensaje de inicio del usuario final), que sirven como evidencia del contexto en que se otorgó la autorización. El Titular puede solicitar prueba de su autorización conforme a la Sección 9.
• Aviso de Privacidad: cuando no sea posible poner a disposición del Titular esta Política completa al momento de la recolección, se le suministrará un Aviso de Privacidad con la información mínima del artículo 14 del Decreto 1377 de 2013 (identidad, dirección y contacto del Responsable; tipo de tratamiento y finalidad; derechos del Titular; y dónde consultar esta Política).

9. 8. Derechos de los Titulares

Conforme a la Ley 1581 de 2012, todo Titular tiene los siguientes derechos frente al Responsable y, cuando corresponda, frente al Encargado:

• Conocer los datos personales que son objeto de Tratamiento, de forma gratuita.
• Actualizar los datos cuando estén desactualizados.
• Rectificar los datos parciales, inexactos, incompletos, fraccionados o que induzcan a error.
• Suprimir los datos cuando el Tratamiento no se ajuste a la ley o cuando haya cesado la finalidad, salvo deber legal o contractual de conservarlos.
• Revocar la autorización otorgada para el Tratamiento, cuando no exista un deber legal o contractual que imponga su permanencia.
• Solicitar prueba de la autorización otorgada, salvo cuando la ley exima de dicho deber.
• Ser informado, previa solicitud, sobre el uso que se ha dado a sus datos personales.
• Presentar quejas y reclamos ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la normativa, una vez agotado el trámite de consulta o reclamo ante el Responsable.
• Acceder de forma gratuita a sus datos personales objeto de Tratamiento.

10. 9. Derechos adicionales bajo el GDPR (interesados en la UE/EEE)

Cuando resulte aplicable el GDPR, los interesados ubicados en la Unión Europea / EEE tendrán, además, los siguientes derechos, ejercitables ante el Responsable o, según el flujo, ante el Cliente que actúe como Responsable:

• Derecho de acceso a los datos personales (art. 15 GDPR).
• Derecho de rectificación de datos inexactos o incompletos (art. 16 GDPR).
• Derecho de supresión o "derecho al olvido" (art. 17 GDPR).
• Derecho a la limitación del tratamiento (art. 18 GDPR).
• Derecho a la portabilidad de los datos en un formato estructurado, de uso común y lectura mecánica, como JSON (art. 20 GDPR).
• Derecho de oposición al tratamiento, incluido el basado en interés legítimo (art. 21 GDPR).
• Derecho a no ser objeto de decisiones individuales automatizadas con efectos jurídicos o significativos, y a obtener intervención humana (art. 22 GDPR; ver Sección 15).
• Derecho a presentar una reclamación ante la Autoridad de Protección de Datos competente en su país de residencia o del lugar de la supuesta infracción.

11. 10. Procedimiento, canal y plazos para consultas y reclamos

El canal único para el ejercicio de derechos, consultas y reclamos es el correo privacidad@guapu.io, atendido por el Área de Protección de Datos del Responsable. La solicitud debe identificar al Titular (incluyendo, para titulares de cuenta, el correo asociado a la cuenta), describir los hechos y el derecho que se ejerce, y aportar una dirección de respuesta.

Tratándose de datos de usuarios finales, dado que Guapu actúa como Encargado, la solicitud podrá ser remitida al Cliente que actúa como Responsable de dichos datos para su atención, prestándole Guapu la colaboración necesaria.

Los plazos legales en Colombia, conforme a los artículos 14 y 15 de la Ley 1581 de 2012, son los siguientes:

• Consultas: se atenderán en un término máximo de diez (10) días hábiles contados desde la recepción. Cuando no fuere posible atenderlas dentro de dicho término, se informará al interesado los motivos de la demora y la fecha de respuesta, que no superará los cinco (5) días hábiles siguientes al vencimiento del primer plazo.
• Reclamos: si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco (5) días siguientes para subsanarlo; transcurridos dos (2) meses sin respuesta del interesado, se entenderá desistido. El reclamo se atenderá en un término máximo de quince (15) días hábiles contados desde el día siguiente a su recepción. Cuando no fuere posible atenderlo dentro de dicho término, se informarán los motivos de la demora y la fecha de respuesta, que no superará los ocho (8) días hábiles siguientes al vencimiento del primer plazo.
• Interesados bajo GDPR: las solicitudes se atenderán sin dilación indebida y, en todo caso, en el plazo de un (1) mes desde la recepción, prorrogable por dos (2) meses adicionales en función de la complejidad y el número de solicitudes, informando al interesado dentro del primer mes.

12. 11. Subprocesadores y terceros que tratan datos

Para prestar el Servicio, el Responsable se apoya en proveedores de infraestructura y servicios (subprocesadores), cada uno vinculado mediante un acuerdo de tratamiento de datos (DPA) y, cuando aplica, contrato de transmisión, que les impone los deberes de confidencialidad, seguridad y los principios de esta Política y de la ley. Salvo los proveedores de IA en la ruta de generación, los DPA prohíben usar los datos del Cliente para entrenar modelos. Los principales subprocesadores son:

• Supabase Inc. (us-east-1, Virginia, EE. UU.; declarado US/EU): base de datos PostgreSQL, autenticación, Row-Level Security (RLS) y almacenamiento (Storage). Aloja la totalidad de los datos de cuenta y de usuarios finales (contactos, conversaciones, mensajes, deals, base de conocimiento, adjuntos y notas de voz).
• Vercel Inc. (EE. UU.): alojamiento (hosting) de la aplicación, red de distribución de contenido (CDN), ejecución de funciones del servidor, rutas de API y tareas programadas (crons). Procesa tráfico de la aplicación, registros de solicitudes y datos en tránsito.
• Anthropic PBC (EE. UU.): motor de IA principal de los agentes (modelos Claude Haiku 4.5, Claude Sonnet 4.6 y Claude Haiku Vision para describir imágenes y stickers). Recibe el contenido de los mensajes y el contexto necesario para generar respuestas, así como imágenes para su descripción.
• Groq Inc. (EE. UU.): enrutador de intención (Llama 3.3 70B), respaldo (fallback) de generación y transcripción de notas de voz (Whisper large-v3-turbo). Recibe texto de mensajes para clasificación/generación y audio de notas de voz para transcripción.
• OpenAI L.L.C. (EE. UU.): respaldo de generación cuando el proveedor principal falla y respaldo histórico de visión. Recibe texto de mensajes únicamente en la ruta de respaldo.
• Google LLC (EE. UU.): proveedor de modelos de IA disponible como opción/respaldo configurable. Recibe texto de mensajes solo si un agente se configura para usarlo.
• Meta Platforms Inc. (EE. UU./Irlanda): canales de mensajería (WhatsApp Business Cloud API, Instagram Direct, Facebook Messenger). Procesa mensajes, número o usuario de la plataforma, contenido multimedia y metadatos de canal. Incluye endpoints de cumplimiento de Meta para eliminación de datos y desautorización.
• Stripe Inc. (EE. UU./Irlanda): procesamiento de pagos, tanto de los enlaces de cobro que el Cliente genera hacia sus propios clientes (incluido Stripe Connect) como de la facturación de la suscripción a Guapu. Trata correo del cliente, monto, moneda y metadatos; los datos de tarjeta los maneja Stripe directamente.
• Resend Inc. (EE. UU.): correo transaccional (remitente noreply@guapu.io), incluido el correo de autenticación de Supabase. Trata el correo del titular de cuenta y el contenido transaccional.
• Evolution API (autoalojada, infraestructura del operador en VPS de Hostinger): pasarela de WhatsApp autoalojada (Baileys) para conexión por código QR. Procesa mensajes de WhatsApp entrantes y salientes, número de teléfono, contenido multimedia y estado de sesión, fuera de Supabase y Vercel.
• Hostinger (centro de datos del VPS): proveedor del servidor virtual que aloja Evolution API y la gestión de DNS de los dominios; subprocesador de infraestructura subyacente.
• Integraciones del marketplace activadas por el Cliente (opt-in por cuenta): conectores que el Cliente decide activar y que entonces reciben o envían únicamente los datos que el Cliente sincroniza. Incluyen, entre otros, tiendas (Shopify, WooCommerce, Mercado Libre, Tiendanube), pasarelas (Mercado Pago, PayPal, Wompi, ePayco, Bold), cursos (Hotmart), canales (Telegram), comunicaciones (Twilio), productividad (Calendly, Zoom, Google Calendar/Meet/Sheets/Gmail, Outlook/Microsoft), email marketing (Mailchimp), notificaciones (Slack, Discord) y sincronización de conocimiento (Notion). Cada integración se gobierna por los tokens del propio Cliente, cifrados con AES-256-GCM.

13. 12. Transferencias y transmisiones internacionales

La operación del Servicio implica el flujo de datos personales fuera de Colombia. La normativa colombiana distingue entre transmisión (envío a un Encargado que trata por cuenta del Responsable) y transferencia (envío a otro Responsable).

Transmisión internacional: la mayor parte de los flujos del Servicio (alojamiento, base de datos, procesamiento por IA, mensajería y correo) constituyen transmisiones a Encargados que tratan los datos por cuenta del Responsable o del Cliente. Conforme al artículo 25 del Decreto 1377 de 2013, la transmisión internacional no requiere autorización adicional del Titular cuando existe un contrato de transmisión que imponga al Encargado los deberes de esta Política y de la ley. El Responsable suscribe dichos contratos y, para flujos desde la UE/EEE, las Cláusulas Contractuales Tipo (Standard Contractual Clauses, SCC) aprobadas por la Comisión Europea, y/o se ampara en marcos de adecuación como el EU-U.S. Data Privacy Framework (DPF) cuando el proveedor esté certificado.

Transferencia internacional: cuando un dato se envíe a un tercero que actúe como Responsable autónomo en un país sin nivel adecuado de protección, dicha transferencia se realizará con la autorización del Titular o al amparo de alguna de las excepciones legales (por ejemplo, ejecución del contrato del que el Titular es parte).

• Destinos principales: Estados Unidos (Supabase, Vercel, Anthropic, Groq, OpenAI, Google, Resend y la mayoría de proveedores), Irlanda / Unión Europea (Meta, Stripe), Emiratos Árabes Unidos (sociedad operadora) y países de Latinoamérica (proveedores regionales como Mercado Pago, Mercado Libre, Wompi, ePayco, Bold y Tiendanube cuando el Cliente los active).
• Mecanismos de legitimación: contratos de transmisión (art. 25 Decreto 1377 de 2013); Cláusulas Contractuales Tipo (SCC) para flujos UE/EEE; certificación bajo el EU-U.S. Data Privacy Framework (DPF) cuando aplique; y autorización del Titular o excepciones legales para las transferencias a Responsables autónomos.

14. 13. Bases de licitud bajo el GDPR

Cuando aplique el GDPR, el Tratamiento se sustenta en las siguientes bases de licitud según la finalidad:

• Ejecución de un contrato (art. 6.1.b): para registrar la cuenta, prestar el Servicio de CRM, operar los agentes de IA, procesar pagos de la suscripción y enviar comunicaciones transaccionales necesarias.
• Cumplimiento de una obligación legal (art. 6.1.c): para la conservación de registros contables, tributarios y la prevención de fraude.
• Interés legítimo (art. 6.1.f): para garantizar la seguridad de la plataforma, prevenir abusos y mejorar el Servicio mediante análisis agregados, ponderando los derechos de los interesados.
• Consentimiento (art. 6.1.a): para comunicaciones de marketing opcionales y para aquellos tratamientos no cubiertos por las bases anteriores. El consentimiento puede retirarse en cualquier momento, sin afectar la licitud del tratamiento previo.
• Respecto de los datos de usuarios finales, el Cliente (Responsable) determina la base de licitud aplicable; Guapu los trata como Encargado conforme al artículo 28 del GDPR y al DPA correspondiente.

15. 14. Datos sensibles y datos de niños, niñas y adolescentes

Por su naturaleza, los canales de mensajería pueden recibir, de forma espontánea, datos sensibles (por ejemplo, información de salud o de convicciones religiosas que un usuario final comparta voluntariamente). El Responsable y los Clientes deben observar el régimen especial aplicable.

Como regla general, el Tratamiento de datos sensibles está prohibido, salvo las excepciones del artículo 6 de la Ley 1581 de 2012 (entre otras, autorización explícita del Titular, salvo que por ley no sea requerida; salvaguarda de un interés vital; o finalidades legítimas en el marco de actividades de ciertas entidades). El Servicio no está diseñado para recolectar deliberadamente datos sensibles y solicita a los Clientes abstenerse de configurarlo para ese fin sin base legal.

• El Titular NO está obligado a autorizar el Tratamiento de sus datos sensibles. Esta advertencia se incorpora expresamente conforme al artículo 5 del Decreto 1377 de 2013.
• Cuando excepcionalmente se traten datos sensibles, se requerirá autorización explícita del Titular, se informará la finalidad y se aplicarán medidas de seguridad reforzadas; el Cliente, como Responsable de los datos de sus usuarios finales, es quien debe garantizar dicha autorización.
• Datos de niños, niñas y adolescentes: su Tratamiento está proscrito, salvo que se trate de datos de naturaleza pública y que el Tratamiento responda y respete el interés superior del menor y sus derechos fundamentales. En tales casos se requerirá la autorización del representante legal, previo ejercicio del derecho del menor a ser escuchado, valorando su opinión según su madurez, autonomía y capacidad.
• El Servicio no está dirigido a menores de 16 años y no se recolectan conscientemente sus datos. Si se detecta que un menor proporcionó datos sin la debida autorización, estos serán suprimidos.

16. 15. Decisiones automatizadas e inteligencia artificial

El Servicio utiliza modelos de IA de terceros para generar respuestas automáticas a las comunicaciones de los canales conectados, clasificar la intención de los mensajes, transcribir notas de voz y describir contenido multimedia. Estos modelos procesan los mensajes bajo acuerdos de tratamiento (DPA) que, salvo en la ruta de generación según el proveedor, prohíben usar los datos del Cliente para entrenar sus modelos.

Los agentes de IA asisten la atención, pero el Titular tiene derecho a no quedar sujeto a decisiones exclusivamente automatizadas con efectos jurídicos o significativos y a obtener intervención humana (art. 22 GDPR). Los usuarios finales pueden solicitar atención humana en cualquier momento escribiendo expresiones como "hablar con humano" o similares; al detectarlas, el Servicio escala automáticamente la conversación y deja de generar respuestas por IA.

17. 16. Seguridad de la información

En cumplimiento del principio de seguridad (art. 4, literal g, de la Ley 1581 de 2012) y del artículo 32 del GDPR, el Responsable aplica medidas técnicas, humanas y administrativas razonables y proporcionales para proteger los datos personales frente a adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. Entre ellas:

• Cifrado en tránsito mediante TLS 1.3 y cifrado en reposo mediante AES-256.
• Aislamiento lógico multi-tenant mediante Row-Level Security (RLS) en la base de datos, de modo que cada organización solo accede a sus propios datos.
• Autenticación gestionada por el proveedor (Supabase Auth), con contraseñas almacenadas de forma cifrada/hasheada y autenticación multifactor opcional.
• Cifrado de los tokens de integraciones de terceros mediante AES-256-GCM.
• Verificación de autenticidad de los webhooks entrantes (por ejemplo, validación de firma signed_request por HMAC en los endpoints de cumplimiento de Meta).
• Auditoría y monitoreo continuo de actividad sospechosa, registros de auditoría y controles de acceso por rol.
• Deber de confidencialidad del personal y de los Encargados, exigido contractualmente mediante DPA y contratos de transmisión.

18. 17. Retención y supresión de los datos

Los datos personales se conservan únicamente durante el tiempo necesario para cumplir las finalidades del Tratamiento y las obligaciones legales aplicables. Vencidos los plazos, los datos se suprimen mediante un proceso de purga programada (ejecutado por una tarea diaria). Los plazos por categoría son:

• Cuentas activas: los datos se conservan mientras la suscripción esté vigente.
• Cuentas canceladas: los datos se conservan por sesenta (60) días calendario contados desde la fecha de cancelación efectiva, antes de su eliminación definitiva. Durante ese periodo el titular de cuenta puede reactivar la cuenta sin pérdida de datos o descargar toda su información en formato JSON desde el panel de facturación.
• Datos contables y de facturación: se conservan por el término legal aplicable (hasta siete (7) años) por obligación legal y fiscal.
• Logs técnicos: se conservan por noventa (90) días.
• Mensajes de usuarios finales: se conservan mientras exista la conversación o hasta que el titular de cuenta (Responsable de esos datos) los elimine.
• Datos sensibles tratados excepcionalmente: se suprimen tan pronto cese la finalidad que justificó su tratamiento.

19. 18. Registro Nacional de Bases de Datos (RNBD) y autoridad de control

El Registro Nacional de Bases de Datos (RNBD) es el directorio público administrado por la Superintendencia de Industria y Comercio (SIC) en el que deben inscribirse las bases de datos que contienen datos personales, cuando el Responsable esté obligado a ello.

El Responsable evaluará el cumplimiento del umbral vigente para la inscripción en el RNBD (obligación que, históricamente, ha recaído sobre sociedades y personas jurídicas de naturaleza privada inscritas en cámara de comercio con activos superiores al umbral fijado en salarios mínimos), designará un responsable interno para su gestión y mantendrá actualizada la información registrada, incluido este documento y los procedimientos de atención al Titular.

La autoridad de control competente para reclamaciones es la Superintendencia de Industria y Comercio (SIC) en Colombia. Los interesados sujetos al GDPR podrán acudir a la Autoridad de Protección de Datos competente en su Estado miembro de la UE/EEE.

20. 19. Notificación de incidentes de seguridad

El Responsable cuenta con procedimientos para detectar, contener y gestionar los incidentes de seguridad que afecten datos personales (violaciones de la seguridad o "brechas").

En caso de un incidente que afecte datos personales, el Responsable notificará a la autoridad de control competente y, cuando proceda, a los titulares y Clientes afectados, sin dilación indebida. Bajo el GDPR, la notificación a la autoridad se realizará, cuando sea exigible, dentro de las setenta y dos (72) horas siguientes a tener conocimiento de la violación. Cuando Guapu actúe como Encargado, notificará al Cliente (Responsable) sin dilación indebida para que este cumpla sus propios deberes de notificación. En Colombia, los incidentes se reportarán a la SIC conforme a sus instrucciones vigentes.

21. 20. Deberes del Responsable y del Encargado

El Responsable y el Encargado cumplirán los deberes que les imponen los artículos 17 y 18 de la Ley 1581 de 2012, entre ellos: garantizar al Titular el ejercicio de sus derechos; solicitar y conservar prueba de la autorización; informar el uso dado a los datos; tramitar consultas y reclamos en los términos legales; mantener la información bajo condiciones de seguridad; actualizar la información cuando sea necesario; y abstenerse de circular datos que estén siendo controvertidos por el Titular cuando se haya bloqueado su Tratamiento.

22. 21. Vigencia, versión y modificaciones

Esta Política rige a partir de su fecha de publicación y permanecerá vigente mientras el Responsable preste el Servicio, sin perjuicio de sus modificaciones. Las bases de datos sujetas a Tratamiento tendrán la vigencia necesaria para cumplir las finalidades descritas y los plazos de retención de la Sección 17.

El Responsable podrá modificar esta Política. Los cambios sustanciales se comunicarán al titular de cuenta con una antelación mínima de treinta (30) días, por correo electrónico y mediante un aviso (banner) dentro de la aplicación, antes de su entrada en vigencia.

• Versión: 1.0.
• Última actualización: 2026.
• Documento de carácter vinculante, publicado de forma permanente en guapu.io y disponible bajo solicitud a privacidad@guapu.io.