Política de Privacidad
Fecha de entrada en vigor: 30 de marzo de 2026
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
Reepli.ai
14 Avenue du Général de Gaulle, 94160 Saint-Mandé, Francia
Correo: [email protected]
Reepli.ai ("Reepli", "nosotros" o "nuestro") es una plataforma que ofrece asistentes de mensajería de WhatsApp impulsados por IA para negocios. Esta Política de Privacidad explica cómo recopilamos, usamos, divulgamos y protegemos tus datos personales cuando usas nuestro sitio web en reepli.ai, nuestra aplicación de panel de control y cualquier interacción relacionada basada en WhatsApp (conjuntamente, el "Servicio").
Esta política se aplica a dos categorías de personas:
- Usuarios de negocio ("Tenants"): profesionales y negocios que se suscriben a Reepli.ai para gestionar sus comunicaciones de WhatsApp
- Usuarios finales: personas que interactúan con un negocio a través de WhatsApp, donde la conversación es gestionada por nuestro asistente de IA en nombre de ese negocio
2. Información que recopilamos
De los usuarios de negocio (Tenants)
- Datos de registro de la cuenta: nombre, dirección de correo electrónico, número de teléfono, nombre del negocio
- Información de facturación procesada de forma segura a través de Stripe, Inc. (no almacenamos números de tarjeta de crédito)
- Datos de configuración del negocio: descripción del negocio, horario de atención, servicios ofrecidos, ajustes de citas y plantillas de mensajes personalizadas
- Datos de uso del panel: páginas visitadas, funciones utilizadas, patrones de interacción
De los usuarios finales (vía WhatsApp)
- Número de teléfono de WhatsApp
- Nombre de perfil de WhatsApp
- Contenido de los mensajes intercambiados con el asistente de IA que opera en nombre del negocio
- Metadatos de la conversación: marcas de tiempo, estado del mensaje (enviado, entregado, leído)
Recopilada automáticamente
- Información del dispositivo: tipo de navegador, sistema operativo, resolución de pantalla
- Datos de registro: direcciones IP, horas de acceso, URLs de referencia
- Cookies y tecnologías similares (ver la Sección 11)
3. Base jurídica del tratamiento
Conforme al Reglamento General de Protección de Datos (RGPD), tratamos tus datos personales únicamente cuando contamos con una base jurídica válida para ello. La tabla siguiente resume nuestras actividades de tratamiento y sus correspondientes bases jurídicas:
| Actividad de tratamiento | Base jurídica (Art. 6 RGPD) |
|---|---|
| Prestación del Servicio a los Tenants (gestión de la cuenta, mensajería con IA, agendamiento) | Ejecución de un contrato (Art. 6(1)(b)) — necesaria para cumplir nuestro acuerdo de servicio con el Tenant |
| Tratamiento de los mensajes de los usuarios finales mediante el asistente de IA en nombre del Tenant | Interés legítimo (Art. 6(1)(f)) — el interés legítimo del Tenant en gestionar las comunicaciones con sus clientes; ponderado frente a las expectativas del usuario final cuando inicia una conversación de WhatsApp con un negocio |
| Tramitación de pagos y facturación | Ejecución de un contrato (Art. 6(1)(b)) |
| Envío de comunicaciones relacionadas con el servicio (actualizaciones, alertas de seguridad) | Interés legítimo (Art. 6(1)(f)) — mantener informados a los usuarios sobre el servicio que utilizan |
| Prevención del fraude, detección de abusos y seguridad de la plataforma | Interés legítimo (Art. 6(1)(f)) — proteger el Servicio y a sus usuarios |
| Cumplimiento de obligaciones legales (p. ej., registros fiscales, requerimientos de las autoridades) | Obligación legal (Art. 6(1)(c)) |
| Cookies no esenciales y analítica | Consentimiento (Art. 6(1)(a)) — obtenido mediante nuestro banner de cookies |
Cuando nos basamos en el interés legítimo, hemos realizado una prueba de ponderación para garantizar que tus derechos y libertades no prevalezcan por debajo de dicho interés. Puedes oponerte en cualquier momento al tratamiento basado en el interés legítimo (ver la Sección 8).
4. Cómo usamos tu información
- Para prestar, mantener y mejorar el Servicio, incluida la mensajería de WhatsApp impulsada por IA en nombre de los negocios
- Para procesar conversaciones a través de nuestros sistemas de IA con el fin de generar respuestas adecuadas para los usuarios finales
- Para gestionar el agendamiento de citas y enviar recordatorios en nombre de los negocios
- Para procesar pagos y gestionar suscripciones
- Para enviar comunicaciones relacionadas con el servicio (p. ej., actualizaciones, alertas de seguridad, mensajes de soporte)
- Para monitorear el uso con fines de facturación, incluido el seguimiento del volumen de mensajes y los costos de procesamiento de IA
- Para detectar, prevenir y abordar fraudes, abusos y problemas técnicos
- Para cumplir con obligaciones legales
5. Compartición de datos y destinatarios
No vendemos tus datos personales. Podemos compartir datos con las siguientes categorías de destinatarios:
- Meta Platforms, Inc. (API de WhatsApp Business): los datos de los mensajes se transmiten a través de la WhatsApp Cloud API. Meta actúa como corresponsable o responsable independiente respecto de ciertos datos tratados a través de su plataforma. Estos datos están sujetos a las propias políticas de privacidad de Meta y a los protocolos de cifrado de WhatsApp.
- Proveedores de modelos de lenguaje de IA (encargados del tratamiento): el contenido de los mensajes se envía a proveedores de IA externos para generar respuestas. Utilizamos proveedores que tratan los datos siguiendo nuestras instrucciones, no conservan los datos de los mensajes más allá de lo necesario para producir una respuesta y no usan tus datos para entrenar sus modelos. Los proveedores actuales incluyen DeepSeek (principal) y Google Gemini (de respaldo).
- Stripe, Inc. (encargado del tratamiento): los datos de pago y facturación son tratados por Stripe conforme a su Acuerdo de Tratamiento de Datos.
- Google (Google Calendar) (encargado del tratamiento): cuando un Tenant decide conectar su Google Calendar, los datos de las citas (fecha, hora y datos de contacto del cliente, como nombre y número de teléfono) se sincronizan con su Google Calendar para crear y gestionar los eventos de citas. Esta integración es opcional y se activa únicamente a iniciativa del Tenant; puede desconectarse en cualquier momento.
- Proveedores de infraestructura (encargados del tratamiento): servicios de hosting y base de datos utilizados para operar la plataforma.
- El negocio (Tenant) con el que te comunicas: si eres un usuario final que escribe a un negocio a través de WhatsApp, el Tenant tiene acceso al historial de la conversación y a tu información de contacto a través de su panel. En este contexto, el Tenant es un responsable del tratamiento independiente respecto de los datos relacionados con su relación comercial contigo.
- Autoridades legales y reguladoras: podemos divulgar datos si así lo exige la legislación aplicable, una regulación o un proceso legal válido.
Exigimos a todos los encargados del tratamiento que celebren Acuerdos de Tratamiento de Datos (DPA) conforme al Artículo 28 del RGPD, asegurando que traten los datos personales únicamente siguiendo nuestras instrucciones documentadas e implementen medidas de seguridad adecuadas.
6. Datos recibidos de Meta Platforms
A través de nuestra integración con la API de WhatsApp Business, recibimos datos de Meta Platforms, incluido el contenido de los mensajes entrantes, los números de teléfono de los remitentes, las marcas de tiempo de los mensajes y las actualizaciones del estado de entrega. Usamos estos datos únicamente para prestar nuestro servicio de mensajería a los negocios y sus clientes. No usamos los datos recibidos de Meta Platforms para:
- Crear o ampliar perfiles de usuario con fines publicitarios
- Transferir o vender datos a terceros con fines publicitarios o de monetización
- Proporcionar datos a intermediarios de datos o revendedores de información
7. Transferencias internacionales de datos
Tus datos personales pueden ser transferidos y tratados en países fuera del Espacio Económico Europeo (EEE), en particular:
- Estados Unidos (Meta Platforms, Stripe, Google)
- Otras jurisdicciones donde operan nuestros proveedores de servicios de IA o de infraestructura
Cuando transferimos datos personales fuera del EEE, garantizamos un nivel de protección adecuado mediante una o varias de las siguientes salvaguardas, conforme al Capítulo V del RGPD:
- Decisiones de adecuación de la Comisión Europea (Artículo 45 del RGPD)
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Artículo 46(2)(c) del RGPD)
- Otras salvaguardas apropiadas exigidas por la legislación aplicable
Puedes solicitar una copia de las salvaguardas pertinentes contactándonos en [email protected].
8. Tus derechos conforme al RGPD
Conforme al RGPD, tienes los siguientes derechos respecto de tus datos personales:
- Derecho de acceso (Art. 15): obtener confirmación de si tratamos tus datos y recibir una copia de ellos
- Derecho de rectificación (Art. 16): solicitar la corrección de datos inexactos o incompletos
- Derecho de supresión (Art. 17): solicitar la eliminación de tus datos ("derecho al olvido"), sujeto a las obligaciones legales de conservación
- Derecho de limitación (Art. 18): solicitar que limitemos el tratamiento de tus datos en determinadas circunstancias
- Derecho a la portabilidad de los datos (Art. 20): recibir tus datos en un formato estructurado, de uso común y de lectura mecánica
- Derecho de oposición (Art. 21): oponerte al tratamiento basado en el interés legítimo o con fines de marketing directo. Cuando te opongas, cesaremos el tratamiento salvo que demostremos motivos legítimos imperiosos
- Derecho a retirar el consentimiento (Art. 7(3)): cuando el tratamiento se base en tu consentimiento, retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento realizado antes de la retirada
- Derecho a no ser objeto de decisiones automatizadas (Art. 22): ver la Sección 9 a continuación
Para ejercer cualquiera de estos derechos, contáctanos en [email protected]. Responderemos en el plazo de un mes desde la recepción de tu solicitud, según exige el RGPD. Este plazo podrá prorrogarse por dos meses adicionales cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes.
Si no quedas satisfecho con nuestra respuesta, tienes derecho a presentar una reclamación ante tu autoridad de control local. Como nuestra empresa está establecida en Francia, nuestra autoridad de control principal es:
CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Francia
Sitio web: www.cnil.fr
9. Decisiones automatizadas y tratamiento por IA
Nuestro Servicio utiliza modelos de lenguaje de inteligencia artificial (IA) para generar respuestas en las conversaciones de WhatsApp en nombre de los negocios. Esto significa que, cuando un usuario final envía un mensaje a un negocio que usa Reepli.ai, la respuesta que recibe es generada por un sistema de IA.
Este tratamiento por IA funciona de la siguiente manera:
- La IA genera respuestas conversacionales basadas en la configuración del negocio (servicios, horarios, tono) y en el contexto de la conversación
- La IA puede calificar prospectos, sugerir citas y proporcionar información configurada por el negocio
- La IA no toma decisiones que produzcan efectos jurídicos o que afecten de manera significativa y similar a los usuarios finales (p. ej., no aprueba ni deniega servicios, no toma decisiones crediticias ni determina la elegibilidad para nada)
Dado que el asistente de IA funciona como una herramienta de comunicación y no como un sistema de toma de decisiones automatizada que produzca efectos jurídicos o significativos similares, el Artículo 22 del RGPD no resulta aplicable. No obstante, cualquier usuario final puede solicitar intervención humana pidiendo hablar directamente con el responsable del negocio durante una conversación de WhatsApp.
10. Conservación de los datos
Conservamos los datos personales únicamente durante el tiempo necesario para los fines descritos en esta política, o según lo exija la ley. Nuestros plazos de conservación son los siguientes:
| Categoría de datos | Plazo de conservación |
|---|---|
| Datos de la cuenta del Tenant | Duración de la cuenta + 30 días tras la solicitud de eliminación |
| Datos de las conversaciones (mensajes) | Según lo configure el Tenant, hasta un máximo de 24 meses |
| Información de contacto del usuario final | Duración de la cuenta del Tenant, o hasta que se solicite la eliminación |
| Registros de facturación y facturas | 10 años (obligación de la legislación mercantil y fiscal francesa) |
| Registros del servidor (IP, registros de acceso) | 12 meses |
| Registros de consentimiento de cookies | 13 meses (recomendación de la CNIL) |
Cuando los datos ya no son necesarios y no existe ninguna obligación legal de conservación, los eliminamos o los anonimizamos de forma irreversible.
11. Cookies y tecnologías similares
Nuestro sitio web y nuestra aplicación de panel pueden usar cookies y tecnologías similares. Las clasificamos de la siguiente manera:
- Cookies estrictamente necesarias: necesarias para que la plataforma funcione (p. ej., cookies de sesión de autenticación). No requieren consentimiento.
- Cookies analíticas: se usan para entender cómo interactúan los usuarios con nuestro panel, a fin de mejorar la experiencia. Solo se instalan con tu consentimiento.
No usamos cookies publicitarias ni de rastreo. Cuando visitas nuestro sitio por primera vez, un banner de cookies te permitirá aceptar o rechazar las cookies no esenciales. Puedes cambiar tus preferencias en cualquier momento a través de la configuración de tu navegador o de nuestra interfaz de gestión de cookies.
12. Seguridad de los datos
Implementamos medidas técnicas y organizativas apropiadas para proteger tus datos personales conforme al Artículo 32 del RGPD, incluidas:
- Cifrado de los datos en tránsito mediante TLS/SSL
- Controles de acceso a nivel de base de datos y políticas de seguridad a nivel de fila (RLS) que garantizan un estricto aislamiento de los datos de cada tenant
- Limitación de tasa (rate limiting) y detección de abusos en todos los endpoints de la API
- Detección de inyección de prompts y filtrado de seguridad en todas las interacciones de IA
- Revisiones de seguridad periódicas de nuestra infraestructura
- Acceso a los datos personales restringido al personal autorizado según el principio de necesidad de conocer
En caso de una violación de datos personales que pueda suponer un riesgo para tus derechos y libertades, notificaremos a la CNIL en un plazo de 72 horas conforme al Artículo 33 del RGPD, e informaremos a las personas afectadas sin dilación indebida cuando la violación pueda suponer un riesgo alto (Artículo 34 del RGPD).
13. Privacidad de los menores
El Servicio no está dirigido a personas menores de 16 años. No recopilamos conscientemente datos personales de menores de 16 años. Si tenemos conocimiento de que hemos recopilado datos personales de un menor de 16 años, tomaremos medidas para eliminar dicha información sin dilación indebida. Si crees que podemos haber recopilado datos de un menor, contáctanos en [email protected].
14. Enlaces y servicios de terceros
El Servicio puede contener enlaces a sitios web o servicios de terceros que no operamos nosotros. No somos responsables de las prácticas de privacidad de estos terceros y te recomendamos revisar sus políticas de privacidad de forma independiente.
15. Cambios en esta política
Podemos actualizar esta Política de Privacidad de vez en cuando. Cuando realicemos cambios importantes, notificaremos a los Tenants por correo electrónico o mediante una notificación dentro de la aplicación, y actualizaremos la "Fecha de entrada en vigor" en la parte superior de esta página. El uso continuado del Servicio después de que los cambios surtan efecto constituye tu aceptación de la política actualizada.
16. Contáctanos
Para cualquier pregunta, inquietud o para ejercer tus derechos de protección de datos, contáctanos:
- Correo: [email protected]
- Reepli.ai — 14 Avenue du Général de Gaulle, 94160 Saint-Mandé, Francia
- Sitio web: https://www.reepli.ai