SweetConnect
Iniciar sesión
SweetConnectVolver al inicio

Política de Privacidad

Última actualización: 30 de abril de 2026

Esta Política de Privacidad describe cómo SweetConnect (en adelante, “nosotros”, “nuestro” o “el Servicio”) recolecta, usa, almacena y protege la información personal y de tu organización cuando utilizas nuestra plataforma SaaS de asistentes IA conversacionales.

Al usar SweetConnect aceptas las prácticas descritas aquí. Si no estás de acuerdo, te pedimos que no uses el Servicio.

1. Quién es responsable

SweetConnect es operado desde Chile. Para cualquier consulta, ejercicio de derechos o reporte, escríbenos a soporte@sweetconnect.app.

2. Qué información recolectamos

2.1 Información de cuenta

  • Nombre, email, contraseña (cifrada con bcrypt).
  • Si activas autenticación de dos factores: el secret TOTP cifrado en reposo con AES-256-GCM.
  • Si inicias sesión con Google: tu nombre, email y avatar provistos por Google OAuth (no almacenamos tokens de Google a largo plazo).

2.2 Información de la organización

  • Nombre, plan de suscripción, miembros y sus roles.
  • Documentos que cargas (PDF, DOCX, XLSX, CSV, PPTX) y los chunks vectoriales derivados para RAG.
  • Tablas de datos estructurados que cargas (Phase 4A) — quedan aisladas a tu organización.
  • Para WhatsApp: contactos (números, nombre, email, tags, custom fields), plantillas, audiencias, campañas y mensajes intercambiados.

2.3 Información técnica

  • Logs de acceso (IP, user-agent, timestamp) usados para detectar abuso y depurar incidentes.
  • Cookies estrictamente necesarias para la sesión (JWT, CSRF, dispositivo confiable de MFA por 7 días).
  • Métricas de uso anónimas vía Vercel Analytics y Vercel Speed Insights.

3. Cómo usamos la información

  • Operar el Servicio: autenticarte, mostrarte tus documentos, ejecutar consultas RAG sobre el contenido que cargas, enviar mensajes WhatsApp en tu nombre.
  • Procesamiento por IA: los textos de tus documentos y consultas se envían a proveedores de IA (OpenAI para embeddings y completados, Cohere para reranking) bajo contratos de procesamiento que prohíben usar tus datos para entrenar modelos generales.
  • Soporte y seguridad: revisar logs cuando reportas un problema, detectar accesos no autorizados.
  • Facturación: emitir facturas a través de Mercado Pago. No almacenamos datos de tarjeta — todo el flujo de pago ocurre en Mercado Pago.
  • Cumplimiento legal: responder a requerimientos judiciales válidos.

4. Aislamiento multi-tenant

Cada organización vive aislada en nuestra base de datos. Tres capas de seguridad lo garantizan:

  1. Las consultas a la base de datos siempre filtran por organizationId.
  2. El almacén vectorial (pgvector) aísla los chunks por organizationId y valida la pertenencia en cada upsert.
  3. Las acciones del servidor revalidan la pertenencia del usuario al organización antes de cualquier mutación.

5. Compartir datos con terceros

Solo con sub-procesadores estrictamente necesarios:

  • OpenAI — embeddings y modelos de lenguaje.
  • Cohere — reranking de resultados de búsqueda semántica.
  • Resend — emails transaccionales (magic links, invitaciones).
  • Mercado Pago — procesamiento de pagos.
  • Meta (WhatsApp Business API) — envío y recepción de mensajes de WhatsApp; la cuenta es tuya, nosotros solo actuamos como software de gestión.
  • Vercel — hosting de la aplicación, logs y analytics anónimos.
  • Railway — base de datos PostgreSQL.
  • Upstash — Redis para rate-limiting (sin contenido sensible).

Nunca vendemos ni alquilamos tus datos personales. Nunca usamos tus documentos o conversaciones para entrenar modelos de IA propios.

6. WhatsApp y consentimiento

Cuando envías campañas masivas por WhatsApp a tus contactos:

  • Solo enviamos a contactos en estado Suscrito (opt-in). El consentimiento debe haberse obtenido por ti previamente, fuera de WhatsApp (formulario web, registro presencial, etc.).
  • Cualquier mensaje entrante con palabras de baja (STOP, BAJA, CANCELAR, etc.) marca al contacto como Dado de baja automáticamente y envía confirmación. El bloqueo es inmediato e irreversible salvo re-consentimiento manual con evidencia.

7. Tus derechos

Bajo legislación aplicable (Ley 19.628 Chile, LGPD Brasil, GDPR UE) puedes:

  • Acceder a los datos personales que tenemos sobre ti.
  • Corregir datos inexactos.
  • Pedir borrado de tu cuenta y datos asociados.
  • Pedir una exportación portable de tus datos.
  • Oponerte a tratamientos específicos.
  • Retirar tu consentimiento en cualquier momento.

Para ejercer cualquiera de estos derechos escríbenos a soporte@sweetconnect.app desde el email registrado.

8. Retención de datos

  • Cuentas activas: retenemos tus datos mientras tu organización esté activa.
  • Cancelación: tras 30 días de la baja, todos los datos personales se eliminan permanentemente (excepto los necesarios por obligación legal —p. ej. facturación— por hasta 6 años).
  • Logs: 90 días.

9. Seguridad

  • Conexiones HTTPS obligatorias.
  • Contraseñas bcrypt-hasheadas.
  • Tokens TOTP y access tokens de Meta cifrados en reposo con AES-256-GCM.
  • Acceso al backend restringido por roles (admin/owner).
  • MFA opcional (recomendado para owner/superadmin).

Si descubres una vulnerabilidad, te pedimos divulgación responsable a security@sweetconnect.app.

10. Niños menores

SweetConnect es un producto B2B y no está dirigido a personas menores de 18 años. No recolectamos conscientemente datos de menores.

11. Cambios a esta política

Si modificamos materialmente esta política, te avisaremos por email a la dirección de contacto de tu cuenta con al menos 30 días de anticipación.

12. Contacto

Para cualquier pregunta sobre privacidad: soporte@sweetconnect.app.