Legal
Política de Privacidad
Índice de contenidos
- 1. Quiénes somos y datos del responsable
- 2. Definiciones
- 3. Información que recopilamos
- 4. Base legal del tratamiento
- 5. Cómo usamos tu información
- 6. Compartición de datos y subencargados
- 7. Transferencias internacionales de datos
- 8. Retención de datos
- 9. Medidas de seguridad
- 10. Tratamiento de datos de WhatsApp
- 11. Uso de la API de Google (Limited Use)
- 12. Cookies y tecnologías de rastreo
- 13. Menores de edad
- 14. Tus derechos (GDPR, CCPA, LGPD)
- 15. Cambios en esta política
- 16. Contacto y Delegado de Protección de Datos
1. Quiénes somos y datos del responsable
Elly es una plataforma SaaS de automatización e inteligencia artificial para WhatsApp Business, operada por Landic Adentic, empresa constituida bajo las leyes de la República del Ecuador.
A efectos de la normativa de protección de datos aplicable, Landic Adentic actúa como Responsable del Tratamiento de los datos personales de los usuarios que se registran y usan la plataforma Elly directamente. Respecto a los mensajes de los clientes finales de nuestros usuarios empresariales, Elly actúa como Encargado del Tratamiento, siendo el usuario empresarial el Responsable.
Razón social: Landic Adentic
Sitio web: ellyflow.com
Correo de privacidad: privacy@ellyflow.com
Correo legal: legal@ellyflow.com
2. Definiciones
Para efectos de esta Política, los siguientes términos tendrán el significado que se indica:
- Datos personales:Cualquier información que identifique o permita identificar a una persona física, incluyendo nombre, dirección de correo electrónico, número de teléfono, identificadores en línea o factores propios de su identidad.
- Tratamiento:Cualquier operación realizada sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
- Responsable del Tratamiento:La persona física o jurídica que, sola o junto con otras, determina los fines y los medios del tratamiento de datos personales.
- Encargado del Tratamiento:La persona física o jurídica que trata datos personales por cuenta del Responsable del Tratamiento.
- Usuario:Toda persona física o jurídica que se registra y utiliza la plataforma Elly.
- Cliente final:Toda persona que interactúa con un agente de IA o flujo de automatización creado por un Usuario dentro de la plataforma Elly.
- Servicio:La plataforma Elly y todos sus productos, incluyendo agentes de IA, flujos visuales, API de mensajería y herramientas de marketing masivo.
- GDPR:Reglamento General de Protección de Datos de la Unión Europea (Reglamento 2016/679).
- CCPA:California Consumer Privacy Act (Ley de Privacidad del Consumidor de California, EE. UU.).
- LGPD:Lei Geral de Proteção de Dados Pessoais de Brasil (Ley n.º 13.709/2018).
3. Información que recopilamos
Recopilamos información de distintas formas y categorías, siempre con la finalidad de prestar, mejorar y proteger nuestro Servicio:
3.1 Datos que nos proporcionas directamente
- Datos de registro: nombre completo, dirección de correo electrónico, nombre de tu empresa y contraseña al crear una cuenta.
- Datos de perfil: nombre de la organización, sector, país, preferencias de idioma y cualquier información adicional que decidas añadir a tu perfil.
- Datos de pago: información de tarjeta de crédito o débito, procesada de forma segura por nuestro proveedor de pagos certificado PCI-DSS (actualmente Stripe, Inc.). Elly no almacena directamente números de tarjeta completos ni datos financieros sensibles.
- Comunicaciones: mensajes que nos envías por correo electrónico, chat de soporte o formularios de contacto, incluyendo consultas de soporte técnico y retroalimentación sobre el Servicio.
- Contenido de la plataforma: flujos de conversación, scripts de agentes, bases de conocimiento, plantillas de mensajes y otros contenidos que crees o cargues en la plataforma.
3.2 Datos que recopilamos automáticamente
- Datos de uso: páginas visitadas, funcionalidades utilizadas, frecuencia y duración de las sesiones, acciones dentro de la plataforma (creación de flujos, activación de agentes, envíos de campañas), y métricas de rendimiento de tus flujos y agentes.
- Datos técnicos: dirección IP, tipo y versión del navegador, sistema operativo, identificadores de dispositivo, zona horaria y configuración regional.
- Datos de registro (logs): registros de eventos del sistema, incluyendo errores, tiempos de respuesta de API, llamadas a webhooks y otras actividades técnicas necesarias para el diagnóstico y la seguridad.
- Cookies y tecnologías similares: tal como se describe en la sección 11 de esta Política.
3.3 Datos de mensajes de WhatsApp
- Metadatos de mensajes: número de teléfono del remitente, marca de tiempo, estado de entrega y lectura, y tipo de contenido del mensaje.
- Contenido de mensajes: el texto, imágenes, documentos u otros archivos multimedia intercambiados en las conversaciones gestionadas por los agentes o flujos de nuestros usuarios. Este contenido es tratado bajo la condición de Encargado del Tratamiento y se procesa exclusivamente para prestar el servicio contratado.
- Datos de contactos: números de teléfono, nombres de contacto y etiquetas asignadas por el usuario a sus contactos de WhatsApp dentro de la plataforma.
3.4 Datos de terceros
Podemos recibir información sobre ti de fuentes externas, como:
- Proveedores de inicio de sesión OAuth (como Google), cuando eliges autenticarte mediante esa opción.
- Socios comerciales o integraciones de terceros que hayas habilitado en tu cuenta.
- Fuentes de enriquecimiento de datos empresariales para mejorar el soporte y la experiencia del servicio.
4. Base legal del tratamiento
Procesamos tus datos personales sobre la base de alguna de las siguientes bases legales, de conformidad con el GDPR y la normativa ecuatoriana aplicable:
- Ejecución de un contrato (Art. 6.1.b GDPR)Cuando el tratamiento es necesario para ejecutar el contrato contigo, es decir, para prestarte el Servicio conforme a los Términos de Servicio aceptados.
- Interés legítimo (Art. 6.1.f GDPR)Para mejoras de la plataforma, detección de fraude, seguridad, análisis agregados de uso y comunicaciones de servicio, siempre que dichos intereses no prevalezcan sobre tus derechos fundamentales.
- Consentimiento (Art. 6.1.a GDPR)Para el envío de comunicaciones de marketing y el uso de cookies no esenciales. Puedes retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento anterior.
- Cumplimiento de una obligación legal (Art. 6.1.c GDPR)Cuando sea necesario para cumplir con obligaciones legales aplicables, como conservar registros fiscales o responder a requerimientos judiciales.
- Protección de intereses vitales (Art. 6.1.d GDPR)En circunstancias excepcionales en que sea necesario proteger intereses vitales del interesado u otras personas.
5. Cómo usamos tu información
Utilizamos la información recopilada para los siguientes fines:
5.1 Prestación y mantenimiento del Servicio
- Crear y gestionar tu cuenta de usuario.
- Procesar pagos y gestionar tu suscripción.
- Ejecutar los flujos de automatización, agentes de IA y campañas de marketing que configures.
- Proporcionar acceso a la API de mensajería y webhooks.
- Almacenar y mostrar el historial de conversaciones conforme al plan contratado.
5.2 Mejora y desarrollo del Servicio
- Analizar patrones de uso agregados (nunca a nivel individual sin consentimiento) para identificar oportunidades de mejora.
- Desarrollar nuevas funcionalidades y productos.
- Realizar pruebas A/B y experimentos de usuario.
- Entrenar y mejorar nuestros modelos de inteligencia artificial internos con datos anonimizados o seudoanonimizados, siempre con las garantías apropiadas.
5.3 Soporte y comunicaciones
- Responder a tus consultas de soporte técnico y atención al cliente.
- Enviarte notificaciones transaccionales (facturas, alertas de uso, cambios de plan, actualizaciones de seguridad).
- Enviarte comunicaciones de marketing, novedades y ofertas, previo consentimiento y con opción de darse de baja en cualquier momento.
5.4 Seguridad y cumplimiento
- Detectar, investigar y prevenir actividades fraudulentas, abusivas o ilegales.
- Cumplir con obligaciones legales y responder a requerimientos de autoridades competentes.
- Mantener la integridad y seguridad de la plataforma.
- Hacer cumplir nuestros Términos de Servicio y Política de Uso Aceptable.
6. Compartición de datos y subencargados
No vendemos ni alquilamos tus datos personales a terceros. Podemos compartir tu información en las siguientes circunstancias:
6.1 Proveedores de servicios (subencargados)
Trabajamos con proveedores de confianza que tratan datos en nuestro nombre bajo contratos de protección de datos que garantizan niveles de protección equivalentes a esta Política. Los principales son:
| Proveedor | Finalidad | País |
|---|---|---|
| Meta Platforms (WhatsApp Business API) | Envío y recepción de mensajes de WhatsApp | EE. UU. / Global |
| Stripe, Inc. | Procesamiento de pagos | EE. UU. |
| Amazon Web Services (AWS) | Infraestructura cloud y almacenamiento | EE. UU. / Multi-región |
| Google Cloud Platform | Servicios de IA y cómputo | EE. UU. / Multi-región |
| OpenAI / proveedores de LLM | Procesamiento de lenguaje natural para agentes de IA | EE. UU. |
| MongoDB Atlas | Base de datos y almacenamiento de conversaciones | EE. UU. / Multi-región |
| Vercel Inc. | Hosting web y CDN | EE. UU. |
| Resend / SendGrid | Envío de correos electrónicos transaccionales | EE. UU. |
| Sentry | Monitoreo de errores y rendimiento | EE. UU. |
| Google Analytics / Plausible | Análisis de uso del sitio web (dato anonimizado) | EE. UU. / UE |
Esta lista puede actualizarse. Para obtener la lista completa y actualizada de subencargados, contacta a privacy@ellyflow.com.
6.2 Obligaciones legales
Podemos revelar información cuando sea requerido por ley, orden judicial, proceso legal, o cuando consideremos de buena fe que la divulgación es necesaria para proteger nuestros derechos, tu seguridad, la seguridad de terceros o para investigar fraudes.
6.3 Transacciones corporativas
En caso de fusión, adquisición, venta de activos u otra transacción corporativa, tus datos personales pueden ser transferidos al adquirente. Te notificaremos con antelación y te explicarás tus opciones antes de que tus datos queden sujetos a una política de privacidad diferente.
6.4 Con tu consentimiento
Podemos compartir información con terceros para cualquier otro propósito con tu consentimiento explícito previo.
7. Transferencias internacionales de datos
Algunos de nuestros subencargados están ubicados fuera del Ecuador, la Unión Europea o el Espacio Económico Europeo. Para garantizar que dichas transferencias internacionales cumplan con los estándares de protección aplicables, adoptamos las siguientes garantías:
- Cláusulas Contractuales Tipo (CCT/SCC): utilizamos los modelos de cláusulas aprobados por la Comisión Europea para transferencias hacia países terceros, conforme al Artículo 46.2.c del GDPR.
- Decisiones de adecuación: cuando los datos se transfieren a países reconocidos por la Comisión Europea como que ofrecen un nivel adecuado de protección.
- Certificaciones reconocidas: trabajamos con proveedores certificados bajo marcos reconocidos como ISO 27001, SOC 2 Type II y, cuando aplica, el EU-U.S. Data Privacy Framework.
Para obtener información sobre las garantías específicas aplicables a una transferencia concreta, contacta a privacy@ellyflow.com.
8. Retención de datos
Conservamos tus datos personales durante el tiempo necesario para los fines descritos en esta Política, considerando los siguientes criterios:
- Datos de cuenta:Mientras tu cuenta esté activa. Tras la cancelación, conservamos los datos durante 90 días para permitir reactivaciones y, posteriormente, los eliminamos o anonimizamos, salvo obligación legal de conservación.
- Historial de conversaciones de WhatsApp:Según el plan contratado: 7 días (Starter), 30 días (Startup), 90 días (Business) o el período extendido acordado (Enterprise). El usuario puede solicitar eliminación anticipada.
- Datos de facturación y transacciones:7 años, conforme a las obligaciones fiscales y contables aplicables.
- Registros de seguridad y auditoría (logs):90 días para la mayoría de los logs, hasta 1 año para eventos de seguridad relevantes.
- Datos de soporte:Hasta 2 años desde la resolución del ticket, para garantizar la calidad del servicio.
- Comunicaciones de marketing:Hasta que solicites la baja o retires tu consentimiento.
Cuando los datos ya no sean necesarios, los eliminaremos de forma segura o los anonimizaremos de tal manera que no puedan vincularse a una persona identificable.
9. Medidas de seguridad
La seguridad de tus datos es una prioridad para nosotros. Implementamos medidas técnicas, físicas y organizativas apropiadas para proteger tu información contra acceso no autorizado, pérdida, alteración o divulgación:
- Cifrado en tránsito: todas las comunicaciones entre tu navegador y nuestros servidores, y entre nuestros servicios internos, se realizan mediante TLS 1.2 o superior (HTTPS).
- Cifrado en reposo: los datos almacenados en nuestras bases de datos y sistemas de archivos están cifrados usando AES-256.
- Control de acceso: acceso a datos de producción restringido a personal autorizado bajo el principio de mínimo privilegio, con autenticación multifactor (MFA) obligatoria.
- Monitoreo continuo: sistemas de detección de intrusiones, alertas de seguridad en tiempo real y auditorías de acceso periódicas.
- Gestión de vulnerabilidades: revisiones periódicas de seguridad, pruebas de penetración y programa de divulgación responsable.
- Planes de respuesta a incidentes: procedimientos documentados para detectar, contener y notificar brechas de seguridad conforme a los plazos legales (72 horas bajo el GDPR).
- Copias de seguridad: respaldos cifrados regulares con pruebas de restauración periódicas.
No obstante, ningún sistema es 100 % seguro. Si detectas una vulnerabilidad de seguridad, repórtala responsablemente a security@ellyflow.com.
10. Tratamiento de datos de WhatsApp
Elly opera sobre la WhatsApp Business Platform API de Meta Platforms. El uso de esta API implica que los datos de mensajes están sujetos tanto a nuestra Política de Privacidad como a las Condiciones de Tratamiento de Datos para Empresas de WhatsApp y las políticas de uso de Meta.
- Consentimiento de usuarios finales: los usuarios de la plataforma Elly son responsables de obtener el consentimiento válido de sus clientes finales antes de enviarles mensajes de WhatsApp, conforme a las políticas de WhatsApp y la normativa aplicable.
- Ventana de mensajería: conforme a las políticas de WhatsApp Business, los mensajes de respuesta libre solo pueden enviarse dentro de las 24 horas posteriores al último mensaje del usuario final. Fuera de esta ventana, solo pueden enviarse plantillas aprobadas por Meta.
- Finalidad restringida: los datos de mensajes de WhatsApp procesados a través de Elly se usan exclusivamente para prestar el servicio contratado. No los utilizamos para publicidad propia ni los compartimos con terceros para fines de marketing sin consentimiento explícito.
- Retención de mensajes: el contenido de las conversaciones se almacena durante el período de historial correspondiente al plan del usuario (ver sección 8). Los mensajes no se comparten con Meta más allá de lo necesario para el enrutamiento técnico de la API.
- Eliminación de mensajes: cuando el usuario elimina una conversación o cancela su cuenta, los mensajes asociados se eliminan conforme a los plazos descritos en la sección 8.
11. Uso de la API de Google (Limited Use)
Elly utiliza la autenticación de Google (OAuth) y, de forma opcional, la API de Google Calendar para ofrecer funcionalidades específicas dentro de la plataforma. El uso y la transferencia de datos del usuario recibidos a través de las APIs de Google se realizan de conformidad con la Google API Services User Data Policy, incluyendo los requisitos de Limited Use.
"The use and transfer of raw or derived user data received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements."
11.1 Permisos solicitados
- userinfo.email, userinfo.profile y openid: se usan exclusivamente para autenticar tu identidad e iniciar sesión en Elly (nombre, correo y foto de perfil públicos asociados a tu Cuenta de Google).
- calendar.events: permiso opcional que un negocio usuario de Elly puede conectar para que su asistente virtual cree automáticamente eventos en su propio Google Calendar cuando un cliente final solicita una cita por chat (incluyendo nombre, teléfono y horario del cliente, además de recordatorios automáticos). Elly únicamente crea eventos nuevos; no lee, modifica ni elimina eventos existentes en el calendario del negocio.
11.2 Cómo cumplimos con Limited Use
- Los datos obtenidos mediante las APIs de Google se usan únicamente para prestar y mejorar las funcionalidades de la plataforma descritas anteriormente, visibles y solicitadas directamente por el usuario.
- No usamos estos datos para publicidad, ni para vender, alquilar o transferir esta información a terceros con fines comerciales.
- Cada negocio conecta su propio Google Calendar con sus propias credenciales OAuth; los datos permanecen bajo el control exclusivo del titular de la cuenta conectada.
- El acceso humano a estos datos está restringido a los casos permitidos por la política de Google: con tu consentimiento explícito, por motivos de seguridad, para cumplir con obligaciones legales, o de forma agregada y anonimizada para mantenimiento interno del Servicio.
13. Menores de edad
Elly no está dirigida a menores de 18 años. No recopilamos intencionadamente datos personales de menores de edad. Si eres padre, madre o tutor y crees que tu hijo/a ha proporcionado información personal a Elly, contáctanos en privacy@ellyflow.com para que podamos eliminar dicha información. Si descubrimos que hemos recopilado datos de un menor de forma involuntaria, los eliminaremos a la mayor brevedad posible.
14. Tus derechos
Dependiendo de tu ubicación, puedes tener los siguientes derechos respecto a tus datos personales:
13.1 Derechos bajo el GDPR (residentes en la UE/EEE)
- Acceso (Art. 15): obtener confirmación de si tratamos tus datos y recibir una copia de los mismos.
- Rectificación (Art. 16): corregir datos inexactos o completar datos incompletos.
- Supresión (Art. 17): solicitar la eliminación de tus datos cuando ya no sean necesarios, retires el consentimiento o te opongas al tratamiento.
- Limitación (Art. 18): solicitar la suspensión temporal del tratamiento en determinadas circunstancias.
- Portabilidad (Art. 20): recibir tus datos en un formato estructurado, de uso común y legible por máquina, y transmitirlos a otro responsable.
- Oposición (Art. 21): oponerte al tratamiento basado en interés legítimo o con fines de marketing directo.
- No ser objeto de decisiones automatizadas (Art. 22): no ser sometido a decisiones con efectos jurídicos basadas únicamente en tratamiento automatizado, salvo excepciones legales.
- Reclamación ante autoridad de control: presentar una reclamación ante la autoridad de protección de datos competente de tu país.
13.2 Derechos bajo la CCPA (residentes en California, EE. UU.)
- Derecho a saber qué información personal recopilamos, usamos, compartimos o vendemos.
- Derecho a eliminar la información personal recopilada.
- Derecho a optar por no participar en la venta de información personal (Elly no vende datos personales).
- Derecho a la no discriminación por ejercer tus derechos de privacidad.
13.3 Derechos bajo la LGPD (residentes en Brasil)
Los residentes en Brasil tienen derechos equivalentes a los del GDPR conforme a la LGPD, incluyendo acceso, rectificación, anonimización, portabilidad, eliminación, información sobre terceros con quienes se comparten los datos, y revocación del consentimiento.
Cómo ejercer tus derechos
Para ejercer cualquiera de los derechos anteriores, envía tu solicitud a privacy@ellyflow.com indicando claramente qué derecho deseas ejercer. Responderemos en un plazo máximo de 30 días (o el plazo legal aplicable). Podemos solicitar verificación de identidad antes de procesar la solicitud.
15. Cambios en esta política
Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestras prácticas, en la normativa aplicable o en los servicios que ofrecemos. Ante cambios materiales, te notificaremos con al menos 30 días de antelación mediante:
- Un correo electrónico a la dirección asociada a tu cuenta.
- Un aviso prominente en el panel de control de Elly.
- Una notificación en la página de inicio de ellyflow.com.
Te recomendamos revisar esta Política periódicamente. La fecha de la última actualización siempre aparece al inicio del documento. El uso continuado del Servicio tras la publicación de cambios implica tu aceptación de la Política actualizada.
16. Contacto y Delegado de Protección de Datos
Si tienes preguntas, comentarios o deseas ejercer tus derechos en materia de protección de datos, puedes contactarnos a través de los siguientes canales:
Consultas generales de privacidad
privacy@ellyflow.comAsuntos legales y contratos
legal@ellyflow.comIncidentes de seguridad
security@ellyflow.comSoporte técnico
support@ellyflow.comNos comprometemos a responder todas las consultas de privacidad en un plazo máximo de 72 horas hábiles para solicitudes urgentes y 30 días para solicitudes de derechos de los interesados.