E-pyme - Contacto

E-pyme · Versión 2.1 · Vigente desde 23/02/2026 · Cumplimiento Meta API, GDPR, LGPD

1. Datos que recolecta Gigi

Gigi recopila únicamente la información estrictamente necesaria para prestar el servicio de asistencia conversacional e-commerce. A continuación se detalla cada categoría:

1.1 Datos proporcionados directamente

Mensajes de texto: El contenido escrito de cada conversación, almacenado temporalmente para el contexto de la sesión.
Mensajes de voz: Los audios se transcriben en tiempo real mediante reconocimiento de voz y no se almacenan permanentemente. La transcripción se trata como texto.
Archivos adjuntos: Los archivos pasan por un escáner antimalware y se procesan en un entorno aislado (sandbox). Los archivos maliciosos son rechazados y destruidos al instante. Los archivos legítimos se eliminan tras procesarse.
Datos de identificación: Nombre, correo electrónico o número de teléfono, únicamente si el usuario los proporciona voluntariamente durante la conversación.

1.2 Datos técnicos recolectados automáticamente

Dirección IP: Registrada por 24 horas para detección de fraude y abuso. Luego se elimina automáticamente.
User Agent del navegador: Para optimización de la experiencia, sin asociación a identidad personal.
Marca de tiempo: Hora de inicio y fin de cada sesión para métricas de rendimiento.
Identificador de sesión anónimo: Un UUID aleatorio que no permite la identificación de la persona real.

          🔒 Principio de minimización: Gigi nunca solicita ni almacena datos sensibles como contraseñas, números de tarjeta de crédito, documentos de identidad, datos de salud o datos de menores de edad. Si un usuario intenta compartir este tipo de información, Gigi la rechaza y solicita al usuario que no lo haga.
        

1.3 Datos que Gigi NUNCA recolecta

Contraseñas o credenciales de ningún tipo
Datos de tarjetas de crédito o débito (los pagos se procesan por pasarelas certificadas PCI-DSS)
Datos de salud o categorías especiales bajo GDPR Artículo 9
Información de menores de 18 años
Datos biométricos (huella dactilar, reconocimiento facial)
Geolocalización precisa sin consentimiento explícito

2. Cómo se procesa tu información

Todo procesamiento de datos por parte de Gigi está sujeto a una base legal válida bajo el GDPR y legislaciones equivalentes. Los posibles fundamentos legales son: ejecución de contrato, interés legítimo, consentimiento explícito y obligación legal.

2.1 Finalidades del tratamiento

Asistencia comercial: Responder consultas sobre productos, precios, disponibilidad y proceso de compra. Base legal: ejecución de contrato.
Seguridad y antifraude: Detectar patrones de uso abusivo, intentos de inyección de prompts y actividad maliciosa. Base legal: interés legítimo.
Mejora del servicio: Análisis agregado y anonimizado de patrones de conversación para mejorar las respuestas de Gigi. Base legal: interés legítimo.
Entrenamiento de IA: Solo con consentimiento explícito previo (opt-in) del usuario. Puede revocarse en cualquier momento. Base legal: consentimiento.
Cumplimiento legal: Conservación de registros de facturación según exija la legislación fiscal aplicable. Base legal: obligación legal.

2.2 Seguridad del procesamiento

Cifrado en tránsito: TLS 1.3 para todas las comunicaciones entre el cliente y los servidores de Gigi.
Cifrado en reposo: AES-256-GCM para todos los datos almacenados en base de datos y sistemas de archivos.
Aislamiento de datos: Cada cliente tiene su espacio de datos completamente aislado (tenant isolation). Los datos de un negocio nunca se mezclan con los de otro.
Control de acceso: Sistema RBAC (control de acceso basado en roles) con autenticación multifactor obligatoria para todos los administradores.
Auditoría continua: Log inmutable de cada acceso, modificación o eliminación de datos, con firma criptográfica.

⚠️ Protección contra Prompt Injection: Gigi implementa múltiples capas de defensa contra ataques de inyección de instrucciones maliciosas. Los mensajes son evaluados por un módulo de seguridad antes de ser procesados por el modelo de IA. Los intentos de manipulación son bloqueados, registrados y reportados al equipo de seguridad.

2.3 Subencargados y transferencias internacionales

Gigi utiliza subencargados de tratamiento certificados para servicios específicos. Todos cumplen con el GDPR y tienen cláusulas contractuales estándar (SCCs) firmadas:

Infraestructura cloud: AWS (Amazon Web Services) — región preferente EU-West. Certificación ISO 27001, SOC 2 Tipo II.
Modelos de IA: Procesamiento en entornos privados sin compartir datos con proveedores de modelos de lenguaje general.
Pasarelas de pago: Procesadores certificados PCI-DSS nivel 1 para cobros en quetzales. Los datos de pago nunca pasan por los servidores de Gigi.

3. Períodos de retención y eliminación automática

Gigi aplica el principio de limitación del plazo de conservación: ningún dato se guarda más tiempo del necesario. Los períodos son los siguientes:

Categoría de dato	Período de retención	Método de eliminación	Fundamento legal
Transcripciones de chat	30 días	Eliminación segura + sobrescritura	Interés legítimo / soporte
Audio de voz	Solo en sesión	No se persiste en disco	Minimización de datos
Dirección IP	24 horas	Purga automática programada	Antifraude / seguridad
Datos de sesión anónimos	7 días	Expiración automática TTL	Interés legítimo
Perfil de usuario / CRM	Duración del contrato	Eliminación bajo petición o baja	Ejecución de contrato
Historial de pedidos	5 años	Anonimización tras vencimiento	Obligación fiscal
Logs de auditoría	12 meses	Archivo comprimido + eliminación	Seguridad / requisito Meta
Datos de entrenamiento IA	Solo con opt-in	Eliminación inmediata al revocar	Consentimiento explícito
Datos de menores	No recolectados	Rechazo automático en origen	COPPA / GDPR Art. 8

3.1 Proceso de eliminación automática

Gigi ejecuta trabajos de purga automatizados cada 24 horas que eliminan los datos cuyo período de retención ha vencido.
La eliminación se realiza mediante sobrescritura segura de 3 pasadas (estándar DoD 5220.22-M) para datos en disco.
Los backups cifrados se eliminan automáticamente según el mismo calendario. Ningún backup supera el período de retención del dato original.
Se genera un certificado de destrucción digital por cada lote de datos eliminados, disponible bajo solicitud.

          ✅ Garantía de eliminación definitiva: Cuando un usuario solicita la eliminación de su cuenta y datos, E-pyme se compromete a ejecutar la destrucción completa en un máximo de 72 horas hábiles, incluyendo base de datos principal, réplicas, cachés y backups. Se emite un correo de confirmación con el certificado de destrucción una vez completado el proceso.
        

4. Cumplimiento con la API de Meta

Gigi puede integrarse con los canales de mensajería de Meta: WhatsApp Business API, Messenger Platform e Instagram Messaging API. El uso de estos canales está sujeto a las políticas de desarrollador de Meta y los siguientes requisitos, que E-pyme cumple en su totalidad.

📘 Referencia normativa: Meta Platform Terms · WhatsApp Business Policy · Messenger Platform Policy · Meta Business Tools Terms · Data Use Policy v2023.

4.1 Webhook de eliminación de datos de Meta

Meta exige que toda app conectada a su plataforma implemente un endpoint HTTPS de eliminación de datos que reciba solicitudes cuando un usuario elimine la app o su cuenta de Facebook. Gigi cumple este requisito:

El webhook POST /api/meta/data-deletion está activo y verificado por Meta.
Al recibir una solicitud de eliminación de Meta, Gigi elimina en cascada todos los datos asociados al user_id de la plataforma en un máximo de 24 horas.
Se devuelve a Meta una URL de confirmación de estado que el usuario puede consultar para verificar que la eliminación fue exitosa.
El proceso es auditable y Meta puede verificarlo en cualquier momento.

4.2 Consentimiento y mensajería iniciada por el usuario

Gigi respeta estrictamente la política de Mensajería Iniciada por el Usuario (MIBA) de WhatsApp: solo responde mensajes, nunca los inicia sin consentimiento previo.
Para campañas de notificación (plantillas aprobadas), el consentimiento opt-in es registrado con marca de tiempo y origen.
Las palabras clave de baja (STOP, DETENER, CANCELAR, BAJA, UNSUBSCRIBE) son procesadas automáticamente en tiempo real, sin intervención humana.
Los opt-outs se replican a todos los canales activos del usuario en un máximo de 5 minutos.

4.3 Transparencia de IA requerida por Meta

Gigi se identifica como agente de inteligencia artificial en el primer mensaje de cada nueva sesión, conforme a las Directrices de Agentes Automatizados de Meta.
Cuando el usuario solicita hablar con una persona real, Gigi escala la conversación a un agente humano sin demora.
El modelo de IA que impulsa a Gigi no accede ni usa los datos de usuario para entrenar modelos compartidos entre clientes.

4.4 Seguridad de tokens y credenciales Meta

Los tokens de acceso a la API de Meta se almacenan en HashiCorp Vault con cifrado AES-256, separados de la base de datos de la aplicación.
Los tokens se rotan automáticamente cada 90 días o de forma inmediata ante cualquier indicador de compromiso.
El acceso a los tokens está restringido por políticas de mínimo privilegio y se audita en tiempo real.
Los webhooks de Meta están protegidos con verificación de firma HMAC-SHA256 para garantizar la autenticidad de cada solicitud.

          ✅ Estado de verificación: La cuenta de Meta Business de E-pyme está verificada con nivel de acceso Avanzado para la API de WhatsApp Business. La URL de política de privacidad epyme.com/privacidad está registrada y activa en el panel de Meta for Developers.
        

5. Tus derechos como titular de los datos

De acuerdo con el Reglamento General de Protección de Datos (GDPR), la Ley General de Protección de Datos Personales (LGPD) de Brasil y las legislaciones nacionales equivalentes, tienes los siguientes derechos inalienables sobre tus datos personales procesados por Gigi:

5.1 Derecho de acceso (Art. 15 GDPR)

Puedes solicitar en cualquier momento un reporte completo de todos los datos que Gigi almacena sobre ti.
El reporte se entrega en formato legible (JSON o PDF) en un plazo máximo de 30 días naturales.
El reporte incluye: qué datos, por qué, durante cuánto tiempo, con quién se comparte y cuál es la base legal.
La primera solicitud es gratuita. Las solicitudes adicionales en el mismo año pueden estar sujetas a una tarifa administrativa razonable.

5.2 Derecho de rectificación (Art. 16 GDPR)

Puedes corregir datos incorrectos, incompletos o desactualizados sobre ti en un plazo de 15 días hábiles.
La corrección se propaga automáticamente a todos los sistemas donde el dato esté replicado.

5.3 Derecho de eliminación / "Derecho al Olvido" (Art. 17 GDPR)

Puedes solicitar la eliminación completa e irreversible de todos tus datos en un plazo de 72 horas.
La eliminación abarca: base de datos principal, réplicas, cachés, backups y registros de auditoría (excepto los requeridos por obligación legal).
Recibirás un certificado de destrucción de datos por correo electrónico una vez completado el proceso.
Solicitar la eliminación implica la baja automática del servicio de Gigi. El contrato de servicio se da por terminado.

5.4 Derecho de oposición al entrenamiento de IA (Art. 21 GDPR)

Puedes oponerte en cualquier momento al uso de tus conversaciones para mejorar o entrenar los modelos de IA de Gigi.
El opt-out es retroactivo: los datos ya usados para entrenamiento son eliminados de los conjuntos de entrenamiento mediante procesos de desaprendizaje (machine unlearning) en un plazo de 30 días.
El servicio de asistencia no se ve afectado por ejercer este derecho.

5.5 Derecho de portabilidad (Art. 20 GDPR)

Puedes exportar tu historial de conversaciones y datos de perfil en formato JSON, CSV o XML desde el panel de usuario.
El archivo exportado está disponible para descarga durante 72 horas y se elimina automáticamente del servidor de exportación.

          📬 Cómo ejercer tus derechos: Envía un correo a privacidad@epyme.com con tu nombre, correo registrado y el derecho que deseas ejercer. También puedes usar el formulario de eliminación en la pestaña "Eliminación" de esta política. Responderemos en un máximo de 48 horas hábiles.
        

6. Solicitud de eliminación definitiva de datos

El derecho al olvido es uno de los derechos fundamentales bajo el GDPR y todas las legislaciones de privacidad modernas. En E-pyme lo tomamos en serio. Una vez procesada tu solicitud, la eliminación es total, irreversible y certificada.

⚠️ Atención: La eliminación de datos implica la pérdida permanente de todo tu historial de conversaciones, perfil de usuario y preferencias. Esta acción no puede deshacerse. Si tienes dudas, considera primero descargar una exportación de tus datos.

6.1 ¿Qué se elimina?

Todas las transcripciones de conversaciones con Gigi
Perfil de usuario y datos de contacto asociados
Historial de pedidos (anonimizado para registros fiscales obligatorios)
Preferencias y configuraciones personalizadas
Datos usados para entrenamiento de IA (con proceso de desaprendizaje)
Identificadores de sesión y datos técnicos asociados a tu persona
Datos en canales de Meta (mediante webhook de eliminación)

6.2 ¿Qué NO se puede eliminar?

Registros de facturación anonimizados requeridos por ley fiscal (5 años, sin datos identificables)
Logs de seguridad anonimizados requeridos para auditorías legales
Datos necesarios para resolver disputas legales activas

6.3 Proceso y plazos

Confirmación: En las primeras 2 horas hábiles recibirás un correo confirmando la recepción de tu solicitud.
Verificación de identidad: Para protegerte, verificaremos tu identidad antes de proceder (correo de confirmación con enlace único).
Ejecución: La eliminación se ejecuta en un máximo de 72 horas hábiles desde la verificación de identidad.
Certificado: Recibirás un certificado digital de destrucción de datos con referencia única y marca de tiempo.
Propagación a Meta: La solicitud se transmite automáticamente al webhook de eliminación de datos de Meta, procesándose en paralelo.

🗑️ Formulario de Solicitud de Eliminación

Completa el formulario para iniciar el proceso. Te enviaremos un enlace de verificación antes de proceder.

Nombre completo

Correo electrónico registrado

Alcance de la eliminación

Motivo (opcional)

Confirmo que entiendo que la eliminación es irreversible y que perderé acceso permanente a mis datos e historial.

7. Delegado de Protección de Datos (DPO)

E-pyme ha designado un Delegado de Protección de Datos (DPO) responsable de supervisar el cumplimiento de esta política y atender las solicitudes de los titulares de datos. Puedes contactar al DPO por cualquiera de los siguientes medios:

📧

Correo DPO

privacidad@epyme.com

Respuesta en 48h hábiles

📮

Correo postal

E-pyme — DPO
Av. Tecnología 142, Piso 8
Ciudad de México, CDMX

⏱️

Tiempos de respuesta

Acuse de recibo: 2h
Respuesta completa: 48h
Ejecución eliminación: 72h

🏛️

Autoridad supervisora

Si no recibes respuesta, puedes acudir a la autoridad de protección de datos de tu país (AEPD, INAI, ANPD, etc.)

7.1 Actualizaciones de esta política

Esta política puede actualizarse para reflejar cambios en la ley, en los servicios de Gigi o en los requisitos de la API de Meta. Los cambios sustanciales se comunicarán por correo electrónico con al menos 15 días de antelación a su entrada en vigor.

La versión vigente siempre estará disponible en epyme.com/privacidad y en este modal. La fecha de última actualización aparece en el encabezado de este documento.

7.2 Legislación aplicable

Europa: Reglamento (UE) 2016/679 (GDPR) — Reglamento General de Protección de Datos
Brasil: Lei Nº 13.709/2018 (LGPD) — Lei Geral de Proteção de Dados
México: LFPDPPP — Ley Federal de Protección de Datos Personales en Posesión de Particulares
Internacional: Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales
Meta: Meta Platform Terms, WhatsApp Business Policy, Messenger Platform Policy

          🔄 Versión: 2.1 | Fecha de vigencia: 23/02/2026 | Próxima revisión: 23/08/2026 | Aprobada por DPO: E-pyme Legal Team
        

Empieza hoy. Tu tienda online lista en 3 días.

Empieza hoy. Tu tienda online
lista en 3 días.