2. Cómo se procesa tu información

Todo procesamiento de datos por parte de Gigi está sujeto a una base legal válida bajo el GDPR y legislaciones equivalentes. Los posibles fundamentos legales son: ejecución de contrato, interés legítimo, consentimiento explícito y obligación legal.

2.1 Finalidades del tratamiento

• Asistencia comercial: Responder consultas sobre productos, precios, disponibilidad y proceso de compra. Base legal: ejecución de contrato.
• Seguridad y antifraude: Detectar patrones de uso abusivo, intentos de inyección de prompts y actividad maliciosa. Base legal: interés legítimo.
• Mejora del servicio: Análisis agregado y anonimizado de patrones de conversación para mejorar las respuestas de Gigi. Base legal: interés legítimo.
• Entrenamiento de IA: Solo con consentimiento explícito previo (opt-in) del usuario. Puede revocarse en cualquier momento. Base legal: consentimiento.
• Cumplimiento legal: Conservación de registros de facturación según exija la legislación fiscal aplicable. Base legal: obligación legal.

2.2 Seguridad del procesamiento

• Cifrado en tránsito: TLS 1.3 para todas las comunicaciones entre el cliente y los servidores de Gigi.
• Cifrado en reposo: AES-256-GCM para todos los datos almacenados en base de datos y sistemas de archivos.
• Aislamiento de datos: Cada cliente tiene su espacio de datos completamente aislado (tenant isolation). Los datos de un negocio nunca se mezclan con los de otro.
• Control de acceso: Sistema RBAC (control de acceso basado en roles) con autenticación multifactor obligatoria para todos los administradores.
• Auditoría continua: Log inmutable de cada acceso, modificación o eliminación de datos, con firma criptográfica.

2.3 Subencargados y transferencias internacionales

Gigi utiliza subencargados de tratamiento certificados para servicios específicos. Todos cumplen con el GDPR y tienen cláusulas contractuales estándar (SCCs) firmadas:

• Infraestructura cloud: AWS (Amazon Web Services) — región preferente EU-West. Certificación ISO 27001, SOC 2 Tipo II.
• Modelos de IA: Procesamiento en entornos privados sin compartir datos con proveedores de modelos de lenguaje general.
• Pasarelas de pago: Procesadores certificados PCI-DSS nivel 1 para cobros en quetzales. Los datos de pago nunca pasan por los servidores de Gigi.

3. Períodos de retención y eliminación automática

Gigi aplica el principio de limitación del plazo de conservación: ningún dato se guarda más tiempo del necesario. Los períodos son los siguientes:

3.1 Proceso de eliminación automática

• Gigi ejecuta trabajos de purga automatizados cada 24 horas que eliminan los datos cuyo período de retención ha vencido.
• La eliminación se realiza mediante sobrescritura segura de 3 pasadas (estándar DoD 5220.22-M) para datos en disco.
• Los backups cifrados se eliminan automáticamente según el mismo calendario. Ningún backup supera el período de retención del dato original.
• Se genera un certificado de destrucción digital por cada lote de datos eliminados, disponible bajo solicitud.

4. Cumplimiento con la API de Meta

Gigi puede integrarse con los canales de mensajería de Meta: WhatsApp Business API, Messenger Platform e Instagram Messaging API. El uso de estos canales está sujeto a las políticas de desarrollador de Meta y los siguientes requisitos, que E-pyme cumple en su totalidad.

4.1 Webhook de eliminación de datos de Meta

Meta exige que toda app conectada a su plataforma implemente un endpoint HTTPS de eliminación de datos que reciba solicitudes cuando un usuario elimine la app o su cuenta de Facebook. Gigi cumple este requisito:

• El webhook POST /api/meta/data-deletion está activo y verificado por Meta.
• Al recibir una solicitud de eliminación de Meta, Gigi elimina en cascada todos los datos asociados al user_id de la plataforma en un máximo de 24 horas.
• Se devuelve a Meta una URL de confirmación de estado que el usuario puede consultar para verificar que la eliminación fue exitosa.
• El proceso es auditable y Meta puede verificarlo en cualquier momento.

4.2 Consentimiento y mensajería iniciada por el usuario

• Gigi respeta estrictamente la política de Mensajería Iniciada por el Usuario (MIBA) de WhatsApp: solo responde mensajes, nunca los inicia sin consentimiento previo.
• Para campañas de notificación (plantillas aprobadas), el consentimiento opt-in es registrado con marca de tiempo y origen.
• Las palabras clave de baja (STOP, DETENER, CANCELAR, BAJA, UNSUBSCRIBE) son procesadas automáticamente en tiempo real, sin intervención humana.
• Los opt-outs se replican a todos los canales activos del usuario en un máximo de 5 minutos.

4.3 Transparencia de IA requerida por Meta

• Gigi se identifica como agente de inteligencia artificial en el primer mensaje de cada nueva sesión, conforme a las Directrices de Agentes Automatizados de Meta.
• Cuando el usuario solicita hablar con una persona real, Gigi escala la conversación a un agente humano sin demora.
• El modelo de IA que impulsa a Gigi no accede ni usa los datos de usuario para entrenar modelos compartidos entre clientes.

4.4 Seguridad de tokens y credenciales Meta

• Los tokens de acceso a la API de Meta se almacenan en HashiCorp Vault con cifrado AES-256, separados de la base de datos de la aplicación.
• Los tokens se rotan automáticamente cada 90 días o de forma inmediata ante cualquier indicador de compromiso.
• El acceso a los tokens está restringido por políticas de mínimo privilegio y se audita en tiempo real.
• Los webhooks de Meta están protegidos con verificación de firma HMAC-SHA256 para garantizar la autenticidad de cada solicitud.

5. Tus derechos como titular de los datos

De acuerdo con el Reglamento General de Protección de Datos (GDPR), la Ley General de Protección de Datos Personales (LGPD) de Brasil y las legislaciones nacionales equivalentes, tienes los siguientes derechos inalienables sobre tus datos personales procesados por Gigi:

5.1 Derecho de acceso (Art. 15 GDPR)

• Puedes solicitar en cualquier momento un reporte completo de todos los datos que Gigi almacena sobre ti.
• El reporte se entrega en formato legible (JSON o PDF) en un plazo máximo de 30 días naturales.
• El reporte incluye: qué datos, por qué, durante cuánto tiempo, con quién se comparte y cuál es la base legal.
• La primera solicitud es gratuita. Las solicitudes adicionales en el mismo año pueden estar sujetas a una tarifa administrativa razonable.

5.2 Derecho de rectificación (Art. 16 GDPR)

• Puedes corregir datos incorrectos, incompletos o desactualizados sobre ti en un plazo de 15 días hábiles.
• La corrección se propaga automáticamente a todos los sistemas donde el dato esté replicado.

5.3 Derecho de eliminación / "Derecho al Olvido" (Art. 17 GDPR)

• Puedes solicitar la eliminación completa e irreversible de todos tus datos en un plazo de 72 horas.
• La eliminación abarca: base de datos principal, réplicas, cachés, backups y registros de auditoría (excepto los requeridos por obligación legal).
• Recibirás un certificado de destrucción de datos por correo electrónico una vez completado el proceso.
• Solicitar la eliminación implica la baja automática del servicio de Gigi. El contrato de servicio se da por terminado.

5.4 Derecho de oposición al entrenamiento de IA (Art. 21 GDPR)

• Puedes oponerte en cualquier momento al uso de tus conversaciones para mejorar o entrenar los modelos de IA de Gigi.
• El opt-out es retroactivo: los datos ya usados para entrenamiento son eliminados de los conjuntos de entrenamiento mediante procesos de desaprendizaje (machine unlearning) en un plazo de 30 días.
• El servicio de asistencia no se ve afectado por ejercer este derecho.

5.5 Derecho de portabilidad (Art. 20 GDPR)

• Puedes exportar tu historial de conversaciones y datos de perfil en formato JSON, CSV o XML desde el panel de usuario.
• El archivo exportado está disponible para descarga durante 72 horas y se elimina automáticamente del servidor de exportación.

6. Solicitud de eliminación definitiva de datos

El derecho al olvido es uno de los derechos fundamentales bajo el GDPR y todas las legislaciones de privacidad modernas. En E-pyme lo tomamos en serio. Una vez procesada tu solicitud, la eliminación es total, irreversible y certificada.

6.1 ¿Qué se elimina?

• Todas las transcripciones de conversaciones con Gigi
• Perfil de usuario y datos de contacto asociados
• Historial de pedidos (anonimizado para registros fiscales obligatorios)
• Preferencias y configuraciones personalizadas
• Datos usados para entrenamiento de IA (con proceso de desaprendizaje)
• Identificadores de sesión y datos técnicos asociados a tu persona
• Datos en canales de Meta (mediante webhook de eliminación)

6.2 ¿Qué NO se puede eliminar?

• Registros de facturación anonimizados requeridos por ley fiscal (5 años, sin datos identificables)
• Logs de seguridad anonimizados requeridos para auditorías legales
• Datos necesarios para resolver disputas legales activas

6.3 Proceso y plazos

• Confirmación: En las primeras 2 horas hábiles recibirás un correo confirmando la recepción de tu solicitud.
• Verificación de identidad: Para protegerte, verificaremos tu identidad antes de proceder (correo de confirmación con enlace único).
• Ejecución: La eliminación se ejecuta en un máximo de 72 horas hábiles desde la verificación de identidad.
• Certificado: Recibirás un certificado digital de destrucción de datos con referencia única y marca de tiempo.
• Propagación a Meta: La solicitud se transmite automáticamente al webhook de eliminación de datos de Meta, procesándose en paralelo.

7. Delegado de Protección de Datos (DPO)

E-pyme ha designado un Delegado de Protección de Datos (DPO) responsable de supervisar el cumplimiento de esta política y atender las solicitudes de los titulares de datos. Puedes contactar al DPO por cualquiera de los siguientes medios:

7.1 Actualizaciones de esta política

Esta política puede actualizarse para reflejar cambios en la ley, en los servicios de Gigi o en los requisitos de la API de Meta. Los cambios sustanciales se comunicarán por correo electrónico con al menos 15 días de antelación a su entrada en vigor.

La versión vigente siempre estará disponible en epyme.com/privacidad y en este modal. La fecha de última actualización aparece en el encabezado de este documento.

7.2 Legislación aplicable

• Europa: Reglamento (UE) 2016/679 (GDPR) — Reglamento General de Protección de Datos
• Brasil: Lei Nº 13.709/2018 (LGPD) — Lei Geral de Proteção de Dados
• México: LFPDPPP — Ley Federal de Protección de Datos Personales en Posesión de Particulares
• Internacional: Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales
• Meta: Meta Platform Terms, WhatsApp Business Policy, Messenger Platform Policy