Política de Privacidad — ContactSphere AI

Esta política de privacidad describe cómo Lucas Ariel Cavaliere Leon, operando bajo el nombre comercial ValTIC Informática (en adelante, «ValTIC», «nosotros» o «el Responsable»), trata los datos personales de los usuarios y clientes de ContactSphere AI, conforme al Reglamento General de Protección de Datos (RGPD, UE 2016/679), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).

1. Identidad del Responsable del Tratamiento

Campo	Datos
Titular	Lucas Ariel Cavaliere Leon
NIF	26887864J
Nombre comercial	ValTIC Informática · Marca: ContactSphere AI
Domicilio	C/ Sant Salvador 35, pta. 15 — 46980 Paterna (Valencia), España
Email de contacto	privacidad@valticinformatica.com
Web	contactsphereai.es

2. Datos que recopilamos

2.1 Datos de clientes (suscriptores del servicio)

Nombre y apellidos del representante de la empresa
Dirección de correo electrónico corporativo
Nombre de la empresa
Datos de facturación (nombre fiscal, NIF/CIF, dirección)
Datos de uso de la plataforma (accesos, actividad de la sesión)

2.2 Datos de usuarios finales del CRM (leads de los clientes)

Cuando los clientes de ContactSphere AI utilizan nuestra plataforma, introducen datos de sus propios contactos comerciales (leads) y mantienen conversaciones con ellos por WhatsApp, Instagram, Facebook Messenger o email. Respecto a estos datos:

ValTIC actúa como Encargado del Tratamiento; el cliente es el Responsable del Tratamiento.
Dichos datos se procesan exclusivamente para prestar el servicio contratado, conforme al Acuerdo de Encargo de Tratamiento (DPA).
Cada cliente tiene su espacio aislado (multi-tenant); los datos no se comparten entre clientes.
El cliente es responsable de obtener el consentimiento de sus contactos cuando la ley lo exija (en particular, para comunicaciones comerciales por WhatsApp — la plataforma incluye herramientas para solicitar y registrar dicho consentimiento).

2.3 Funciones de inteligencia artificial

ContactSphere AI incluye un agente conversacional y funciones de análisis basadas en inteligencia artificial. En relación con estos tratamientos:

Las conversaciones de los leads con el agente IA se procesan mediante proveedores externos de modelos de lenguaje (actualmente OpenAI, OpCo, LLC — EE.UU.) que actúan como subencargados del tratamiento. Estos proveedores no usan los datos para entrenar sus modelos conforme a sus condiciones de API empresarial.
El agente IA se identifica siempre como asistente de inteligencia artificial ante los usuarios finales, en cumplimiento del art. 50 del Reglamento (UE) 2024/1689 de Inteligencia Artificial.
Las funciones de IA (puntuación de leads, resúmenes, sugerencias de respuesta) son herramientas de apoyo: no se toman decisiones automatizadas con efectos jurídicos sobre las personas en el sentido del art. 22 RGPD.

2.4 Datos de integraciones conectadas por el usuario

Si el usuario conecta servicios de terceros mediante OAuth2, obtenemos los tokens de acceso necesarios (almacenados cifrados) y los datos imprescindibles para cada función:

Google Calendar: acceso al calendario seleccionado para crear, modificar y eliminar eventos de citas; email de la cuenta conectada.
Gmail: permiso de envío de correos en nombre del usuario desde el CRM. No leemos ni almacenamos la bandeja de entrada.
Google Drive: acceso a los archivos que el usuario seleccione explícitamente para adjuntarlos o vincularlos en el CRM.
Microsoft Outlook: permiso de envío de correos vía Microsoft Graph; email de la cuenta conectada.

El uso de los datos obtenidos de las APIs de Google se limita estrictamente a las funcionalidades descritas y cumple la Política de Datos de Usuario de los Servicios de API de Google, incluidos los requisitos de Uso Limitado (Limited Use). Los tokens no se venden, no se transfieren a terceros y no se usan para publicidad. El usuario puede revocar el acceso en cualquier momento desde la plataforma o desde su cuenta de Google.

2.5 Datos de navegación y técnicos

Dirección IP
Tipo de navegador y sistema operativo
Registros de acceso (logs) con fines de seguridad y diagnóstico

3. Finalidades del tratamiento y base jurídica

Finalidad	Base jurídica (RGPD)
Prestar el servicio CRM contratado (incluido el agente IA)	Art. 6.1.b — Ejecución del contrato
Facturación y gestión contable	Art. 6.1.c — Obligación legal
Integraciones con Google / Microsoft (Calendar, Gmail, Drive, Outlook)	Art. 6.1.a — Consentimiento explícito del usuario
Envío de comunicaciones del servicio (alertas, avisos técnicos)	Art. 6.1.b — Ejecución del contrato
Seguridad, prevención de fraude y diagnóstico técnico	Art. 6.1.f — Interés legítimo
Comunicaciones comerciales sobre el propio producto	Art. 6.1.a — Consentimiento

4. Plazos de conservación

Datos de clientes activos: durante la vigencia del contrato.
Datos de clientes cancelados: hasta 6 años por obligaciones mercantiles y fiscales (art. 30 Código de Comercio).
Cuentas de prueba (trial): si no se contrata un plan, los datos se eliminan a los 15 días de finalizar el período de prueba.
Tokens de integraciones (Google, Microsoft): eliminados al desconectar la integración o cancelar la cuenta.
Logs de acceso: máximo 12 meses.
Datos de leads (como Encargado del Tratamiento): según la política de retención configurada por cada cliente en la plataforma (por defecto 365 días), o hasta que el cliente solicite su eliminación o cancele el servicio.

5. Subencargados y transferencias internacionales

Los datos se almacenan en servidores ubicados en España. Para prestar determinadas funciones empleamos proveedores que actúan como subencargados del tratamiento, algunos de los cuales pueden implicar transferencias internacionales fuera del EEE. Dichas transferencias se amparan en el Marco de Privacidad de Datos UE-EE.UU. (DPF) o en las Cláusulas Contractuales Tipo de la Comisión Europea:

Proveedor	Función	Ubicación / Garantía
OpenAI, OpCo, LLC	Modelos de lenguaje del agente IA y funciones de análisis	EE.UU. — SCC / DPA empresarial
Meta Platforms Ireland Ltd.	WhatsApp Business API, Instagram y Facebook Messenger	Irlanda / EE.UU. — DPF
YCloud (BSP de WhatsApp)	Proveedor de soluciones de la WhatsApp Business API oficial	SCC
Google LLC	Calendar, Gmail y Drive (si el usuario las conecta)	EE.UU. — DPF
Microsoft Ireland Operations Ltd.	Outlook / Microsoft Graph (si el usuario la conecta)	Irlanda / EE.UU. — DPF
Stripe Payments Europe Ltd.	Procesamiento de pagos y suscripciones	Irlanda / EE.UU. — DPF
TrackingMore	Seguimiento de envíos (solo si el cliente contrata el módulo Pedidos)	SCC

Si el cliente conecta integraciones adicionales por iniciativa propia (p. ej. su propia instancia de un ERP), el tratamiento derivado se rige por las condiciones de ese proveedor.

6. Destinatarios y cesiones

No cedemos datos personales a terceros salvo:

Los subencargados del apartado anterior, estrictamente necesarios para prestar el servicio y bajo contrato conforme al art. 28 RGPD.
Cuando exista obligación legal (requerimiento judicial o de autoridad competente).

Nunca vendemos datos personales a terceros.

7. Derechos de los interesados

Conforme al RGPD, el usuario puede ejercer los siguientes derechos:

Acceso: conocer qué datos tratamos sobre usted.
Rectificación: corregir datos inexactos o incompletos.
Supresión («derecho al olvido»): solicitar la eliminación de sus datos.
Oposición: oponerse al tratamiento basado en interés legítimo.
Limitación: restringir el tratamiento en determinadas circunstancias.
Portabilidad: recibir sus datos en formato estructurado y de uso común.
Retirada del consentimiento: en cualquier momento, para los tratamientos basados en consentimiento (incluidas las integraciones con Google y Microsoft).

Para ejercer estos derechos, contacte en: privacidad@valticinformatica.com. Las solicitudes se atienden en un plazo máximo de 30 días.

También puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

8. Medidas de seguridad

Aplicamos medidas técnicas y organizativas adecuadas para proteger los datos personales, incluyendo:

Cifrado en tránsito (TLS/HTTPS) y en reposo para datos sensibles.
Aislamiento completo por cliente (arquitectura multi-tenant con Row-Level Security en PostgreSQL).
Acceso restringido a datos personales según principio de mínimo privilegio, con sistema de permisos granular por usuario.
Tokens de terceros (Google, Microsoft, Meta) almacenados cifrados, nunca en texto plano.
Autenticación de dos factores (2FA) disponible para todas las cuentas.
Registros de auditoría y monitorización de accesos.

Más detalle en nuestra página de Seguridad.

9. Uso de cookies

Este sitio web (contactsphereai.es) utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento de la web. No utilizamos cookies de seguimiento ni publicidad.

La aplicación CRM (app.contactsphereai.es) utiliza cookies de sesión necesarias para la autenticación.

10. Modificaciones de esta política

Nos reservamos el derecho a actualizar esta política cuando sea necesario. Notificaremos cambios relevantes por email a los clientes activos con un mínimo de 30 días de antelación. La versión vigente estará siempre disponible en esta URL.

11. Contacto

Para cualquier consulta relacionada con privacidad y protección de datos:

Email: privacidad@valticinformatica.com
Web: valticinformatica.com