Politica de Privacidad
Ultima actualizacion: febrero de 2026
1. Informacion General
Whatsfy LLC (en adelante, "Whatsfy", "nosotros" o "la empresa"), con sede en Colombia, opera Whatsafy Bridge, una aplicacion personalizada para la plataforma Shopify que permite a los comerciantes enviar notificaciones automaticas de WhatsApp a sus clientes a traves de la API de Whatsfy/LucidBot.
Esta Politica de Privacidad describe como recopilamos, usamos, almacenamos, protegemos y compartimos la informacion personal cuando usted, como comerciante o como cliente de un comerciante que utiliza nuestra aplicacion, interactua con Whatsafy Bridge.
Al instalar Whatsafy Bridge en su tienda Shopify, usted acepta las practicas descritas en esta politica. Si usted es un cliente final de un comerciante que utiliza nuestra aplicacion, el comerciante es el responsable del tratamiento de sus datos personales y nosotros actuamos como encargados del tratamiento.
Whatsfy LLC actua como encargado del tratamiento de los datos de los clientes finales. El responsable del tratamiento es el comerciante que instala la aplicacion en su tienda Shopify.
2. Datos que Recopilamos
2.1 Datos del Comerciante
Cuando un comerciante instala Whatsafy Bridge, recopilamos la siguiente informacion:
| Dato | Descripcion | Proteccion |
|---|---|---|
| Dominio de la tienda Shopify | Identificador unico de la tienda (ejemplo: mi-tienda.myshopify.com) | Almacenado en texto plano |
| Token de acceso de Shopify | Token OAuth otorgado durante la instalacion para acceder a la API de Shopify | Encriptado con AES-256-GCM |
| API Key de Whatsfy | Clave proporcionada por el comerciante para conectar con la plataforma Whatsfy | Encriptada con AES-256-GCM |
| Configuracion de notificaciones | Preferencias de flujos de WhatsApp, tiempos de espera para carritos abandonados | Almacenado en base de datos |
| Nombre de la tienda | Nombre comercial de la tienda Shopify | Almacenado en texto plano |
2.2 Datos de los Clientes del Comerciante
Cuando un cliente realiza una compra o interactua con la tienda del comerciante, Shopify nos envia los siguientes datos a traves de webhooks:
| Categoria | Datos Especificos |
|---|---|
| Datos personales | Nombre completo, numero de telefono, direccion de correo electronico |
| Direccion de envio | Direccion principal, direccion secundaria (apartamento, piso), ciudad, provincia/departamento, pais, codigo postal |
| Informacion del pedido | Numero de pedido, lista de productos ordenados con precios, subtotal, costo de envio, total a pagar, moneda |
| Informacion de envio | Numero de guia, nombre de la transportadora, URL de rastreo del envio |
| Carrito abandonado | Productos en el carrito, total del carrito, URL para recuperar el carrito |
2.3 Datos Tecnicos y de Operacion
Recopilamos datos tecnicos necesarios para el funcionamiento del servicio:
- Logs de webhooks: Registro de eventos recibidos de Shopify, incluyendo tipo de evento, estado de procesamiento, identificador del webhook y marca de tiempo.
- Estados de entrega: Resultado del envio de cada notificacion de WhatsApp (enviado, fallido, pendiente).
- Identificadores de webhooks: IDs unicos de Shopify utilizados para control de idempotencia y prevencion de duplicados.
- Metricas de rendimiento: Tiempos de procesamiento de webhooks y tiempos de obtencion de configuracion.
3. Finalidad del Tratamiento
Utilizamos los datos recopilados exclusivamente para las siguientes finalidades:
3.1 Notificaciones Transaccionales
- Confirmacion de pedidos: Enviar al cliente una notificacion de WhatsApp cuando se crea un nuevo pedido, incluyendo detalles del pedido, productos, totales y direccion de envio.
- Confirmacion de pago: Notificar al cliente cuando el pago de su pedido ha sido confirmado.
- Notificacion de envio: Informar al cliente cuando su pedido ha sido despachado, incluyendo el numero de guia, nombre de la transportadora y URL de rastreo.
- Confirmacion de entrega: Notificar al cliente cuando su pedido ha sido entregado.
3.2 Recuperacion de Carritos Abandonados
- Enviar un recordatorio de WhatsApp a clientes que iniciaron un proceso de compra pero no lo completaron.
- El comerciante configura el tiempo de espera antes de que se envie la notificacion.
- Se incluye un enlace directo al carrito para facilitar la recuperacion.
3.3 Panel de Estadisticas del Comerciante
- Mostrar al comerciante estadisticas sobre el uso de la aplicacion: numero de notificaciones enviadas, tasas de entrega, actividad reciente.
- Permitir al comerciante consultar el historial de pedidos y el estado de sincronizacion de notificaciones.
- Permitir al comerciante reenviar notificaciones de pedidos especificos.
3.4 Funcionamiento Tecnico del Servicio
- Procesar webhooks de Shopify de forma segura y eficiente.
- Garantizar la idempotencia de las operaciones (evitar envios duplicados).
- Registrar logs para diagnostico de errores y monitoreo del servicio.
- Gestionar la cola de carritos abandonados con procesamiento programado.
4. Base Legal del Tratamiento
El tratamiento de datos personales se fundamenta en las siguientes bases legales:
| Base Legal | Aplicacion |
|---|---|
| Ejecucion del contrato | El tratamiento es necesario para la ejecucion del contrato entre Whatsfy LLC y el comerciante que instala la aplicacion. Al instalar Whatsafy Bridge, el comerciante acepta nuestros terminos de servicio, lo que constituye una relacion contractual que requiere el procesamiento de datos para cumplir con el servicio contratado. |
| Interes legitimo del comerciante | El comerciante tiene un interes legitimo en notificar a sus clientes sobre el estado de sus pedidos, envios y entregas. Estas notificaciones transaccionales son esperadas por los clientes y mejoran la experiencia de compra. El interes del comerciante prevalece sobre los derechos del cliente dado el caracter informativo y transaccional de las comunicaciones. |
| Consentimiento del cliente | Al realizar una compra en la tienda del comerciante y proporcionar su numero de telefono, el cliente consiente la recepcion de comunicaciones transaccionales relacionadas con su pedido. Para las notificaciones de carritos abandonados, el consentimiento se obtiene cuando el cliente ingresa voluntariamente sus datos durante el proceso de checkout. |
| Obligacion legal | En algunos casos, el tratamiento es necesario para cumplir obligaciones legales aplicables, como la conservacion de registros de transacciones comerciales. |
5. Almacenamiento y Seguridad
5.1 Infraestructura de Almacenamiento
Los datos son almacenados en Cloudflare D1, un servicio de base de datos SQL proporcionado por Cloudflare, Inc. Cloudflare opera una red global de centros de datos y cuenta con las siguientes certificaciones de seguridad:
- SOC 2 Type II: Auditoria independiente que verifica los controles de seguridad, disponibilidad y confidencialidad.
- ISO 27001: Certificacion internacional de gestion de seguridad de la informacion.
- PCI DSS: Cumplimiento del estandar de seguridad de datos de la industria de tarjetas de pago.
5.2 Medidas de Seguridad Tecnicas
| Medida | Descripcion |
|---|---|
| Encriptacion en reposo | Los datos sensibles (tokens de acceso de Shopify, API keys de Whatsfy) se encriptan utilizando el algoritmo AES-256-GCM, un estandar de encriptacion de grado militar. |
| Encriptacion en transito | Todas las comunicaciones entre la aplicacion, Shopify, Whatsfy y la base de datos se realizan a traves de HTTPS/TLS. |
| Verificacion de webhooks | Los webhooks de Shopify se verifican mediante HMAC-SHA256 con comparacion en tiempo constante (timing-safe) para prevenir ataques de manipulacion. |
| Autenticacion JWT | El acceso a la API de la aplicacion requiere tokens de sesion JWT emitidos por Shopify, validados en cada solicitud. |
| Control de idempotencia | Cada webhook se identifica de forma unica mediante el encabezado X-Shopify-Webhook-Id para evitar el procesamiento duplicado. |
| Limitacion de tasa | Se aplica un limite de 100 solicitudes por minuto por direccion IP para prevenir abusos. |
| Circuit Breaker | Patron de disyuntor implementado para proteger contra fallos en cascada en servicios externos. |
| Logs sanitizados | Los registros de actividad se sanitizan para no incluir datos personales sensibles en texto plano. |
5.3 Retencion de Datos
- Logs de webhooks: Se conservan durante un maximo de 90 dias. La eliminacion se realiza de forma automatica mediante un proceso programado (cron).
- Cola de webhooks fallidos (Dead Letter Queue): Los webhooks que no pudieron procesarse se conservan para reprocesamiento posterior y se eliminan segun la politica de retencion de 90 dias.
- Datos del comerciante: Se conservan mientras la aplicacion este instalada en la tienda Shopify. Al desinstalar la aplicacion, se procede segun lo descrito en la seccion 5.4.
- Cache de configuracion: Se almacena en Cloudflare KV con un tiempo de vida (TTL) de 5 minutos y se invalida automaticamente cuando el comerciante actualiza su configuracion.
5.4 Eliminacion de Datos
Cuando un comerciante desinstala Whatsafy Bridge de su tienda Shopify, recibimos el webhook
app/uninstalled de Shopify. Al recibir este evento:
- Se marca la tienda como desinstalada en nuestra base de datos.
- Se revocan los tokens de acceso.
- Los datos asociados a la tienda se eliminan conforme a nuestra politica de retencion.
Los comerciantes pueden solicitar la eliminacion inmediata y completa de todos sus datos contactandonos en [email protected].
6. Terceros con Acceso a los Datos
Para prestar el servicio, compartimos datos con los siguientes terceros que actuan como subencargados del tratamiento:
| Tercero | Rol | Datos Compartidos | Ubicacion |
|---|---|---|---|
| Shopify Inc. | Plataforma de comercio electronico; proveedor de los datos del pedido | Shopify nos proporciona los datos del pedido a traves de webhooks. No enviamos datos adicionales a Shopify. | Canada / Global |
| Whatsfy / LucidBot | Plataforma de envio de mensajes de WhatsApp | Nombre del cliente, numero de telefono, datos del pedido (productos, totales, direccion), informacion de envio, URL de carrito abandonado | Segun sus politicas |
| Cloudflare, Inc. | Infraestructura de hosting, base de datos (D1), cache (KV), ejecucion de Workers | Todos los datos almacenados pasan por la infraestructura de Cloudflare | Estados Unidos / Global |
No vendemos, alquilamos ni comercializamos datos personales a terceros. Los datos solo se comparten con los proveedores estrictamente necesarios para la prestacion del servicio.
7. Derechos del Usuario
Dependiendo de su ubicacion geografica, usted puede tener los siguientes derechos sobre sus datos personales. Nos comprometemos a respetar los derechos aplicables segun la jurisdiccion correspondiente.
7.1 Colombia - Ley 1581 de 2012 (Ley de Proteccion de Datos Personales)
Como empresa con sede en Colombia, cumplimos con la Ley 1581 de 2012 y el Decreto 1377 de 2013. Los titulares de datos personales tienen los siguientes derechos:
- Derecho de acceso: Conocer, actualizar y rectificar sus datos personales frente a nosotros o los encargados del tratamiento.
- Derecho de actualizacion: Solicitar la actualizacion de sus datos personales cuando estos sean inexactos, esten incompletos o sean obsoletos.
- Derecho de rectificacion: Solicitar la correccion de la informacion que sea inexacta.
- Derecho de supresion: Solicitar la supresion de los datos cuando no sean necesarios para la finalidad para la que fueron recopilados, cuando se revoque el consentimiento o cuando se considere que su tratamiento no cumple con los principios, deberes y obligaciones legales.
- Derecho de revocacion del consentimiento: Revocar la autorizacion otorgada para el tratamiento de sus datos personales cuando no se respeten los principios, derechos y garantias legales y constitucionales.
- Derecho a presentar quejas: Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la ley de proteccion de datos.
Autoridad de control: Superintendencia de Industria y Comercio (SIC) - www.sic.gov.co
7.2 Union Europea - Reglamento General de Proteccion de Datos (GDPR)
Si usted es residente del Espacio Economico Europeo (EEE), tiene los siguientes derechos bajo el GDPR:
- Derecho de acceso (Art. 15): Obtener confirmacion de si se tratan sus datos personales y acceder a una copia de los mismos.
- Derecho de rectificacion (Art. 16): Solicitar la correccion de datos personales inexactos o incompletos.
- Derecho de supresion - "Derecho al olvido" (Art. 17): Solicitar la eliminacion de sus datos personales cuando ya no sean necesarios, se retire el consentimiento o el tratamiento sea ilicito.
- Derecho a la limitacion del tratamiento (Art. 18): Solicitar la restriccion del tratamiento de sus datos en determinadas circunstancias.
- Derecho a la portabilidad de datos (Art. 20): Recibir sus datos personales en un formato estructurado, de uso comun y lectura mecanica, y transmitirlos a otro responsable.
- Derecho de oposicion (Art. 21): Oponerse al tratamiento de sus datos personales, incluyendo la elaboracion de perfiles.
- Derecho a no ser objeto de decisiones automatizadas (Art. 22): No ser sometido a decisiones basadas unicamente en el tratamiento automatizado que produzcan efectos juridicos o le afecten significativamente.
Para ejercer estos derechos, puede ponerse en contacto con nosotros en [email protected]. Responderemos a su solicitud en un plazo maximo de 30 dias.
7.3 California, Estados Unidos - Ley de Privacidad del Consumidor de California (CCPA/CPRA)
Si usted es residente de California, tiene los siguientes derechos bajo la CCPA (modificada por la CPRA):
- Derecho a saber: Solicitar informacion sobre las categorias y piezas especificas de datos personales que hemos recopilado sobre usted, las fuentes de recopilacion, los propositos comerciales y las categorias de terceros con quienes compartimos sus datos.
- Derecho a eliminar: Solicitar la eliminacion de los datos personales que hemos recopilado sobre usted, sujeto a ciertas excepciones.
- Derecho a corregir: Solicitar la correccion de datos personales inexactos.
- Derecho a optar por no participar en la venta de datos: Tenemos el deber de informarle que no vendemos datos personales a terceros. No participamos en la venta de informacion personal tal como se define en la CCPA.
- Derecho a la no discriminacion: No sera discriminado por ejercer sus derechos de privacidad bajo la CCPA.
Para ejercer estos derechos, puede ponerse en contacto con nosotros en [email protected]. Verificaremos su identidad antes de procesar su solicitud y responderemos en un plazo maximo de 45 dias.
7.4 Brasil - Ley General de Proteccion de Datos (LGPD)
Si usted es residente de Brasil, tiene derechos similares bajo la LGPD, incluyendo acceso, correccion, anonimizacion, eliminacion, portabilidad e informacion sobre el uso compartido de datos. La autoridad supervisora es la Autoridade Nacional de Protecao de Dados (ANPD).
7.5 Como Ejercer sus Derechos
Para ejercer cualquiera de los derechos mencionados anteriormente:
- Clientes finales: Dado que el comerciante es el responsable del tratamiento de sus datos, le recomendamos contactar primero al comerciante donde realizo su compra. Si el comerciante no responde satisfactoriamente, puede contactarnos directamente.
- Comerciantes: Puede contactarnos directamente para ejercer sus derechos sobre los datos de su cuenta.
Envie su solicitud a [email protected] indicando:
- Su nombre completo e informacion de contacto.
- El derecho que desea ejercer.
- Informacion suficiente para identificar su relacion con nosotros (por ejemplo, dominio de la tienda Shopify o numero de pedido).
- Copia de un documento de identidad para verificacion (cuando sea requerido por la ley aplicable).
8. Transferencia Internacional de Datos
Dado que nuestra infraestructura se ejecuta en la red global de Cloudflare, los datos personales pueden procesarse en servidores ubicados fuera de Colombia, incluyendo, pero sin limitarse a, Estados Unidos, la Union Europea y otras regiones donde Cloudflare opera centros de datos.
Para garantizar un nivel adecuado de proteccion en estas transferencias internacionales:
- Cloudflare, Inc. cumple con el Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework) y mantiene clausulas contractuales estandar (SCC) aprobadas por la Comision Europea.
- Shopify Inc. cumple con el GDPR y mantiene mecanismos de transferencia adecuados para datos procesados fuera del EEE.
- Implementamos medidas tecnicas complementarias, como la encriptacion AES-256-GCM, para proteger los datos independientemente de su ubicacion geografica.
De conformidad con la Ley 1581 de 2012 de Colombia, la transferencia internacional de datos se realiza a paises que proporcionan niveles adecuados de proteccion de datos o mediante contratos que garantizan dicha proteccion.
9. Cookies y Tecnologias de Rastreo
Whatsafy Bridge no utiliza cookies propias ni tecnologias de rastreo independientes. Nuestra aplicacion funciona como una extension embebida dentro del panel de administracion de Shopify.
Sin embargo, tenga en cuenta lo siguiente:
- Shopify Admin: El panel de administracion de Shopify donde se ejecuta nuestra aplicacion puede utilizar sus propias cookies y tecnologias de rastreo. Para mas informacion, consulte la Politica de Privacidad de Shopify.
- Cloudflare: Cloudflare puede utilizar cookies tecnicas necesarias para el funcionamiento de su red de distribucion de contenido (CDN) y proteccion contra amenazas. Para mas informacion, consulte la Politica de Privacidad de Cloudflare.
10. Menores de Edad
Whatsafy Bridge esta disenado para ser utilizado por comerciantes adultos y no recopilamos intencionalmente datos personales de menores de 18 anos. Nuestra aplicacion procesa datos de clientes que realizan compras en tiendas Shopify, actividad que generalmente es realizada por personas adultas.
Si tenemos conocimiento de que hemos recopilado datos personales de un menor de 18 anos sin el consentimiento verificable de un padre o tutor legal, tomaremos medidas para eliminar dicha informacion de nuestros sistemas lo antes posible.
Si usted es padre, madre o tutor y cree que su hijo nos ha proporcionado datos personales, contactenos en [email protected] para que podamos tomar las medidas necesarias.
11. Cambios a esta Politica
Nos reservamos el derecho de actualizar esta Politica de Privacidad en cualquier momento para reflejar cambios en nuestras practicas, servicios, requisitos legales o por otras razones operativas.
Cuando realicemos cambios materiales a esta politica:
- Actualizaremos la fecha de "Ultima actualizacion" en la parte superior de esta pagina.
- Notificaremos a los comerciantes a traves de la interfaz de la aplicacion Whatsafy Bridge.
- Para cambios significativos que afecten los derechos de los usuarios, enviaremos una notificacion por correo electronico a los comerciantes registrados, cuando sea posible.
Le recomendamos revisar esta politica periodicamente para mantenerse informado sobre como protegemos sus datos. El uso continuado de la aplicacion despues de la publicacion de los cambios constituye la aceptacion de la politica actualizada.
12. Contacto
Si tiene preguntas, inquietudes o desea ejercer alguno de sus derechos en relacion con esta Politica de Privacidad o el tratamiento de sus datos personales, puede contactarnos a traves de los siguientes medios:
Whatsfy LLC
Correo electronico: [email protected]
Pais: Colombia
Asunto sugerido para solicitudes de derechos: "Solicitud de derechos de privacidad - [su nombre]"
Tiempos de Respuesta
| Jurisdiccion | Plazo Maximo de Respuesta |
|---|---|
| Colombia (Ley 1581) | 10 dias habiles (prorrogable a 5 dias habiles adicionales) |
| Union Europea (GDPR) | 30 dias (prorrogable a 60 dias adicionales para solicitudes complejas) |
| California (CCPA/CPRA) | 45 dias (prorrogable a 45 dias adicionales) |
| Brasil (LGPD) | 15 dias |
Para ejercer sus derechos ARCO (Acceso, Rectificacion, Cancelacion y Oposicion), envie su solicitud a [email protected] con la informacion necesaria para identificarle y atender su solicitud.