← Volver

Política de Privacidad

Última actualización: 26 de mayo de 2026

Esta política rige el tratamiento de datos personales por parte de TRUESCALE MARKETING LLC en relación con TheCollie.app. Está diseñada para cumplir simultáneamente con el RGPD (UE/EEE), la CCPA/CPRA (California) y demás legislación aplicable. Cuando exista conflicto entre normativas, aplicamos siempre la regla más protectora para el usuario.

1. Identificación del responsable del tratamiento

El responsable del tratamiento (data controller) de los datos personales recogidos a través de TheCollie.app es:

  • Denominación legal: TRUESCALE MARKETING LLC
  • Estado de constitución: New Mexico, Estados Unidos de América
  • Dirección postal: 1209 Mountain Road Place Northeast, Albuquerque, NM 87110, USA
  • Email de contacto: hola@thecollie.app
  • Marca comercial: TheCollie.app

2. Representante en la Unión Europea y Delegado de Protección de Datos

2.1. Representante en la UE (Art. 27 RGPD)

Dado que TRUESCALE MARKETING LLC está establecida fuera de la Unión Europea y procesa datos personales de residentes en el Espacio Económico Europeo, hemos iniciado el proceso de designación de un Representante en la UE conforme al Art. 27 del RGPD. Hasta que dicha designación esté formalizada, los interesados residentes en el EEE pueden ejercer sus derechos y dirigir cualquier consulta sobre protección de datos directamente a hola@thecollie.app, y nos comprometemos a responder en los plazos exigidos por el RGPD (un mes máximo, prorrogable dos meses adicionales por complejidad).

2.2. Delegado de Protección de Datos (DPO)

Tras evaluar nuestra actividad conforme al Art. 37 del RGPD, hemos determinado que no estamos obligados a designar un Delegado de Protección de Datos: no somos autoridad pública, no realizamos monitorización sistemática a gran escala de interesados, y no procesamos categorías especiales de datos a gran escala. Para cualquier asunto relacionado con protección de datos, contacta a hola@thecollie.app.

3. Datos que recopilamos

Tratamos datos personales en dos categorías distintas según el sujeto al que se refieren: (a) datos del titular de la cuenta (el cliente que contrata TheCollie.app para su negocio) y (b) datos de los leads (las personas que escriben al titular por Instagram o WhatsApp y cuyos mensajes procesa el asistente).

3.1. Datos del titular de la cuenta

  • Datos de registro: nombre, email, contraseña cifrada (PBKDF2), nombre de la empresa.
  • Datos de facturación: tratados por Stripe, Inc. en su calidad de procesador de pagos. No almacenamos información completa de tarjetas; solo recibimos identificadores y metadatos no sensibles.
  • Credenciales de integración: tokens de acceso de Instagram Business, WhatsApp Business y Google Calendar, almacenados cifrados con AES-256-GCM.
  • Datos de uso del producto: configuración de bots, persona, preguntas de cualificación, plantillas, automatizaciones, métricas internas de uso.
  • Datos técnicos: dirección IP, agente de usuario, registros de acceso (logs).

3.2. Datos de los leads (mensajes entrantes)

  • Identificadores de plataforma: Instagram user ID, nombre de usuario público; en WhatsApp, número de teléfono (en el formato facilitado por Meta).
  • Contenido del mensaje: texto de DMs y comentarios en Instagram, texto de mensajes de WhatsApp.
  • Contenido multimedia: identificadores de medios y transcripciones de audios cuando el lead envía notas de voz.
  • Datos facilitados voluntariamente en la conversación: nombre, email, teléfono, respuestas a preguntas de cualificación, otras informaciones que el lead comparta.
  • Metadatos: timestamps, estado de entrega (sent/delivered/read/failed), identificadores de mensaje (wamid, mid).
  • Registro de consentimiento (opt-in) WhatsApp: momento, canal y forma en la que el lead consintió recibir mensajes por WhatsApp.

3.3. Categorías CCPA/CPRA

Para residentes en California, los datos anteriores se clasifican en las siguientes categorías conforme a la Cal. Civ. Code § 1798.140(v):

  • Identificadores (nombre, email, IP, IDs de plataforma).
  • Información comercial (datos de facturación, historial de transacciones).
  • Actividad en internet o redes electrónicas (logs, métricas de uso).
  • Comunicaciones electrónicas (contenido de mensajes y comentarios procesados por el servicio).
  • Inferencias derivadas de las anteriores (cualificación del lead generada por el asistente).

No recogemos información biométrica, datos de geolocalización precisa, datos de menores ni categorías especialmente sensibles bajo CPRA (números de seguridad social, contraseñas de terceros, datos de salud, orientación sexual, religión, etc.).

4. Finalidades del tratamiento

  • Prestar el servicio de asistente conversacional automatizado en Instagram y WhatsApp Business.
  • Enviar confirmaciones, recordatorios y seguimientos a leads que hayan iniciado conversación o dado consentimiento explícito (opt-in en WhatsApp).
  • Consultar disponibilidad y crear, modificar o cancelar eventos en los calendarios de Google del titular para gestionar citas con leads.
  • Gestionar los leads generados a través de las conversaciones (CRM interno).
  • Facturar y gestionar las suscripciones del titular de la cuenta.
  • Garantizar la seguridad del servicio (prevención de fraude, abuso, ataques).
  • Cumplir con obligaciones legales aplicables.
  • Mejorar y mantener el funcionamiento del servicio mediante análisis agregado y anonimizado.

NO utilizamos datos personales para anuncios cross-context behavioral, perfilado publicitario, venta de datos, ni los compartimos con redes ad-tech. NO entrenamos modelos generales de IA con datos de leads o de calendarios.

5. Bases legales del tratamiento (RGPD Art. 6)

Aplicamos distintas bases legales según el sujeto y la finalidad:

  • Datos del titular de la cuenta — Ejecución de contrato (Art. 6.1.b): el tratamiento es necesario para la prestación del servicio que el titular ha contratado.
  • Datos del titular — Obligación legal (Art. 6.1.c): conservación fiscal, atención a requerimientos de autoridades competentes.
  • Datos del titular — Consentimiento (Art. 6.1.a): conexión a Instagram, WhatsApp Business y Google Calendar mediante OAuth explícito.
  • Datos de leads — Interés legítimo (Art. 6.1.f): el titular del negocio tiene interés legítimo en gestionar las comunicaciones con personas que le contactan voluntariamente a través de sus canales públicos. Hemos realizado un test de ponderación: el lead inicia la conversación y mantiene control (puede dejar de escribir, bloquear la cuenta, ejercer derechos). El balance se inclina hacia el interés legítimo del titular.
  • Datos de leads — Consentimiento explícito (Art. 6.1.a): para envío de mensajes proactivos en WhatsApp tras un opt-in registrado por el titular.

6. Procesadores con acceso a los datos

Los siguientes terceros tratan datos personales en nuestro nombre conforme a Acuerdos de Tratamiento (DPA) firmados con cada uno:

  • Meta Platforms, Inc. (Estados Unidos) — proveedor de las APIs de Instagram y WhatsApp Business Platform. Rige su política de privacidad.
  • Anthropic, PBC (Estados Unidos) — modelo Claude para generación de respuestas. Anthropic NO entrena sus modelos con datos enviados vía API. DPA.
  • OpenAI, L.L.C. (Estados Unidos) — transcripción de notas de voz (Whisper). OpenAI NO usa los datos de API para entrenar. DPA.
  • Google LLC (Estados Unidos) — API de Google Calendar. Sujeto a la Google API Services User Data Policy incluido Limited Use.
  • Supabase, Inc. (Estados Unidos) — base de datos PostgreSQL gestionada, región eu-west-1 (Irlanda). Tokens cifrados con AES-256-GCM. DPA.
  • Vercel, Inc. (Estados Unidos) — hosting serverless donde se ejecuta la aplicación. DPA.
  • Stripe, Inc. (Estados Unidos) — procesador de pagos para suscripciones. DPA.
  • Resend, Inc. (Estados Unidos) — email transaccional (notificaciones operativas). No realizamos marketing por email sin consentimiento separado.

No vendemos ni alquilamos datos personales a terceros. No los compartimos con corredores de datos. No los utilizamos para publicidad cross-context behavioral.

6.1. Transferencias internacionales de datos

Los procesadores anteriores tienen su sede o procesan datos en Estados Unidos. Estas transferencias se realizan al amparo de las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea y, cuando aplica, del EU-U.S. Data Privacy Framework, garantizando un nivel de protección adecuado al exigido por el RGPD.

7. Conservación de los datos

Conservamos los datos durante el tiempo estrictamente necesario para la finalidad de su tratamiento, conforme a los siguientes plazos:

  • Datos de cuenta del titular: mientras la cuenta esté activa y hasta 12 meses tras el cierre, salvo obligación fiscal/legal de conservación.
  • Tokens de integraciones (Instagram, WhatsApp, Google): eliminados inmediatamente tras desconexión o revocación.
  • Mensajes, comentarios y transcripciones (leads): mientras el servicio esté activo y hasta 12 meses tras la última actividad, para mantener contexto conversacional. El titular puede solicitar eliminación anticipada.
  • Datos de facturación: 7 años (obligación fiscal en USA y la mayoría de jurisdicciones).
  • Logs técnicos: 90 días.
  • Backups: rotación máxima 35 días.

Tras estos plazos, los datos se eliminan o anonimizan irreversiblemente. Al desconectar integraciones o cerrar cuenta, eliminaremos los datos asociados en un plazo máximo de 30 días (salvo obligación legal de conservación). Los backups con datos eliminados se sobrescriben dentro del ciclo de rotación.

8. Sus derechos bajo el RGPD (UE/EEE, Reino Unido, Suiza)

Si reside en la UE/EEE, Reino Unido o Suiza, tiene derecho a:

  • Acceso a sus datos personales (Art. 15).
  • Rectificación de datos incorrectos o incompletos (Art. 16).
  • Supresión (“derecho al olvido”, Art. 17).
  • Limitación del tratamiento (Art. 18).
  • Portabilidad en formato estructurado, común y legible por máquina (Art. 20).
  • Oposición al tratamiento basado en interés legítimo (Art. 21).
  • Revocar consentimiento en cualquier momento (Art. 7.3).
  • No ser objeto de decisiones individuales automatizadas (Art. 22 — ver sección 10).

Puede ejercer estos derechos descargando una copia de sus datos desde “Mi cuenta” en la plataforma, o contactando a hola@thecollie.app. Responderemos en un plazo máximo de un mes (prorrogable dos meses adicionales si la solicitud es compleja).

Si considera que sus derechos no han sido atendidos correctamente, puede presentar reclamación ante la autoridad de control de su país de residencia (en España: AEPD).

9. Sus derechos bajo CCPA/CPRA (residentes de California)

Si reside en California, tiene los siguientes derechos conforme a la California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 et seq.):

  • Right to Know: qué categorías de información personal recogemos, las fuentes, los propósitos comerciales y los terceros con los que compartimos.
  • Right to Access: recibir una copia específica de la información personal que tenemos sobre usted en los 12 meses anteriores.
  • Right to Delete: solicitar la eliminación de información personal, sujeto a excepciones legales.
  • Right to Correct: rectificar información inexacta.
  • Right to Opt-Out of Sale or Sharing: NO vendemos ni compartimos información personal para publicidad cross-context behavioral. Por tanto, no es necesario opt-out, pero si introdujésemos esta práctica en el futuro lo notificaríamos con 30 días de antelación.
  • Right to Limit Use of Sensitive Personal Information: no procesamos categorías sensibles bajo CPRA. Si lo hiciéramos en el futuro, ofreceríamos un mecanismo de limitación.
  • Right to Non-Discrimination: no le discriminaremos por ejercer cualquiera de estos derechos. No le denegaremos el servicio, no le cobraremos precios distintos ni le ofreceremos calidad de servicio reducida.

Para ejercer estos derechos, envíe un email a hola@thecollie.app con asunto “CCPA Request”. Responderemos en un plazo máximo de 45 días (prorrogable 45 días adicionales). Verificaremos su identidad antes de procesar la solicitud. Puede designar a un agente autorizado por escrito.

No vendemos ni compartimos información personal a cambio de contraprestación monetaria u otra contraprestación de valor con fines de publicidad cross-context behavioral. No tenemos conocimiento de vender ni compartir información personal de menores de 16 años.

10. Decisiones automatizadas y AI

Conforme al Art. 22 del RGPD y a la legislación aplicable, le informamos de que TheCollie.app utiliza inteligencia artificial para tomar decisiones automatizadas en el contexto de las conversaciones, incluyendo:

  • Generar respuestas en nombre del titular de la cuenta a mensajes recibidos por Instagram o WhatsApp.
  • Cualificar al lead en función de las respuestas dadas a las preguntas configuradas por el titular.
  • Proponer y, si el lead acepta, agendar citas en el calendario del titular dentro de los huecos de disponibilidad existentes.
  • Detectar y descartar interacciones consideradas no válidas (spam, bots externos, etc.).

Estas decisiones se basan en (a) instrucciones explícitas configuradas por el titular (persona del bot, preguntas, horarios) y (b) el modelo Claude de Anthropic. El sistema no perfila a leads para fines distintos de los descritos en esta política.

Los leads tienen derecho a solicitar intervención humana, expresar su punto de vista o impugnar cualquier decisión automatizada que les afecte significativamente. Pueden ejercerlo en la propia conversación (el sistema detecta frases como “quiero hablar con una persona”) o contactando con el titular del negocio.

11. Menores de edad

TheCollie.app está dirigido exclusivamente a usuarios profesionales mayores de 18 años. No recogemos a sabiendas datos personales de:

  • Menores de 13 años (USA, conforme a COPPA).
  • Menores de 16 años (Unión Europea, conforme al Art. 8 del RGPD, salvo edad inferior establecida por Estado miembro, nunca menor a 13).
  • Menores de 18 años para registrarse como titulares de cuenta.

Si descubrimos que hemos recogido inadvertidamente datos de un menor sin consentimiento parental válido, eliminaremos esa información en un plazo máximo de 7 días. Si crees que un menor nos ha facilitado datos, contacta inmediatamente a hola@thecollie.app.

12. Cookies y tecnologías similares

TheCollie.app utiliza únicamente cookies estrictamente necesarias para el funcionamiento del servicio:

  • Cookies de sesión / autenticación: permiten mantener la sesión iniciada del titular. Caducidad: al cerrar sesión o tras 30 días de inactividad.
  • Cookies de seguridad: protección frente a CSRF y otros vectores. Caducidad: sesión.

No utilizamos cookies de marketing, publicidad ni analítica de terceros que requieran consentimiento previo bajo ePrivacy / RGPD. Por este motivo, no mostramos banner de cookies: todas las cookies son estrictamente necesarias para la prestación del servicio que el usuario ha solicitado activamente.

Si en el futuro incorporamos cookies no estrictamente necesarias, implementaremos un banner de consentimiento previo conforme a la Directiva ePrivacy y a las directrices del Comité Europeo de Protección de Datos.

13. Seguridad y notificación de brechas

13.1. Medidas técnicas y organizativas

Implementamos medidas adecuadas conforme al Art. 32 del RGPD, incluyendo: cifrado en tránsito (TLS 1.2+), cifrado en reposo de tokens sensibles (AES-256-GCM), autenticación de dos factores (2FA) para cuentas de superadmin, control de acceso por roles (RBAC), Row Level Security en base de datos, validación HMAC de webhooks (Meta y Stripe), rate-limiting, auditoría de cambios, y revisión periódica de dependencias por CVEs.

13.2. Notificación de brechas

En caso de violación de seguridad de datos personales que suponga un riesgo para sus derechos y libertades, notificaremos a la autoridad de control competente en un plazo máximo de 72 horas desde el momento en que tengamos conocimiento (Art. 33 RGPD). Si la brecha implica alto riesgo para los afectados, les notificaremos directamente sin dilación indebida (Art. 34 RGPD). Para residentes en California, cumpliremos adicionalmente con la Cal. Civ. Code § 1798.82.

14. Solicitudes de autoridades públicas

Recibimos y revisamos solicitudes de autoridades públicas (cuerpos de seguridad, juzgados, autoridades fiscales o de protección de datos) conforme a las leyes aplicables. Aplicamos siempre: (a) revisión de la legalidad de la solicitud, (b) impugnación si se considera ilegal, (c) política estricta de minimización (solo entregamos los datos estrictamente requeridos), (d) documentación de cada solicitud, su respuesta y razonamiento jurídico. En la medida en que la legislación lo permita, notificaremos al titular de la cuenta cuya información se haya solicitado.

15. Cambios en esta política

Nos reservamos el derecho de actualizar esta política. Cualquier cambio sustancial será notificado con un mínimo de 30 días de antelación a través del panel de TheCollie.app y por email al titular de la cuenta. El uso continuado del servicio tras la fecha efectiva de los cambios implica aceptación. Si no está de acuerdo, puede cerrar su cuenta antes de la entrada en vigor sin penalización (su cuenta se desactivará al final del ciclo de facturación pagado, sin reembolso por periodos ya consumidos).

16. WhatsApp Business Platform

TheCollie.app está integrado con WhatsApp Business Platform de Meta, conforme a la WhatsApp Business Policy y la WhatsApp Commerce Policy.

16.1. Conexión y tokens

Cuando un usuario conecta una cuenta de WhatsApp Business a TheCollie.app a través de Embedded Signup, Meta nos proporciona credenciales de acceso limitadas al ámbito autorizado. Estos tokens se almacenan cifrados (AES-256-GCM) y se utilizan exclusivamente para enviar y recibir mensajes en nombre del titular. Nunca se comparten con terceros.

16.2. Consentimiento (opt-in) de leads

No contactamos a leads por WhatsApp salvo que (a) el lead haya escrito primero o (b) el lead haya dado su número y consentimiento expreso. Registramos fecha y origen del consentimiento. El lead puede revocarlo en cualquier momento respondiendo “BAJA”, “STOP” o equivalente, o contactando con el titular. Tras la revocación, no se le envían más mensajes.

16.3. Tipos de mensaje y plantillas

Utilizamos dos tipos de mensajes: (a) mensajes conversacionales dentro de la ventana de 24 horas tras el último mensaje del lead, y (b) plantillas (utility templates) pre-aprobadas por Meta para confirmaciones, recordatorios y seguimientos. No usamos plantillas con fines promocionales sin consentimiento adicional explícito.

16.4. Conservación y revocación

Los mensajes y metadatos se conservan mientras el servicio esté activo y hasta 12 meses tras la última actividad. Puedes revocar permisos en cualquier momento desde el panel de TheCollie.app (“Desconectar WhatsApp”) o desde Meta Business Manager. En ambos casos, eliminaremos los tokens inmediatamente y los datos asociados en un plazo máximo de 30 días.

17. Google Calendar

TheCollie.app está integrado con Google Calendar API mediante el flujo oficial de Google OAuth 2.0, conforme a la Google API Services User Data Policy, incluido el requisito de Limited Use.

17.1. Conexión y tokens

Google nos proporciona un token de acceso y un token de refresco asociados a los permisos (scopes) autorizados, limitados al ámbito estrictamente necesario para gestionar calendarios. Se almacenan cifrados (AES-256-GCM).

17.2. Uso de los datos (Limited Use)

Los datos obtenidos desde Google se utilizan únicamente para: (a) consultar disponibilidad (FreeBusy), (b) crear, modificar y cancelar eventos del calendario para gestionar citas con leads en nombre del titular, (c) generar enlaces Google Meet cuando el evento lo requiera.

TheCollie.app NO utiliza datos del calendario para entrenar modelos generales de IA, no permite que personas humanas lean datos del calendario salvo en supuestos estrictos previstos por la Limited Use Policy (consentimiento explícito, seguridad, obligación legal), y no transfiere ni vende dichos datos a terceros con fines publicitarios.

17.3. Conservación y revocación

Los tokens se conservan mientras la conexión esté activa. Al desconectar, eliminamos los tokens y credenciales inmediatamente y los datos asociados en un plazo máximo de 30 días. Puedes revocar permisos en cualquier momento desde el panel de TheCollie.app o desde myaccount.google.com/permissions.

18. Instagram Business Login

TheCollie.app está integrado con Instagram a través del flujo oficial Instagram API with Instagram Login, conforme a las Políticas de la Plataforma de Meta.

18.1. Conexión y tokens

Meta nos proporciona un token de larga duración limitado al ámbito autorizado. Se almacena cifrado (AES-256-GCM) y se utiliza exclusivamente para enviar y recibir DMs, leer comentarios de publicaciones autorizadas y obtener información básica del perfil del lead (nombre y nombre de usuario), todo ello en nombre del titular.

18.2. Eventos procesados

  • Mensajes directos (DMs) recibidos por la cuenta conectada.
  • Comentarios en publicaciones y directos que coincidan con palabras clave configuradas.
  • Respuestas a historias (story replies) que coincidan con palabras clave configuradas.

Solo procesamos contenido estrictamente necesario. No accedemos a publicaciones, seguidores, métricas ni otros datos no relacionados con la mensajería.

18.3. Cumplimiento Meta Platform Terms

Conforme a las Meta Platform Terms, declaramos que: (a) no usamos datos de Instagram para perfilado fuera del propósito declarado; (b) no transferimos datos Meta a redes ad-tech; (c) no combinamos datos Meta con datos de fuentes externas para targeting publicitario; (d) eliminaremos los datos cuando el usuario o Meta lo soliciten dentro de los plazos establecidos por la plataforma; (e) sometemos la app a Data Use Checkup anual.

18.4. Conservación y revocación

Los mensajes, comentarios y metadatos se conservan mientras el servicio esté activo y hasta 12 meses tras la última actividad. Al desconectar Instagram desde TheCollie.app o revocar permisos desde Meta, eliminamos los tokens inmediatamente y los datos asociados en un plazo máximo de 30 días.

19. Contacto

Para cualquier consulta relacionada con esta política de privacidad, ejercicio de derechos, o sospecha de incidente:

  • Email: hola@thecollie.app
  • Dirección postal: TRUESCALE MARKETING LLC, 1209 Mountain Road Place Northeast, Albuquerque, NM 87110, USA