Hazo Intelligence

Política de Privacidad y Seguridad

VIGENTE ACTUALIZADO: 14/02/2026 V: 2.1 REF: OCI-MTY-GDPR-001

1. Introducción y Definición de Roles

Hazo Intelligence (en adelante "nosotros", "Hazo Sales" o "el Procesador") provee infraestructura de orquestación de mensajería y automatización comercial a través de WhatsApp Business API y otras plataformas de mensajería.

Esta política detalla técnicamente el procesamiento de datos en nuestra arquitectura y establece las responsabilidades legales conforme a:

Reglamento General de Protección de Datos (GDPR - UE 2016/679)
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP - México)
Políticas de Meta para WhatsApp Business Platform
Políticas de uso aceptable de OpenAI y Anthropic

// Matriz de Responsabilidad Legal

CONTROLADOR DE DATOS El Cliente (Usted)

Usted posee la información de sus clientes finales y determina los fines y medios del procesamiento. Usted es responsable de obtener el consentimiento de sus usuarios finales y de cumplir con las leyes de privacidad aplicables.

PROCESADOR DE DATOS Hazo Intelligence

Procesamos la información exclusivamente bajo sus instrucciones técnicas y operativas documentadas. No utilizamos sus datos para fines propios ni los compartimos con terceros no autorizados.

Importante: Como Controlador de Datos, usted es responsable de informar a sus clientes finales sobre el uso de automatización de IA, obtener consentimientos necesarios, y proporcionar avisos de privacidad conforme a las leyes aplicables en su jurisdicción.

2. Infraestructura y Soberanía de Datos

Hemos diseñado nuestra arquitectura bajo el principio de soberanía de datos y seguridad por diseño, alojando toda la infraestructura crítica en territorio mexicano para garantizar el cumplimiento normativo local.

Arquitectura de Seguridad

Nuestra infraestructura implementa múltiples capas de seguridad:

Aislamiento de Red: VPC (Virtual Private Cloud) dedicada con reglas de firewall que bloquean todo el tráfico entrante no autorizado por defecto.
Validación de Webhooks: Solo aceptamos webhooks de Meta/WhatsApp mediante validación de firma HMAC-SHA256 y lista blanca de IPs oficiales de Meta.
Autenticación Multi-Factor: Acceso administrativo protegido con MFA obligatorio y gestión de sesiones con tokens JWT de corta duración.
Contenedores Endurecidos: Imágenes Docker minimizadas sin herramientas de desarrollo, ejecutadas con usuarios no privilegiados.
Monitoreo y Auditoría: Logs centralizados con retención de 90 días para auditorías de seguridad y cumplimiento.
Backups Cifrados: Respaldos diarios automáticos con cifrado AES-256, almacenados en Object Storage con versionado.

Certificaciones y Cumplimiento

Oracle Cloud Infrastructure cuenta con las siguientes certificaciones de seguridad y cumplimiento:

ISO/IEC 27001:2013 (Seguridad de la Información)
ISO/IEC 27017:2015 (Seguridad en la Nube)
ISO/IEC 27018:2019 (Protección de Datos Personales en la Nube)
SOC 1, SOC 2 Type II, SOC 3
PCI DSS Level 1 (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago)

3. Datos que Procesamos

Como Procesador de Datos, únicamente procesamos la información necesaria para ejecutar las automatizaciones configuradas por usted. A continuación, detallamos las categorías de datos:

A. Datos de Mensajería (Procesamiento Temporal)

Metadatos de Comunicación: Números de teléfono (emisor y receptor), marcas de tiempo (timestamp), tipo de mensaje (texto, imagen, audio, video, documento), estado de entrega (enviado, entregado, leído, fallido).
Contenido del Mensaje: Texto, imágenes, archivos de audio, videos, documentos y ubicaciones compartidas por los usuarios finales.
Contexto Conversacional: Historial de mensajes necesario para mantener la coherencia en las respuestas del agente IA (ventana deslizante de contexto).

B. Datos de Contacto (Almacenamiento Persistente)

Solo si usted configura explícitamente la función de CRM/Agenda:

Nombres y apellidos
Números de teléfono
Direcciones de correo electrónico
Direcciones físicas
Notas y etiquetas personalizadas

C. Datos Operativos del Negocio (Almacenamiento Persistente)

Transacciones: Historial de pedidos, ventas, cotizaciones e inventarios.
Citas y Reservaciones: Agendamiento de servicios con fechas, horas y detalles de servicio.
Métricas y Analíticas: Estadísticas agregadas de uso (volumen de mensajes, tiempos de respuesta, tasas de conversión).

D. Credenciales de API (Almacenamiento Seguro)

Tokens de acceso de WhatsApp Business API (Meta)
Claves de API de OpenAI o Anthropic (Claude)
Webhooks y secretos de validación

Minimización de Datos: Solo procesamos los datos estrictamente necesarios para la funcionalidad solicitada. No recopilamos información adicional con fines de marketing, perfilamiento o análisis no relacionados con el servicio contratado.

4. Política de Retención y Minimización (30 Días)

Aplicamos una política estricta de "Datos Efímeros" para maximizar la privacidad del usuario final y minimizar los riesgos de seguridad derivados del almacenamiento prolongado.

A. Datos Efímeros (Retención Automática de 30 Días)

Los siguientes datos se eliminan automáticamente después de 30 días naturales:

Historial de Conversaciones: Todo el contenido de mensajes (texto, multimedia) intercambiado entre el agente IA y los usuarios finales.
Archivos Multimedia: Imágenes, audios, videos y documentos enviados/recibidos a través de WhatsApp.
Logs de Ejecución: Registros detallados de las ejecuciones de workflows de n8n, incluyendo entradas/salidas de cada nodo.
Caché Temporal: Datos de sesión y contexto conversacional almacenados en memoria (Redis) para respuestas rápidas.

// Timeline de Retención de Datos (Ciclo de Vida)

Día 0 →

Conversación activa y disponible

Día 15 →

Contexto histórico accesible

Día 30 →

PURGA AUTOMÁTICA EJECUTADA

>> SYSTEM_LOG: Cron Job diario a las 02:00 AM (UTC-6)
>> QUERY: DELETE WHERE fecha < (CURRENT_DATE - INTERVAL '30 days')

B. Datos Persistentes (Durante Vigencia del Contrato)

La información estructural del negocio se conserva mientras su suscripción esté activa:

Contactos Guardados: Solo aquellos perfiles que usted haya agregado explícitamente a su CRM/Agenda.
Historial de Operaciones: Pedidos completados, ventas cerradas, cotizaciones enviadas, inventarios.
Configuraciones de Cuenta: Flujos de automatización (workflows), plantillas de mensajes, configuración del agente IA.

C. Logs de Auditoría de Seguridad

Por requerimientos de seguridad y cumplimiento normativo, conservamos:

Logs de Acceso: Registros de inicio de sesión, cambios de configuración y acciones administrativas (retención: 90 días).
Logs de API: Llamadas a webhooks de Meta y APIs de IA con metadatos (sin contenido) para monitoreo de abuso (retención: 90 días).

Nota Importante: Una vez ejecutada la purga automática de 30 días, los datos conversacionales son irrecuperables. Si requiere conservar conversaciones específicas por períodos más largos (ej. para cumplimiento regulatorio), debe exportarlas antes del vencimiento del período de retención.

5. Gestión de Credenciales y Seguridad

La protección de sus credenciales de API es de máxima prioridad. Nunca almacenamos credenciales en texto plano ni en bases de datos convencionales.

Arquitectura de Gestión de Secretos

// OCI Vault - Hardware Security Module (HSM)

Todas las claves de API se almacenan en OCI Vault, un servicio de gestión de secretos que utiliza módulos de seguridad de hardware certificados FIPS 140-2 Level 3.

Método de Almacenamiento HSM (Hardware Security Module)

Cifrado de Secretos AES-256 (Claves Maestras en HSM)

Control de Acceso IAM Policies (Mínimo Privilegio)

Auditoría de Acceso Logs Completos (Read Operations)

Proceso de Inyección en Tiempo de Ejecución

Solicitud de Credencial: El workflow de n8n requiere una API key para ejecutar una acción (ej. enviar mensaje por WhatsApp).
Autenticación: El servicio n8n se autentica con OCI mediante su Service Account (con permisos específicos).
Recuperación Segura: OCI Vault valida los permisos y devuelve el secreto cifrado a través de un canal TLS 1.3.
Uso en Memoria: La credencial se carga en la memoria volátil (RAM) del proceso de n8n únicamente durante la ejecución del nodo.
Limpieza Inmediata: Una vez completada la tarea, la credencial se elimina de la memoria y no se escribe en disco ni en logs.

Garantía de Seguridad: Ni el personal de Hazo Intelligence tiene acceso a sus claves de API en texto plano. La arquitectura de "Zero Knowledge" asegura que solo su instancia de n8n puede descifrar y utilizar las credenciales.

Rotación de Credenciales

Recomendamos rotar sus API keys cada 90 días. Hazo Intelligence proporciona una interfaz segura para actualizar credenciales sin interrumpir el servicio.

6. Sub-Procesadores y Transferencias Internacionales

Para la prestación del servicio, procesamos datos a través de los siguientes sub-procesadores de confianza:

// Lista de Sub-Procesadores

Oracle Cloud Infrastructure Infraestructura | mx-monterrey-1 (México)

Meta Platforms, Inc. WhatsApp Business API | Irlanda (GDPR OK)

OpenAI, LLC NLP / AI | EE.UU. (SCCs)

Anthropic PBC Claude AI API | EE.UU. (SCCs)

Transferencias Internacionales de Datos

Algunos sub-procesadores procesan datos fuera de México. Estas transferencias están protegidas por los siguientes mecanismos legales:

Cláusulas Contractuales Estándar (SCCs): Aprobadas por la Comisión Europea según GDPR para transferencias a países sin decisión de adecuación (ej. EE.UU.).
Evaluación de Impacto de Transferencia (TIA): Hemos realizado evaluaciones de las leyes de vigilancia de los países de destino y confirmado que las garantías contractuales son suficientes.
Minimización de Datos Transferidos: Solo se envía a sub-procesadores internacionales la información estrictamente necesaria para el procesamiento solicitado (ej. solo el texto del mensaje a OpenAI, sin metadatos identificables innecesarios).

Protecciones Específicas por Sub-Procesador

Meta (WhatsApp Business API)

Meta procesa mensajes bajo sus Términos de Comercio y Políticas de Privacidad de WhatsApp Business Platform.
WhatsApp utiliza cifrado de extremo a extremo (E2EE) para chats entre usuarios, pero este cifrado NO aplica a mensajes enviados/recibidos a través de la API de negocio (Business API).
Meta puede almacenar metadatos de mensajes (números de teléfono, timestamps) por hasta 30 días para fines de entrega y anti-abuso.

OpenAI y Anthropic (APIs de IA)

Configuración de No-Entrenamiento: Hemos configurado explícitamente las APIs para que sus datos NO se utilicen para entrenamiento de modelos de IA.
Retención de OpenAI: OpenAI retiene solicitudes de API por 30 días para monitoreo de abuso, después las elimina permanentemente (salvo obligaciones legales).
Retención de Anthropic: Anthropic tiene políticas similares de retención temporal para cumplimiento de Trust & Safety.
Minimización de Contexto: Solo enviamos el contexto conversacional mínimo necesario (ventana deslizante de últimos 10-20 mensajes) para generar respuestas coherentes.

Notificación de Cambios en Sub-Procesadores

Le notificaremos con 30 días de anticipación cualquier adición o reemplazo de sub-procesadores, proporcionándole la oportunidad de objetar por motivos legítimos de protección de datos. Si objeta, puede terminar el servicio sin penalización durante el período de notificación.

7. Derechos de los Titulares de Datos

Como Controlador de Datos, usted y sus clientes finales tienen los siguientes derechos bajo GDPR, LFPDPPP y normativas equivalentes:

Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)

// Procedimientos ARCO

1. Derecho de Acceso Obtener confirmación sobre si procesamos sus datos personales y acceder a una copia de los mismos.
⏱️ Tiempo de respuesta: 15 días hábiles
2. Derecho de Rectificación Corregir datos inexactos o incompletos almacenados en nuestros sistemas.
⏱️ Tiempo de respuesta: 15 días hábiles
3. Derecho de Supresión ("Derecho al Olvido") Solicitar la eliminación de datos personales cuando ya no sean necesarios para los fines para los que fueron recopilados.
⏱️ Ejecución: Inmediato (Conversacional) / 30 días (Persistente)
4. Derecho de Portabilidad Recibir datos en formato estructurado, de uso común y lectura mecánica (JSON, CSV).
⏱️ Tiempo de respuesta: 15 días hábiles

Procedimiento para Ejercer Derechos

Para ejercer cualquiera de estos derechos, el titular de datos (o su representante legal) debe:

Enviar una solicitud por correo electrónico a privacy@hazointelligence.com
Incluir la siguiente información:
- Nombre completo del titular
- Número de teléfono asociado (para identificación)
- Derecho(s) que desea ejercer
- Descripción clara de la solicitud
- Copia de identificación oficial (para verificación de identidad)
Recibir confirmación de recepción en 48 horas
Obtener respuesta en los plazos indicados arriba

Importante para Clientes (Controladores): Como Controlador de Datos, usted es el primer punto de contacto para las solicitudes de derechos ARCO de sus usuarios finales. Hazo Intelligence le proporcionará las herramientas técnicas para cumplir con estas solicitudes, pero la responsabilidad legal de responder al titular de datos es suya.

8. Terminación y Derecho al Olvido

Proceso de Terminación del Servicio

Al finalizar su suscripción con Hazo Intelligence, ejecutamos un proceso de eliminación segura y documentada:

// Secuencia de Eliminación (Shutdown Protocol)

T+0 (Inmediato)
- Suspensión del acceso a la plataforma (credenciales invalidadas)
- Desactivación de webhooks de Meta/WhatsApp
- Bloqueo de ejecuciones de workflows de n8n
T+7 Días
- Eliminación permanente de credenciales (API Keys) de OCI Vault
- Revocación de permisos de IAM asociados a su cuenta
T+30 Días (Periodo de Gracia)
- Ventana para exportación de datos operativos (contactos, historial de ventas, workflows)
- Disponibilidad de API de exportación para descarga masiva en formato JSON/CSV
- Generación de archivo de auditoría con inventario completo de datos eliminados
T+31 Días (Destrucción Completa)
- Eliminación de tablas de BD (DROP TABLE CASCADE)
- Destrucción de volúmenes de almacenamiento (Object Storage)
- Purga de backups automáticos en OCI Backup Service
- Eliminación de contenedores Docker
- Certificado de Destrucción de Datos enviado por email

Solicitud de Eliminación de Usuario Final (GDPR "Right to Erasure")

Si un cliente final (usuario de WhatsApp) solicita la eliminación de sus datos personales:

Responsabilidad del Controlador: Como Controlador de Datos, usted debe procesar la solicitud conforme a GDPR/LFPDPPP.
Herramientas Proporcionadas: Hazo Intelligence proporciona una interfaz administrativa para localizar y eliminar datos de usuario específico por número de teléfono.
Ejecución Inmediata: La eliminación de datos conversacionales es inmediata e irreversible.
Auditoría: Generamos logs de auditoría que documentan la fecha, hora y alcance de la eliminación para fines de cumplimiento.

Excepciones Legales a la Eliminación

Conforme a GDPR Art. 17(3), podemos retener ciertos datos si existe una obligación legal, incluyendo:

Datos requeridos para el cumplimiento de obligaciones fiscales y contables (hasta 10 años en México)
Evidencia para el establecimiento, ejercicio o defensa de reclamaciones legales
Datos anonimizados utilizados exclusivamente para fines estadísticos

9. Notificación de Brechas de Seguridad

Aunque implementamos controles de seguridad de nivel empresarial, reconocemos que ningún sistema es 100% inmune a ataques. En el improbable caso de una brecha de seguridad que afecte datos personales, seguimos un protocolo estricto de respuesta a incidentes.

Protocolo de Respuesta a Incidentes

// Timeline de Respuesta (Incident Response)

1. Detección (T+0)
Identificación de la brecha mediante sistemas de monitoreo (IDS/IPS, SIEM) o reporte externo.
2. Contención (T+1 hora)
Aislamiento de sistemas comprometidos, revocación de credenciales afectadas, bloqueo de vectores de ataque.
3. Evaluación (T+24 horas)
Análisis forense para determinar alcance, tipos de datos afectados, número de titulares impactados.
4. Notificación al Controlador (T+72 horas)
Notificación al Cliente con detalles técnicos del incidente, alcance, medidas correctivas y recomendaciones.
5. Remediación (T+7 días)
Implementación de controles de seguridad adicionales, parches de sistema, auditoría de seguridad completa.

Información Proporcionada en la Notificación

Conforme a GDPR Art. 33, nuestra notificación incluirá:

Descripción de la naturaleza de la violación de datos personales (tipo de ataque, vectores utilizados)
Categorías y número aproximado de titulares de datos afectados
Categorías y número aproximado de registros de datos personales afectados
Consecuencias probables de la violación (riesgos para los titulares)
Medidas adoptadas o propuestas para remediar la violación y mitigar posibles efectos adversos
Datos de contacto del Data Protection Officer (DPO) para consultas adicionales

Responsabilidades del Controlador

Como Controlador de Datos, usted es responsable de:

Evaluar si la brecha requiere notificación a la autoridad de protección de datos (ej. INAI en México, autoridades de la UE bajo GDPR)
Notificar a los titulares de datos afectados si la brecha presenta un alto riesgo para sus derechos y libertades
Documentar el incidente en su registro de actividades de tratamiento

Transparencia Total: Creemos en la máxima transparencia en materia de seguridad. Publicaremos un informe post-mortem técnico (redactado) de incidentes significativos en nuestro blog de seguridad para compartir lecciones aprendidas con la comunidad.

10. Cookies y Tecnologías de Seguimiento

El portal de administración de clientes de Hazo Intelligence utiliza cookies y tecnologías similares para proporcionar funcionalidad esencial y mejorar la experiencia del usuario.

Tipos de Cookies Utilizadas

// Inventario de Cookies

Cookies Esenciales (Requeridas)

hazo_session - Token de sesión JWT para autenticación (httpOnly, Secure, SameSite=Strict)
csrf_token - Protección contra Cross-Site Request Forgery
Duración: Sesión del navegador (se eliminan al cerrar)

Cookies Analíticas (Opcionales)

_analytics - Métricas de uso agregadas y anónimas (ej. páginas visitadas, tiempo de sesión)
Solo activadas si el cliente opta por habilitar analíticas
Datos completamente anonimizados (sin IPs, sin identificadores personales)
Duración: 90 días

Lo que NO Utilizamos

❌ Cookies de terceros para publicidad
❌ Tracking cross-site o fingerprinting de navegador
❌ Píxeles de seguimiento de redes sociales (Facebook Pixel, Google Analytics, etc.)
❌ Retargeting o remarketing

Control de Cookies

Puede gestionar las preferencias de cookies a través de:

El banner de consentimiento de cookies que aparece en su primera visita
La configuración de su navegador (bloquear todas las cookies o eliminar cookies específicas)
La sección "Preferencias de Privacidad" en el panel de administración

Nota: Bloquear cookies esenciales impedirá el funcionamiento correcto del portal de administración (no podrá iniciar sesión).

11. Cumplimiento de Políticas de WhatsApp Business

El uso de Hazo Intelligence para automatización de WhatsApp Business está sujeto a las Políticas de Comercio y Términos de Servicio de WhatsApp Business Platform de Meta. Como Controlador de Datos, usted es responsable de cumplir con estas políticas en todo momento.

Ventana de Servicio al Cliente de 24 Horas

Una regla fundamental de WhatsApp Business API:

// Modelo de Conversación de Meta

Conversación Iniciada por Usuario (Service Window):

Cuando un usuario final envía un mensaje a su número de WhatsApp Business, se abre una ventana de servicio al cliente de 24 horas.
Durante esta ventana, puede enviar mensajes de formato libre (respuestas de IA, mensajes personalizados) sin restricciones.
Estas respuestas se clasifican como "Conversaciones de Servicio" y se facturan conforme a la tarifa correspondiente de Meta.

Conversación Fuera de la Ventana (Template):

Si han pasado más de 24 horas desde el último mensaje del usuario, la ventana de servicio se cierra.
Para reanudar la conversación, debe usar una Plantilla de Mensaje (Message Template) previamente aprobada por Meta.
Las plantillas se categorizan como "Utilidad" (ej. confirmación de pedido, recordatorio de cita) o "Marketing" (ej. ofertas promocionales).
El envío de una plantilla inicia una nueva conversación que puede ser facturada de manera diferente.

Gestión Técnica de la Ventana de 24 Horas

Hazo Intelligence proporciona funcionalidades técnicas para ayudarle a cumplir con esta política:

Verificación Automática: Nuestros workflows de n8n verifican automáticamente el timestamp del último mensaje del usuario antes de enviar respuestas.
Bloqueo de Mensajes Libres: Si la ventana ha expirado, el sistema previene el envío de mensajes de formato libre y le notifica que debe usar una plantilla.
Gestión de Plantillas: Interfaz para crear, aprobar y gestionar plantillas de mensaje directamente con la API de Meta.

Políticas de Contenido de WhatsApp

Está estrictamente prohibido usar Hazo Intelligence para:

❌ Envío de spam o mensajes no solicitados (violación de políticas de Meta, resulta en suspensión de cuenta)
❌ Contenido ilegal, abusivo, engañoso o que viole derechos de propiedad intelectual
❌ Compartir información falsa o teorías de conspiración relacionadas con salud pública
❌ Venta de productos prohibidos (drogas, armas, tabaco, alcohol a menores, servicios financieros no regulados)
❌ Compra o venta de listas de contactos (lead scraping)

Consecuencias de Violaciones: El incumplimiento de las políticas de WhatsApp puede resultar en la suspensión permanente de su número de WhatsApp Business por parte de Meta, sin posibilidad de apelación. Hazo Intelligence no es responsable de suspensiones causadas por uso indebido del servicio por parte del cliente.

Sistema de Calidad de WhatsApp (Quality Rating)

Meta asigna una calificación de calidad a cada número de WhatsApp Business basada en el feedback de los usuarios (bloqueos, reportes). Mantenga una calificación "Alta" o "Media" para evitar limitaciones de envío.

Verde (Alta): Sin restricciones
Amarilla (Media): Advertencia - revise sus prácticas de mensajería
Roja (Baja): Límite de envío reducido, riesgo de suspensión

12. Contacto y Solicitudes

Centro de Privacidad

Para cualquier consulta, solicitud de derechos ARCO, o reporte de incidentes de seguridad, contacte a nuestro equipo de Protección de Datos:

Correo Electrónico Principal

privacy@hazointelligence.com

Seguridad / Vulnerabilidades

security@hazointelligence.com

Legal / DPAs

legal@hazointelligence.com

Hazo Intelligence
Ramos Arizpe, Coahuila
México

Tiempo de Respuesta

Nos comprometemos a responder a todas las consultas en los siguientes plazos:

Consultas Generales: 48 horas hábiles
Solicitudes de Derechos ARCO: 15 días hábiles (conforme a LFPDPPP)
Reportes de Seguridad: 24 horas (confirmación), 72 horas (respuesta detallada)
Solicitudes Corporativas (DPA, Auditorías): 5 días hábiles

Autoridad de Protección de Datos

Si no está satisfecho con nuestra respuesta a una solicitud de derechos de privacidad, tiene el derecho de presentar una queja ante la autoridad de protección de datos competente:

// Enlaces Regulatorios Externos

México (LFPDPPP) INAI home.inai.org.mx ↗

Unión Europea (GDPR) DPC Ireland (Meta Supervisor) dataprotection.ie ↗