Política de Privacidad

GuruMood ("GuruMood", "nosotros" o "nuestro") es el responsable del tratamiento de los datos personales recopilados a través de este sitio web, nuestras comunicaciones de marketing y nuestros servicios orientados a visitantes y clientes potenciales. Cuando procesamos datos personales en nombre de nuestros clientes para prestarles los servicios contratados (por ejemplo, datos de usuarios finales que interactúan con agentes de IA desplegados por un cliente), actuamos como encargado del tratamiento y dichas actividades se rigen por nuestro Acuerdo de Tratamiento de Datos (DPA).

Datos de contacto: privacy@gurumood.com. Si resides en el EEE o el Reino Unido y requieres un representante local, proporcionaremos los detalles correspondientes bajo solicitud razonada.

Esta Política de Privacidad explica cómo recopilamos, usamos, compartimos y protegemos los datos personales cuando: (a) visitas gurumood.com; (b) solicitas información, demos, o servicios; (c) te suscribes a comunicaciones; (d) interactúas con nuestro equipo por correo, WhatsApp, voz o formularios; (e) usas herramientas públicas gratuitas ofrecidas en el sitio.

Cuando nuestros clientes desplegan agentes, automatizaciones o integraciones usando nuestros servicios, el cliente es el responsable del tratamiento de los datos de sus propios usuarios finales. La política de privacidad del cliente se aplica a esos datos; nosotros actuamos como encargado del tratamiento bajo el DPA.

Recopilamos y procesamos las siguientes categorías de datos personales:

• Datos de identificación y contacto: nombre, correo electrónico, número de teléfono, cargo, empresa, país.
• Datos de cuenta: credenciales, preferencias, idioma, zona horaria, registros de actividad.
• Datos de facturación: razón social, dirección fiscal, ID fiscal, método de pago (procesado por nuestros proveedores de pago PCI DSS).
• Datos de comunicación: contenido de correos, mensajes de WhatsApp, llamadas de voz, chats, formularios, incluidos metadatos y adjuntos que nos envíes.
• Datos técnicos y de uso: dirección IP, identificadores de dispositivo, tipo de navegador, sistema operativo, URLs visitadas, referrer, marcas de tiempo, eventos de interacción.
• Datos de cookies y tecnologías similares: ver nuestra Política de Cookies.
• Datos de terceros: información que recibimos de plataformas como Meta (Facebook/Instagram/WhatsApp), Google (Workspace, Ads, Analytics, Search Console, Business Profile), LinkedIn u otros cuando tú o tu organización autorizan dichas integraciones.
• Datos de usuario final procesados por cuenta de clientes: cuando operamos agentes, chatbots, campañas u otras automatizaciones para un cliente, podemos procesar datos de usuarios finales que el cliente controla (por ejemplo, conversaciones, perfiles de cliente, eventos).

No solicitamos categorías especiales de datos (origen racial, salud, orientación sexual, datos biométricos, etc.). Si nos las envías voluntariamente, las eliminamos a menos que exista una base legal clara para conservarlas.

• Directamente de ti: formularios, contratos, correos, llamadas, demos, interacciones con nuestras herramientas.
• Automáticamente: al usar el sitio y los servicios, mediante cookies, pixeles y registros del servidor.
• De terceros autorizados: plataformas conectadas vía API oficial (Meta, Google, etc.), proveedores de enriquecimiento B2B con bases legales válidas, y referidos.

Tratamos datos personales únicamente cuando existe una base legal aplicable:

• Ejecución de un contrato (Art. 6(1)(b)): prestar los servicios, gestionar tu cuenta, facturar, responder a solicitudes.
• Interés legítimo (Art. 6(1)(f)): mejorar y proteger el servicio, prevención de fraude, seguridad de la red y la información, análisis agregado, marketing directo a clientes existentes (respetando el derecho de oposición).
• Consentimiento (Art. 6(1)(a)): cookies no esenciales, boletines, comunicaciones de marketing a prospectos, integraciones opcionales y cualquier procesamiento que legalmente requiera consentimiento. Puedes retirar tu consentimiento en cualquier momento.
• Obligación legal (Art. 6(1)(c)): contabilidad, fiscalidad, respuesta a requerimientos legales válidos, cumplimiento normativo.
• Intereses vitales o interés público: solo en circunstancias excepcionales.

• Proporcionar, operar y mantener el sitio, los servicios y los agentes de IA.
• Gestionar clientes: contratos, soporte, facturación, renovaciones.
• Comunicarnos contigo: avisos de servicio, actualizaciones de seguridad, respuesta a preguntas, notificaciones legales.
• Marketing y análisis (con la base legal correspondiente): mediciones de uso, mejoras de producto, campañas de re-engagement para clientes existentes, newsletters con consentimiento.
• Cumplimiento, prevención de fraude y seguridad: detección de abusos, auditorías, registros de acceso, gestión de incidentes.
• Cumplimiento de obligaciones contractuales con plataformas de terceros (Meta, Google, etc.) y ejecución de nuestras propias políticas.

Cuando nuestros servicios se integran con productos de Meta — incluida la API Cloud de WhatsApp Business, la Graph API de Facebook/Instagram y Meta Marketing API — actuamos conforme a los Términos de Plataforma de Meta, las Políticas de Desarrolladores de Meta y la Política de Mensajería de WhatsApp Business.

• Solo accedemos a los datos estrictamente necesarios para prestar el servicio solicitado por el cliente y únicamente a través de APIs oficiales aprobadas.
• No vendemos, licenciamos ni cedemos datos obtenidos de plataformas de Meta a terceros con fines de marketing propio.
• No usamos datos de usuarios de Meta para construir o enriquecer perfiles con fines no autorizados ni para decisiones que afecten derechos de las personas sin bases legales válidas.
• Respetamos la ventana de servicio al cliente de 24 horas de WhatsApp y solo enviamos mensajes plantilla preaprobados cuando corresponde, previo opt-in explícito del usuario.
• Eliminamos los datos de plataformas de Meta cuando ya no son necesarios, cuando el cliente lo solicita o cuando Meta lo requiere.
• Implementamos medidas técnicas y organizativas apropiadas para proteger los datos recibidos de Meta, incluyendo cifrado en tránsito y en reposo, control de acceso basado en roles y registros de auditoría.

Cuando nuestros servicios acceden a datos de usuario de Google mediante APIs (por ejemplo, Google Workspace, Gmail, Drive, Calendar, Google Ads, Google Analytics, Search Console, Google Business Profile), cumplimos con los Servicios de API de Google — Términos de Servicio, la Política de Datos de Usuario de los Servicios de API de Google, incluyendo los requisitos de Uso Limitado (Limited Use) para ámbitos restringidos y sensibles.

• Uso limitado: el uso de la información recibida de las APIs de Google se ajusta a la Política de Datos de Usuario de los Servicios de API de Google, incluyendo los requisitos de Uso Limitado.
• Ámbitos mínimos: solo solicitamos los ámbitos OAuth mínimos necesarios para la funcionalidad que el usuario autoriza.
• Prohibiciones: no transferimos datos de Google a terceros salvo (i) para proporcionar o mejorar funciones visibles al usuario, (ii) por razones de seguridad, (iii) cuando lo exija la ley, o (iv) con el consentimiento explícito del usuario.
• No publicidad: no usamos datos obtenidos de ámbitos restringidos de Google para publicidad, ni para entrenar modelos de IA generalizados.
• Acceso humano: no permitimos que humanos lean datos de usuarios de Google salvo (i) con consentimiento explícito del usuario, (ii) por seguridad, (iii) para cumplir la ley, o (iv) de forma agregada y anonimizada para operaciones internas.
• Revocación: los usuarios pueden revocar el acceso en cualquier momento desde su cuenta de Google; al hacerlo, eliminamos los tokens y los datos asociados según nuestra política de retención.

Compartimos datos personales únicamente en las siguientes circunstancias:

• Sub-encargados: proveedores de infraestructura en la nube, proveedores de modelos de IA, proveedores de comunicaciones (WhatsApp/SMS/voz), analítica, soporte y pagos, todos sujetos a acuerdos escritos con cláusulas de protección de datos. La lista pública y actualizada está en /es/legal/sub-processors.
• Plataformas que tú integras: Meta, Google u otras, conforme a las autorizaciones que concedas.
• Autoridades y asesores: cuando la ley lo requiera o para defender derechos legales.
• Reorganización corporativa: en caso de fusión, adquisición o venta de activos, con notificación previa cuando sea obligatoria.
• Con tu consentimiento: cuando lo solicites o autorices expresamente.

Utilizamos proveedores de infraestructura en la nube líderes en el sector, como AWS y DigitalOcean, para garantizar el más alto nivel de seguridad y cifrado de datos.

No vendemos datos personales en el sentido del CCPA/CPRA. No usamos datos de clientes para entrenar modelos fundacionales.

Operamos globalmente y podemos transferir datos personales fuera del EEE, el Reino Unido o Suiza. Cuando lo hacemos, aplicamos salvaguardas adecuadas: (i) decisiones de adecuación de la Comisión Europea; (ii) Cláusulas Contractuales Tipo (SCCs) 2021/914 de la UE; (iii) Adenda del Reino Unido; (iv) Adenda suiza; y (v) medidas complementarias cuando son necesarias, como cifrado, pseudonimización y políticas estrictas de acceso.

Conservamos los datos personales solo durante el tiempo necesario para los fines para los que se recopilaron, para cumplir obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos. Consulta nuestra Política de Retención de Datos para los plazos detallados por categoría.

En función de tu jurisdicción, puedes tener los siguientes derechos:

• Acceso: obtener confirmación del tratamiento y una copia de tus datos.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión ("derecho al olvido"): eliminación en los casos previstos por la ley.
• Limitación del tratamiento: pausar el procesamiento en determinadas circunstancias.
• Oposición: oponerte al tratamiento basado en interés legítimo o al marketing directo.
• Portabilidad: recibir tus datos en formato estructurado y de uso común.
• Retirar el consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.
• Presentar una reclamación ante tu autoridad de protección de datos (lista de DPAs de la UE en edpb.europa.eu).
• No ser objeto de decisiones totalmente automatizadas con efectos significativos (GDPR Art. 22), con derecho a intervención humana.
• Residentes de California (CCPA/CPRA): derecho a saber, eliminar, corregir, optar por no compartir/vender datos, limitar el uso de información personal sensible y no sufrir discriminación por ejercer estos derechos.

Para ejercer tus derechos, escríbenos a privacy@gurumood.com. Responderemos dentro de los plazos legales (normalmente 30 días). Podemos requerir verificación razonable de identidad.

Aplicamos medidas técnicas y organizativas proporcionales al riesgo, incluyendo: cifrado TLS en tránsito y AES-256 en reposo, control de acceso basado en roles con principio de mínimo privilegio, autenticación multifactor para personal, registro centralizado, monitoreo de seguridad, pruebas de penetración periódicas, gestión de vulnerabilidades, ciclo de desarrollo seguro, formación del personal y un plan documentado de respuesta a incidentes. Detalles adicionales en nuestro Centro de Confianza.

En caso de una brecha de seguridad que afecte datos personales, notificaremos a las autoridades competentes y/o a las personas afectadas dentro de los plazos exigidos por la ley aplicable (p. ej., 72 horas desde el conocimiento bajo el GDPR) y conforme a nuestras obligaciones contractuales con clientes como encargados del tratamiento.

Nuestro sitio y servicios no están dirigidos a personas menores de 16 años (o la edad mínima aplicable en tu jurisdicción). No recopilamos conscientemente datos de menores sin el consentimiento parental válido. Si crees que hemos recopilado datos de un menor, contáctanos y los eliminaremos.

Usamos cookies y tecnologías similares como se describe en nuestra Política de Cookies. Puedes gestionar tus preferencias a través del banner de consentimiento o los controles de tu navegador.

Nuestro sitio puede contener enlaces a sitios o servicios de terceros. No somos responsables de sus prácticas de privacidad. Te recomendamos revisar sus políticas antes de proporcionarles datos.

Podemos actualizar esta política periódicamente. Publicaremos la versión actualizada en esta página con una nueva fecha de "última actualización". Para cambios sustanciales, te notificaremos por medios razonables (correo o aviso en el sitio).

Para cualquier consulta de privacidad, escribe a privacy@gurumood.com. Para solicitudes formales bajo el GDPR o leyes similares, incluye "Solicitud de Derechos" en el asunto.