Política de Privacidad

Última actualización: Noviembre 2025

1. Responsable del tratamiento

Responsable: Javier Asensio Gómez (“Respondize”)

Localidad: Fuengirola (Málaga), España

Correo de contacto: [email protected]

2. Ámbito y roles: responsable vs encargado

Respondize puede actuar en dos posiciones distintas bajo el RGPD:

• Como Responsable del tratamiento: respecto a los datos de las tiendas y usuarios que contratan y utilizan Respondize (cuentas, facturación, soporte, logs, etc.).
• Como Encargado del tratamiento: respecto a los datos de los clientes finales de las tiendas (personas que envían correos al ecommerce, realizan pedidos en Shopify, etc.). En estos casos, la tienda es la responsable del tratamiento y Respondize trata los datos únicamente para prestar el Servicio según el contrato.

3. Categorías de datos tratados

3.1. Datos de cuenta y de la tienda

• Datos de identificación y contacto del titular de la cuenta (por ejemplo, correo electrónico y nombre opcional).
• Datos básicos de la tienda: nombre comercial, dirección web, país, idioma, categoría y preferencias de comunicación.
• Datos de configuración del servicio: planes contratados, límites de uso, estado de la suscripción, avisos de cuota, etc.
• Credenciales técnicas cifradas necesarias para integrar servicios externos (como los tokens de acceso a Gmail o Shopify).
• Un identificador derivado (hash irreversible del correo electrónico) para fines de seguridad y prevención de fraude.

3.2. Datos de comunicaciones

• Correos electrónicos entrantes y salientes relacionados con la atención al cliente de la tienda, que pueden incluir: remitente, destinatario, asunto, fecha, contenido del mensaje en texto plano y HTML, y adjuntos.
• Metadatos necesarios para reconstruir las conversaciones y gestionarlas dentro de la Plataforma (identificadores de hilo, estado de la conversación, número de mensajes, fechas de primera y última actividad, indicadores de si un mensaje es procesable por IA, etc.).
• Información generada por Respondize sobre esos correos, como ideas clave, clasificación por tipo de consulta o etiquetas internas.

3.3. Datos de clientes finales y pedidos

• Cuando integras tu tienda online, tratamos los datos de tus clientes finales necesarios para gestionar la atención al cliente: nombre, correo electrónico, dirección de envío y facturación, idioma, historial de pedidos y valor total gastado.
• Información de pedidos y devoluciones: identificadores de pedido, productos adquiridos, cantidades, importes, moneda, estados de pago, reembolsos y notas internas de la tienda cuando existan.
• Estos datos se utilizan para cruzar correos con pedidos, dar contexto a las respuestas y generar métricas para la tienda. En estos tratamientos Respondize actúa como encargado de tratamiento.

3.4. Políticas y contenido de la tienda

• Textos de políticas de envíos, devoluciones, cambios, garantías, preguntas frecuentes (FAQs) y otra información que la tienda sube o configura en la Plataforma.
• Extractos y versiones “sanitizadas” de estas políticas para que los agentes de IA puedan generar respuestas coherentes con las normas de la tienda.

3.5. Datos de uso y mejora del servicio

• Información sobre cómo se utiliza la Plataforma (por ejemplo, tipos de consultas más frecuentes, ideas clave repetidas o acciones realizadas sobre los borradores), normalmente en forma agregada o seudonimizada.
• Registros de eventos relacionados con la suscripción y el funcionamiento del sistema (altas y bajas de planes, cambios de configuración, errores técnicos, etc.).
• Estos datos se emplean para mejorar la calidad del servicio, detectar patrones de errores y diseñar nuevas funciones.

3.6. Datos técnicos de sesión e integraciones

• Datos técnicos necesarios para gestionar el inicio de sesión y las integraciones con terceros: identificadores internos de usuario, tokens de sesión, dominios de tienda, marcas de tiempo de creación y expiración, y datos similares.
• Estos datos tienen una vida útil muy corta y se eliminan automáticamente una vez completados los flujos correspondientes.

3.7. Datos de facturación y pagos

• Identificadores de cliente y de suscripción de la pasarela de pago (por ejemplo, Stripe), plan contratado, importes facturados, moneda y estado de los cobros.
• No almacenamos el número completo de la tarjeta de pago, que es gestionado directamente por la pasarela.

3.8. Datos de antifraude y cuentas eliminadas

• Registros mínimos asociados a cuentas eliminadas (por ejemplo, identificador de tienda, un hash irreversible del email y estado de los periodos de prueba) para prevenir abusos de las pruebas gratuitas y poder gestionar reactivaciones durante un tiempo limitado.

No vendemos datos personales ni los cedemos a terceros para sus propias campañas de marketing.

3.9. Logs técnicos

• Registros técnicos generados por la infraestructura (por ejemplo, identificadores de usuario, marcas de tiempo, códigos de error y mensajes de diagnóstico).
• No incluimos cuerpos completos de correos ni datos de tarjeta en estos logs.

3.10. Cookies y tecnologías similares

• Actualmente no utilizamos cookies de analítica ni de marketing.
• Podemos usar almacenamiento local del navegador (por ejemplo, localStorage) únicamente para funciones técnicas necesarias, como mantener la sesión o el estado de la interfaz.

4. Finalidades y base legal

• Prestación del Servicio (ejecución del contrato, art. 6.1.b RGPD): creación y mantenimiento de la cuenta, conexión con Gmail y Shopify, procesamiento de correos y pedidos, generación de borradores con IA y presentación de métricas y analíticas.
• Facturación y obligaciones legales (art. 6.1.c RGPD): gestión de suscripciones y cobros con Stripe, conservación de registros de facturación durante los plazos exigidos.
• Seguridad y prevención del fraude (interés legítimo, art. 6.1.f RGPD): uso de hashes de email para evitar abusos de pruebas gratuitas, monitorización de accesos, defensa frente a ataques.
• Mejora del servicio y desarrollo de producto (interés legítimo, art. 6.1.f RGPD): análisis de patrones de uso y tipos de consulta, depuración de errores, evaluación de la calidad de las respuestas de IA, siempre con minimización de datos personales.
• Comunicaciones de servicio y soporte: avisos sobre cambios en el servicio, incidencias de seguridad, límites de uso, así como respuesta a consultas de soporte.
• Comunicaciones comerciales: solo se enviarán cuando exista base legal (consentimiento o interés legítimo) y siempre con opción de darse de baja.

5. Origen de los datos

Los datos que tratamos pueden proceder de:

• El propio usuario, al registrarse, configurar su tienda o subir políticas.
• Google, a través de las APIs de Gmail / Google Workspace.
• Shopify, a través de sus APIs de tienda, pedidos y clientes.
• Stripe, para la información de cliente y suscripción.
• Registros técnicos generados por el uso de la Plataforma.

6. Destinatarios y encargados de tratamiento

Para prestar el Servicio, Respondize utiliza proveedores que actúan como encargados del tratamiento, entre otros:

• Google Cloud Platform (Cloud Run, Pub/Sub, Storage, Secret Manager, Logging).
• MongoDB Atlas (base de datos gestionada).
• OpenAI (modelos de IA generativa como GPT-4o-mini y o4-mini).
• Shopify (plataforma de comercio electrónico conectada por el usuario).
• Stripe (pasarela de pago y facturación de suscripciones).
• Futuras integraciones, como Meta (Instagram, WhatsApp) u otros proveedores de mensajería, cuando se activen e incorporen a esta Política.

Estos proveedores tratan los datos únicamente siguiendo instrucciones de Respondize, bajo contratos de encargo de tratamiento y, cuando sea necesario, con cláusulas contractuales tipo para transferencias internacionales.

No vendemos tus datos ni los de tus clientes a terceros.

7. Transferencias internacionales

Algunos proveedores (por ejemplo, OpenAI, Stripe o ciertas regiones de Google Cloud y MongoDB Atlas) pueden tratar datos desde fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos.

En esos casos, se utilizan mecanismos de garantía como las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea y, cuando proceda, medidas adicionales (cifrado, seudonimización) para reducir los riesgos.

8. Plazos de conservación

• Datos de cuenta y suscripción: mientras la cuenta esté activa y, tras la baja, hasta un máximo de 6 meses para gestionar incidencias y posibles reclamaciones.
• Contenido de correos y conversaciones: regla general de hasta 2 meses desde la recepción/envío del correo, pudiendo mantenerse mientras la conversación siga activa o el usuario necesite un histórico razonable.
• Datos de clientes y pedidos Shopify: mientras la tienda utilice Respondize y, tras la baja, hasta 6 meses antes de eliminarse o seudonimizarse.
• Logs técnicos: hasta 6 meses, salvo que sea necesario conservarlos más tiempo para investigar incidentes de seguridad o fraude.
• Facturación y contabilidad: hasta 5 años, conforme a la normativa fiscal y contable aplicable.
• Cuentas eliminadas y antifraude: los registros mínimos asociados a cuentas eliminadas se conservan durante 6 meses. Determinados identificadores derivados (hashes irreversibles) para prevención de abusos de pruebas gratuitas pueden conservarse hasta 5 años.
• Inactividad: en caso de inactividad total de la cuenta durante un periodo prolongado (por ejemplo, 2 meses), Respondize podrá cerrar la cuenta y eliminar los datos, manteniendo únicamente la información necesaria para cumplimiento legal y antifraude.

9. Uso de IA y transparencia

Respondize integra modelos de IA generativa proporcionados principalmente por OpenAI (como GPT-4o-mini y o4-mini) para:

• Analizar el contenido de correos y extraer ideas clave.
• Proponer borradores de respuesta que el usuario puede revisar, editar y enviar.
• En el futuro, de forma opcional, automatizar ciertos flujos de respuesta (autorespuestas) que la tienda podrá activar o desactivar.

Por defecto, los borradores no se envían automáticamente: el usuario mantiene el control para aprobar o modificar cada respuesta. Si se activan flujos totalmente automáticos, esto se indicará claramente en la configuración.

Solo se envía al proveedor de IA la información necesaria del correo (asunto, cuerpo y ciertos metadatos) y las políticas configuradas para la tienda. No se utilizan estos datos para decisiones automatizadas con efectos legales o similares sobre las personas; se trata de soporte a la atención al cliente.

Actualmente Respondize no realiza fine-tuning de modelos propios con datos de clientes finales. OpenAI no puede utilizar los datos enviados desde la API para entrenar modelos generales, conforme a su configuración por defecto. Si en el futuro se implementa fine-tuning u otros usos, se actualizará esta Política y, cuando sea necesario, se recabará el consentimiento o se ofrecerán mecanismos claros de exclusión.

10. Cumplimiento de la Google API Services User Data Policy (Limited Use)

El uso de las APIs de Google (incluyendo Gmail y Google Workspace) se ajusta a la Google API Services User Data Policy, incluyendo los requisitos de Limited Use.

Los datos de Gmail se utilizan únicamente para:

• Leer los correos relevantes de atención al cliente.
• Generar borradores de respuesta mediante IA.
• Enviar respuestas desde la cuenta de Gmail del usuario cuando este lo aprueba.

No utilizamos los datos de Gmail para fines publicitarios o de marketing directo ajenos al Servicio, ni para construir perfiles fuera del ámbito del propio usuario o su tienda, ni para entrenar modelos generales de IA.

El acceso humano a datos de Gmail se limita a tareas de soporte técnico, mantenimiento, investigación de incidentes de seguridad o cumplimiento legal, bajo acuerdos de confidencialidad y con registros de acceso.

En las llamadas a las APIs y a los modelos de IA se incluye siempre un identificador de usuario (por ejemplo, el parámetro user) para delimitar claramente cada solicitud al usuario correspondiente.

The use of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

El uso de la información recibida de Google APIs cumple la Google API Services User Data Policy, incluyendo los requisitos de Limited Use.

11. Menores de edad

El Servicio está dirigido exclusivamente a personas mayores de 18 años. Si tienes menos de 18 años, no debes registrarte ni utilizar Respondize.

Si detectamos que un menor ha creado una cuenta, procederemos a cancelar la cuenta y eliminar sus datos personales en la medida de lo posible.

12. Medidas de seguridad

• Cifrado en tránsito (TLS) y en reposo proporcionado por Google Cloud y MongoDB Atlas.
• Cifrado adicional a nivel de aplicación para datos sensibles (emails, nombres, teléfonos) con claves gestionadas en Google Cloud KMS.
• Gestión de secretos a través de Secret Manager, con control de accesos basado en roles (IAM) y privilegios mínimos.
• Uso de tokens de sesión y de integración con expiraciones cortas.
• Registros y auditorías de acceso y errores para detectar actividad anómala.
• Entornos de prueba con datos limitados y políticas internas de acceso restringido a datos reales.

13. Derechos de las personas usuarias

Los usuarios pueden ejercer en cualquier momento los siguientes derechos:

• Acceso.
• Rectificación.
• Supresión.
• Limitación del tratamiento.
• Oposición.
• Portabilidad, cuando proceda.

Para ejercitarlos, puedes enviar un correo a [email protected] indicando el derecho que deseas ejercer y la dirección de correo asociada a tu cuenta.

Si Respondize actúa como Encargado respecto a los datos de tus clientes finales, canalizaremos la solicitud hacia la tienda responsable, según lo previsto en el contrato.

También tienes derecho a presentar una reclamación ante la autoridad de control competente, en España la Agencia Española de Protección de Datos (AEPD).

14. Revocación de permisos y eliminación de cuenta

Puedes revocar el acceso de Respondize a tu cuenta de Google desde tu propia Cuenta de Google: Cuenta de Google → Seguridad → Acceso de terceros → “Respondize” → Eliminar acceso.

También puedes eliminar tu cuenta desde la propia aplicación. Al hacerlo, se revocan los permisos de Google y se purgan los datos operativos, conservando únicamente la información mínima necesaria durante los plazos indicados para facturación y antifraude.

15. Cookies y tecnologías similares

Actualmente Respondize no utiliza cookies de analítica ni cookies de marketing. Si en el futuro se introducen, se mostrará un aviso de cookies y se solicitará el consentimiento correspondiente, actualizando esta Política.

16. Cambios en la Política de Privacidad

Respondize podrá actualizar esta Política para reflejar cambios legales o técnicos en el Servicio (por ejemplo, nuevas integraciones o usos de IA). En caso de cambios relevantes, se notificará al usuario con antelación razonable a través de la Plataforma o por correo electrónico.

El uso continuado del Servicio tras la entrada en vigor de la nueva Política implicará su aceptación.

17. Delegado de Protección de Datos (DPO)

Actualmente no se ha designado Delegado de Protección de Datos. En caso de nombrarse uno, se actualizará esta Política indicando sus datos de contacto.