Proteccion de datos
Política de privacidad
ChatDirect se compromete a proteger sus datos personales. Conforme a la Ley 25 de Quebec y al RGPD europeo.
Ultima actualizacion: 9 de abril de 2026
1. Responsable del tratamiento
ChatDirect.ca (en adelante "ChatDirect", "nosotros") opera la plataforma de chatbot IA y mini-CRM accesible en chatdirect.ca. Para cualquier pregunta relativa a esta politica, contactenos en info@chatdirect.ca.
2. Datos recopilados
2.1 Datos de los visitantes del chatbot
- Datos proporcionados voluntariamente: nombre, correo electronico, teléfono, empresa, mensaje (a traves del formulario de captura de leads)
- Datos recopilados automaticamente: identificador de sesion anonimo, pagina de origen, idioma del navegador, fecha y hora de la conversacion
- Conversaciones: contenido de los intercambios con el chatbot IA
2.2 Datos de los clientes (administradores)
- Nombre, correo electronico, empresa
- Datos de configuracion del chatbot
- Documentos subidos para RAG (PDF, Word, TXT) y URLs de paginas web indexadas
- Secreto TOTP para la autenticacion de dos factores (cifrado con AES-256-CBC)
- Datos de facturacion (gestionados por nuestro procesador de pagos)
3. Finalidades del tratamiento
- Funcionamiento del chatbot IA y generacion de respuestas
- Procesamiento de mensajes multicanal (SMS, WhatsApp, Messenger, Instagram DM)
- Generacion de embeddings semanticos (RAG) mediante la API OpenAI (text-embedding-3-small)
- Captura y calificacion de leads (lead scoring)
- Gestion del mini-CRM (pipeline, seguimientos, recordatorios)
- Comunicacion con los clientes (soporte, notificaciones)
- Mejora del servicio y estadisticas anonimas
- Cumplimiento de las obligaciones legales
4. Base juridica del tratamiento
Segun la Ley 25 de Quebec y el RGPD europeo, tratamos sus datos sobre la base de:
- Consentimiento: el visitante inicia la conversacion voluntariamente
- Ejecucion del contrato: prestacion del servicio a nuestros clientes
- Interes legitimo: mejora del servicio, seguridad, prevencion del fraude
5. Alojamiento y seguridad de los datos
5.1 Infraestructura
La aplicacion y los archivos principales se alojan en un servidor dedicado OVH ubicado en Beauharnois, Quebec, Canada. Los datos estructurados (cuentas, conversaciones, leads, embeddings vectoriales) se almacenan en una base de datos Supabase (PostgreSQL) alojada en Estados Unidos (AWS us-east-1), con cifrado en transito (TLS) y en reposo (AES-256).
5.2 Medidas de seguridad
- Cifrado AES-256-CBC para los datos sensibles (claves API, credenciales, secretos TOTP)
- Autenticacion segura con bcrypt y 2FA por TOTP y codigos de respaldo (disponible en todos los portales)
- Proteccion CSRF en todos los formularios
- Headers de seguridad: X-Frame-Options, X-Content-Type-Options, HSTS
- Rate limiting en todos los endpoints API
- Proteccion SSRF contra inyecciones de URLs internas
- Subdominios wildcard SSL para clientes
- Auditorias de seguridad regulares (6 auditorias realizadas hasta abril de 2026)
5.3 Aislamiento de datos (Privacy Wall)
Los datos de cada cliente estan estrictamente aislados. El equipo de ChatDirect no tiene acceso a los datos de los clientes sin autorizacion explicita temporal (maximo 72 horas), concedida unicamente para fines de soporte tecnico o resolucion de incidentes.
6. Proveedores de IA y subprocesadores
Las conversaciones del chatbot se envian a los proveedores de IA para la generacion de respuestas:
- Anthropic (Claude) — Estados Unidos
- OpenAI (GPT-4o + embeddings text-embedding-3-small para RAG) — Estados Unidos
- Google (Gemini) — Estados Unidos
- Mistral — Francia / UE
Solo el contenido de las conversaciones se transmite a estos proveedores. No se transfieren datos personales de identificacion (correo, teléfono) en las solicitudes de IA.
Subprocesadores adicionales:
- OVH (servidor dedicado) — Canada (Beauharnois, QC)
- Supabase (base de datos PostgreSQL + pgvector) — Estados Unidos (AWS us-east-1)
- Stripe (procesamiento de pagos) — Estados Unidos
- SMTP2GO (envio de correos electronicos) — Nueva Zelanda / Estados Unidos
- Twilio (SMS y WhatsApp Business, si configurado) — Estados Unidos
- Meta (Facebook Messenger e Instagram DM, si configurado) — Estados Unidos
7. Duracion de la conservacion
- Conversaciones: 90 dias (configurable por el cliente)
- Leads CRM: mientras la cuenta del cliente este activa
- Datos de cuenta: hasta la eliminacion de la cuenta
- Logs de seguridad: 30 dias
8. Sus derechos
Segun la Ley 25 y el RGPD, usted tiene derecho a:
- Acceso: obtener una copia de sus datos personales
- Rectificacion: corregir datos inexactos
- Supresion: solicitar la eliminacion de sus datos
- Portabilidad: recibir sus datos en un formato estructurado
- Oposicion: oponerse al tratamiento de sus datos
- Retiro del consentimiento: en cualquier momento
Los visitantes pueden eliminar sus datos directamente a traves del widget del chatbot (boton "Eliminar mis datos"). Para cualquier otra solicitud, contactenos en info@chatdirect.ca.
9. Cookies y rastreo
ChatDirect utiliza un minimo de cookies:
- Cookie de sesion: identificador anonimo para mantener la conversacion
- Google Tag Manager: estadisticas anonimas del sitio chatdirect.ca (no en los sitios de los clientes)
No utilizamos cookies publicitarias ni rastreadores de terceros en el widget del chatbot.
10. Modificaciones
Nos reservamos el derecho de modificar esta politica de privacidad. Cualquier cambio significativo sera notificado a nuestros clientes por correo electronico. La fecha de ultima actualizacion se indica al principio de este documento.
11. Contacto
Para cualquier pregunta relativa a la proteccion de sus datos: