POLÍTICA DE PRIVACIDAD – Verify COD Orders

1. INFORMACIÓN GENERAL

1.1 Responsable del Tratamiento

1.2 Ámbito de Aplicación

Esta política se aplica a todos los datos personales procesados por nuestra aplicación de Verify COD Orders para tiendas Shopify.

2. DATOS QUE RECOPILAMOS

2.1 Datos de Comerciantes (Usuarios de la App)

• Base legal: Ejecución de contrato e interés legítimo
• Datos de la tienda: Dominio, nombre, zona horaria, moneda, productos, órdenes, términos y condiciones.
• Datos técnicos: Tokens de acceso, configuraciones de webhook.

2.2 Datos de Clientes Finales (Usuarios del Chatbot)

• Base legal: Consentimiento y ejecución de contrato
• Datos de identificación: Nombre y apellido, email, número telefónico, dirección, ciudad, región, país (brindados voluntariamente).
• Datos de comunicación: Mensajes del chat, consultas de productos y ordenes,.
• Datos de comportamiento: Productos consultados, ordenes solicitadas y creacion de tickets de soporte.

2.3 Datos de Productos

• Base legal: Ejecución de contrato
• Información de productos (títulos, descripciones, precios, imágenes)
• Inventario y disponibilidad
• Categorías y etiquetas

2.4 Datos de Tickets de Soporte

• Base legal: Interés legítimo (atención al cliente)
• Nombre, e-mail de contacto, número telefono, motivo del contacto y descripción del problema o consulta.
• Historial de comunicaciones

3. CÓMO UTILIZAMOS SUS DATOS

3.1 Finalidades del Procesamiento

• Funcionalidad principal: Proporcionar servicios de chatbot en tienda, atención en WhatsApp y por medio telefónico para consulta y compra de productos.
• Atención al cliente: Resolver consultas, problemas con servicios y solicitudes de soporte.
• Mejora del servicio: Análisis de uso para optimizar la experiencia del usuario.
• Cumplimiento legal: Mantener registros requeridos por ley.
• Seguridad: Prevenir fraudes, abusos y garantizar la seguridad del sistema.

4. COMPARTIR DATOS CON TERCEROS

4.1 Proveedores de Servicios

• Supabase (Base de datos): Almacenamiento seguro de datos (Ubicación: US-EAST, Propósito: Hosting de base de datos)
• N8N (Automatización): Procesamiento de flujos de trabajo (Propósito: Automatización de procesos del chatbot, Datos compartidos: Solo los necesarios para funcionalidad)
• Shopify: Intercambio necesario para funcionalidad de la app (Datos compartidos: Información de productos, órdenes según permisos)
• Meta: Software encargado en poder autenticar credenciales compartidas para la atención por medio de WhatsApp (Datos compartidos: Información de contacto)
• Telnyx: Software para comunicación por voz (Datos compartidos: Información de contacto, datos de la orden solicitada por el cliente)

4.2 Circunstancias de Divulgación

• Cumplimiento legal: Cuando lo requiera la ley o autoridades competentes.
• Protección de derechos: Para proteger nuestros derechos legales.
• Emergencias: Para proteger la seguridad de usuarios.
• Transferencia de negocio: En caso de fusión, adquisición o venta (con notificación previa).

5. ALMACENAMIENTO Y SEGURIDAD

5.1 Medidas de Seguridad Técnicas

• Control de acceso: Autenticación multifactor, principio de menor privilegio
• Monitoreo: Logs de seguridad, detección de intrusiones
• Backups: Copias de seguridad cifradas con retención de 30 días

5.2 Medidas de Seguridad Organizacionales

• Capacitación: Personal formado en protección de datos
• Políticas: Procedimientos internos de seguridad documentados
• Auditorías: Revisiones regulares de seguridad

5.3 Ubicación de Datos

• Datos principales: Estados Unidos (región US-East-1)

6. RETENCIÓN DE DATOS

6.1 Períodos de Retención

6.2 Eliminación Automática

• Sistema automatizado de eliminación después de los períodos establecidos
• Notificaciones previas antes de eliminación masiva
• Excepción para datos bajo investigación legal

7. SUS DERECHOS

7.1 Derechos Bajo GDPR

• Acceso: Obtener copia de sus datos personales
• Rectificación: Corregir datos inexactos
• Eliminación: "Derecho al olvido" bajo ciertas circunstancias
• Restricción: Limitar el procesamiento
• Portabilidad: Recibir datos en formato estructurado
• Oposición: Oponerse al procesamiento por interés legítimo
• Decisiones automatizadas: Oponerse a decisiones basadas únicamente en procesamiento automatizado

7.2 Derechos Bajo CCPA (California)

• Conocer: Qué datos personales recopilamos
• Eliminar: Solicitar eliminación de datos personales
• Optar por no vender: No vendemos datos personales
• No discriminación: No discriminamos por ejercer derechos

8. COOKIES Y TECNOLOGÍAS SIMILARES

8.1 Tipos de Cookies

• Esenciales: Necesarias para funcionamiento básico
• Funcionales: Mejoran la experiencia del usuario
• Analytics: Comprenden cómo se usa la aplicación
• No utilizamos: Cookies de marketing o publicidad

8.2 Gestión de Cookies

• Configuración del navegador para controlar cookies
• Funcionalidad puede verse limitada al rechazar cookies esenciales

9. MENORES DE EDAD

9.1 Restricciones de Edad

• No recopilamos intencionalmente datos de menores de 18 años.
• Los comerciantes deben asegurar cumplimiento en sus tiendas
• Eliminación inmediata si se detecta procesamiento de datos de menores

10. CAMBIOS A ESTA POLÍTICA

10.1 Notificación de Cambios

• Notificación por email para cambios materiales.
• Publicación en la aplicación y sitio web.

10.2 Consentimiento para Cambios

• Cambios materiales requieren nuevo consentimiento
• Uso continuado implica aceptación de cambios menores

11. CONTACTO

11.1 Consultas Generales

11.2 Delegado de Protección de Datos

11.3 Autoridades de Supervisión

• Tiene derecho a presentar reclamación ante su autoridad local de protección de datos

12. INFORMACIÓN ADICIONAL

12.1 Base Legal del Procesamiento de Datos

12.1.1 Legislación Aplicable

12.1.2 Bases Legales Específicas

A) Según Ley Peruana (Ley N° 29733)

• Consentimiento: Para conversaciones voluntarias del chatbot y WhatsApp
• Ejecución contractual: Para servicios contratados con comerciantes
• Interés legítimo: Para mejoras del servicio, seguridad y soporte técnico
• Cumplimiento legal: Para retención de registros fiscales y contables

B) Según GDPR (para usuarios europeos)

• Art. 6(1)(a): Consentimiento del interesado (conversaciones de chat voluntarias)
• Art. 6(1)(b): Ejecución de contrato (servicios de tienda)
• Art. 6(1)(f): Interés legítimo (mejoras, seguridad, soporte)
• Art. 6(1)(c): Cumplimiento de obligación legal (retención fiscal)

C) Según CCPA (para usuarios de California)

• Propósito comercial: Prestación de servicios contratados
• Propósito operacional: Seguridad, detección de fraude, mejoras del servicio

12.1.3 Justificación de Interés Legítimo

• Nuestro interés es legítimo: Mejorar servicios, garantizar seguridad
• Es necesario: No podemos lograr el propósito de otra manera
• Está balanceado: No afecta desproporcionadamente sus derechos

Ejemplos de interés legítimo:

• Analizar patrones de uso para mejorar el chatbot
• Detectar y prevenir actividades fraudulentas
• Proporcionar soporte técnico efectivo
• Mantener la seguridad de nuestros sistemas

12.1.4 Transferencias Internacionales

• Perú → Estados Unidos: Bajo contrato de protección de datos
• UE → Estados Unidos: Cláusulas Contractuales Estándar (SCC)
• Cualquier país → Proveedores: Acuerdos de procesamiento de datos (DPA)

Salvaguardas implementadas:

• Contratos que garantizan nivel de protección equivalente
• Certificaciones internacionales de proveedores (SOC 2, ISO 27001)
• Derecho a solicitar copia de las salvaguardas implementadas

12.2 Sus Derechos Según Legislación Aplicable

12.2.1 Derechos bajo Ley Peruana

• Información: Conocer sus datos personales en nuestro poder
• Acceso: Obtener gratuitamente información sobre sus datos
• Actualización: Modificar datos inexactos o incompletos
• Rectificación: Corregir datos erróneos
• Cancelación: Eliminar datos cuando corresponda
• Oposición: Oponerse al tratamiento en casos específicos

12.2.2 Derechos bajo GDPR (usuarios UE)

• Acceso (Art. 15): Copia de sus datos personales
• Rectificación (Art. 16): Corregir datos inexactos
• Eliminación (Art. 17): "Derecho al olvido"
• Restricción (Art. 18): Limitar el procesamiento
• Portabilidad (Art. 20): Recibir datos en formato estructurado
• Oposición (Art. 21): Oponerse al procesamiento

12.2.3 Derechos bajo CCPA (usuarios California)

• Conocer: Categorías y propósitos de datos recopilados
• Eliminar: Solicitar eliminación de datos personales
• Optar por no vender: No vendemos datos (derecho garantizado)
• No discriminación: Tratamiento igualitario al ejercer derechos

12.3 Contactos por Jurisdicción

12.3.1 Para Consultas Generales

12.3.2 Autoridades de Supervisión

12.4 Resolución de Disputas

12.4.1 Proceso de Reclamación

• Contacto directo: victor.minas@unmsm.edu.pe (respuesta en 5 días hábiles)
• Escalación interna: Revisión por responsable de privacidad (10 días hábiles)
• Autoridad competente: Presentar queja ante autoridad de protección de datos
• Arbitraje: Disponible para disputas comerciales (opcional)

12.4.2 Legislación Aplicable

• Ley peruana: Para usuarios en Perú
• GDPR: Para usuarios en UE
• Ley local: Según ubicación del usuario