Helelai

Política de Privacidad

Última actualización: 2026-05-07. Cumple con la Ley 1581/2012 de Colombia y principios GDPR-friendly para usuarios de otros países LATAM.

1. Responsable del tratamiento

Helelai es responsable del tratamiento de los datos personales que se recolectan a través del Servicio. Contacto: privacidad@helelai.local.

2. Datos que recolectamos

  • Cuenta: email, nombre, rol dentro del negocio.
  • Negocio: nombre comercial, slug, ciudad, país, número de WhatsApp, datos de facturación enviados a Stripe.
  • Operativos: reservas (nombre del cliente final, teléfono, hora, monto pagado), bloqueos, configuraciones de canchas.
  • Mensajería: contenido de mensajes intercambiados con el agente IA o con humanos a través del CRM, junto con metadatos (timestamps, status callbacks).
  • Auditoría: registro de acciones administrativas (audit_logs) para seguridad y trazabilidad.
  • Técnicos: dirección IP, user-agent, identificadores de sesión, logs de errores.

NO recolectamos datos sensibles como salud, religión, orientación política u origen étnico. Si un cliente final los envía espontáneamente por WhatsApp, no se procesan con fines distintos a la conversación misma.

3. Finalidades del tratamiento

  • Prestar el Servicio (operar agentes, gestionar reservas y CRM).
  • Cobrar la suscripción y emitir facturación a través de Stripe.
  • Cumplir obligaciones legales (contables, tributarias, requerimientos de autoridades).
  • Mejorar el Servicio (análisis agregado, NUNCA reventa de datos a terceros).
  • Comunicar incidentes de seguridad y cambios de términos.

4. Encargados del tratamiento (terceros)

Compartimos datos con los siguientes proveedores estrictamente necesarios para operar el Servicio:

  • Vercel (hosting de aplicación, USA / global).
  • Neon / Postgres gestionado (base de datos, USA / EU según región).
  • Meta WhatsApp Business Cloud API (envío y recepción de mensajes, USA / Irlanda).
  • Anthropic (modelo de IA Claude, USA). Las conversaciones procesadas por el agente se envían a Anthropic con políticas que prohíben el entrenamiento sobre datos del cliente.
  • Stripe (cobros y facturación, USA / global).
  • Resend (envío de emails transaccionales como magic link, USA).

Cada encargado opera bajo su propia política de privacidad. Aceptamos hacer firmar el DPA (Data Processing Agreement) correspondiente cuando es exigible.

5. Transferencias internacionales

Algunos encargados (Meta, Anthropic, Stripe, Vercel) procesan datos fuera de Colombia y de tu país de residencia. Confirmamos que cada uno cuenta con cláusulas contractuales estándar y/o decisiones de adecuación reconocidas internacionalmente.

6. Conservación

Conservamos los datos operativos durante el tiempo en que tu cuenta esté activa. Tras la baja de la cuenta:

  • Mensajes y conversaciones: se purgan automáticamente luego de 12 meses de inactividad o tras solicitud expresa de borrado.
  • Datos de facturación: se conservan por el plazo exigido por la ley tributaria vigente (normalmente 5 a 10 años).
  • Audit logs: se conservan al menos 12 meses para investigación de incidentes.

7. Tus derechos (Habeas Data)

Como titular de los datos puedes ejercer en cualquier momento los siguientes derechos:

  • Acceso: conocer qué datos tuyos almacenamos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión / borrado: exigir la eliminación de tus datos cuando ya no sean necesarios o cuando revoques la autorización. Está disponible un mecanismo automático en /app/settings/account.
  • Revocación de la autorización y oposición al tratamiento.
  • Portabilidad: obtener un export de tus datos en formato CSV/JSON.

Para ejercer cualquiera de estos derechos escribe a privacidad@helelai.local. Responderemos en máximo 10 días hábiles según la Ley 1581/2012 (Colombia).

8. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos: cifrado en tránsito (HTTPS), cifrado de tokens externos en reposo (AES-256-GCM), multi-tenant con aislamiento por business y políticas de Postgres RLS, registro de auditoría, límites de tasa en webhooks, headers de seguridad HTTP.

Notificaremos a los afectados cualquier incidente de seguridad relevante en un plazo razonable y nunca mayor a 15 días hábiles desde su confirmación.

9. Cookies y técnicas similares

Usamos cookies estrictamente necesarias para autenticación (Auth.js JWT) y para recordar el negocio activo del usuario. No usamos cookies de tracking publicitario.

10. Contacto y reclamos

Para preguntas o reclamos sobre el tratamiento de tus datos:

  • Email: privacidad@helelai.local.
  • En Colombia, también puedes acudir a la Superintendencia de Industria y Comercio (SIC) como autoridad de control en materia de protección de datos.