1) Identidad del Responsable
Responsable: Nexus solutions Lab
Domicilio profesional: Santa Pola (Alicante) 03130, España
Email de privacidad (operativo): privacy@nexus-solutions-lab.com
Canal de solicitudes de derechos: privacy@nexus-solutions-lab.com
Contacto de protección de datos (no DPO formal): Diego Fernández Gil — privacy@nexus-solutions-lab.com
Si en el futuro designamos un Delegado de Protección de Datos conforme al art. 37 RGPD, lo anunciaremos aquí con sus datos de contacto.
2) Qué datos tratamos
Cuenta y organización: Nombre, apellidos, email, contraseña (hash), empresa/área, rol, IDs internos (tenant/espacio), preferencias.
Operación de la Plataforma: Configuración de agentes/bots, prompts, flujos, webhooks, integraciones activadas, permisos, auditoría de cambios, métricas de uso y logs técnicos (errores, trazas, IP, user-agent, timestamps).
Conversaciones y contactos (de tus clientes/usuarios finales): Identificadores (p. ej., wa_id, número de teléfono, email, ID de chat web), mensajes, adjuntos (imágenes, audio, documentos), estados de entrega/lectura, interacciones (botones/listas), etiquetas/notas, asignaciones a agentes.
Facturación y soporte: Datos de pago tokenizados por el PSP/proveedor, incidencias/tickets, diagnósticos.
Web y analítica: Cookies/tecnologías similares (consulta la Política de Cookies).
IA / Modelos: Textos/archivos que tú o tus usuarios enviáis a los agentes para inferencia; resultados, puntuaciones y métricas. Por defecto no re-entrenamos modelos generales con tus datos (sección 7).
3) Finalidades y bases jurídicas
- Prestar el servicio (panel, agentes, canales, monitorización, seguridad, continuidad). Base: ejecución de contrato (art. 6.1.b RGPD) e interés legítimo en operar y proteger la Plataforma.
- Soporte y mejora (diagnóstico, calidad, prevención de abuso y fraude). Base: interés legítimo + cumplimiento de obligaciones.
- Comunicaciones de producto (newsletters y mejoras para clientes). Base: soft opt-in del art. 21.2 LSSI; para no-clientes, consentimiento. Baja en un clic desde cada mensaje.
- Analítica/cookies no esenciales. Base: consentimiento (CMP con Aceptar/Rechazar/ Configurar y registro de consentimiento).
- Cumplimientos legales (fiscales, seguridad, solicitudes de autoridades). Base: obligación legal.
Interés legítimo (LIA): realizamos evaluaciones de equilibrio (balancing test) para soporte/mejora y comunicaciones a clientes; resumen disponible bajo solicitud.
4) Decisiones automatizadas y transparencia de IA
- Nuestros agentes pueden automatizar respuestas, clasificar y enrutar conversaciones (p. ej., desviar a humano, priorizar).
- Explicamos qué hace la automatización y su impacto.
- Puedes oponerte al perfilado con efectos jurídicos o significativamente similares y solicitar intervención humana (art. 22 RGPD).
- Mantenemos supervisión humana, métricas de calidad y controles de seguridad (listas de bloqueo, límites, filtros).
5) Conservación (retenciones)
Adoptamos retenciones mínimas y configurables por tenant. Por defecto sugerido (ajustable a solicitud):
| Categoría | Retención por defecto | Notas |
|---|---|---|
| Conversaciones (texto/metadatos) | 180 días | Configurable por tenant; exportables bajo solicitud. |
| Adjuntos (imágenes/audio/docs) | 180 días | Salvo canal con retención propia (ver WhatsApp sección 8). |
| Logs de aplicación | 90 días | Diagnóstico y seguridad; acceso restringido. |
| Eventos de auditoría | 12 meses | Cambios de configuración y accesos. |
| Backups | 30 días (rotativos) | Cifrados; restauración ante desastre. |
| Datos de cuenta | Vigencia del contrato + plazos legales | Eliminación/bloqueo a solicitud. |
Podemos ajustar estos plazos por imperativo legal o pacto contractual. Avisaremos de cambios materiales.
6) Roles y DPA (art. 28 RGPD)
- Respecto a tu cuenta y tu uso de la Plataforma, Nexus solutions Lab actúa como Responsable.
- Respecto a los contactos (tus clientes/usuarios finales), actuamos como Encargado que procesa por tu cuenta.
- El Acuerdo de Encargo de Tratamiento (DPA) forma parte de nuestras condiciones: https://nexus-solutions-lab.com/dpa (o solicítalo a privacy@nexus-solutions-lab.com).
- Mantenemos un ROPA (registro de actividades) y ejecutamos instrucciones documentadas contigo.
7) Uso de datos para IA / entrenamiento
- No entrenamos modelos generales con tus datos salvo opt-in explícito.
- Afinado privado (opt-in): si lo habilitas, el fine-tuning se ejecuta con tus datos, aislado por tenant y en región UE (cuando sea técnicamente viable).
- Evaluaciones: podemos muestrear datos minimizados/anonimizados para medir calidad/seguridad; puedes optar por no participar desde contrato o panel.
8) Integraciones y canales
Puedes activar integraciones como WhatsApp, email, webchat, Slack, CRM y otras. Al activarlas, tratamos datos a través de esos servicios únicamente para cursar mensajes o sincronizar información según tu configuración. Tú debes cumplir los términos y políticas de cada integración.
Cláusula específica — WhatsApp Cloud API (Meta)
- Qué datos pasan por Meta: identificadores (waba_id, phone_number_id, wa_id), números de teléfono, mensajes, adjuntos y estados (enviado/entregado/leído), así como eventos de webhook.
- Retención en Meta: los medios alojados en endpoints de WhatsApp Cloud API pueden persistir hasta 30 días. Recomendamos no usar ese canal como archivo permanente.
- Base jurídica: ejecución del contrato para cursar tus comunicaciones y cumplimiento de políticas del canal.
- Ubicación del tratamiento por Meta: puede incluir infraestructuras fuera del EEE; ver sección 12.
- Responsabilidad del cliente: debes respetar las Políticas de WhatsApp Business y la normativa aplicable. Podemos suspender usos que infrinjan dichas políticas.
9) Destinatarios (subencargados) y divulgaciones
Usamos subencargados para operar la Plataforma. Mantenemos una lista pública con proveedor, servicio y región en https://nexus-solutions-lab.com/subprocessors. Avisamos con 30 días de antelación ante nuevos subencargados no urgentes.
Subencargados actuales (a la fecha de esta política):
| Proveedor | Servicio | Región principal | Fuera EEE | Garantías | Finalidad |
|---|---|---|---|---|---|
| Vercel | Hosting web | UE (p. ej., DE/NL) | No/Si* | SCC+DTIA* | Frontend y edge |
| Supabase | DB/Storage | UE (p. ej., EU-West) | No | — | Base de datos/almacenamiento |
| Google Cloud Platform (GCP) | IA/Infra | UE (p. ej., europe-west) | No/Si* | SCC+DTIA* | Inferencia/servicios |
| Stripe | Pagos | UE/EEE + EE.UU. | Sí | SCC+DTIA | Procesamiento de pagos |
| Pipedream | Integraciones | EE.UU./Global | Sí | SCC+DTIA | Orquestación/automatización |
| Meta (WhatsApp) | Canal | Global | Sí | SCC+DTIA* | Mensajería WhatsApp |
Notas: (i) Algunos proveedores ofrecen regiones UE y evitamos transferencias por configuración; marcamos No/Si* cuando existe posibilidad técnica de salida del EEE dependiendo de la feature usada o del failover. (ii) SCC+DTIA: aplicamos Cláusulas Contractuales Tipo 2021/914 y realizamos evaluación de impacto de transferencia; añadimos salvaguardas complementarias (cifrado, minimización, controles de acceso). (iii) Publicaremos cambios en la lista con preaviso cuando aplique.
También podremos comunicar datos a autoridades/tribunales cuando sea exigible por ley.
10) Seguridad
Medidas técnicas y organizativas:
- Cifrado en tránsito (TLS) y en reposo.
- Segregación por tenant, controles de acceso RBAC y MFA obligatoria para personal con acceso a datos.
- Principio de mínimos privilegios y revisiones periódicas de permisos.
- Auditoría de eventos y cambios.
- Gestión de vulnerabilidades (parcheo, SAST/DAST), backups cifrados y recuperación ante desastres.
- Entornos dev/stg/prod separados y políticas de datos reales en no-prod = no salvo consentimiento y medidas de seudonimización.
Notificaremos incidentes de seguridad relevantes según RGPD, incluyendo comunicación a afectados cuando proceda.
11) Derechos de las personas
Puedes acceder, rectificar, suprimir, oponerte, limitar, portar tus datos y retirar tu consentimiento.
Cómo ejercer: privacy@nexus-solutions-lab.com
Plazo de respuesta: 1 mes desde la recepción (prorrogable a 2 meses en casos complejos).
Verificación de identidad: podemos solicitar información adicional razonable para confirmar tu identidad (p. ej., email verificado o justificante mínimo).
Si no estás conforme, puedes reclamar ante la AEPD (www.aepd.es).
Para solicitudes que involucren datos que tratamos como Encargado (p. ej., contactos de tus clientes), te ayudaremos a atenderlas conforme a tus instrucciones.
12) Transferencias internacionales y enfoque EU-first
Por defecto, tratamos datos en la UE/EEE. No transferimos datos fuera del EEE salvo que:
- lo requiera una integración activada por ti (p. ej., WhatsApp Cloud API, un LLM/IA de terceros, Stripe o Pipedream), o
- exista una obligación legal puntual.
Cuando proceda, aplicamos SCC 2021/914, realizamos DTIA y adoptamos salvaguardas complementarias (cifrado, minimización, controles de acceso). Copia de las salvaguardas disponible bajo solicitud.
13) Cookies
Consulta la Política de Cookies: https://nexus-solutions-lab.com/cookies. Usamos un CMP con opciones Aceptar / Rechazar / Configurar y registro de consentimiento. Puedes cambiar tus preferencias desde el footer.
14) Menores
La Plataforma no está dirigida a menores de 16 años. No recabamos a sabiendas datos de menores.
15) Cambios
Podemos actualizar esta política. Si el cambio es material, te lo notificaremos en la Plataforma o por email.
Anexo A — Cláusula de WhatsApp Cloud API (Embedding y Coexistence)
- Al pulsar “Conectar WhatsApp” en la Plataforma, se abre el Embedded Signup de Meta. Tras autorizar, guardamos
waba_idyphone_number_idpara operar el canal por tu cuenta. - Si ya usas WhatsApp Business App, puedes activar Coexistence (mismo número en la app y en la API).
- Webhooks: suscribimos la app para recibir eventos (mensajes, estados, plantillas) en tu tenant.
- Borrado: al desconectar revocamos tokens, desuscribimos webhooks y purgamos datos conforme a las retenciones (sección 5).
- Políticas del canal: debes cumplir las Políticas de WhatsApp Business (plantillas, comercio, límites y uso aceptable).
- Responsabilidades: tú defines textos de plantillas, bases jurídicas y fines; nosotros proveemos los medios técnicos.
Anexo B — IA de terceros (opt-in)
Por defecto, no enviamos tus datos a proveedores de IA fuera del EEE. Si habilitas un proveedor/servicio (p. ej., OpenAI, Azure OpenAI, Vertex AI en GCP):
- lo haremos como opt-in por tenant,
- indicaremos región de procesamiento (preferencia: UE), y
- aplicaremos SCC/DTIA si hay transferencias.
Puedes deshabilitarlo en cualquier momento desde la configuración del espacio.
Anexo C — Data Deletion (User Data Deletion)
Cómo solicitar la eliminación
- Envía un email a privacy@nexus-solutions-lab.com desde la cuenta titular o usa el Portal de Privacidad.
- Indica el email de tu cuenta y, si aplica, el
waba_id/ número conectado.
Qué haremos
- Revocar tokens y accesos de la integración.
- Desuscribir webhooks del WABA/servicio conectado.
- Purgar datos del tenant según los plazos de la sección 5 (con bloqueo legal cuando proceda).
- Programar el borrado en backups en el siguiente ciclo de rotación.
- Confirmarte por email la finalización.
Si iniciaste sesión con servicios de Meta, puedes empezar la solicitud desde tu cuenta de Facebook; aun así, te recomendamos contactarnos para acelerar la coordinación de borrado en la Plataforma.
Enlaces útiles
- Inicio
- Sobre nosotros
- Productos
- Servicios
- Legal
- Contáctenos
Sobre nosotros: Nexus es la forma más simple de crear, gestionar y desplegar agentes de IA para tu empresa, todo desde la nube.
Contacto: info@nexus-solutions-lab.com