Aviso de privacidad

Última actualización: 2026-05-25

Cómo recolectamos, usamos y protegemos los datos personales que procesamos al operar Voilatier.

1. Identificación del responsable

Voilatier Inc. (en adelante "Voilatier", "nosotros" o "la plataforma") es una sociedad que opera una plataforma SaaS de fidelización, gestión de relaciones con clientes (CRM) y plataforma de datos del cliente (CDP) dirigida a comercios retail en Latinoamérica. Nuestra dirección operativa principal está publicada en /contacto.

Para propósitos de este aviso, tratamos datos personales en dos calidades:

• Responsable del tratamiento: los datos que recolectamos directamente de visitantes de nuestro sitio público y de usuarios de nuestro panel de administración (administradores de comercios).
• Encargado del tratamiento: los datos de clientes finales que nuestros comercios suben a la plataforma. En ese caso, el comercio es el responsable y este aviso se complementa con el Acuerdo de Procesamiento de Datos (DPA).

2. Qué datos recolectamos

2.1 De visitantes del sitio público

• Datos técnicos: dirección IP, agente de usuario, página de referencia, identificadores de cookies (cuando aplica).
• Datos de contacto: si completas un formulario, recolectamos nombre, correo electrónico, empresa, número de ubicaciones, mensaje y la intención del contacto (demo, ventas, prueba, etc.).

2.2 De usuarios del panel (staff del comercio)

• Datos de identificación: nombre, correo electrónico corporativo, contraseña en formato cifrado (bcrypt).
• Datos de autenticación: códigos TOTP de 2FA, dispositivos de confianza, IPs de acceso, marcas de tiempo de inicio de sesión.
• Registro de actividad: acciones ejecutadas en el panel, asociadas a usuario, marca de tiempo e IP, conforme a nuestra política de auditoría (Spatie ActivityLog).

2.3 De clientes finales del comercio

Los comercios suben datos de sus clientes para operar sus programas de fidelización. Incluyen: nombre, teléfono, correo, fecha de nacimiento (opcional), preferencias de canal, historial de transacciones, puntos acumulados, nivel/segmento. Estos datos se almacenan cifrados a nivel de columna (PII) y se acceden por hash determinístico (HMAC-SHA256) para identificación O(1) sin descifrar registros masivos.

3. Para qué los usamos

• Operar el servicio: autenticar usuarios, ejecutar reglas de acumulación, enviar campañas, mostrar analítica.
• Soporte y onboarding: responder consultas, enviar correos transaccionales (bienvenida, recuperación de contraseña, invitaciones de equipo).
• Seguridad: detectar abuso, prevenir fraude, mantener el registro de auditoría.
• Cumplimiento legal: responder a requerimientos legítimos de autoridades competentes.
• Mejora del producto: métricas agregadas y anonimizadas de uso del panel (qué funciones se adoptan, dónde hay fricción). Nunca usamos datos personales identificables para análisis interno.

Nunca vendemos datos personales ni los usamos para perfilamiento publicitario fuera de la plataforma.

4. Con quién los compartimos

Trabajamos con un conjunto acotado de subprocesadores para operar el servicio. Cada uno está obligado por contrato a cumplir estándares equivalentes a este aviso (medidas técnicas y organizativas apropiadas, confidencialidad, notificación de brechas).

• Resend — envío de correos electrónicos transaccionales y de marketing.
• LabsMobile — envío de mensajes SMS.
• Meta Platforms — envío de mensajes WhatsApp vía Cloud API.
• Cloudflare — CDN, CAPTCHA (Turnstile) y protección DDoS.
• AWS / DigitalOcean — alojamiento de infraestructura y almacenamiento de datos.
• Stripe — procesamiento de pagos de suscripción del comercio (no procesa datos del cliente final).
• Anthropic — modelos de lenguaje para funciones opcionales de redacción asistida; los prompts no persisten datos personales identificables.

Una lista actualizada está disponible bajo solicitud escribiendo a [email protected].

5. Retención y eliminación

• Datos de leads del sitio público: 24 meses desde el último contacto, salvo que el lead solicite eliminación antes.
• Datos del panel: mientras la cuenta del comercio esté activa, más 90 días tras la cancelación para permitir recuperación. Después se eliminan o anonimizan.
• Datos de clientes finales: conforme a las instrucciones del comercio (configurable por tenant). Soportamos anonimización suave que preserva agregados sin PII (campo anonymized_at) y eliminación total bajo solicitud verificada.
• Logs de auditoría: 12 meses por defecto, con opción a extender hasta 36 meses bajo plan empresarial.
• Registros contables de facturación: 7 años por obligación fiscal (Panamá).

6. Tus derechos como titular

Conforme a los marcos GDPR (UE), LGPD (Brasil) y leyes locales latinoamericanas, tienes derecho a:

• Acceso: conocer qué datos tuyos procesamos.
• Rectificación: corregir datos inexactos o desactualizados.
• Supresión: solicitar la eliminación de tus datos.
• Portabilidad: recibir tus datos en formato estructurado (CSV).
• Oposición: oponerte a tratamientos basados en interés legítimo.
• Limitación: restringir el tratamiento en escenarios específicos.
• No estar sujeto a decisiones automatizadas individuales con efectos jurídicos significativos.

Para ejercer cualquiera de estos derechos, escribe a [email protected]. Respondemos en un plazo máximo de 30 días calendario. Si tu solicitud requiere acción del comercio que opera tu cuenta (por ejemplo, suprimir todos tus datos de su programa de fidelización), te orientaremos para canalizarla.

7. Transferencias internacionales

Por la naturaleza de nuestros subprocesadores, parte de tus datos puede procesarse en jurisdicciones fuera de Latinoamérica, principalmente Estados Unidos y la Unión Europea. Todas las transferencias están protegidas por cláusulas contractuales tipo (SCCs) de la Comisión Europea o por mecanismos equivalentes reconocidos por las autoridades de protección de datos locales.

8. Seguridad técnica

• Cifrado en tránsito: TLS 1.2+ obligatorio en todos los endpoints públicos y de API.
• Cifrado en reposo: PII (teléfono, correo) cifrada a nivel de columna; resto a nivel de disco (LUKS / volume encryption).
• Hash de contraseñas: bcrypt con factor de costo configurable (mínimo 10).
• Autenticación de doble factor: obligatoria para roles administrativos (TOTP estándar).
• Registro de auditoría: cada acción significativa queda registrada con usuario, IP y marca de tiempo.
• Aislamiento de tenants: separación lógica estricta a nivel de aplicación; ningún query puede cruzar company_id sin pasar por una excepción explícita.
• Backups: diarios, retenidos 30 días, cifrados.
• Pruebas: penetration tests anuales por terceros (a partir de 2027).

9. Cookies y tecnologías similares

Usamos cookies estrictamente necesarias para el funcionamiento del sitio (sesión, CSRF, preferencias de idioma) y cookies analíticas anonimizadas para entender qué páginas son más visitadas. No usamos cookies de terceros para publicidad. Puedes deshabilitar cookies analíticas desde tu navegador sin afectar la funcionalidad del sitio.

10. Edad mínima

Voilatier es una plataforma orientada a comercios y profesionales. No recolectamos a sabiendas datos de menores de 18 años. Si crees que un menor ha proporcionado datos personales, escríbenos para eliminarlos.

11. Cambios al aviso

Podemos actualizar este aviso periódicamente. La fecha de "Última actualización" al inicio refleja la versión vigente. Para cambios materiales notificaremos por correo a los administradores de cada cuenta con al menos 15 días de anticipación.

12. Contacto del DPO

Para cualquier asunto de privacidad o protección de datos:

• Correo: [email protected]
• Asunto sugerido: [Privacidad] seguido de tu solicitud.

Si no estás conforme con nuestra respuesta, puedes presentar una queja ante la autoridad de protección de datos de tu jurisdicción.