Política de Privacidad y Protección de Datos
Última actualización: 16 de Abril, 2026
nexOS, en cumplimiento con la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, informa:
1. RESPONSABLE vs. ENCARGADO
- Datos de Registro: Respecto a los datos de facturación y contacto de EL CLIENTE (usted), nosotros somos Responsables del Tratamiento.
- Datos Alojados: Respecto a la información que usted carga en el ERP/CRM, nosotros somos Encargados del Tratamiento. Nosotros solo almacenamos y procesamos estos datos para que el software funcione. No vendemos ni compartimos sus datos comerciales.
2. MEDIDAS DE SEGURIDAD
Implementamos controles de seguridad que incluyen:
- Cifrado de datos en tránsito (SSL/TLS).
- Cifrado de datos en reposo (Bases de datos encriptadas).
- Logs de auditoría y acceso restringido al personal técnico.
- Backups automatizados.
3. RESIDENCIA Y TRANSFERENCIAS INTERNACIONALES
- Región primaria del dato: Ecuador / región configurada por despliegue.
- Región de backups: Región configurada por despliegue.
- Transferencias: Algunas integraciones y subencargados pueden procesar datos fuera de Ecuador según la configuración contratada por el cliente.
4. RETENCIÓN DE DATOS
Aplicamos ventanas de retención diferenciadas según la naturaleza del dato y la obligación legal asociada:
- Facturas y pagos: 2,555 días como mínimo por obligación tributaria.
- Contactos sin actividad ni historial fiscal: 730 días, luego anonimización.
- Mensajes de WhatsApp sin historial de compra: 365 días.
- Archivos temporales de exportación de privacidad: 30 días.
5. DERECHOS DEL TITULAR
Como titular de datos personales de registro, usted puede ejercer sus derechos de Acceso, Rectificación, Eliminación, Oposición y Portabilidad escribiendo a: soporte@example.test.
Los tenants de nexOS también disponen de un Centro de Privacidad dentro del panel para gestionar solicitudes de acceso/portabilidad y eliminación/anonimización de sus propios clientes finales, con atención objetivo dentro del plazo legal de 15 días.
6. SUBENCARGADOS / SUBPROCESADORES
Mantenemos un registro operativo de subprocesadores por categoría. Los principales servicios actualmente soportados son:
| Proveedor | Finalidad | Datos tratados | Ubicación | Estado DPA |
|---|---|---|---|---|
| WAHA | Entrega y recepción de mensajes de WhatsApp Business | Nombres, teléfonos, contenido de mensajes, adjuntos | Región del despliegue del cliente / infraestructura propia | Pendiente o según contrato operativo del cliente |
| Meta WhatsApp Cloud API | Plantillas aprobadas, mensajería y eventos de entrega | Teléfonos, metadatos de mensajería, contenido y estados | Infraestructura global de Meta | Requerido |
| PayPhone | Cobro en checkout y confirmación de pagos | Montos, identificadores de transacción, referencias comerciales | Infraestructura del proveedor | Requerido |
| Kushki | Cobro en checkout y confirmación de pagos | Montos, identificadores de transacción, referencias comerciales | Infraestructura del proveedor | Requerido |
| PlaceToPay | Checkout alojado y reconciliación de pagos | Montos, identificadores de sesión y transacción | Infraestructura del proveedor | Requerido |
| Contífico / FactuNexo / Perseo | Sincronización contable y documentos comerciales | Clientes, productos, comprobantes e importes tributarios | Infraestructura del proveedor | Requerido |
| Servientrega | Guías de envío y tracking logístico | Nombre, dirección, teléfono, peso y detalle de entrega | Infraestructura del proveedor | Requerido |
| LiteLLM / proveedor LLM configurado | Procesamiento de agente IA, embeddings y copiloto comercial | Consultas, contexto conversacional y metadatos | Según gateway/modelo configurado por despliegue | Requerido |
| Laravel Nightwatch | Observabilidad de aplicación y diagnóstico | Metadatos de requests, errores y spans operativos redaccionados | Según proyecto Nightwatch configurado | Requerido |
7. NOTIFICACIÓN DE BRECHAS
En el improbable caso de una vulneración de seguridad que afecte sus datos, EL PROVEEDOR notificará a EL CLIENTE y a la Autoridad de Protección de Datos (si corresponde) en los plazos establecidos por la LOPDP, detallando la naturaleza del incidente y las medidas correctivas.