AgendaGo
Documento legal

Política de Privacidad

Cómo tratamos los datos personales en AgendaGo, plataforma de reservas conversacionales por WhatsApp para LATAM.

Última actualización: 2026-05-09

1. Quiénes somos

AgendaGo es una plataforma SaaS multi-tenant que provee a negocios (clínicas, barberías, spas, veterinarias y similares) un agente conversacional por WhatsApp para gestionar reservas. Operamos bajo el dominio agenda-go.com y para cualquier consulta sobre datos personales puedes escribirnos a [email protected].

2. Datos que recopilamos

Cuando un cliente final agenda por WhatsApp

  • Número de teléfono (E.164).
  • Nombre que el cliente nos comparte.
  • Correo electrónico, si lo provee voluntariamente.
  • Mensajes intercambiados con el bot — necesarios para procesar la reserva y resolver dudas.
  • Citas agendadas, canceladas o reagendadas.
  • Para clínicas y veterinarias: notas clínicas, archivos médicos o resultados que el profesional sube. Estos datos se cifran a nivel de aplicación (AES-256-GCM con clave derivada por cliente vía HKDF) antes de persistirse.

Cuando un negocio (tenant) usa AgendaGo

  • Datos de la cuenta: nombre, email, rol.
  • Credenciales de Meta Business otorgadas vía OAuth — guardadas cifradas en reposo.
  • Métricas de uso (mensajes procesados, costo de IA, ad spend gestionado) para facturación.
  • Logs de auditoría de cada acción crítica.

3. Cómo usamos los datos

  • Operar el servicio: agendar citas, enviar recordatorios, escalar a humano cuando se detecta urgencia.
  • Mejorar el bot: análisis agregado de conversaciones, sin exponer mensajes individuales fuera del tenant que los originó.
  • Cumplimiento legal: responder a requerimientos de autoridades cuando proceda.
  • Facturación: medir uso, generar comprobantes, procesar pagos vía Stripe.

No vendemos ni compartimos datos con terceros para marketing. Los datos del tenant pertenecen al tenant; AgendaGo actúa como procesador.

4. Compartición con servicios de terceros

  • Meta (WhatsApp Business Cloud API + Marketing API): enrutamos mensajes y operamos sobre la cuenta publicitaria según los permisos otorgados por el tenant.
  • Anthropic Claude: procesamos conversaciones para generar respuestas. Anthropic no entrena modelos con nuestros datos según el acuerdo enterprise.
  • Stripe: procesamiento de pagos (sandbox y producción). Stripe es PCI-DSS Level 1.
  • Resend: envío de emails transaccionales.
  • Neon (PostgreSQL): almacenamiento principal de la base de datos.
  • Railway: hosting de la aplicación.
  • Cloudflare: DNS y CDN.

5. Retención

  • Mensajes WhatsApp: configurable por tenant (default 365 días; mínimo legal en datos clínicos según jurisdicción puede ser mayor).
  • Citas y agenda: durante toda la relación comercial activa + 5 años para cumplimiento contable.
  • Logs de auditoría: 7 años — base legal de obligación tributaria y posible defensa ante litigios.
  • Datos clínicos cifrados: según normativa local (mín. 5 años en CL, 10+ años en algunas jurisdicciones).

6. Tus derechos

Como titular de datos puedes:

  • Acceso: solicitar copia de tus datos.
  • Rectificación: corregir datos inexactos.
  • Eliminación: solicitar borrado en /data-deletion. Procesamos en 30 días salvo obligación legal de retener.
  • Portabilidad: recibir tus datos en formato estructurado.
  • Oposición: rechazar usos específicos (marketing, perfilado).
  • Revocación de consentimiento: retirar permisos otorgados.

7. Seguridad

  • Cifrado en tránsito (TLS 1.3).
  • Cifrado at-rest de tokens y datos clínicos (AES-256-GCM).
  • Aislamiento multi-tenant en 3 capas (DAL, schema, RLS Postgres).
  • Audit log inmutable de cada mutación crítica.
  • 2FA en cuentas administrativas.
  • Rotación periódica de secretos.

8. Transferencias internacionales

Tus datos pueden procesarse en servidores fuera de tu país de residencia (principalmente US, EU). Aplicamos cláusulas contractuales tipo y exigimos a los proveedores estándares equivalentes a los del Reglamento General de Protección de Datos (RGPD).

9. Menores

AgendaGo no está dirigido a menores de 13 años. Si un negocio utiliza la plataforma para gestionar citas de menores de edad (ej. consulta pediátrica), el responsable legal es el negocio cliente, quien debe contar con consentimiento parental.

10. Cambios a esta política

Notificaremos cambios materiales por email a usuarios B2B registrados con al menos 30 días de anticipación. La fecha de última actualización aparece arriba.

11. Contacto

Para ejercer derechos o resolver dudas: [email protected]. Para reclamos formales puedes contactar a la autoridad de protección de datos de tu país (en Chile: Consejo para la Transparencia; en CO: SIC; en MX: INAI; en VE: SAREN).