Política de Privacidad

1. Responsable del Tratamiento

El servicio Atlassiano™ es operado por dos entidades legales distintas, cada una responsable del tratamiento de datos personales de los clientes contratados bajo su jurisdicción:

• ATLAS RESOURCES SRL — Sociedad de Responsabilidad Limitada, cédula jurídica 3-102-866891, con domicilio en San José, Costa Rica. Responsable del tratamiento para clientes ubicados en Costa Rica y América Latina (LATAM). Sujeta a la Ley N°8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales y su Reglamento.
• ATLAS SOLUTIONS LLC — Limited Liability Company registrada en el Estado de Florida, Estados Unidos, con oficinas en Miami, Florida. Responsable del tratamiento para clientes ubicados en Estados Unidos, Canadá y resto del mundo. Sujeta a la legislación federal y estatal aplicable de los Estados Unidos.

La asignación de responsable se determina por el país declarado del cliente al momento de la contratación. Para consultas en materia de protección de datos puede escribir a legal@atlassiano.com.

Transferencia internacional de datos. Cuando técnicamente sea necesario procesar datos en infraestructura ubicada fuera del país del cliente (por ejemplo, hosting en proveedores cloud globales), las dos entidades actúan bajo un acuerdo intercompany de transferencia de datos que aplica salvaguardas equivalentes a las Cláusulas Contractuales Estándar (Standard Contractual Clauses, SCC) y replica los estándares de la Ley 8968 (CR) y de las leyes federales y estatales de privacidad aplicables en EE. UU.

2. Datos que Recolectamos

Recolectamos las siguientes categorías de datos personales:

• Datos de cuenta (cliente comercial): nombre, correo electrónico, teléfono, razón social, cédula jurídica o tax ID, dirección de facturación, rol dentro de la organización.
• Contenido de conversaciones: mensajes (texto, imágenes, audio, vídeo, ubicación, documentos adjuntos) enviados y recibidos a través de los canales integrados, así como el historial de respuestas generadas por el asistente IA o por agentes humanos del cliente comercial.
• Datos de pago: últimos 4 dígitos de la tarjeta, marca de la tarjeta, fecha de expiración, identificador de la transacción y país de emisión. Los datos completos de la tarjeta NUNCA tocan nuestros servidores: se procesan directamente en la pasarela de pago (Stripe, PayPal o Tilopay) bajo certificación PCI-DSS Nivel 1.
• Tokens de terceros (Meta): page access tokens, page IDs, Instagram Business Account IDs, WhatsApp Business Account IDs y números de teléfono asociados a la WhatsApp Business API. Se guardan cifrados con AES-256 en reposo y se usan exclusivamente para enviar y recibir mensajes en nombre del cliente comercial.
• Datos técnicos del dispositivo/navegador: dirección IP, agente de usuario (user-agent), idioma del navegador, zona horaria, resolución de pantalla, sistema operativo y huella de dispositivo agregada (no individualmente identificable).
• Datos de uso del panel: fecha y hora de inicio de sesión, páginas visitadas dentro del panel, acciones realizadas (envío de mensaje, edición de plantilla, conexión de canal), errores encontrados.
• Cookies y almacenamiento local: únicamente cookies estrictamente necesarias para autenticación y preferencias de UI por dispositivo (tema dark/light, sonido, notificaciones). No usamos cookies de seguimiento publicitario ni third-party trackers. Ver tabla detallada en la sección 6.

3. Finalidad del Tratamiento

Utilizamos los datos exclusivamente para las siguientes finalidades:

• Prestar el Servicio: entregar mensajes entre el usuario final y el bot del cliente comercial, generar respuestas con IA, derivar a agente humano cuando aplica.
• Facturación y cobros: emitir facturas, ejecutar cargos recurrentes, gestionar reembolsos, reportar a autoridad tributaria.
• Soporte técnico: diagnosticar incidencias reportadas por el cliente comercial.
• Mejora del producto: analytics agregados y anonimizados; nunca usamos contenido de mensajes para entrenar modelos generales de IA.
• Cumplimiento legal: retención fiscal, atender órdenes judiciales válidas.
• Prevención de fraude y abuso: detectar uso indebido del Servicio (spam, suplantación, malware).
• Comunicaciones operativas: avisos transaccionales, alertas de seguridad, cambios al Servicio.

4. Base Legal del Tratamiento

El tratamiento de datos personales se fundamenta en las siguientes bases legales (GDPR Art. 6, Ley 8968 art. 5, CCPA §1798.100):

• Ejecución del contrato (Art. 6(1)(b) GDPR): tratamiento de datos del cliente comercial necesario para prestar el Servicio contratado.
• Consentimiento (Art. 6(1)(a) GDPR): los usuarios finales que escriben al bot otorgan consentimiento al iniciar la conversación; el cliente comercial debe informar a sus usuarios sobre el uso del asistente IA.
• Obligación legal (Art. 6(1)(c) GDPR): retención fiscal por períodos exigidos por ley.
• Interés legítimo (Art. 6(1)(f) GDPR): seguridad de la plataforma, prevención de fraude, mejoras agregadas de calidad del Servicio. El interés legítimo siempre se sopesa contra los derechos del titular y nunca prevalece sobre datos sensibles.

El usuario puede retirar su consentimiento en cualquier momento siguiendo el procedimiento descrito en la sección 5.2.

5. Con Quién Compartimos los Datos

No vendemos, alquilamos ni cedemos datos personales a terceros con fines de marketing. Compartimos datos únicamente con encargados de tratamiento (subprocesadores) bajo Data Processing Agreements (DPA) que replican nuestros estándares de seguridad y privacidad:

• Anthropic, Inc. (EE. UU.): proveedor del LLM Claude que genera las respuestas del asistente. Procesa el contenido del mensaje del usuario final + el system prompt del cliente comercial. Bajo acuerdo zero-retention: Anthropic no conserva los mensajes ni los usa para entrenar modelos.
• Stripe, Inc. (EE. UU.): pasarela de pago para clientes internacionales. Procesa nombre, email, datos de tarjeta y país. PCI-DSS Nivel 1.
• PayPal Holdings (EE. UU.): pasarela alternativa para clientes que prefieren PayPal. PCI-DSS.
• Tilopay (Costa Rica): pasarela local para cobros en colones costarricenses y SINPE Móvil.
• Twilio, Inc. (EE. UU.): proveedor de WhatsApp Business API. Procesa números de teléfono y contenido de mensajes para entrega.
• Meta Platforms, Inc. (EE. UU./Irlanda): proveedor de Facebook Messenger, Instagram Direct y WhatsApp Business Platform. Vea sección 5.1.
• Resend, Inc. (EE. UU.): proveedor de email transaccional. Procesa direcciones de email y contenido de mensajes operativos (welcome, verificación, alertas, facturas).
• Cloudflare, Inc. (EE. UU.): CDN, protección DDoS y almacenamiento de objetos R2 (S3-compatible) para archivos adjuntos cargados por usuarios. Datos cifrados en reposo (AES-256).
• Railway Corp (EE. UU.) / Netlify, Inc. (EE. UU.): hosting de aplicación y base de datos PostgreSQL.
• Autoridades judiciales y reguladores: únicamente cuando una orden judicial válida, citación o requerimiento legal en jurisdicción aplicable nos obligue a divulgar datos específicos.

El listado completo y actualizado de subprocesadores está disponible bajo petición a privacidad@atlassiano.com. Notificamos cambios materiales con al menos 30 días de anticipación.

5.1 Datos Obtenidos a Través de Meta (Facebook / Instagram / WhatsApp)

Cuando un cliente comercial conecta sus páginas o cuentas de Meta a Atlassiano, recibimos a través de las APIs de Meta los siguientes datos:

• Tokens y credenciales de acceso: page access token (Messenger), Instagram Graph API token, WhatsApp Business Account ID, Page ID, IG Business Account ID, phone_number_id. Se almacenan cifrados con AES-256 (clave gestionada en variable de entorno CREDENTIALS_ENCRYPTION_KEY).
• Identificadores de usuario final: PSID (Page-Scoped ID) para Messenger, IGSID (Instagram-Scoped ID) para Instagram, número de teléfono E.164 para WhatsApp.
• Perfil público del usuario final: nombre público y foto de perfil cuando la plataforma los expone vía el API. No solicitamos permisos extendidos como email o teléfono privado.
• Contenido de los mensajes: texto, imágenes (URL temporal de Meta + copia descargada a R2 para mostrar en el panel), audio, vídeo, stickers, reacciones, ubicación geográfica y documentos adjuntos enviados voluntariamente por el usuario final.
• Metadatos del mensaje: timestamp, message_id, conversation_id, tipo de mensaje, idioma detectado.

Estos datos se utilizan exclusivamente para:

• Generar la respuesta del asistente IA del cliente comercial.
• Mostrar el historial de conversación al equipo del cliente comercial dentro del panel de Atlassiano.
• Derivar la conversación a un agente humano del cliente comercial cuando aplique.
• Generar métricas agregadas anónimas sobre uso (cantidad de mensajes/día, tasa de resolución).

Cumplimos íntegramente las Meta Platform Terms, Developer Policies, WhatsApp Business Solution Terms y WhatsApp Business Messaging Policy:

• NO vendemos ni transferimos datos obtenidos de Meta a redes publicitarias, brokers de datos, agencias de inteligencia o cualquier tercero ajeno a la prestación del Servicio.
• NO usamos los datos para entrenar modelos de IA generales — los mensajes solo se usan para generar la respuesta inmediata al usuario y luego se cifran en reposo.
• NO replicamos los datos de Meta en sistemas externos sin necesidad operativa directa.
• NO enviamos mensajes outbound de marketing fuera de la ventana de 24 horas sin un Message Template aprobado por Meta y un opt-in explícito documentado del usuario.
• NO usamos el Servicio para envíos masivos automatizados ni listas de contactos no opt-in.
• Eliminamos los datos obtenidos de Meta dentro de los 30 días siguientes a (i) la solicitud del usuario final, (ii) la revocación del permiso de la app desde Meta Business Settings o (iii) la cancelación del cliente comercial.

5.2 Eliminación de Datos (Procedimiento)

Cualquier usuario final cuyos datos hayan sido procesados por Atlassiano puede solicitar su eliminación por cualquiera de estas vías. Para detalles paso a paso vea /data-deletion.

• Por correo: escribir a privacidad@atlassiano.com con su identificador (PSID/IGSID/teléfono o email). Acusamos recibo en 48 horas y completamos la eliminación dentro de un máximo de 10 días hábiles.
• Endpoint público: el cliente comercial puede ejecutar la eliminación de sus propios datos vía el endpoint autenticado POST /api/business/data-deletion-request desde su panel.
• Webhook automático de Meta: cuando un usuario revoca Atlassiano desde Meta Business Settings → Apps and Websites o bloquea la página/cuenta del negocio, Meta envía un callback signed a POST /api/webhooks/meta/data-deletion. Ejecutamos la eliminación automáticamente y respondemos a Meta con el código de confirmación y URL de seguimiento que exige la política de Meta.
• Solicitud al cliente comercial: el cliente comercial que opera el bot puede eliminar conversaciones específicas o contactos enteros desde su panel; es además el Responsable del Tratamiento según las leyes locales.

La eliminación es irreversible y se propaga en máximo 30 días a todos los sistemas: base de datos primaria PostgreSQL, almacenamiento R2 de adjuntos, respaldos cifrados, sistemas de cache, logs aplicativos y registros de auditoría operativa.

6. Cookies y Almacenamiento Local

Atlassiano usa exclusivamente cookies y entradas de localStorage estrictamente necesarias para el funcionamiento del Servicio. NO usamos cookies de terceros para publicidad ni trackers de seguimiento cross-site.

• atl_jwt_v19 / atl_refresh_v19 (funcional, sesión) — tokens JWT firmados para mantener la sesión iniciada. Expiran al cerrar sesión o tras inactividad.
• atl_theme (funcional, preferencia) — guarda si el usuario eligió tema claro u oscuro. No identificable.
• atl_notif_off / atl_sound_off / atl_rt_off (funcional, preferencia) — toggles per-device para silenciar notificaciones, sonidos o real-time updates.
• atl_cookie_consent (funcional, consentimiento) — registra si el visitante aceptó o rechazó cookies en la landing pública (GDPR Art. 7).
• atl_legal_accept (funcional, consentimiento) — registra la versión de Términos y Política de Privacidad aceptada per-device.
• atl_tour_done_<email> (funcional, preferencia) — marca si el onboarding tour se completó.

Puede borrar estas entradas en cualquier momento desde la configuración de su navegador (Aplicación → Storage → Local Storage / Cookies → eliminar). Borrar los tokens cerrará su sesión actual.

7. Transferencias Internacionales

Algunos datos se almacenan o procesan en servidores ubicados fuera de Costa Rica (principalmente EE. UU. e Irlanda). Garantizamos un nivel equivalente de protección mediante:

• Cláusulas Contractuales Estándar (Standard Contractual Clauses 2021/914 de la Comisión Europea) en cada DPA con subprocesadores ubicados fuera del Espacio Económico Europeo.
• Certificaciones SOC 2 Type II o ISO 27001 verificadas en los subprocesadores principales.
• Acuerdo intercompany de transferencia de datos entre ATLAS RESOURCES SRL (Costa Rica) y ATLAS SOLUTIONS LLC (Florida, EE. UU.).

8. Plazos de Retención

Aplicamos retención mínima necesaria. Los plazos por categoría son:

• Mensajes y contenido de conversación: 180 días desde la última interacción, salvo que el cliente comercial configure un período menor o solicite eliminación anticipada.
• Solicitud de eliminación de usuario final: 30 días desde la recepción de la solicitud para propagar el borrado a todos los sistemas (incluyendo respaldos cifrados).
• Datos de cuenta del cliente comercial: durante la vigencia del contrato más 90 días tras la cancelación (gracia para reactivación o exportación).
• Registros financieros y facturación: 7 años desde la emisión, por requisito legal tributario en LATAM y EE. UU.
• Logs técnicos y de seguridad: 12 meses, salvo investigación de incidente en curso.
• Audit log de acciones administrativas: 24 meses; las acciones financieras se preservan 7 años junto con la facturación.

9. Derechos del Titular

Usted tiene los siguientes derechos sobre sus datos personales, ejercibles gratuitamente en cualquier momento (Ley 8968 art. 7; GDPR Arts. 15-22; CCPA §§1798.100-1798.120):

• Acceso: obtener confirmación de si tratamos sus datos y, en su caso, una copia.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión / Cancelación (right to erasure / right to be forgotten): solicitar el borrado de sus datos cuando ya no sean necesarios o haya retirado el consentimiento.
• Oposición: oponerse al tratamiento por motivos relacionados con su situación particular.
• Portabilidad: recibir sus datos en formato estructurado, de uso común y lectura mecánica (JSON o CSV).
• Limitación del tratamiento: solicitar que se restrinja el uso de sus datos durante la verificación de una controversia.
• Revocación del consentimiento: retirar su consentimiento en cualquier momento sin que afecte la licitud del tratamiento previo.
• No discriminación (CCPA): ejercer sus derechos no implicará un trato discriminatorio en precio o calidad del Servicio.
• No venta (CCPA opt-out): no vendemos datos personales, por lo que no aplica el opt-out de "Do Not Sell My Personal Information".
• Denuncia ante autoridad: ante PRODHAB (Costa Rica), su autoridad nacional de protección de datos (UE) o la Attorney General correspondiente (EE. UU.).

Para ejercer cualquier derecho, escriba a privacidad@atlassiano.com indicando: (i) el derecho que ejerce, (ii) prueba de identidad (cédula, pasaporte o licencia con cara visible — puede cubrir datos no necesarios) y (iii) si es usuario final de Meta, su identificador (PSID/IGSID/teléfono). Respondemos en máximo 10 días hábiles y completamos el ejercicio en máximo 30 días.

10. Seguridad

Implementamos medidas técnicas y organizativas razonables para proteger sus datos:

• Cifrado TLS 1.3 en tránsito y AES-256 en reposo (incluyendo tokens de terceros y archivos adjuntos en R2).
• Control de acceso basado en roles (RBAC) con principio de mínimo privilegio.
• Autenticación de doble factor opcional para todas las cuentas; obligatoria para roles de administración.
• Auditoría de accesos persistida durante 24 meses.
• Respaldos diarios cifrados con rotación de claves.
• Programa documentado de respuesta a incidentes y notificación a afectados dentro de las 72 horas siguientes a un incidente confirmado (Ley 8968 art. 27; GDPR Art. 33).
• Pruebas de penetración anuales por terceros independientes.

11. Menores de Edad

El Servicio está dirigido exclusivamente a personas mayores de edad (18 años o más) que representen legalmente a un negocio. No recolectamos conscientemente datos de menores. Si detectamos datos de un menor, los eliminamos de forma inmediata. Si usted es padre/madre o tutor y cree que su hijo nos ha proporcionado datos, contáctenos para eliminarlos.

12. Cambios a esta Política

Podemos actualizar esta Política cuando sea necesario por motivos legales, regulatorios o de mejora del Servicio. Los cambios sustanciales se comunican con al menos 30 días de anticipación a través del correo registrado del cliente comercial o mediante aviso destacado dentro del panel. La versión vigente siempre está publicada en esta URL.

13. Contacto del Oficial de Protección de Datos

Oficial de Protección de Datos (DPO): privacidad@atlassiano.com

Para ejercer sus derechos diríjase a la entidad operadora correspondiente:

• Clientes LATAM → ATLAS RESOURCES SRL, cédula jurídica 3-102-866891, San José, Costa Rica
• Clientes USA / internacionales → ATLAS SOLUTIONS LLC, Miami, Florida, EE. UU.

Incluya copia de su documento de identidad y la gestión específica que desea realizar. Documentos relacionados: Términos y Condiciones · Política de Servicios · Procedimiento de Eliminación de Datos.

---

Última verificación de cumplimiento: 27 de mayo de 2026 — alineada con Meta Platform Terms, WhatsApp Business Solution Terms, GDPR Art. 13 y 14, CCPA §1798.130 y Ley N°8968 de Costa Rica.