Tus datos, tu control.

Cuando creas una cuenta y usas el producto, guardamos:

• Datos de cuenta: nombre, email, contraseña hasheada (bcrypt), zona horaria, locale.
• Tareas, calendario, notas, hábitos, finanzas, journal y compromisos: lo que tú cargas o aceptas como sugerencia.
• Integraciones de terceros: tokens OAuth (Google Calendar, Gmail, Telegram, WhatsApp via Evolution) cifrados con AES-256-GCM con clave no derivable de la base.
• Claves de IA personales: tu OpenAI / Anthropic / Gemini / ElevenLabs key cifrada con la misma técnica. Nunca tocamos las claves del .env del servidor para tus generaciones.
• vCards públicas: los campos que tú eliges hacer públicos (nombre, cargo, contacto, foto, redes).
• Logs de auditoría: acciones críticas (login, cambio de password, integraciones agregadas) con timestamp UTC y IP truncada.

• El cuerpo de tus emails de Gmail. Solo procesamos lo que llega al digest (resumen) y el resto se descarta.
• Audios de WhatsApp luego de transcribirlos.
• Cookies de tracking de terceros. Solo usamos una cookie funcional para tu sesión.
• IP del receptor de tus vCards públicas. El tracking de scans se reduce a clase de dispositivo (mobile/desktop) y país.

• Operar el producto (mostrar tu briefing, enviar recordatorios, sincronizar calendario).
• Procesar tus mensajes de WhatsApp/email con IA solo para detectar accionables y compromisos cuando tú lo pediste.
• Mejorar el producto: contadores agregados de uso por feature (`/admin/usage`), nunca contenido de tareas o emails.
• Cumplir obligaciones legales (auditoría, requerimientos judiciales con orden válida).

No vendemos ni cedemos tus datos a terceros para marketing. Ni en este modelo de negocio ni en uno futuro mientras esta política esté vigente.

• Tú.
• Si perteneces a un tenant (plan Equipo), el admin del tenant tiene acceso a metadata operacional (no al contenido de tu journal o decisiones, que son personales por usuario).
• Subprocesadores: Google (OAuth), proveedores de IA que tú elegiste (OpenAI / Anthropic / Gemini / ElevenLabs), proveedor de hosting (Dokploy / VPS), proveedor de email transaccional. Cada uno con su propia política.
• Nunca compartimos tu contenido con marketing, brokers de datos ni redes publicitarias.

• Acceso: exporta toda tu información en JSON desde Configuración → Datos → Exportar.
• Rectificación: edita cualquier campo desde el panel.
• Supresión: Configuración → Cerrar cuenta. Borramos todo en menos de 24h. Backups encriptados se purgan en 30 días por rotación.
• Portabilidad: el export viene en JSON estándar, importable a otros productos.
• Oposición: puedes desactivar tracking de tus vCards desde la configuración de cada tarjeta.
• Reclamos: escribe a privacidad@iabotagent.com. Si no respondemos, puedes reclamar ante la autoridad de tu país (Agencia de Protección de Datos en Chile cuando esté vigente la Ley 21.719, ANPD en Brasil, AAIP en Argentina, INAI en México).

• Conexión TLS 1.3 obligatoria.
• Contraseñas hasheadas con bcrypt (cost factor ≥ 12).
• Tokens de terceros encriptados con AES-256-GCM en reposo.
• Auditoría de acciones críticas con preservación de logs por 12 meses.
• Backups cifrados diarios con rotación de 30 días.

Si descubres un incidente de seguridad, escríbenos a security@iabotagent.com. Respondemos en menos de 72 horas.

Si cambian aspectos materiales (qué datos guardamos, con quién los compartimos, cómo los procesamos) avisamos por email con 30 días de anticipación. Cambios menores aparecen en este histórico.

• v1.0 — 2026-04-26: versión inicial.