Política de Privacidad

1. Responsable del Tratamiento

Santiago y Cierra España, S.L. (en adelante, "Oleloop Connect", "nosotros" o "la Plataforma") es el responsable del tratamiento de los datos personales recopilados a través de connect.oleloop.com, operando como Meta Tech Provider autorizado desde España.

Contacto: devopsole [at] oleloop [dot] com

2. ¿Qué es Oleloop Connect?

Oleloop Connect es una plataforma de onboarding que permite a empresas conectar su cuenta de WhatsApp Business con la WhatsApp Business API de Meta Platform Inc. (en adelante, "Meta") sin intermediarios (Business Solution Providers o BSPs).

Utilizamos el sistema oficial de Embedded Signup de Meta para facilitar la conexión de cuentas de WhatsApp Business de forma segura y conforme a las políticas de Meta.

3. Datos Personales que Recopilamos

3.1. Datos Proporcionados Directamente por el Usuario

Cuando un cliente completa el formulario de conexión en /connect, recopilamos:

• Nombre de la empresa (company_name)
• Email de contacto (email)
• Modo de conexión seleccionado: "coexistence" (coexistencia con múltiples agentes) o "api_only" (solo API)

3.2. Datos Recibidos de Meta Platform Inc.

Al completar el proceso de Embedded Signup, Meta nos proporciona los siguientes identificadores técnicos necesarios para operar la conexión con WhatsApp Business API:

• phone_number_id: Identificador único del número de teléfono de WhatsApp Business
• waba_id (WhatsApp Business Account ID): Identificador de la cuenta de WhatsApp Business
• business_id: Identificador del negocio en Meta
• access_token: Token de acceso permanente proporcionado por Meta para interactuar con la WhatsApp Business API (este token se almacena encriptado con AES-256-CBC, ver sección 5)

Importante: Estos datos son técnicos y NO incluyen contenido de mensajes de WhatsApp, contactos de los clientes finales ni conversaciones. Solo se utilizan para gestionar la conexión entre la cuenta de WhatsApp Business del cliente y la API de Meta.

3.3. Logs de Webhooks (Opcional)

Si el cliente activa la funcionalidad de logs, almacenamos temporalmente:

• Tipo de evento webhook (mensaje, estado, template_status, etc.)
• Payload JSON del evento (sin contenido de mensajes de usuarios finales)
• URI a la que se reenvió el webhook (si aplica configuración override_callback_uri)

Estos logs se conservan por un período máximo de 90 días con fines de debugging y auditoría técnica.

4. Finalidad del Tratamiento

Los datos personales recopilados se utilizan exclusivamente para:

• Gestionar la conexión entre la cuenta de WhatsApp Business del cliente y la WhatsApp Business API de Meta
• Almacenar de forma segura el access_token encriptado para permitir la comunicación con Meta
• Reenviar webhooks a endpoints configurados por el cliente (override_callback_uri) si así lo solicita
• Proporcionar soporte técnico en caso de problemas de conexión o configuración
• Cumplir con obligaciones legales derivadas del GDPR y la LOPDGDD

Base legal: Ejecución de un contrato (Art. 6.1.b GDPR) y consentimiento del interesado (Art. 6.1.a GDPR).

5. Seguridad de los Datos

5.1. Encriptación de Tokens de Acceso

Los access tokens proporcionados por Meta se almacenan encriptados con el algoritmo AES-256-CBC, que es un estándar de encriptación de grado militar. La clave de encriptación se gestiona de forma segura y NO se almacena en la base de datos junto con los tokens encriptados.

5.2. Validación de Webhooks con HMAC-SHA256

Todos los webhooks recibidos de Meta se validan utilizando HMAC-SHA256 para garantizar su autenticidad y prevenir ataques de intermediarios (man-in-the-middle).

5.3. Autenticación Administrativa con JWT

El acceso al dashboard administrativo se protege mediante JSON Web Tokens (JWT) almacenados en cookies con las flags httpOnly, Secure y SameSite=Strict para prevenir ataques XSS y CSRF.

5.4. Row Level Security (RLS)

La base de datos PostgreSQL (Supabase) tiene habilitado Row Level Security (RLS) en todas las tablas, permitiendo acceso exclusivamente a la cuenta de servicio (service_role) del administrador.

5.5. HTTPS y Security Headers

Toda la comunicación se realiza mediante HTTPS (TLS 1.3). Además, implementamos headers de seguridad:

• Strict-Transport-Security (HSTS)
• Content-Security-Policy (CSP) permitiendo únicamente dominios autorizados
• X-Content-Type-Options: nosniff
• X-Frame-Options: SAMEORIGIN

6. Comunicación de Datos a Terceros

Los datos personales NO se venden, alquilan ni comparten con terceros para fines comerciales.

Comunicaciones necesarias:

• Meta Platform Inc.: Para gestionar la conexión con WhatsApp Business API. Meta actúa como encargado del tratamiento en lo que respecta al access_token y los identificadores técnicos (phone_number_id, waba_id).
• Supabase (PostgreSQL hosting): Infraestructura de base de datos ubicada en la región EU (Europa), conforme al GDPR.
• Vercel (hosting de la plataforma): Proveedor de hosting con infraestructura en Europa, conforme al GDPR.

Todos los proveedores terceros mencionados cumplen con el GDPR (Reglamento General de Protección de Datos)y tienen firmados acuerdos de procesamiento de datos (DPA).

7. Transferencias Internacionales de Datos

Dado que Meta Platform Inc. tiene su sede principal en Estados Unidos, el access_token y los identificadores técnicos pueden ser transferidos fuera del Espacio Económico Europeo (EEE).

Garantías aplicadas:

• Meta Platform Inc. participa en el EU-U.S. Data Privacy Framework
• Meta ha implementado Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea
• Todos los tokens se encriptan con AES-256-CBC antes de cualquier transferencia

8. Conservación de Datos

Los datos personales se conservan durante:

• Cuentas activas: Mientras la cuenta de WhatsApp Business esté conectada a la plataforma
• Después de la desconexión: Los datos se eliminan automáticamente tras 30 días, salvo que exista una obligación legal de conservación
• Logs de webhooks: Máximo 90 días desde la fecha del evento

9. Derechos de los Interesados (GDPR + LOPDGDD)

Conforme al Reglamento General de Protección de Datos (GDPR) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), los usuarios tienen derecho a:

• Acceso: Obtener información sobre qué datos personales tratamos
• Rectificación: Corregir datos inexactos o incompletos
• Supresión: Solicitar la eliminación de los datos (ver página Eliminación de Datos)
• Limitación: Restringir el tratamiento en determinadas circunstancias
• Portabilidad: Recibir los datos en formato estructurado y de uso común
• Oposición: Oponerse al tratamiento de los datos

Para ejercer cualquiera de estos derechos, envía un email a: devopsole [at] oleloop [dot] com

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

10. Cookies y Tecnologías de Rastreo

Oleloop Connect utiliza únicamente cookies técnicas esenciales para el funcionamiento del servicio:

• Cookie de autenticación admin (auth_token): JWT almacenado con flag httpOnly para proteger el acceso al dashboard administrativo. Duración: 24 horas.

No utilizamos cookies de terceros, cookies analíticas ni cookies publicitarias.

11. Menores de Edad

Oleloop Connect está dirigido a empresas y profesionales. No recopilamos intencionadamente datos de menores de 18 años.

Si detectamos que hemos recopilado datos de un menor sin el consentimiento parental adecuado, eliminaremos dichos datos de inmediato.

12. Modificaciones de esta Política

Nos reservamos el derecho de modificar esta Política de Privacidad en cualquier momento. Los cambios se publicarán en esta página con la fecha de "Última actualización" modificada.

Te recomendamos revisar esta política periódicamente. El uso continuado del servicio tras la publicación de cambios constituye la aceptación de dichos cambios.

13. Contacto

Para cualquier pregunta sobre esta Política de Privacidad o el tratamiento de tus datos personales, contacta con: