Aviso de Privacidad

Este Aviso de Privacidad describe cómo Zelavion recolecta, usa, almacena y protege los datos personales de quienes contratan nuestra plataforma (los "Clientes") y de las personas que interactúan con la plataforma a través de WhatsApp u otros canales (los "Usuarios Finales"). Lo redactamos en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de los Estados Unidos Mexicanos y su Reglamento.

1. Identidad del responsable

Zelavion ("nosotros", "la plataforma") es el responsable del tratamiento de tus datos personales cuando usas nuestro sitio y servicios. Para cualquier asunto relacionado con privacidad puedes contactarnos en hola@zelavion.com.

Cuando Zelavion procesa datos de Usuarios Finales en nombre de un Cliente (por ejemplo, las personas que escriben al WhatsApp del negocio para agendar), Zelavion actúa como encargado del tratamiento y el Cliente es el responsable. Los Clientes son responsables de informar a sus propios Usuarios Finales sobre el uso de Zelavion.

2. Datos personales que recolectamos

De nuestros Clientes (dueños de cuentas Zelavion)

• Identificación: nombre completo, correo electrónico, contraseña cifrada con PBKDF2.
• Datos de la organización: nombre comercial, sucursales (si aplica), especialistas, servicios, horarios, políticas de cancelación.
• Credenciales de integración: tokens de WhatsApp Business API de Meta, refresh tokens de Google, credenciales de Mercado Pago. Todos almacenados con cifrado AES-256-GCM.
• Datos de uso: fechas de inicio de sesión, dirección IP, navegador, registros de auditoría de cambios.

De los Usuarios Finales (clientes finales de nuestros Clientes)

• Identificación: nombre, número telefónico (recibido vía WhatsApp), correo electrónico cuando lo proporcionan.
• Historial conversacional: mensajes intercambiados con el asistente de WhatsApp del Cliente, fechas y estados de citas.
• Datos de beneficiarios: si el Usuario Final agenda citas para terceros (hijos, pareja, etc.), recolectamos nombre y relación de esas personas, con el consentimiento implícito por la naturaleza del servicio.
• Estados de pago: referencias y estados de los anticipos procesados a través de Mercado Pago. No almacenamos números de tarjeta ni CVV.

3. Finalidades del tratamiento

Finalidades primarias (necesarias para prestar el servicio):

• Agendar, reagendar, recordar y cancelar citas.
• Procesar anticipos y aplicar políticas de cancelación.
• Sincronizar eventos con Google Calendar y generar ligas de Google Meet para servicios de videollamada.
• Enviar mensajes automáticos vía WhatsApp Business API en nombre de los Clientes.
• Mantener registros de auditoría para soporte técnico y resolución de disputas.

Finalidades secundarias (puedes oponerte sin que afecte el servicio):

• Mejora del producto mediante métricas agregadas y anónimas.
• Comunicaciones sobre nuevas funcionalidades a Clientes que se hayan suscrito.

Si no deseas que tus datos se usen para finalidades secundarias, envíanos un correo a hola@zelavion.com con el asunto "Oposición a finalidades secundarias".

4. Datos provenientes de WhatsApp Business y Meta

Zelavion se integra con la WhatsApp Business Platform (operada por WhatsApp LLC, parte de Meta Platforms, Inc.) para recibir y enviar mensajes en nombre de nuestros Clientes. Al usar la plataforma:

• Los Usuarios Finales escriben al número de WhatsApp Business del Cliente; Meta nos reenvía esos mensajes vía webhook.
• Zelavion procesa los mensajes (incluyendo nombre del perfil de WhatsApp y contenido) para que el asistente del Cliente responda automáticamente.
• Cumplimos las Políticas de WhatsApp Business y de Mensajería y la Política Comercial de WhatsApp.
• Las verificaciones criptográficas de mensajes (HMAC-SHA256 con el App Secret de cada Cliente) garantizan que únicamente procesamos webhooks legítimos de Meta.

El procesamiento de tus datos por parte de Meta se rige adicionalmente por la Política de Privacidad de WhatsApp.

5. Integración con Google Calendar y Google Meet

Cuando un Cliente conecta su cuenta de Google a Zelavion, recolectamos un refresh token de OAuth 2.0 con permisos limitados al alcance calendar.events. Este token se almacena cifrado y se usa exclusivamente para:

• Crear eventos en el calendario del Cliente cuando se agenda una cita.
• Generar ligas de Google Meet para servicios de videollamada.
• Actualizar o eliminar eventos cuando una cita se reagenda o se cancela.

El uso de la información recibida desde APIs de Google cumple con la Política de Datos del Usuario para Servicios API de Google, incluidos los Requisitos de Uso Limitado. No leemos correos electrónicos, no accedemos a tus contactos ni a otros datos de tu cuenta de Google.

Puedes revocar el acceso de Zelavion a tu cuenta de Google en cualquier momento desde myaccount.google.com/permissions.

6. Datos de pago (Mercado Pago)

Los anticipos de los Usuarios Finales se procesan a través de Mercado Pago. Zelavion no recibe ni almacena información de tarjetas. Únicamente recibimos referencias de transacciones, estados de pago y montos. El procesamiento de datos por parte de Mercado Pago se rige por su propia política de privacidad.

7. Transferencias de datos

Zelavion comparte datos personales únicamente con los proveedores estrictamente necesarios para prestar el servicio:

• Cloudflare, Inc. — infraestructura de cómputo y base de datos (Workers, D1, KV). Los datos se replican dentro de la red global de Cloudflare.
• Meta Platforms / WhatsApp LLC — para enviar y recibir mensajes a través de WhatsApp Business API.
• Google LLC — para sincronizar Calendar y generar ligas de Meet, cuando el Cliente conecta su cuenta.
• Mercado Pago / MercadoLibre, Inc. — para procesar pagos de anticipos.
• Anthropic PBC — para procesar mensajes con su modelo de lenguaje (Claude) que potencia el asistente. Anthropic no usa los datos enviados a su API para entrenar modelos.

No vendemos tus datos personales a terceros. No compartimos datos con anunciantes.

8. Tus derechos ARCO

En todo momento puedes ejercer tus derechos de Acceso, Rectificación, Cancelación y Oposición sobre tus datos personales, así como revocar el consentimiento que nos hayas otorgado. Para hacerlo, envía un correo a hola@zelavion.com con:

• Tu nombre y un medio para contactarte.
• Una descripción clara del derecho que deseas ejercer.
• Una copia de tu identificación (sólo se usará para verificar tu identidad y se eliminará al concluir el trámite).

Responderemos en un plazo no mayor a 20 días hábiles. Si necesitas eliminar específicamente datos asociados a tu uso de WhatsApp o nuestra integración con Meta, consulta también nuestras Instrucciones de eliminación de datos.

9. Medidas de seguridad

• Conexiones HTTPS/TLS exclusivamente; el sitio bloquea conexiones no cifradas.
• Tokens de acceso, App Secrets y refresh tokens cifrados con AES-256-GCM en reposo.
• Contraseñas almacenadas con PBKDF2 y sal aleatoria.
• Verificación de firmas HMAC-SHA256 per-tenant en cada webhook de Meta.
• Registros de auditoría de cambios a la configuración.
• Acceso interno restringido al personal estrictamente necesario.

10. Retención y eliminación

Conservamos los datos de Clientes mientras la cuenta esté activa. Los datos de Usuarios Finales se conservan mientras existan citas asociadas o por el tiempo que el Cliente determine. Eliminamos completamente los datos a solicitud en un plazo no mayor a 30 días naturales, salvo cuando deba conservarse información por obligación legal (por ejemplo, comprobantes fiscales).

11. Cambios al aviso de privacidad

Podemos actualizar este aviso. Cualquier cambio se publicará en esta misma página con la fecha de última actualización. Si los cambios son sustanciales, notificaremos a los Clientes por correo electrónico al menos 15 días antes de que entren en vigor.

12. Contacto

Si tienes dudas, comentarios o quejas sobre el tratamiento de tus datos personales, escríbenos a hola@zelavion.com. Si consideras que tu derecho a la protección de datos personales ha sido vulnerado y no recibes una respuesta satisfactoria, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).

---

Este Aviso de Privacidad fue redactado conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de los Estados Unidos Mexicanos.