Política de Uso de Datos de WhatsApp Business

Esta política describe específicamente cómo Aruka accede, usa y protege los datos de la WhatsApp Business Platform (propiedad de Meta Platforms, Inc.) cuando opera en nombre de sus clientes a través de la plataforma Talka. Esta política complementa nuestra Política de Privacidad y aplica a todos los clientes que utilizan Talka con integración de WhatsApp.

1. Datos que recibimos de WhatsApp Business Platform

A través de la API oficial de WhatsApp Business Platform, Aruka procesa en nombre de sus clientes:

• Números de teléfono: el número del usuario final que inicia o recibe una conversación.
• Mensajes: texto, imágenes, documentos y otros tipos de contenido enviados o recibidos en conversaciones con los agentes del cliente.
• Metadatos de mensajes: timestamps, identificadores de mensaje, estado de entrega (enviado, entregado, leído).
• Información de perfil de WhatsApp: nombre de perfil del usuario final, si está disponible y el usuario lo ha hecho público.
• Business assets: número de teléfono comercial del cliente, WABA ID (WhatsApp Business Account ID), configuración de webhooks.

2. Para qué usamos estos datos

Los datos recibidos de WhatsApp Business Platform se usan exclusivamente para:

• Recibir mensajes entrantes del usuario final y enrutarlos al agente de IA configurado por el cliente.
• Generar y enviar respuestas del agente al usuario final a través de WhatsApp.
• Derivar conversaciones a operadores humanos cuando así lo configure el cliente.
• Almacenar el historial de conversaciones en la cuenta del cliente para análisis y mejora del servicio.
• Gestionar el estado de los hilos de conversación (abiertos, cerrados, en espera).

No utilizamos datos de WhatsApp Business Platform para publicidad, perfilado de usuarios finales, entrenamiento de modelos de IA propios, ni para ninguna finalidad distinta a operar el servicio contratado por el cliente.

3. Quién accede a estos datos

• El cliente (tenant): tiene acceso completo a las conversaciones de sus propios usuarios finales a través del panel de Talka. Cada cliente solo puede ver sus propios datos.
• Personal técnico de Aruka: puede acceder a datos en contexto de soporte técnico o resolución de incidencias, exclusivamente bajo necesidad justificada. Todo el personal con acceso firma acuerdos de confidencialidad (NDA).
• Subprocesadores autorizados: listados en la sección 6 de esta política.

El aislamiento entre clientes está garantizado a nivel de base de datos mediante Row Level Security (RLS) en PostgreSQL. Ningún cliente puede acceder a datos de otro cliente.

4. Cómo protegemos los datos

• Cifrado en tránsito: todas las comunicaciones entre WhatsApp, el gateway de Aruka y los servicios internos utilizan TLS 1.2 o superior.
• Cifrado de credenciales: los tokens de acceso a la API de WhatsApp Business se almacenan cifrados con Fernet (AES-128) y son únicos por cliente.
• Aislamiento multi-tenant: Row Level Security en PostgreSQL garantiza que cada cliente solo accede a sus propios datos.
• Verificación HMAC: los webhooks de WhatsApp se verifican mediante HMAC-SHA256 para garantizar su autenticidad.
• Control de acceso: sistema RBAC (Control de Acceso Basado en Roles) con auditoría de acciones.
• Backups cifrados: con retención de 30 días.

5. Retención de datos

• Mensajes y conversaciones: se conservan mientras el cliente mantenga activa su cuenta en Talka. El cliente puede eliminar conversaciones en cualquier momento desde su panel.
• Logs técnicos: 90 días, con eliminación automática.
• Backups: 30 días, con eliminación automática.
• Tras cancelación de cuenta: los datos del cliente se eliminan dentro de los 30 días posteriores a la terminación, salvo obligación legal de retención.

6. Subprocesadores y compartición de datos

Aruka no comparte datos de WhatsApp Business Platform con terceros con fines propios. Únicamente los transfiere a los siguientes subprocesadores necesarios para operar el servicio:

• Meta Platforms / WhatsApp: como proveedor de la plataforma de mensajería (el cliente gestiona directamente su cuenta WABA con Meta).
• OpenAI: para el procesamiento de lenguaje natural. Solo se envía el contenido de los mensajes necesarios para generar la respuesta del agente. No se comparten datos de identificación del usuario final.
• Proveedores de infraestructura en la nube: para alojamiento de servidores y base de datos (Unión Europea y/o Estados Unidos), bajo acuerdos de procesamiento de datos adecuados.

7. Cumplimiento con políticas de Meta

Aruka opera en conformidad con:

• Política Comercial de WhatsApp
• Términos de la Plataforma Meta para Desarrolladores
• Términos de la API de WhatsApp Business

Los clientes de Talka también deben cumplir con estas políticas al configurar y operar sus agentes. Aruka puede suspender el acceso de un cliente que viole las políticas de Meta.

8. Derechos de los usuarios finales

Los usuarios finales (personas que interactúan con los agentes a través de WhatsApp) pueden ejercer los siguientes derechos respecto a sus datos:

• Acceso y eliminación: contactando directamente al cliente (la empresa que opera el agente de WhatsApp con quien interactúan).
• A través de Aruka: si el cliente no responde en un plazo razonable, los usuarios finales pueden escribir a hola@aruka.com.co indicando el número de WhatsApp Business con el que interactuaron.
• Bloquear el número de WhatsApp: los usuarios finales siempre pueden bloquear el número de WhatsApp Business del cliente directamente en la app de WhatsApp, lo que detendrá toda comunicación futura.

Respondemos solicitudes de derechos de usuarios finales en un plazo máximo de 15 días hábiles.

9. Cambios a esta política

Actualizaremos esta política cuando cambien nuestras prácticas de datos o las políticas de Meta. Notificaremos a los clientes activos por correo electrónico ante cambios materiales con al menos 30 días de anticipación.

10. Contacto

Para consultas sobre el uso de datos de WhatsApp Business Platform, escríbanos a hola@aruka.com.co.