Política de Privacidad

1. Responsable del Tratamiento

Aivachat LLC es la entidad responsable del tratamiento de los datos personales recopilados a través de Aiva Ads.

Contacto: [email protected]

2. Información que Recopilamos

2.1 Datos de registro

Nombre, correo electrónico, contraseña (cifrada), información de la organización y marca.

2.2 Datos de plataformas publicitarias

Al conectar sus cuentas, accedemos a: métricas de campañas, nombres de campañas, presupuestos, rendimiento, creativos, audiencias y activos (páginas, perfiles de Instagram, píxeles, WhatsApp Business, cuentas de anunciante de TikTok, cuentas de Google Ads).

2.3 Tokens de acceso

Los tokens OAuth de Meta, TikTok y Google se cifran con AES-256-GCM antes de almacenarse. Nunca almacenamos contraseñas de plataformas publicitarias.

2.4 Claves API del usuario

Las claves de Anthropic (Claude) y FAL.AI proporcionadas por el usuario se cifran con AES-256-GCM y se almacenan de forma segura. Solo se descifran en el servidor para realizar solicitudes autorizadas.

2.5 Datos de uso

Páginas visitadas, análisis ejecutados, acciones realizadas, conversaciones con el chat de AIVA, historial de acciones sobre campañas.

2.6 Datos técnicos

Dirección IP, tipo de navegador, sistema operativo, datos de dispositivo.

2.7 Información de pago

Procesada directamente por Stripe. Aivachat LLC no almacena números de tarjeta ni datos financieros sensibles.

3. Uso de la Información

• Proporcionar el servicio de análisis y gestión publicitaria omnicanal.
• Generar recomendaciones, análisis y alertas con inteligencia artificial.
• Construir la memoria de marca (aprendizajes acumulados por la IA sobre su cuenta para mejorar recomendaciones futuras).
• Registrar un historial de acciones ejecutadas (aiva_actions) para auditoría y trazabilidad.
• Procesar transacciones y gestionar la suscripción.
• Enviar notificaciones relacionadas con el servicio (alertas de rendimiento, seguridad, actualizaciones).
• Responder solicitudes de soporte.
• Mejorar la plataforma y la experiencia del usuario.
• Cumplir con obligaciones legales.

4. Base Legal del Tratamiento

• Ejecución contractual: procesamiento necesario para prestar el servicio contratado.
• Consentimiento explícito: para la conexión de cuentas publicitarias y uso de APIs.
• Intereses legítimos: mejora del servicio, prevención de fraude, seguridad.
• Obligaciones legales: cumplimiento fiscal, contable y regulatorio.

5. APIs y Servicios de Terceros

Aiva Ads se conecta a las siguientes APIs con su autorización explícita:

• Meta Business API: acceso a cuentas publicitarias, páginas de Facebook, cuentas de Instagram, píxeles de Meta, WhatsApp Business.
• TikTok Marketing API: acceso a cuentas de anunciantes, campañas y métricas de rendimiento de TikTok Ads.
• TikTok Login Kit + Display API: acceso al perfil orgánico de TikTok y lista de videos (con scopes: user.info.basic, video.list).
• Google Ads API: acceso a cuentas de Google Ads, campañas (Search, Shopping, Display, Performance Max) y métricas.
• Anthropic API (Claude): procesamiento de análisis con IA usando la clave API del propio usuario. Los datos de campañas se envían a Claude para generar análisis. Anthropic no retiene estos datos según su política.
• FAL.AI API: generación de imágenes y contenido creativo usando la clave API del usuario.
• Stripe: procesamiento seguro de pagos.

6. Compartir Información

No vendemos ni alquilamos información personal a terceros.

La información se comparte de forma limitada con:

• Proveedores de servicios que ayudan a operar la plataforma (hosting, procesamiento de pagos).
• Las plataformas publicitarias integradas (Meta, TikTok, Google) según los permisos autorizados.
• Proveedores de IA (Anthropic, FAL.AI) usando las propias claves API del usuario.
• Autoridades legales cuando sea requerido por ley.
• En caso de fusión, adquisición o transferencia de activos, con notificación previa.

7. Seguridad de los Datos

• Cifrado AES-256-GCM para todos los tokens OAuth y claves API almacenados.
• Row Level Security (RLS) en base de datos para aislamiento completo entre tenants/organizaciones.
• Comunicaciones cifradas con HTTPS/TLS en todas las conexiones.
• Tokens nunca expuestos al frontend — solo se descifran en el servidor.
• Cookies HttpOnly, Secure, SameSite para protección CSRF en flujos OAuth.
• Monitoreo de seguridad y auditorías periódicas.

Si bien implementamos medidas de seguridad robustas, ningún sistema es completamente seguro. Nos comprometemos a notificar cualquier brecha de seguridad según lo exija la ley aplicable.

8. Retención de Datos

La información se retiene mientras su cuenta esté activa y durante el período necesario para cumplir con los fines descritos. Al cancelar su suscripción, los datos se retienen durante 30 días para permitir la reactivación, y luego se eliminan de forma segura o se anonimizan.

Los registros financieros se retienen según las obligaciones legales aplicables (típicamente 7 años para cumplimiento fiscal).

9. Derechos del Usuario

De acuerdo con GDPR, CCPA y demás legislación aplicable, usted tiene derecho a:

• Acceso: solicitar una copia de los datos personales que tenemos sobre usted.
• Rectificación: corregir datos inexactos o incompletos.
• Eliminación: solicitar la eliminación de sus datos personales. Ver nuestra Política de Eliminación de Datos.
• Restricción: limitar el procesamiento de sus datos en ciertas circunstancias.
• Portabilidad: recibir sus datos en un formato estructurado y legible por máquina.
• Objeción: oponerse al procesamiento de sus datos para ciertos fines.
• Revocación del consentimiento: desconectar plataformas en cualquier momento desde Configuración → Integraciones.

Para ejercer estos derechos, contacte: [email protected]

10. Cookies

Utilizamos cookies esenciales para:

• Autenticación de sesión (Supabase auth).
• Protección CSRF en flujos OAuth (cookies HttpOnly con nonce temporal).
• Preferencias de la plataforma (tema, sidebar, última marca seleccionada).

No utilizamos cookies de tracking publicitario de terceros. No instalamos píxeles de seguimiento de Meta, Google ni TikTok en la plataforma.

11. Transferencias Internacionales

Aivachat LLC opera desde Estados Unidos. Sus datos pueden ser transferidos y procesados en servidores ubicados fuera de su país de residencia. Implementamos las salvaguardas apropiadas para proteger sus datos en estas transferencias.

12. Menores de Edad

Aiva Ads no está dirigido a menores de 18 años. No recopilamos intencionalmente información de menores. Si descubrimos que hemos recopilado datos de un menor, los eliminaremos inmediatamente.

13. Actualizaciones de esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Los cambios significativos serán notificados por correo electrónico y/o aviso en la plataforma. La fecha de última actualización se muestra al inicio del documento.

14. Políticas Relacionadas

• Términos de Servicio
• Política de Eliminación de Datos

15. Contacto

• Aivachat LLC
• Email: [email protected]
• Web: www.aivacompany.com
• WhatsApp: (+1) 507-410-4139