Política de Privacidad

Esta Política de Privacidad describe cómo INFOLUCION LLC ("nosotros", "nuestro", "la Empresa"), operadora de la plataforma Aduanas360, recopila, utiliza, almacena y protege la información personal de los usuarios de la plataforma Aduanas360 ("la Plataforma"). Al utilizar la Plataforma, usted acepta las prácticas descritas en esta política.

Alcance: esta política aplica tanto al sitio público aduanas360.com (donde existen herramientas gratuitas, blog y material de marketing) como a la aplicación SaaS de gestión de expedientes (admin.aduanas360.com). Las prácticas de recolección de datos difieren entre ambos — particularmente en lo relativo a analítica y marketing, donde el sitio público usa herramientas de terceros (Google Analytics, Meta) sujetas a su consentimiento, mientras que la aplicación SaaS no las utiliza. Las diferencias se detallan en cada sección.

1. Datos Personales que Recopilamos

1.1 Datos de cuenta de usuario

Al registrarse y utilizar la Plataforma, recopilamos:

• Dirección de correo electrónico (identificador único de cuenta)
• Nombre completo
• Número de teléfono (opcional)
• Imagen de perfil (opcional)
• Contraseña (almacenada de forma cifrada, nunca en texto plano)
• Rol asignado dentro de la Organización

1.2 Datos de la Organización

Cuando se crea una Organización en la Plataforma, se recopilan:

• Nombre de la Organización
• País de operación
• Dirección comercial
• Identificación fiscal (RTN, NIT, RFC u otro según el país)
• Tipo de contribuyente
• Logotipo (opcional)
• Información de contacto comercial

1.3 Datos de clientes (importadores)

Las Organizaciones registran datos de sus clientes dentro de la Plataforma, incluyendo:

• Nombre o razón social del importador
• Información de contacto (correo electrónico, teléfono, dirección)
• Identificación fiscal
• Datos comerciales relevantes para las operaciones de importación

1.4 Datos de operaciones

En el curso normal del uso de la Plataforma, se generan y almacenan:

• Expedientes de importación: estados, fechas, notas, historial de cambios
• Cotizaciones: servicios ofrecidos, precios, condiciones, estados
• Documentos de transporte: datos de B/L y AWB, puertos, pesos, volúmenes, contenedores
• Facturas: montos, monedas, tipos de cambio, estados de pago
• Documentos adjuntos: archivos subidos por los usuarios (facturas comerciales, permisos, certificados, etc.)
• Catálogo de productos: descripciones, clasificaciones arancelarias, pesos, valores de referencia
• Costos del expediente: desglose de costos asociados a cada importación

1.5 Datos técnicos y de uso

Recopilamos automáticamente:

• Dirección IP de conexión
• Fecha y hora de acceso (timestamps)
• Información de sesión
• Registros de auditoría (acciones realizadas, usuario responsable, fecha y hora)
• Datos de navegador y dispositivo transmitidos en las solicitudes HTTP

2. Cómo Utilizamos los Datos

2.1 Provisión del servicio

Utilizamos los datos recopilados para:

• Crear y gestionar cuentas de usuario y Organizaciones
• Procesar y dar seguimiento a expedientes de importación
• Generar cotizaciones, facturas y documentos PDF
• Gestionar documentos de transporte y su vinculación con expedientes
• Proporcionar acceso al portal de clientes
• Calcular costos y manejar conversiones de moneda
• Permitir la búsqueda y consulta de clasificaciones arancelarias

2.2 Autenticación y seguridad

• Verificación de correo electrónico al registrarse
• Gestión de sesiones de usuario
• Control de acceso basado en roles y permisos
• Detección de actividad inusual en las cuentas
• Protección contra accesos no autorizados

2.3 Comunicaciones

Enviamos correos electrónicos exclusivamente para:

• Verificación de correo electrónico al crear la cuenta
• Restablecimiento de contraseña cuando lo solicite el usuario
• Notificaciones operativas relevantes (cambios de estado de expedientes, vencimientos)
• Avisos sobre cambios en los Términos de Servicio o esta Política de Privacidad

No enviamos correos de marketing ni boletines promocionales.

2.4 Auditoría y trazabilidad

La Plataforma registra automáticamente:

• Quién realizó cada acción (creación, modificación, eliminación)
• Cuándo se realizó la acción (fecha y hora exacta)
• Cambios de estado en expedientes, cotizaciones y facturas
• Historial de versiones de documentos

Estos registros son esenciales para el control operativo de las agencias aduaneras y se mantienen como parte integral del servicio.

3. Almacenamiento y Seguridad

3.1 Infraestructura

Los datos se almacenan utilizando la siguiente infraestructura:

• Base de datos relacional (PostgreSQL): Datos estructurados como usuarios, organizaciones, expedientes, facturas y configuraciones.
• Almacenamiento en la nube (AWS S3): Documentos y archivos adjuntos. Los archivos se acceden mediante URLs firmadas con expiración de una (1) hora, lo que impide el acceso no autorizado mediante enlaces directos.
• Memoria en caché (Redis): Datos de sesión con expiración automática de veinticuatro (24) horas.

3.2 Medidas de seguridad

Implementamos las siguientes medidas técnicas:

• Cifrado en tránsito: Todo el tráfico utiliza HTTPS (TLS). Se implementa HSTS (HTTP Strict Transport Security) para prevenir conexiones inseguras.
• Política de seguridad de contenido (CSP): Headers de seguridad configurados para prevenir ataques de inyección de código.
• Cookies seguras: Las cookies de sesión están marcadas como seguras y HTTPOnly, impidiendo su acceso desde JavaScript del navegador.
• Cifrado de contraseñas: Las contraseñas se almacenan utilizando algoritmos de hash seguros y nunca en texto plano.
• Aislamiento de datos: Cada Organización tiene sus datos completamente aislados de otras Organizaciones (arquitectura multi-tenant).
• Control de acceso: Sistema de roles y permisos que restringe el acceso a datos según la función del usuario.

3.3 Ubicación de los datos

Los datos se procesan y almacenan en centros de datos de Amazon Web Services (AWS). La ubicación específica de los servidores puede variar según las necesidades de infraestructura y rendimiento.

4. Aislamiento Multi-Tenant

4.1 Separación de datos

La Plataforma opera bajo un modelo multi-tenant donde múltiples Organizaciones comparten la misma infraestructura pero sus datos están completamente aislados:

• Cada consulta a la base de datos se filtra automáticamente por Organización.
• No es posible que un usuario de una Organización acceda a datos de otra Organización.
• El middleware de seguridad valida la pertenencia del usuario a la Organización en cada solicitud.
• Los objetos de datos incluyen validación a nivel de consulta para prevenir acceso entre Organizaciones.

4.2 Portal de clientes

Los Clientes del Portal acceden exclusivamente a los datos de sus propios expedientes. No pueden ver información de otros clientes de la misma Organización ni datos internos de la Organización.

5. Compartición de Datos con Terceros

5.1 Proveedores de infraestructura

Compartimos datos con los siguientes proveedores en la medida estrictamente necesaria para operar nuestros servicios:

• Amazon Web Services (AWS):
  • S3: almacenamiento de documentos y archivos adjuntos de la Plataforma SaaS.
  • SES (Simple Email Service): envío de correos transaccionales (verificación, restablecimiento de contraseña, notificaciones, notificaciones de leads).
  • CloudFront: red de distribución de contenido del portal público.
• Supabase: base de datos relacional (PostgreSQL gestionado) y caché de estado conversacional del Bot de WhatsApp.
• Redis Cloud: caché de tipos de cambio, sesiones del Bot y resultados intermedios de clasificación arancelaria.

5.2 Proveedores de inteligencia artificial

Los servicios gratuitos del portal (clasificación arancelaria, extractor de documentos) y el Bot de WhatsApp utilizan los siguientes proveedores de IA como procesadores:

• OpenAI (modelos GPT y embeddings): generación de embeddings semánticos para búsqueda arancelaria, reranking de resultados, extracción estructurada de datos OCR. Los textos consultados (descripción de producto, texto extraído de documentos) se envían a OpenAI para procesamiento. OpenAI no utiliza los datos enviados vía API para entrenar sus modelos (política de API enterprise).
• Mistral AI (servicio OCR): reconocimiento óptico de caracteres en documentos subidos al Extractor. Las imágenes/PDFs se envían a los servidores de Mistral para extracción de texto. No se conserva copia permanente del documento en sus servidores conforme a su política comercial.
• Pinecone (base de datos vectorial): almacenamiento de embeddings de partidas arancelarias del SAC para búsqueda semántica. No se envían datos personales del Usuario — solo se consultan vectores anonimizados.

5.3 Proveedor de mensajería WhatsApp

Para el Bot de WhatsApp utilizamos:

• Meta Platforms, Inc. (WhatsApp Business API): infraestructura de mensajería. Los mensajes que el Usuario intercambia con el Bot se procesan por los servidores de Meta conforme a la política de privacidad de WhatsApp. Meta procesa datos como el número de teléfono del Usuario, contenido de los mensajes, archivos enviados y metadatos asociados.
• Chatwoot (auto-hospedado en nuestra infraestructura): plataforma de gestión de conversaciones donde se almacena el historial de mensajes con el Bot. Operada y controlada exclusivamente por INFOLUCION LLC.

5.4 Analítica y marketing (solo sitio público)

En el sitio público aduanas360.com (no en la aplicación SaaS), utilizamos las siguientes herramientas de terceros sujetas a su consentimiento previo:

• Google Analytics 4 (vía Google Tag Manager): medición agregada de visitas, páginas vistas y comportamiento de navegación. Configurado con Google Consent Mode v2 — sin consentimiento, envía pings anonimizados sin cookies ni identificación del visitante.
• Meta Pixel (Facebook/Instagram): medición de efectividad de campañas publicitarias y re-targeting. Solo se carga si usted acepta la categoría "Marketing" en el banner de cookies.

Usted puede configurar o rechazar estas herramientas en cualquier momento desde el banner de cookies o el link "Configuración de cookies" en el pie de página. Vea la sección 8 para detalles.

Todos los proveedores mencionados actúan como procesadores de datos bajo sus propias políticas de seguridad y privacidad. Seleccionamos proveedores que cuentan con certificaciones de seguridad reconocidas (SOC 2, ISO 27001, GDPR-compliant, etc.) y, donde aplica, suscriben acuerdos de procesamiento de datos (Data Processing Agreements).

5.5 Lo que NO hacemos

• No vendemos datos personales a terceros bajo ninguna circunstancia.
• No utilizamos analítica ni tracking pixels dentro de la aplicación SaaS (admin.aduanas360.com). Las herramientas mencionadas en 5.2 aplican únicamente al sitio público.
• No realizamos perfilado individual de usuarios con fines comerciales. Los datos de analítica son agregados.
• No cruzamos datos del SaaS con los del sitio público ni con datos de redes publicitarias.

5.3 Requerimientos legales

Podemos divulgar datos personales si estamos obligados por ley, orden judicial o requerimiento de autoridad competente, siempre dentro del marco legal aplicable. En la medida que la ley lo permita, notificaremos al usuario afectado sobre dicho requerimiento.

6. Retención de Datos

6.1 Periodo de retención

Los datos se conservan mientras la cuenta del usuario y/o la Organización permanezcan activas en la Plataforma. No existe eliminación automática programada de datos operativos, dado que el historial de expedientes y documentos tiene valor operativo y legal para las agencias aduaneras.

6.2 Datos de auditoría

Los registros de auditoría (quién hizo qué y cuándo) se conservan de forma indefinida mientras la Organización esté activa, dado que son parte integral del control operativo del servicio.

6.3 Tras la terminación

Al solicitar la eliminación de una cuenta u Organización:

• Se ofrece un periodo razonable para exportar los datos.
• Tras la confirmación, los datos se eliminan de los sistemas activos.
• Las copias de seguridad que contengan datos del usuario se eliminan según el ciclo normal de rotación de respaldos.

6.4 Eliminación bajo solicitud

Los usuarios pueden solicitar la eliminación de datos específicos en cualquier momento, sujeto a las obligaciones legales de retención que puedan aplicar.

7. Servicios Gratuitos con IA y Bot de WhatsApp

Esta sección detalla el tratamiento de datos en las herramientas gratuitas del portal y el Bot de WhatsApp. El uso de estos servicios constituye aceptación del tratamiento descrito.

7.1 Clasificación arancelaria con IA

Cuando usted utiliza el buscador arancelario en aduanas360.com/aranceles-honduras/, aduanas360.com/aranceles-centroamerica/ o vía el Bot de WhatsApp:

• Qué procesamos: el texto de su consulta (descripción del producto o código arancelario) y la dirección IP de origen (con fines técnicos y anti-abuso).
• Cómo lo procesamos: generamos un embedding semántico de la consulta vía OpenAI, lo comparamos con embeddings de partidas SAC almacenados en Pinecone, y reclasificamos los mejores candidatos con un modelo LLM.
• Qué se guarda: registros de auditoría agregados (cantidad de consultas, popularidad de partidas) sin información identificable del Usuario. La consulta específica puede conservarse hasta 90 días para diagnóstico de calidad del servicio.
• Qué NO se guarda: no asociamos consultas individuales con perfiles de Usuario, no construimos historial de búsquedas por persona.

7.2 Extractor de Documentos con IA

Cuando usted sube un documento al extractor (sea por el portal o por el Bot de WhatsApp):

• Qué procesamos: el archivo (PDF/imagen) que usted sube. Los archivos contienen típicamente datos comerciales sensibles: facturas, listas de empaque, BL/AWB, certificados.
• Cómo lo procesamos:
  1. El archivo se envía a Mistral AI para OCR (extracción de texto).
  2. El texto extraído se envía a OpenAI para estructuración semántica (identificar items, montos, fechas, etc.).
  3. Los datos estructurados se devuelven al Usuario en formato Excel.
• Política de retención del archivo original: el archivo (PDF/imagen) NO se almacena en nuestros servidores. Los bytes solo viven temporalmente en memoria durante la sesión de procesamiento (típicamente menos de 90 segundos) y se descartan al finalizar. No se guardan copias en S3, disco ni base de datos.
• Política de retención del texto extraído y datos estructurados: durante un periodo de hasta 90 días conservamos en nuestra base de datos el texto OCR del documento y los datos estructurados extraídos, asociados a la dirección IP de origen y al nombre del archivo. Esto nos permite diagnosticar errores reportados por usuarios y mejorar la calidad del servicio. Transcurridos los 90 días, un proceso automático diario anonimiza la fila: elimina el texto OCR, los datos estructurados, las clasificaciones arancelarias, la IP y el nombre del archivo. Solo queda metadata agregada no identificable (tipo de documento, costo del procesamiento, tiempos, status) que se utiliza para analytics interno del servicio.
• Solicitud de eliminación anticipada: usted puede solicitar la eliminación inmediata de un análisis específico (antes del periodo de 90 días) escribiendo a contacto@aduanas360.com indicando la fecha y hora aproximada del procesamiento. Atenderemos la solicitud en un plazo máximo de 30 días.
• Proveedores externos: OpenAI (para estructuración) y Mistral AI (para OCR) procesan los datos conforme a sus respectivas políticas de privacidad. Ninguno utiliza los datos enviados vía API para entrenar modelos de uso público — aplican sus acuerdos de API enterprise.
• Su responsabilidad: al subir un documento, usted declara contar con la autorización para procesarlo. No suba documentos de terceros sin consentimiento, ni documentos protegidos por secreto profesional o que contengan datos personales de terceros que no han consentido el procesamiento.

7.3 Bot de WhatsApp

El Bot opera vía WhatsApp Business API de Meta. Al iniciar conversación con el Bot:

• Qué procesamos:
  • Su número de teléfono de WhatsApp (necesario para que Meta enrute los mensajes).
  • Su nombre de perfil en WhatsApp (si lo tiene público).
  • El contenido de los mensajes que envía al Bot (texto, archivos, selecciones de menú).
  • Metadatos de la conversación (timestamps, estado del flujo conversacional, opciones elegidas).
• Dónde se almacena:
  • Meta Platforms, Inc. procesa los mensajes en su infraestructura conforme a la política de privacidad de WhatsApp Business.
  • Nosotros almacenamos el historial de la conversación en nuestra instancia auto-hospedada de Chatwoot durante un máximo de 90 días. Después de ese periodo, las conversaciones cerradas se purgan automáticamente.
  • El estado conversacional del Bot (qué opción del menú está activa) se guarda en Supabase y se borra cuando la conversación se cierra.
• Handoff a humano: si usted solicita hablar con un asesor (opción "Hablar con un asesor" del menú), la conversación se transfiere a un agente humano de nuestro equipo comercial. El agente verá el historial completo de la conversación con el Bot.
• Notificación de lead: cuando solicita hablar con un asesor, enviamos un correo interno con su nombre de WhatsApp y número a nuestro equipo comercial para facilitar el contacto. Este correo no se comparte con terceros.
• Su número de teléfono puede ser utilizado por nuestro equipo comercial para contactarlo en el futuro respecto a la consulta inicial. Usted puede solicitar dejar de recibir contacto enviándonos un mensaje en cualquier momento.

7.4 Lo que NO hacemos en servicios gratuitos

• No vendemos ni compartimos los documentos que sube ni el contenido de sus consultas con terceros distintos a los procesadores listados en la sección 5.
• No cruzamos datos entre los servicios gratuitos y la Plataforma SaaS. Un Usuario del SaaS y un visitante de las herramientas gratuitas son tratados como entidades separadas a menos que se vinculen explícitamente.
• No utilizamos los documentos subidos para entrenar modelos propios de IA.
• No realizamos perfilado individual de usuarios del Bot con fines comerciales más allá del contacto inicial solicitado.

8. Derechos del Usuario

De acuerdo con la legislación aplicable, usted tiene derecho a:

7.1 Acceso

Solicitar una copia de los datos personales que tenemos sobre usted y su Organización.

7.2 Rectificación

Solicitar la corrección de datos personales inexactos o incompletos. Muchos datos pueden ser corregidos directamente por el usuario dentro de la Plataforma.

7.3 Eliminación

Solicitar la eliminación de sus datos personales, sujeto a las obligaciones legales de retención y a los derechos de la Organización sobre sus datos operativos.

7.4 Portabilidad

Solicitar una copia de sus datos en un formato estructurado y de uso común.

7.5 Oposición

Oponerse al procesamiento de sus datos para fines específicos. Dado que la Plataforma no realiza procesamiento con fines de marketing, este derecho se aplica principalmente a comunicaciones opcionales.

7.6 Ejercicio de derechos

Para ejercer cualquiera de estos derechos, contacte a nuestro equipo a través de los medios indicados en la sección de Contacto. Responderemos a su solicitud dentro de un plazo de treinta (30) días.

9. Cookies

Distinguimos entre las cookies del sitio público (aduanas360.com) y la aplicación SaaS (admin.aduanas360.com), porque las prácticas difieren.

8.1 Cookies en la aplicación SaaS (admin.aduanas360.com)

La aplicación SaaS utiliza exclusivamente cookies funcionales estrictamente necesarias para el funcionamiento del servicio:

• Cookie de sesión: identifica su sesión activa en la aplicación. Expira al cerrar el navegador o después de un periodo de inactividad.
• Cookie CSRF: token de seguridad que protege contra ataques de falsificación de solicitudes (CSRF). Esencial para la seguridad de los formularios.

La aplicación SaaS no utiliza cookies de analítica, marketing ni de terceros. Por eso no se muestra banner de consentimiento dentro de la aplicación — solo se usan cookies estrictamente necesarias permitidas por GDPR sin consentimiento previo.

8.2 Cookies en el sitio público (aduanas360.com)

El sitio público utiliza tres categorías de cookies. Al ingresar por primera vez, mostramos un banner de consentimiento donde usted puede aceptar todas, rechazarlas o personalizar cuáles permite. Su elección se guarda durante 180 días en una cookie llamada aduanas360_cc.

8.2.1 Estrictamente necesarias (siempre activas)

Imprescindibles para el funcionamiento del sitio. No se pueden rechazar.

• aduanas360_cc: almacena su elección de consentimiento de cookies. Expira en 180 días.

8.2.2 Analítica (opcional)

Nos ayudan a entender qué páginas se visitan más, desde qué países llega la gente y cómo navegan. Los datos son agregados y sirven para mejorar el portal. Si rechaza esta categoría, Google Analytics opera en modo anonimizado sin cookies (Consent Mode v2 de Google) — solo registra pings agregados sin identificar al visitante.

• _ga (google.com): identifica visitantes únicos. Expira en 2 años.
• _ga_* (google.com): mantiene estado de sesión de Google Analytics 4. Expira en 2 años.

8.2.3 Marketing (opcional)

Permiten medir efectividad de campañas publicitarias y mostrar anuncios relevantes en otras plataformas (re-targeting). Si rechaza esta categoría, el script de Meta Pixel no se carga en ningún momento — Meta no recibe ningún dato suyo.

• _fbp (facebook.com): identifica el navegador para re-targeting publicitario de Meta. Expira en 3 meses.
• fr (facebook.com): cookie principal de Meta para entrega de anuncios. Expira en 3 meses.

8.3 Gestión de cookies

Puede modificar o revocar su consentimiento en cualquier momento:

• Desde el portal: haga click en el link "Configuración de cookies" del pie de página (abrir configuración ahora).
• Desde su navegador: puede borrar las cookies del sitio en la configuración de su navegador. La próxima visita le pedirá consentimiento de nuevo.

8.4 Lo que NO utilizamos

• No utilizamos herramientas de fingerprinting del navegador para identificar visitantes sin cookies.
• No utilizamos cookies de botones de compartir de redes sociales (no embebemos botones de Like/Share que tracquen).
• No vendemos datos de tracking ni los compartimos fuera de los proveedores mencionados (Google, Meta) que actúan como procesadores bajo sus propias políticas.

10. Menores de Edad

La Plataforma no está dirigida a menores de 18 años. No recopilamos intencionalmente datos de menores de edad. Si detectamos que un menor ha creado una cuenta, procederemos a eliminarla.

11. Transferencias Internacionales de Datos

10.1 Naturaleza del servicio

Dado que Aduanas360 atiende a usuarios en múltiples países de Latinoamérica, los datos pueden ser transferidos y procesados en países distintos al país de residencia del usuario.

10.2 Garantías

Las transferencias internacionales de datos se realizan bajo las garantías proporcionadas por nuestros proveedores de infraestructura (AWS), que cumplen con estándares internacionales de protección de datos.

12. Cambios a esta Política

11.1 Actualizaciones

Nos reservamos el derecho de actualizar esta Política de Privacidad periódicamente. La fecha de última actualización se indica al inicio del documento.

11.2 Notificación

Los cambios sustanciales serán notificados a los usuarios mediante:

• Correo electrónico a la dirección registrada
• Aviso visible dentro de la Plataforma

11.3 Continuidad

El uso continuado de la Plataforma después de la publicación de los cambios constituye la aceptación de la Política de Privacidad modificada.

13. Contacto

Para consultas, solicitudes o reclamos relacionados con la privacidad de sus datos, puede contactarnos a través de:

• Correo electrónico: contacto@aduanas360.com

Nos comprometemos a responder todas las solicitudes relacionadas con privacidad dentro de un plazo máximo de treinta (30) días.

Al utilizar Aduanas360, usted confirma que ha leído y comprendido esta Política de Privacidad.