Saltar al contenido principal

Política de Tratamiento de Datos

Para clientes que contratan el servicio SurGira

Última actualización: diciembre 2025

Cuando contratas SurGira para operar tu sistema de atención por WhatsApp, tratamos datos personales de tus propios clientes finales.

Esta política explica cómo usamos, almacenamos y protegemos esos datos y qué hacemos para ayudarte a cumplir la normativa de protección de datos.

1. Alcance y Roles

Responsable del tratamiento: tu empresa (el Cliente que contrata SurGira). Tú defines qué servicios prestas, qué mensajes envías y qué información pides a tus clientes.

Encargado del tratamiento: SurGira SpA (en formación). Nosotros operamos la infraestructura de atención (bot, automatizaciones, panel, base de datos) siguiendo tus instrucciones.

Esta política aplica a los datos que pasan por el sistema implementado por SurGira: WhatsApp Business API, Chatwoot, automatizaciones n8n, base de datos (Supabase u otra definida) y panel SurGira.

Nota: La Política de Privacidad de SurGira cubre los datos de personas que contactan directamente a SurGira (por ejemplo, a través de surgira.com). Esta Política de Tratamiento de Datos cubre los datos de tus clientes finales, que se procesan en tu sistema de atención.

2. Datos que Tratamos

2.1. De tus clientes finales (canal WhatsApp y otros conectados)

Dependiendo de cómo uses el sistema, podemos procesar:

Identificación básica

  • Nombre o alias (si se recoge)
  • Número de WhatsApp / teléfono
  • Correo electrónico (si se solicita en el flujo)

Datos de contacto y contexto comercial

  • Empresa, sucursal o ciudad (si se solicita)
  • Tipo de servicio o producto de interés
  • Motivo de contacto o categoría de consulta

Contenido de conversación

  • Mensajes de texto enviados y recibidos
  • Notas internas que escriba tu equipo en Chatwoot
  • Respuestas del bot y del equipo humano
  • Archivos adjuntos (imágenes, audio, documentos) relacionados con la atención

Datos operativos

  • Fecha y hora de cada mensaje
  • Estado de la conversación (abierta, en espera, cerrada)
  • Canal de origen (WhatsApp, web, otro)
  • Agente asignado y cambios de estado

Datos de agenda o pedidos (si aplican)

  • Fecha/hora y tipo de cita
  • Servicio asociado a la cita
  • Estado del pedido o caso (en revisión, finalizado, etc.)

No necesitamos ni pedimos, por defecto, datos sensibles (salud, religión, orientación, menores, etc.). Si tu negocio opera en un rubro sensible, esa particularidad deberá quedar expresamente regulada en el contrato y en tus propias políticas hacia tus clientes.

3. Para Qué Usamos los Datos

Actuamos como encargado, usando los datos solo para las finalidades que tú defines al contratar el servicio. En términos generales:

Prestar el servicio de atención

  • Recibir mensajes por WhatsApp u otros canales conectados
  • Ejecutar el flujo del bot, clasificar motivos y rutas
  • Derivar casos al equipo humano en Chatwoot

Ejecutar automatizaciones

  • Enviar recordatorios, mensajes de seguimiento o encuestas según tus reglas
  • Actualizar estados de pedidos, citas u otros registros

Registrar y mejorar la operación

  • Guardar el historial de conversaciones para trazabilidad
  • Calcular métricas operativas (volumen, tiempos, motivos frecuentes)
  • Detectar errores del sistema y corregirlos

Uso de IA en tu sistema

Podemos usar modelos de IA (OpenAI, Anthropic, Google u otros) para tareas como:

  • Clasificar mensajes por intención o tema
  • Sugerir respuestas a tu equipo
  • Resumir conversaciones para reportes

En estos casos:

  • Usamos los modelos vía API empresarial, no en chats públicos
  • Configuramos los servicios para no usar los datos con fines de entrenamiento público
  • Buscamos reducir o anonimizar los datos cuando es posible
  • Las decisiones comerciales finales las toma tu equipo, no la IA

4. Dónde se Almacenan los Datos

La arquitectura estándar de SurGira usa la siguiente infraestructura (puede variar si se acuerda algo distinto contigo):

4.1. Mensajes y conversaciones

  • WhatsApp Business API (Meta): Punto de entrada de los mensajes. Meta procesa datos como responsable de la plataforma, bajo sus propios términos.
  • Chatwoot (bandeja de atención): Instalado en un VPS gestionado por SurGira. Ahí se almacenan conversaciones, notas internas, etiquetas y asignaciones de agentes.

4.2. Base de datos operativa

Supabase (PostgreSQL gestionado): Usada como base principal para registro estructurado de mensajes, eventos, estados, métricas, configuración del sistema y paneles internos.

En proyectos específicos podemos, de común acuerdo, conectar una base gestionada por el Cliente o conectar otros servicios de datos (CRM, ERP, e-commerce, etc.).

No usamos Google Sheets ni Notion como base de datos principal del canal de WhatsApp. Se pueden utilizar solo como apoyo (importación/exportación, reportes ligeros).

4.3. Analítica y logs

  • Servicios de analítica web (por ejemplo, Google Analytics) con IP anonimizada
  • Logs técnicos en el VPS de SurGira (errores, performance, auditoría de flujos)

5. Quién Tiene Acceso

Aplicamos el principio de mínimo privilegio:

  • Personal técnico y de soporte de SurGira: solo en la medida necesaria para implementar o corregir el sistema, investigar incidencias y realizar tareas de mantención.
  • Tu equipo interno: agentes que atienden en Chatwoot, personas con acceso al panel SurGira, a la base de datos o a sistemas integrados (CRM, e-commerce, etc.).
  • Proveedores externos: Meta (WhatsApp), Supabase, proveedor de VPS, proveedores de IA, servicios de agenda y otros integrados. Todos ellos actúan como responsables o encargados de tratamiento según sus propios términos y contratos.

SurGira no vende datos personales, ni los usa para fines propios de marketing dirigidos a tus clientes finales.

6. Derechos de los Titulares de Datos

Tus clientes finales tienen los derechos reconocidos por la Ley 19.628 y la normativa que la reemplace o complemente:

  • Acceso a sus datos
  • Rectificación de datos inexactos
  • Cancelación o eliminación cuando corresponda
  • Oposición a ciertos tratamientos
  • Otros derechos que reconozca la legislación vigente

Como Responsable, tú decides cómo recibir y contestar esas solicitudes (por ejemplo, correo corporativo o formulario).

SurGira te apoyará como Encargado cuando sea necesario, por ejemplo: extrayendo datos desde la base operativa, eliminando registros, o ajustando configuraciones del sistema.

Si un titular contacta directamente a SurGira por datos procesados en tu sistema, derivaremos la solicitud hacia ti y colaboraremos en la respuesta.

7. Medidas de Seguridad

A nivel de infraestructura y software, aplicamos, entre otras, las siguientes medidas:

  • Cifrado TLS en tránsito para paneles y APIs expuestas
  • Bases de datos gestionadas (como Supabase) con cifrado en reposo y backups automáticos
  • VPS protegido con firewall, acceso SSH por clave y actualizaciones periódicas
  • Segmentación de entornos (producción / pruebas) cuando corresponde
  • Políticas de contraseña robustas y, cuando sea posible, autenticación en dos pasos
  • Accesos por rol en Chatwoot, paneles y otros sistemas
  • Monitoreo básico de disponibilidad y alertas ante fallas críticas

En caso de incidente de seguridad que afecte de forma relevante a tus datos o a los de tus clientes, te informaremos en un plazo razonable, indicando: qué ocurrió, qué datos podrían estar afectados, qué medidas ya tomamos y qué acciones sugerimos.

8. Plazos de Conservación y Eliminación

Los plazos exactos se pueden ajustar en el contrato con cada Cliente, pero en general:

  • Conversaciones y registros operativos: se mantienen mientras el sistema esté activo y sean necesarios para trazabilidad de atención, con un horizonte típico de 12–24 meses en entornos productivos.
  • Logs técnicos de sistema: plazos cortos (por ejemplo, hasta 30 días), salvo que se requiera conservarlos para investigar un incidente.
  • Datos en backups: copias automáticas con retención limitada (por ejemplo, 7–30 días), tras lo cual los datos se sobrescriben.

Al terminar la relación contractual, podemos: desactivar accesos al sistema, eliminar datos de producción tras un plazo acordado, o mantener solo aquellos que deban conservarse por obligación legal o para defensa de eventuales acciones.

Si lo solicitas y estás al día en tus pagos, podremos entregarte un respaldo razonable de tus datos (por ejemplo, en formato CSV/SQL) antes de la eliminación.

9. Subencargados y Transferencias

SurGira puede trabajar con subencargados de tratamiento, como:

  • Proveedores de VPS
  • Servicios de base de datos gestionada (Supabase u otros)
  • Herramientas de IA y analítica
  • Soluciones de correo transaccional

En todos los casos:

  • Procuramos que exista un contrato o términos que regulen el tratamiento de datos
  • Elegimos proveedores con estándares de seguridad adecuados
  • Limitamos los datos enviados a lo estrictamente necesario para cumplir la finalidad

Algunos de estos servicios pueden estar ubicados fuera de Chile. El uso de estos proveedores implica transferencias internacionales de datos bajo las salvaguardas contractuales y técnicas aplicables.

10. Cambios en Esta Política

Podemos actualizar esta Política de Tratamiento de Datos cuando:

  • Cambiemos de proveedores clave (por ejemplo, otra base de datos o bandeja de atención)
  • Incorporemos nuevas funcionalidades relevantes
  • Sea necesario por cambios legales

Cuando los cambios sean importantes, te lo informaremos por correo o a través de los canales de comunicación acordados, indicando la nueva fecha de actualización.

La versión vigente estará siempre disponible en nuestro sitio web en la sección legal correspondiente.

Contacto de Privacidad

Encargado del Tratamiento: SurGira SpA (en formación)

Email de privacidad: privacidad@surgira.com

Domicilio: Rancagua, Región de O'Higgins, Chile

Para consultas generales: soporte@surgira.com