Política de Privacidad de BeCRM
Última actualización: 2026-05-24 Fecha de entrada en vigor: 2026-05-24
Esta Política de Privacidad describe cómo Be Graffic LLC (en adelante, "BeCRM", "nosotros", "nuestro") recolecta, usa, almacena, comparte y protege la información personal en relación con la plataforma BeCRM (crm.begraffic.com y subdominios asociados, en adelante, el "Servicio").
Esta política aplica a:
- Customers: organizaciones y usuarios que crean una cuenta y operan un workspace en BeCRM.
- End Users de los Customers: agentes, administradores y miembros invitados al workspace.
- Leads / Contactos: terceros cuyos datos son cargados, importados o capturados por nuestros Customers dentro de BeCRM.
- Visitantes: cualquier persona que navega el sitio web público.
1. Identidad del responsable
| Concepto | Detalle |
|---|---|
| Responsable del tratamiento | Be Graffic LLC |
| Identificación fiscal | EIN (a registrar en formularios oficiales) |
| Dirección | Suite 201, New Castle, Middletown, Delaware, EE. UU. |
| País de constitución | Estados Unidos de América (Delaware) |
| Contacto privacidad / DPO | legal@begraffic.com |
| Contacto general | support@begraffic.com |
Para datos de Leads cargados por Customers, BeCRM actúa como Encargado del Tratamiento (Data Processor) y el Customer es el Responsable (Data Controller). El alcance se detalla en nuestro Data Processing Agreement.
2. Información que recolectamos
2.1 Información que tú nos proporcionas directamente
| Categoría | Ejemplos | Origen |
|---|---|---|
| Datos de cuenta | Nombre, email, contraseña hash, foto de perfil, rol, idioma | Signup, perfil |
| Datos del workspace | Nombre de la organización, dominio, sector, tamaño | Onboarding |
| Datos de facturación | Razón social, NIT/RFC, dirección, método de pago | Plan de pago |
| Contenido del Customer | Leads, contactos, notas, etiquetas, segmentos, plantillas, campañas | Uso normal del producto |
| Comunicaciones | Tickets de soporte, emails enviados al equipo, encuestas | Soporte |
| Credenciales de terceros | Tokens OAuth (Google, Stripe), claves API, configuración SES, tokens WhatsApp Business | Conexión de integraciones |
2.2 Información que recibimos de terceros con tu autorización
Cuando conectas integraciones, recibimos datos que el proveedor expone tras tu consentimiento OAuth:
- Google (Gmail/Calendar/Tasks): hilos de correo, metadatos de mensajes, calendarios y eventos del agente, listas de tareas. Ver detalle en google-api-disclosure.md.
- Stripe: customers, charges, invoices, payment intents, suscripciones (solo lectura, salvo billing propio).
- WhatsApp Business / Meta: número, identidad del Business Account, plantillas, mensajes recibidos y metadatos de entrega.
- AWS SES / End User Messaging: eventos de delivery, bounces, complaints, opens, clicks (vía SNS/SQS).
2.3 Información que recolectamos automáticamente
- Datos técnicos: IP, user agent, sistema operativo, navegador, idioma, zona horaria, identificador de dispositivo (no persistente).
- Datos de uso: páginas visitadas, acciones (clicks, edits, sends), duración de sesión, errores.
- Cookies y storage local: ver cookie-policy.md.
- Logs y métricas: registros operativos para depuración, seguridad y SLAs.
2.4 Datos de Leads cargados por Customers
Los Customers pueden subir o capturar información de terceros (Leads, prospectos, clientes finales) en el Servicio, incluyendo:
- Nombre, email, teléfono, empresa, cargo, redes sociales.
- Historial de interacciones (emails, llamadas, WhatsApp, SMS, notas).
- Etiquetas, segmentos, scoring, estados comerciales.
- Documentos adjuntos a leads (PDF, imágenes, etc.).
El Customer declara y garantiza que tiene base legal (consentimiento, interés legítimo, contrato u otra) para tratar estos datos y para autorizar a BeCRM como Encargado.
3. Bases legales del tratamiento (GDPR / LOPDGDD)
Si el tratamiento queda bajo GDPR u otra normativa equivalente, las bases legales son:
| Base legal | Para qué |
|---|---|
| Ejecución de contrato | Operar tu cuenta, procesar suscripciones, brindar soporte |
| Consentimiento | Cookies no esenciales, comunicaciones de marketing, ciertos scopes de integraciones |
| Interés legítimo | Seguridad, prevención de fraude, mejora del producto, métricas agregadas |
| Obligación legal | Conservación contable/fiscal, atención a requerimientos de autoridades |
Puedes retirar el consentimiento en cualquier momento (sección 9).
4. Cómo usamos la información
Usamos los datos para:
- Prestar el Servicio: autenticación, sesiones, persistencia de tu workspace, ejecución de campañas, envío de emails/SMS/WhatsApp en tu nombre.
- Facturar y cobrar: gestionar suscripciones, métodos de pago, facturas (vía Stripe).
- Soporte y comunicación operativa: responder tickets, notificar incidentes, enviar correos transaccionales (cambios de plan, restablecer contraseña, alertas de uso).
- Seguridad: prevenir fraude, abuso, accesos no autorizados; investigar incidentes; cumplir auditorías.
- Mejorar el producto: telemetría agregada, análisis de adopción de features, depuración de errores.
- Cumplir obligaciones legales: responder a autoridades competentes, conservar registros contables.
- Comunicaciones comerciales (solo con consentimiento previo o relación contractual activa): novedades de producto, contenido educativo, encuestas.
No usamos datos personales para entrenar modelos de IA propios. Si usamos IA de terceros (ver subprocessors.md) es siempre como Encargado bajo acuerdos que prohíben el reentrenamiento con tu contenido.
5. Con quién compartimos información
Compartimos datos exclusivamente con:
5.1 Subprocesadores
Proveedores de infraestructura y servicios estrictamente necesarios para operar BeCRM. Lista completa y actualizada en subprocessors.md. Categorías:
- Hosting y base de datos (Google Firebase / Firestore, Google Cloud).
- Email transaccional y marketing (AWS SES, AWS SQS).
- Mensajería (Meta WhatsApp Business, AWS End User Messaging).
- Pagos (Stripe).
- Observabilidad y monitoreo (logs, error tracking).
- IA y procesamiento de lenguaje (OpenAI / Anthropic — solo cuando una feature lo requiere).
Todos los subprocesadores están sujetos a obligaciones contractuales equivalentes o más estrictas que las de esta política.
5.2 Integraciones que tú conectas
Cuando conectas Google, Stripe, WhatsApp u otras integraciones, autorizas el intercambio bidireccional de datos entre BeCRM y ese proveedor según los scopes que apruebes. Puedes revocar el acceso en cualquier momento desde Settings → Integraciones y desde la consola del proveedor.
5.3 Autoridades competentes
Cuando exista una obligación legal vinculante (orden judicial, requerimiento administrativo), entregaremos solo lo estrictamente necesario y, cuando la ley lo permita, te notificaremos antes.
5.4 Transacciones corporativas
Si BeCRM participa en una fusión, adquisición o venta de activos, los datos pueden transferirse al adquirente bajo equivalentes obligaciones. Te notificaremos con al menos 30 días de antelación.
Nunca vendemos datos personales. Nunca compartimos datos con anunciantes ni data brokers.
6. Transferencias internacionales
BeCRM se opera principalmente en infraestructura ubicada en Estados Unidos y Europa (Google Cloud, AWS). Si resides en la Unión Europea/EEE, Reino Unido u otra jurisdicción con restricciones de transferencia, aplicamos:
- Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea con nuestros subprocesadores cuando aplica.
- Evaluaciones de impacto de transferencia cuando corresponde.
- Medidas técnicas adicionales (cifrado en tránsito y reposo, segmentación de claves).
7. Retención
| Tipo de dato | Plazo de retención |
|---|---|
| Datos de cuenta activa | Mientras el workspace esté activo |
| Datos tras cancelación | 90 días en estado "soft-deleted" para recuperación; luego eliminación o anonimización |
| Backups | Hasta 35 días en backups cifrados rotativos |
| Logs operativos | 90 días |
| Logs de seguridad / auditoría | 12 meses |
| Datos contables y de facturación | El plazo exigido por la legislación fiscal aplicable (típicamente 5–10 años) |
| Tokens OAuth | Mientras la integración esté activa; se revocan al desconectar |
| Datos de leads / contenido del Customer | Bajo control del Customer mientras el workspace exista; pueden eliminarse desde el dashboard en cualquier momento |
A solicitud del Customer (Data Controller), eliminaremos los datos antes de los plazos por defecto, salvo conservación obligatoria por ley.
8. Seguridad
Implementamos medidas técnicas y organizativas razonables:
- Cifrado: TLS 1.2+ en tránsito; cifrado en reposo a nivel de proveedor (Firestore, S3).
- Cifrado de secretos sensibles (claves API, tokens OAuth) con clave maestra
SECRET_KEY_ENCRYPTION_KEYadministrada fuera de la base de datos. - Control de acceso por roles (RBAC) por workspace.
- Autenticación: Firebase Authentication; soporte de proveedores OAuth.
- Aislamiento por workspace: cada workspace tiene su propio scope en Firestore Rules.
- Backups automáticos cifrados.
- Monitoreo y alertas de anomalías de acceso y abuso.
- Hardening: protección CSRF/XSS/SQLi a nivel de framework, headers de seguridad, validación de input.
- Reviews y auditorías internas periódicas de código y dependencias.
Ningún sistema es 100% inviolable. Si detectas una vulnerabilidad escríbenos a security@begraffic.com — ver security-policy.md.
9. Tus derechos
Según tu jurisdicción puedes ejercer los siguientes derechos sobre tus datos personales:
| Derecho | Qué significa |
|---|---|
| Acceso | Saber qué datos tuyos tratamos |
| Rectificación | Corregir datos inexactos |
| Supresión / Cancelación | Solicitar borrado ("derecho al olvido") |
| Oposición | Oponerte al tratamiento en ciertos casos |
| Limitación | Pedir suspender el tratamiento mientras se resuelve una disputa |
| Portabilidad | Recibir tus datos en formato estructurado para llevarlos a otro proveedor |
| No-decisiones automatizadas | No quedar sujeto a decisiones únicamente automatizadas que te afecten significativamente |
| Revocar consentimiento | Cuando el tratamiento se base en consentimiento |
| Reclamación | Presentar queja ante la autoridad de protección de datos competente |
Cómo ejercerlos: escríbenos a legal@begraffic.com desde el email asociado a tu cuenta, indicando el derecho que ejerces y aportando datos para verificar tu identidad. Responderemos dentro de los plazos legales aplicables (típicamente 30 días, prorrogables).
Si los datos son de un Lead cargado por un Customer, te redirigiremos al Customer (Data Controller) o coordinaremos con él, salvo obligación legal directa.
10. Menores
BeCRM no está dirigido a menores de 16 años y no recolectamos conscientemente sus datos. Si descubres que un menor nos ha proporcionado datos, contáctanos para eliminarlos.
11. Cookies y tecnologías similares
Detallado en la Política de Cookies.
12. Datos provenientes de integraciones específicas
12.1 Google Workspace / Gmail
BeCRM cumple con la Google API Services User Data Policy, incluyendo los Limited Use Requirements. El uso de datos obtenidos vía Google APIs (Gmail, Calendar, Tasks) se rige adicionalmente por nuestro Google API Disclosure. En particular:
- No usamos datos de Gmail para publicidad.
- No vendemos datos obtenidos vía Google APIs.
- No los usamos para entrenar modelos de IA generales.
- Solo los humanos los leen para soporte (con tu consentimiento explícito), para cumplir la ley, o cuando los datos están agregados y anonimizados para mantenimiento del Servicio.
12.2 Meta / WhatsApp Business
Cumplimos las políticas de la Plataforma de WhatsApp Business y términos de Meta para Developers. Los mensajes y plantillas son tratados como contenido del Customer y solo accedidos para prestar el Servicio.
12.3 Stripe
Cuando facturas a tus clientes desde Stripe Connect, BeCRM importa datos de customers en modo lectura para enriquecer tus leads. No procesamos pagos en nombre tuyo (eso ocurre directamente entre tu cuenta de Stripe y tus clientes).
13. Comunicaciones electrónicas (CAN-SPAM / RGPD / Ley local)
Los emails transaccionales (alertas, restablecimiento, facturas, notificaciones operativas) no son opcionales mientras el Servicio esté activo: son necesarios para la prestación.
Los emails de marketing de BeCRM se envían solo a quienes han consentido o tienen relación contractual activa, y siempre incluyen un mecanismo de baja (unsubscribe).
Cuando tú envías emails/SMS/WhatsApp a tus leads usando BeCRM, eres responsable del cumplimiento normativo aplicable. Consulta nuestra Acceptable Use Policy.
14. Cambios a esta política
Podemos actualizar esta Política. Cuando los cambios sean materiales:
- Te notificaremos con al menos 30 días de anticipación por email o aviso en la aplicación.
- Actualizaremos el campo "Última actualización".
- Si continuas usando el Servicio tras la entrada en vigor, se entenderá que aceptas los cambios.
15. Contacto
Para cualquier pregunta o solicitud:
- Privacidad / DPO: legal@begraffic.com
- Soporte: support@begraffic.com
- Dirección postal: Suite 201, New Castle, Middletown, Delaware, EE. UU.
Si no estás conforme con nuestra respuesta, puedes presentar reclamación ante la autoridad de protección de datos competente en tu país de residencia.