1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es Francisco Daniel Araoz (titular comercial de la marca Zenith Shift, en adelante "Zenith Shift", "nosotros" o "la empresa"). Para cualquier consulta relacionada con el tratamiento de datos podés contactarnos en:
| Categoría | Detalle |
|---|---|
| Titular | Francisco Daniel Araoz |
| CUIT | 20-42366386-4 |
| Domicilio | Azcuénaga 1038, 5° G, Ciudad Autónoma de Buenos Aires (C1115AAF), Argentina |
| administracion@zenithshift.com.ar | |
| +54 9 223 563-5300 | |
| Web | https://zenithshift.com.ar |
Para usuarios del Espacio Económico Europeo (EEE) o del Reino Unido, actuamos como controlador de datos en el sentido del Art. 4(7) del GDPR respecto de los datos de cuenta de nuestros clientes directos, y como encargado del tratamiento (procesador) cuando operamos cuentas de plataformas de terceros (Meta, Google) en nombre de nuestros clientes.
2. Datos que recopilamos
2.1 Datos que nos proporcionás directamente
- Datos de cuenta: nombre completo, dirección de correo electrónico, foto de perfil (proporcionados al autenticarte con Google o con email).
- Datos de empresa: nombre de la empresa, rubro, contacto comercial, plan de suscripción seleccionado.
- Datos de chatbot: nombre del asistente, mensajes de bienvenida, configuración de personalidad y reglas de negocio que vos definas.
- Datos de pago: los datos de facturación son procesados directamente por nuestros proveedores de pago (Mercado Pago). No almacenamos números de tarjeta ni datos financieros sensibles.
- Comunicaciones: mensajes que nos enviés por email, formularios de soporte, WhatsApp o chat.
2.2 Datos recopilados automáticamente
- Datos de uso: páginas visitadas, funcionalidades utilizadas, clicks, tiempo de sesión, flujos de navegación dentro de la plataforma.
- Datos técnicos: dirección IP, tipo y versión de navegador, sistema operativo, resolución de pantalla, zona horaria, identificadores de dispositivo.
- Datos de log: registros de servidor que incluyen fecha/hora de acceso, endpoint consultado, código de respuesta HTTP.
- Cookies y tecnologías similares: ver sección 9 para más detalles.
2.3 Datos de plataformas vinculadas (Meta, Google)
Cuando conectás cuentas de Meta (Facebook, Instagram, WhatsApp Business) o Google Ads, accedemos —con tu autorización OAuth expresa— a los identificadores de cuenta, páginas, perfiles de Instagram, números de WhatsApp Business, campañas publicitarias, métricas de rendimiento (impresiones, clics, conversiones, gasto), conversaciones de DM/mensajería entrantes y configuraciones que vos administres. Estos datos se tratan exclusivamente para prestarte el servicio contratado.
No usamos los datos de tus plataformas conectadas para ningún fin distinto a la prestación del servicio, y no los vendemos ni compartimos con terceros con fines comerciales propios.
3. Finalidades y base legal (GDPR Art. 6)
| Categoría | Detalle |
|---|---|
| Prestación del servicio | Ejecución del contrato (Art. 6(1)(b)) — necesario para crear y gestionar tu cuenta, procesar pagos y brindarte acceso a la plataforma. |
| Operación de cuentas Meta/Google | Ejecución del contrato (Art. 6(1)(b)) — acceso y gestión de cuentas publicitarias y de mensajería vinculadas según tus instrucciones, en nuestro rol de Tech Provider. |
| Chatbot con IA | Ejecución del contrato (Art. 6(1)(b)) — procesamiento de mensajes entrantes para generar respuestas automatizadas, captura de leads y entrega de información al usuario final. |
| Seguridad y prevención de fraude | Interés legítimo (Art. 6(1)(f)) — proteger la integridad de la plataforma, detectar accesos no autorizados y prevenir abusos. |
| Mejora del producto | Interés legítimo (Art. 6(1)(f)) — análisis agregado y anonimizado del uso para mejorar funcionalidades. |
| Soporte al cliente | Ejecución del contrato (Art. 6(1)(b)) — resolver dudas, incidencias y solicitudes de los usuarios. |
| Comunicaciones comerciales | Consentimiento (Art. 6(1)(a)) — con tu consentimiento previo enviar newsletters, novedades de producto y ofertas. Podés retirar el consentimiento en cualquier momento. |
| Cumplimiento legal | Obligación legal (Art. 6(1)(c)) — conservar registros contables, responder a requerimientos de autoridades. |
4. Rol como Tech Provider de Meta
Zenith Shift está registrado como Tech Provider (Proveedor de Tecnología) en el portafolio comercial de Meta (Business Portfolio ID 829910545907849). Esto significa que ofrecemos servicios de tecnología a nuestros clientes (empresas) para que puedan operar sus propias cuentas de Facebook, Instagram y WhatsApp Business a través de nuestra plataforma.
4.1 Qué hacemos con los datos de Meta
- Recibimos mensajes de Instagram Direct, Messenger y WhatsApp dirigidos a las cuentas que nuestros clientes nos autorizan a operar.
- Generamos respuestas automatizadas mediante un asistente de IA (Anthropic Claude) y las enviamos en nombre del cliente a través de las APIs oficiales de Meta.
- Creamos, leemos, actualizamos y reportamos campañas de Meta Ads de las cuentas publicitarias que el cliente nos autoriza a gestionar.
- Enviamos eventos de conversión (Conversions API) desde los sitios web de nuestros clientes hacia el Pixel de Meta correspondiente, para mejorar la medición y optimización de sus campañas.
4.2 Qué NO hacemos con los datos de Meta
- No vendemos datos de Meta a terceros.
- No usamos los datos de un cliente para beneficiar a otro cliente.
- No combinamos datos de distintas cuentas comerciales sin autorización expresa.
- No usamos los datos para construir perfiles publicitarios propios, ni para entrenar modelos de IA de terceros.
- No accedemos a datos de cuentas que el cliente no nos haya autorizado explícitamente vía OAuth.
4.3 Revocación de acceso
Podés revocar el acceso de Zenith Shift a tus cuentas de Meta en cualquier momento desde tu propio Meta Business Suite (Configuración → Integraciones de negocios). Cuando lo hacés, dejamos de recibir webhooks de Meta para esa cuenta y procedemos a eliminar los tokens de acceso de nuestros sistemas.
Para más información sobre nuestro rol como Tech Provider, consultá la documentación completa en /integraciones-meta.
5. Terceros y sub-encargados del tratamiento
Zenith Shift trabaja con los siguientes proveedores que pueden acceder o procesar datos personales en nuestro nombre. Todos están vinculados por acuerdos de procesamiento de datos (DPA) y ofrecen garantías adecuadas conforme al GDPR.
| Categoría | Detalle |
|---|---|
| Amazon Web Services (AWS) | Infraestructura cloud — hosting, base de datos PostgreSQL (RDS), almacenamiento S3. Regiones: sa-east-1 (São Paulo) y us-east-1. |
| Anthropic, PBC | Procesamiento de IA (Claude) para el chatbot y la automatización inteligente. Los datos enviados a Anthropic no se usan para entrenar modelos. |
| Google LLC | Autenticación OAuth (Google Sign-In) y, cuando el cliente lo conecta, Google Ads API. |
| Meta Platforms, Inc. | APIs de Graph, Messenger, Instagram Messaging, WhatsApp Cloud, Marketing API y Conversions API (solo para cuentas que el cliente autoriza). |
| Mercado Pago S.A. | Procesamiento de pagos y suscripciones recurrentes. |
| AWS Amplify / Cloudflare | Despliegue y entrega del frontend (CDN, WAF). |
| Zoho Corporation | Correo transaccional y de soporte (cuentas @zenithshift.com.ar). |
No vendemos tus datos personales a terceros ni los compartimos con fines publicitarios ajenos a los servicios que vos contratás.
6. Transferencias internacionales de datos
Algunos de nuestros proveedores se encuentran fuera del Espacio Económico Europeo (EEE). Para garantizar un nivel adecuado de protección utilizamos los mecanismos previstos en el GDPR:
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914).
- Decisiones de adecuación cuando el país destino cuenta con una.
- EU-U.S. Data Privacy Framework cuando aplique.
Para usuarios de Argentina: las transferencias internacionales se realizan conforme al Art. 12 de la Ley 25.326. Podés solicitar copia de las salvaguardas escribiendo a administracion@zenithshift.com.ar.
7. Plazos de conservación
| Categoría | Detalle |
|---|---|
| Datos de cuenta | Durante la vigencia del contrato + 5 años después de la baja (obligaciones fiscales y legales). |
| Datos de campañas y analítica | Durante la vigencia del contrato + 2 años en forma anonimizada. |
| Mensajes de chatbot | Mientras el servicio esté activo + 30 días tras la eliminación de la empresa. |
| Tokens OAuth de Meta/Google | Eliminados al revocar el acceso o tras 60 días de inactividad. |
| Logs operativos | 90 días. |
| Logs de seguridad | 1 año. |
| Datos de pagos / facturación | 10 años conforme a obligaciones fiscales (AFIP). |
| Comunicaciones de soporte | 3 años desde el cierre del ticket. |
8. Tus derechos
Derecho de acceso (Art. 15 GDPR)
Podés solicitar confirmación de si tratamos datos sobre vos y recibir una copia de los mismos.
Derecho de rectificación (Art. 16 GDPR)
Podés solicitar la corrección de datos inexactos o incompletos. Muchos los podés actualizar directamente desde tu perfil.
Derecho de supresión (Art. 17 GDPR)
Podés solicitar la eliminación de tus datos cuando ya no sean necesarios o retires el consentimiento. Ciertos datos se conservan por obligaciones legales.
Derecho a la limitación (Art. 18 GDPR)
Podés solicitar que suspendamos el tratamiento mientras se resuelve una reclamación.
Derecho a la portabilidad (Art. 20 GDPR)
Podés solicitar tus datos en formato estructurado (JSON o CSV).
Derecho de oposición (Art. 21 GDPR)
Podés oponerte al tratamiento basado en interés legítimo o marketing directo.
Retiro del consentimiento
Cuando el tratamiento se base en tu consentimiento, podés retirarlo en cualquier momento.
10. Menores de edad
Zenith Shift es un servicio destinado exclusivamente a personas mayores de 18 años. No recopilamos ni tratamos datos de menores de 16 años de forma consciente. Si tenés conocimiento de que un menor nos ha facilitado datos sin consentimiento adecuado, contactanos en administracion@zenithshift.com.ar.
11. Seguridad de los datos
- Cifrado en tránsito con TLS 1.2+ para todas las comunicaciones.
- Cifrado en reposo de bases de datos y copias de seguridad (AWS RDS encryption at rest).
- Tokens OAuth almacenados cifrados; rotación periódica.
- Controles de acceso basados en roles (RBAC).
- Auditorías de seguridad periódicas.
- Notificación de brechas a autoridades en ≤ 72 horas (Art. 33 GDPR) y a usuarios afectados cuando corresponda (Art. 34 GDPR).
Podés reportar vulnerabilidades a administracion@zenithshift.com.ar con asunto "Security report".
12. Cambios a esta política
Nos reservamos el derecho de actualizar esta Política. Cuando realicemos cambios materiales, te notificaremos por email y/o aviso destacado con al menos 30 días de anticipación. La fecha de "última actualización" siempre reflejará la versión vigente.
13. Contacto y reclamaciones
| Categoría | Detalle |
|---|---|
| administracion@zenithshift.com.ar | |
| +54 9 223 563-5300 | |
| Tiempo de respuesta | 30 días calendario (prorrogable a 90 por complejidad, con aviso previo) |
Reclamaciones ante autoridades supervisoras
- Argentina: Agencia de Acceso a la Información Pública (AAIP) — www.argentina.gob.ar/aaip.
- Unión Europea: Autoridad de protección de datos de tu país de residencia — Lista EDPB.
- Brasil: ANPD — www.gov.br/anpd.
14. Derechos adicionales por región
California (CCPA/CPRA)
- Derecho a saber qué datos personales recopilamos.
- Derecho a eliminar (con excepciones).
- Derecho a optar por no "vender" ni "compartir". Zenith Shift no vende datos personales.
- Derecho a la no discriminación por ejercer derechos CCPA.
Brasil (LGPD)
Los usuarios brasileños tienen los derechos previstos en la Lei nº 13.709/2018. Contacto: administracion@zenithshift.com.ar.
Argentina (Ley 25.326)
Los usuarios argentinos tienen los derechos de acceso, rectificación, actualización y supresión previstos en la Ley 25.326. Podés ejercerlos contactándonos o mediante la AAIP.
Reino Unido (UK GDPR)
UK GDPR aplica los mismos derechos que el GDPR de la UE. Autoridad supervisora: ICO — ico.org.uk.