Política de Privacidad

Última actualización: 17 de mayo de 2026 · v2.0

Resumen: Industrial AI Tech Ltd (UK) opera Amity como CRM para salones de belleza. Recogemos solo los datos necesarios para prestar el servicio. No vendemos tus datos a terceros. Puedes solicitar la exportación o eliminación de tus datos en cualquier momento desde tu panel.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

Industrial AI Tech Ltd (en adelante, "Amity", "nosotros")
Número de registro mercantil (UK): 16261096
Domicilio: 20 Wenlock Road, London N1 7GU, Reino Unido
Email de contacto para asuntos de privacidad: info@amityai.co

Registro ante la ICO (Information Commissioner's Office, Reino Unido): en trámite.
Representante en la UE (Art. 27 RGPD): designación en trámite.

Para cualquier solicitud relacionada con tus derechos de protección de datos, usa la línea de asunto "GDPR Request" en el email indicado.

2. A quién se aplica esta política

Amity sirve a dos tipos de personas:

Dueños/as de salones (nuestros clientes contractuales): personas que contratan el servicio Amity para automatizar la captación y conversaciones con sus clientas.
Clientes finales del salón: personas que interactúan con un salón (y, mediante nuestro asistente automatizado, con nosotros como encargado del salón) a través de WhatsApp tras hacer clic en un anuncio.

3. Datos que recogemos

3.1 De dueños/as de salones

Contacto: nombre, apellidos, email, teléfono/WhatsApp.
Datos del negocio: nombre comercial, razón social, dirección, NIF/CIF, ciudad.
Datos de pago: gestionados por Stripe; nosotros sólo guardamos un identificador opaco de Stripe. No almacenamos ni vemos números de tarjeta.
Preferencias y configuraciones: idioma, zona horaria, notificaciones, ajustes operativos.
Datos públicos vinculados (opcional): perfil de Google Business, enlaces a Booksy, Treatwell, Instagram.
Catálogo de servicios: tratamientos ofrecidos y precios.
Imágenes: fotos del salón y de tratamientos que subes para usar en anuncios.

3.2 De clientes finales del salón

Número de WhatsApp (formato E.164).
Nombre (si lo comparten durante la conversación).
Mensajes intercambiados con el asistente automatizado de IA (Agente #2).
Preferencias expresadas: servicio deseado, fecha aproximada, sensibilidades, presupuesto.
Respuestas a cuestionarios de calificación (si se completan).
Atribución publicitaria: identificadores de Meta Ads, UTM, anuncio de origen, ID del clic.
Idioma preferido.

3.3 Recopilación automática

Dirección IP (seguridad y diagnóstico).
Tipo de navegador y dispositivo.
Cookies esenciales (autenticación y preferencias de sesión).
Métricas de uso (qué páginas se visitan en el panel).
Trazas de errores (Sentry) — los datos personales se enmascaran antes del envío (Sprint 28, lib/pii-redact.ts).

4. Base jurídica del tratamiento (Art. 6 RGPD)

Categoría de dato	Base jurídica	Justificación
Contacto y cuenta del dueño/a del salón	Ejecución de contrato	Necesario para prestar el servicio contratado.
Datos de pago y facturación	Ejecución de contrato + obligación legal	Procesar pagos y cumplir con la conservación fiscal del Reino Unido (HMRC).
Número de WhatsApp del cliente final	Consentimiento	Opt-in al hacer clic en el anuncio e iniciar la conversación.
Conversaciones del cliente final con la IA	Interés legítimo	Prestar al salón el servicio que ha contratado (calificación de clientes).
IP, cookies esenciales	Interés legítimo	Seguridad y operación del servicio.
Cookies analíticas / marketing	Consentimiento	Gestionado vía Klaro (banner de cookies AEPD-compatible).

5. Encargados del tratamiento (sub-processors)

Para prestar el servicio compartimos datos con los siguientes encargados. Cada uno trata sólo los datos estrictamente necesarios para su función:

Meta Platforms Ireland Limited (Irlanda, EEE) — anuncios en Facebook e Instagram, WhatsApp Business API. Datos: nombre del salón, fotos, eventos de conversión, mensajes de WhatsApp (vía WABA Cloud API).
Stripe Payments Europe Ltd. (Irlanda, EEE) — procesamiento de pagos. Stripe actúa como responsable independiente de los datos de tarjeta.
Green API LLC (Rusia, fuera del EEE) — pasarela alternativa de WhatsApp. Datos: número y contenido de mensajes. Transferencia amparada por consentimiento explícito al iniciar la conversación y por cláusulas contractuales tipo (SCC).
Anthropic PBC (Estados Unidos) — generación de texto por IA (Claude). Datos: contenido de los mensajes intercambiados. Transferencia amparada por SCC y por el Marco UE-EE.UU. de Privacidad de Datos (DPF).
OpenAI Ireland Ltd. (Irlanda, EEE / EE.UU.) — transcripción de audios de WhatsApp (Whisper). Los archivos se eliminan tras la transcripción.
Google LLC (Estados Unidos) — Google Places API (datos del salón) y Google Analytics (gated por consentimiento). DPF + SCC.
Cloudflare, Inc. (Estados Unidos, multi-región) — CDN, almacenamiento de objetos (R2) y reglas de seguridad. Datos cifrados en reposo. SCC + DPF.
Hetzner Online GmbH (Alemania, EEE) — alojamiento de servidores (API, base de datos, paneles). Sin transferencia internacional adicional.
Resend, Inc. (Estados Unidos) — envío de correos transaccionales (invitaciones, avisos de eliminación).
Sentry (Functional Software, Inc.) (Estados Unidos) — monitorización técnica de errores. Los datos personales se redactan antes del envío.
Autoridades competentes cuando sea requerido por ley.

No vendemos, alquilamos ni cedemos tus datos personales a terceros con fines comerciales.

6. Transferencias internacionales de datos

Tus datos pueden transferirse fuera del EEE/Reino Unido a:

Estados Unidos — Anthropic, Google, Cloudflare, Stripe (en algunas operaciones), Resend, Sentry.
Alemania — Hetzner. Dentro del EEE, no requiere base adicional.
Rusia — Green API LLC (pasarela alternativa de WhatsApp).

Garantizamos un nivel adecuado de protección mediante:

Marco UE-EE.UU. de Privacidad de Datos (Data Privacy Framework) para los proveedores certificados.
Cláusulas Contractuales Tipo (SCC) de la Comisión Europea con los proveedores restantes.
Cifrado en tránsito (TLS 1.2/1.3) y en reposo (AES-256) para todos los datos personales en transferencia.

Puedes solicitar una copia de las SCC firmadas con cualquiera de nuestros encargados escribiéndonos a info@amityai.co.

7. Conservación de datos

Categoría	Plazo	Motivo
Cuenta activa	Mientras exista la cuenta	Prestación del servicio.
Cuenta cerrada	30 días de gracia, luego eliminación permanente	RGPD Art. 17 + ventana de recuperación.
Registros de transacciones	7 años	Obligación fiscal del Reino Unido (HMRC).
Registro de auditoría (general)	2 años	Cumplimiento y operaciones.
Registro de auditoría (alto contenido de PII)	6 meses	Minimización de datos (cron diario).
Conversaciones con clientes finales	Hasta eliminación del salón + 30 días	Prestación del servicio al salón.
Datos de marketing	Hasta retirada del consentimiento	RGPD Art. 7.
Copias de seguridad	30 días	Recuperación ante desastre.

8. Tus derechos (RGPD Art. 15–22)

Como interesado/a, tienes derecho a:

Acceso (Art. 15) — recibir copia de tus datos personales.
- Dueños/as de salón: usar el endpoint GET /v1/salon/me/export desde tu panel (descarga JSON con todos tus datos), o escribirnos a info@amityai.co.
- Clientes finales: escribir a info@amityai.co indicando tu número de WhatsApp y el salón con el que has interactuado.
Rectificación (Art. 16) — corregir datos inexactos.
- Dueños/as: editar el perfil directamente en el panel, o escribirnos.
Supresión (Art. 17) — solicitar la eliminación.
- Dueños/as: Ajustes → "Eliminar cuenta" en el panel. Periodo de gracia de 30 días antes de la eliminación permanente; puedes cancelarlo en cualquier momento durante ese plazo.
- Clientes finales: enviar "STOP" al chat de WhatsApp, o escribirnos a info@amityai.co.
Limitación (Art. 18) — pausar determinados tratamientos. Escribirnos.
Portabilidad (Art. 20) — recibir tus datos en formato JSON estructurado. Mismo endpoint que el derecho de acceso.
Oposición (Art. 21) — oponerte a tratamientos basados en interés legítimo. Escribirnos.
Decisiones automatizadas (Art. 22) — ver sección 9 sobre IA.

Responderemos en un plazo máximo de 30 días.

Tienes derecho a presentar una reclamación ante tu autoridad de control:

Reino Unido: Information Commissioner's Office (ICO) — ico.org.uk.
España: Agencia Española de Protección de Datos (AEPD) — aepd.es.

9. Procesamiento por inteligencia artificial

Amity utiliza modelos de IA de Anthropic (Claude) para tres funciones:

Generación de copy y creatividades para anuncios.
Conversaciones iniciales de calificación con clientes finales por WhatsApp (Agente #2).
Asistencia a operadores al redactar respuestas.

Salvaguardas para clientes finales que conversan con la IA:

Todas las conversaciones quedan registradas para auditoría.
La IA no toma decisiones con efecto jurídico sobre ti (Art. 22 RGPD). Una persona del salón revisa cada calificación antes de cualquier acción comercial.
Puedes solicitar intervención humana en cualquier momento escribiendo "operador" o "humano" en el chat, o enviando "STOP" para detener la comunicación.
La IA del salón A no tiene acceso a datos del salón B (aislamiento estricto por tenant).
Topes diarios de consumo y límites por cliente previenen abuso.
Las conversaciones inactivas se purgan a los 6 meses (o antes si lo solicitas).

10. Cookies

Cookies esenciales (no requieren consentimiento):

amity_token y amity_salon_token — autenticación de sesión.
Preferencias de sesión (idioma, tema).

Cookies opcionales (requieren consentimiento, gestionadas vía Klaro):

Google Analytics (sólo si aceptas el propósito "analytics" en el banner).

Detalles en nuestra Política de Cookies.

11. Seguridad

Medidas técnicas:

Cifrado TLS 1.2/1.3 en todo el tráfico.
Cifrado en reposo de la base de datos (PostgreSQL).
Hash de contraseñas con bcrypt (12 rounds).
2FA TOTP obligatorio para cuentas administrativas.
Limitación de tasa y protección contra fuerza bruta (fail2ban).
Hardening de servidores (UFW, SSH endurecido, sin contraseñas).
Copias de seguridad cifradas diarias a Cloudflare R2.
Auditoría de todas las acciones sensibles.
Revisiones periódicas de seguridad.

Medidas organizativas:

Acceso por necesidad (least privilege).
Sin credenciales compartidas.
Procedimiento de respuesta ante incidentes documentado.

12. Notificación de brechas de seguridad

En caso de violación de la seguridad de datos personales con riesgo para tus derechos y libertades:

Notificaremos a la ICO en un plazo máximo de 72 horas (una vez completado el registro ante la ICO).
Comunicaremos a las personas afectadas sin dilación indebida.
Publicaremos una declaración pública si la escala lo justifica.

13. Menores de edad

Nuestro servicio no está dirigido a menores de 16 años. Los salones de belleza atienden típicamente a clientela adulta. No recogemos a sabiendas datos de menores; si detectamos que un dato pertenece a una persona menor de 16 años, lo eliminamos de inmediato.

14. Cambios en esta política

Podemos actualizar esta política. Los cambios materiales se notificarán por email a los dueños/as de salones. La fecha de "Última actualización" en la parte superior refleja la versión vigente. Las versiones anteriores están disponibles bajo solicitud.

15. Contacto

Responsable del tratamiento: Industrial AI Tech Ltd
CRN: 16261096
Domicilio: 20 Wenlock Road, London N1 7GU, Reino Unido
Email: info@amityai.co
Asunto recomendado: "GDPR Request"

Registro ICO: en trámite. Representante en la UE: designación en trámite.