Política de Privacidad

1. Información General

Scale IA ("nosotros", "nuestro" o "la plataforma") es una plataforma SaaS de gestión para negocios operada por Skala Marketing. Scale IA es un proveedor de tecnología verificado por Meta y utiliza la WhatsApp Business API, Instagram API y Facebook Messenger API para ofrecer servicios de mensajería automatizada a negocios. Esta política de privacidad describe cómo recopilamos, usamos, almacenamos y protegemos la información personal de nuestros usuarios, incluyendo dueños de negocios (Business Admin), personal (Staff), y clientes de negocios (Clientes).

Al usar Scale IA, aceptas las prácticas descritas en esta política. Si no estás de acuerdo, por favor no utilices nuestros servicios.

2. Información que Recopilamos

2.1 Información proporcionada directamente

• Nombre completo y correo electrónico del administrador del negocio
• Nombre del negocio y país de operación
• Datos de miembros del negocio: nombre, correo, teléfono, fecha de nacimiento
• Fotografías de perfil (si se proporcionan)
• Datos de membresía y planes contratados
• Registros de asistencia (check-in/check-out)
• Información nutricional y rutinas de ejercicio (funcionalidad de IA)

2.2 Información recibida de Meta Platform

Cuando un negocio conecta su número de WhatsApp, página de Facebook o cuenta de Instagram a través de Scale IA, podemos recibir:

• Número de teléfono de WhatsApp Business y nombre del perfil
• Números de teléfono de los clientes que envían o reciben mensajes
• Contenido de mensajes enviados y recibidos (texto, imágenes, documentos)
• Estado de entrega de mensajes (enviado, entregado, leído)
• Tokens de acceso para la cuenta de WhatsApp Business, página de Facebook e Instagram
• Identificadores de cuenta de WhatsApp Business (WABA ID, Phone Number ID)
• Identificadores de cuenta publicitaria de Facebook (Ad Account ID) y Business Manager
• Tokens de acceso de larga duración de Facebook Marketing API (validez 60 días, renovables)
• Datos de campañas, conjuntos de anuncios, anuncios y creatividades gestionados a través de la plataforma
• Métricas e insights de campañas (impresiones, clics, gasto, CTR, CPC, conversiones)

Estos datos se almacenan de forma segura y aislada por tenant, y solo se utilizan para proveer los servicios contratados por el negocio (mensajería y gestión de anuncios).

2.2A Información recibida de Google APIs

Cuando un negocio conecta su cuenta de Google a Scale IA (Google Calendar, Google Business Profile), podemos recibir:

• Identificador único de la cuenta de Google y dirección de correo electrónico principal del dueño del negocio
• Disponibilidad del calendario (slots ocupados, sin detalles ni asistentes)
• Eventos creados, modificados o consultados por Scale IA en el Google Calendar del dueño
• Tokens de acceso y refresh tokens de OAuth 2.0 de Google
• Listado de fichas de Google Business Profile gestionadas por la cuenta
• Reseñas recibidas en las fichas conectadas y respuestas publicadas a través de Scale IA
• Información básica de la ficha (nombre, horarios, descripción, categoría) cuando el negocio la actualiza desde Scale IA

El detalle completo del uso, almacenamiento y cumplimiento con la Google API Services User Data Policy (Limited Use) se describe en la sección 5A.

2.3 Información recopilada automáticamente

• Dirección IP y datos de navegador
• Datos de uso de la plataforma (páginas visitadas, funciones utilizadas)
• Información del dispositivo para notificaciones push
• Cookies y tecnologías similares para mantener sesiones

2.4 Información de pago

Los datos de pago (tarjetas de crédito/débito) son procesados directamente por Stripe. Scale IA no almacena, procesa ni tiene acceso a los datos completos de tarjetas de pago. Solo almacenamos identificadores de cliente y suscripción de Stripe.

3. Uso de la Información

Utilizamos la información recopilada para:

• Proveer, mantener y mejorar nuestros servicios
• Gestionar cuentas de negocios y sus miembros
• Procesar pagos y facturación
• Enviar notificaciones relevantes (WhatsApp, push notifications)
• Proporcionar funcionalidades de inteligencia artificial (coach virtual, análisis nutricional, predicción de retención)
• Generar reportes y analíticas para los negocios
• Prevenir fraude y mejorar la seguridad
• Cumplir con obligaciones legales

4. Arquitectura Multi-Tenant y Aislamiento de Datos

Scale IA opera con una arquitectura multi-tenant. Esto significa que cada negocio tiene sus datos completamente aislados del resto. Implementamos:

• Row-Level Security (RLS) en Supabase para garantizar que cada negocio solo accede a sus propios datos
• Identificadores únicos por tenant (tenant_id) en todas las tablas
• Validación de permisos por rol (Admin, Staff, Cliente)
• Encriptación en tránsito (HTTPS/TLS) y en reposo

5. WhatsApp Business API y Servicios de Meta

Scale IA es un proveedor de tecnología verificado por Meta. Los negocios pueden conectar su número de WhatsApp Business a nuestra plataforma mediante el flujo de Embedded Signup de Meta.

5.1 Cómo usamos la WhatsApp Business API

• Envío de notificaciones automatizadas (confirmaciones de reservas, recordatorios de citas, recibos de pago)
• Bot conversacional con inteligencia artificial para atención al cliente
• Campañas de marketing y mensajes promocionales (solo a usuarios que han dado consentimiento)
• Administración de plantillas de mensajes en nombre del negocio
• Gestión de perfiles de WhatsApp Business

5.2 Consentimiento y Opt-in

Los mensajes de WhatsApp solo se envían a usuarios que han proporcionado su número de teléfono voluntariamente y han dado su consentimiento para recibir comunicaciones. Los usuarios pueden dejar de recibir mensajes en cualquier momento respondiendo "STOP" o contactando al negocio directamente.

5.3 Sistema de Wallet (Cobro por mensaje)

Los negocios que utilizan el servicio de mensajería de WhatsApp a través de Scale IA operan con un sistema de wallet prepagado. Se cobra por mensaje enviado según las tarifas vigentes. El historial de consumo está disponible en el panel de administración.

5.4 Instagram y Facebook Messenger

Scale IA también puede gestionar mensajes de Instagram Direct y Facebook Messenger en nombre de los negocios, utilizando el mismo bot de IA y las mismas políticas de privacidad y consentimiento que aplican a WhatsApp.

5.5 Datos de Meta Platform

Los datos recibidos de Meta (contenido de mensajes, números de teléfono, estados de entrega, datos de cuentas publicitarias) se utilizan exclusivamente para proveer los servicios contratados. No vendemos, compartimos ni utilizamos datos de Meta Platform para fines publicitarios propios, entrenamiento de modelos de IA, ni ningún otro propósito ajeno al servicio.

5.6 Facebook Marketing API (Gestión de Anuncios)

Scale IA integra la Facebook Marketing API para permitir que los negocios creen, publiquen y gestionen campañas publicitarias de Facebook e Instagram directamente desde nuestro panel, sin necesidad de usar Meta Ads Manager.

Permisos solicitados:

• ads_management — crear, editar, pausar y activar campañas, conjuntos de anuncios y anuncios en nombre del negocio
• ads_read — leer métricas e insights de las campañas creadas en Scale IA
• business_management — acceder a la cuenta publicitaria específica que el negocio conecta
• pages_show_list y pages_read_engagement — listar las páginas de Facebook del negocio y asociarlas a los anuncios
• instagram_basic — publicar anuncios en placements de Instagram asociados a la página de Facebook conectada

Cómo lo usamos:

• Crear campañas programáticamente cuando el negocio las diseña en nuestro UI
• Subir creatividades (imágenes y videos) a la cuenta publicitaria del negocio
• Leer insights diarios y de vida para mostrarlos en el dashboard del negocio
• Pausar o reanudar campañas según acciones del negocio en nuestro panel

Almacenamiento de tokens: Los tokens de acceso de Marketing API se almacenan encriptados en reposo en Supabase con acceso restringido por Row-Level Security. Solo el tenant propietario y los procesos del servidor tienen acceso a sus propios tokens. Los tokens expiran a los 60 días y se renuevan automáticamente.

Alcance del acceso: Scale IA nunca accede a cuentas publicitarias, páginas o datos que el negocio no haya conectado explícitamente. Cada tenant solo puede ver y gestionar sus propias cuentas conectadas.

Desconexión: El negocio puede desconectar su cuenta publicitaria en cualquier momento desde Anuncios IA → Desconectar. Esto revoca el token inmediatamente en nuestra base de datos. El negocio también puede revocar el acceso directamente desde la configuración de seguridad de su cuenta de Facebook.

Gasto publicitario: Todo el gasto en anuncios se carga directamente a la cuenta publicitaria del negocio en Meta. Scale IA no cobra, recibe ni procesa pagos de gasto publicitario — la relación financiera es directa entre el negocio y Meta.

5A. Servicios de Google APIs (Calendar, Business Profile, Identity)

Scale IA integra varias APIs de Google para ofrecer funcionalidades opcionales de sincronización de calendario, gestión de fichas de Google Business Profile y autenticación. Toda integración con Google es iniciada explícitamente por el dueño del negocio mediante el flujo oficial de OAuth 2.0 de Google.

5A.1 APIs y permisos solicitados

Scale IA solicita los siguientes permisos (scopes) de Google al momento de la conexión:

• openid — identificador único de la cuenta de Google para vincularla con el usuario de Scale IA
• userinfo.email — dirección de correo electrónico principal de la cuenta de Google del dueño del negocio
• calendar.freebusy — leer la disponibilidad (bloques ocupados, sin detalles ni asistentes) del Google Calendar del dueño
• calendar.events — crear, leer, actualizar y borrar eventos en el Google Calendar del dueño, exclusivamente para sincronizar las citas creadas en Scale IA
• business.manage — listar fichas de Google Business Profile, leer y responder reseñas, y actualizar información básica de la ficha del negocio

5A.2 Cómo usamos los datos de Google

Google Calendar (sincronización bidireccional de citas):

• Cuando un cliente final reserva una cita en Scale IA (web, WhatsApp o bot), creamos el evento espejo en el Google Calendar del dueño para que aparezca en su app de Calendar nativa
• Cuando el dueño reagenda o cancela una cita desde Scale IA, actualizamos o eliminamos el evento correspondiente en Google Calendar
• calendar.freebusy se usa solo para mostrar disponibilidad y bloquear slots ya ocupados al momento de reservar
• No leemos contenido, asistentes ni detalles de eventos que no fueron creados por Scale IA

Google Business Profile (reseñas y fichas):

• Listar las fichas de Google Business Profile del negocio
• Leer reseñas recibidas para mostrarlas en el panel de Scale IA
• Publicar respuestas a reseñas redactadas o aprobadas por el negocio (asistidas opcionalmente por IA)
• Actualizar información básica de la ficha (horarios, descripción) cuando el negocio lo solicita

Identity (openid + userinfo.email):

• Identificar de forma única la cuenta de Google que está conectando los servicios
• Mostrar el email asociado en el panel de Scale IA para que el dueño sepa qué cuenta tiene conectada
• No usamos el email para enviar comunicaciones ajenas al servicio

5A.3 Limited Use — Cumplimiento con la Google API Services User Data Policy

En particular, Scale IA no:

• Vende los datos recibidos de Google APIs
• Utiliza datos de Google APIs para entrenar modelos de inteligencia artificial generalizados
• Utiliza datos de Google APIs para publicidad ni para ningún propósito ajeno al servicio explícitamente solicitado por el negocio
• Transfiere datos de Google APIs a terceros, salvo cuando sea estrictamente necesario para proveer el servicio (almacenamiento seguro en proveedores de infraestructura) o cuando la ley lo requiera
• Permite que humanos lean datos de Google APIs, salvo: (a) con consentimiento explícito y específico del usuario, (b) por motivos de seguridad (investigación de abuso), (c) para cumplir con la ley aplicable, o (d) cuando los datos hayan sido agregados y anonimizados para uso interno de operaciones

5A.4 Almacenamiento, encriptación y aislamiento

• Los tokens de acceso (access_token y refresh_token) de Google se almacenan encriptados en reposo en Supabase
• El acceso está restringido por Row-Level Security: cada tenant solo puede leer sus propios tokens
• Los eventos de calendario sincronizados se almacenan vinculados al tenant_id correspondiente
• Las reseñas y respuestas se almacenan vinculadas al tenant_id del negocio
• Scale IA nunca accede a datos de cuentas de Google que el negocio no haya conectado explícitamente

5A.5 Revocación y eliminación

El negocio puede desconectar Google en cualquier momento desde:

• Panel de Scale IA → Integraciones → Google Calendar / Google Business Profile → Desconectar
• Configuración de seguridad de su cuenta de Google: myaccount.google.com/permissions

Al desconectar:

• El refresh_token se revoca inmediatamente contra los servidores de Google
• Los tokens almacenados en Scale IA se eliminan de la base de datos
• Los eventos y datos sincronizados pueden eliminarse a solicitud del negocio
• Al cancelar la cuenta del tenant, todos los tokens y datos derivados de Google se eliminan junto con el resto de los datos del tenant

6. Inteligencia Artificial — Servicio IronMind

Scale IA utiliza modelos de IA para ofrecer el servicio IronMind, que incluye:

• Coach virtual de fitness
• Análisis nutricional con reconocimiento de imágenes
• Generación de rutinas personalizadas
• Predicción de abandono (churn) de miembros
• Generación de contenido para marketing

6.1 Responsabilidad y datos de IA

Los datos enviados a servicios de IA se procesan de forma anónima y no se utilizan para entrenar modelos. Las conversaciones con el coach son privadas y están vinculadas al tenant_id correspondiente.

6.2 Planes de créditos de IA en la PWA

Los miembros del negocio pueden adquirir planes de créditos de IA directamente desde la PWA. Al hacerlo, proporcionan datos de pago que son procesados por Stripe. Scale IA recopila:

• Identificador de compra y plan de créditos seleccionado
• Historial de conversaciones con IronMind (almacenado de forma segura)
• Datos de consumo de créditos por período
• Imágenes de alimentos enviadas para análisis nutricional (procesadas en tiempo real, no almacenadas permanentemente)

6.3 Comisión de plataforma

Scale IA aplica una comisión variable según el modo de procesamiento sobre las transacciones realizadas a través de la plataforma: 0.5% cuando el negocio cobra mediante Stripe Connect (recibe directo en su cuenta) y 6.5% cuando Scale IA procesa el cobro en su cuenta global. Esta información se registra de forma transparente y puede ser consultada por los negocios en su panel de facturación.

7. Compartición de Datos

No vendemos, alquilamos ni compartimos datos personales con terceros para fines de marketing. Solo compartimos información con:

• Meta Platform (WhatsApp Business API, Instagram API, Messenger API) — para envío y recepción de mensajes en nombre de los negocios. Los datos compartidos incluyen números de teléfono de destinatarios y contenido de mensajes
• Meta Platform (Facebook Marketing API) — para crear y gestionar campañas publicitarias, conjuntos de anuncios, creatividades y leer insights en nombre de los negocios. Los datos compartidos incluyen identificadores de cuenta publicitaria, tokens de acceso, imágenes y textos de anuncios creados por el negocio
• Google (Calendar API, Business Profile API, OAuth 2.0) — para sincronizar citas con el Google Calendar del dueño y para gestionar fichas y reseñas de Google Business Profile. Los datos compartidos con Google se limitan a los eventos que Scale IA crea/edita en el calendario y a las respuestas a reseñas publicadas por el negocio. El uso cumple con la Google API Services User Data Policy (Limited Use) — ver sección 5A
• Stripe — para procesamiento de pagos (suscripciones de negocios, créditos de IA y wallet de mensajería)
• Supabase — como proveedor de infraestructura y base de datos
• Proveedores de inteligencia artificial — Scale IA utiliza modelos de lenguaje y visión de proveedores que cumplen con políticas de no-entrenamiento (Zero Data Retention) sobre los datos enviados vía API. Los datos obtenidos de Google APIs (Calendar, Business Profile) nunca se envían a estos proveedores.
• Resend — para envío de correos transaccionales y resúmenes
• Vercel — como proveedor de hosting
• Autoridades legales cuando sea requerido por ley

8. Retención de Datos

Conservamos los datos mientras la cuenta del negocio esté activa. Al cancelar la suscripción:

• Los datos se mantienen por 30 días adicionales para permitir reactivación
• Después de 30 días, los datos pueden ser eliminados permanentemente
• Los registros de facturación se conservan según requisitos legales
• Las conversaciones de IA se eliminan junto con los datos del tenant
• Los datos recibidos de Meta Platform (mensajes, tokens) se eliminan junto con los datos del tenant
• Los tokens de Facebook Marketing API y los identificadores de cuentas publicitarias se revocan y eliminan junto con los datos del tenant. Las campañas creadas en Meta Ads Manager permanecen en la cuenta del negocio (bajo su control directo), pero se desvinculan de Scale IA
• Los tokens de Google APIs (Calendar y Business Profile) se revocan contra los servidores de Google y se eliminan de nuestra base de datos. Los eventos creados por Scale IA en el Google Calendar del dueño y las respuestas a reseñas publicadas en Google Business Profile permanecen en las cuentas de Google del negocio (bajo su control directo), pero se desvinculan de Scale IA

9. Derechos del Usuario

Los usuarios tienen derecho a:

• Acceso — Solicitar una copia de sus datos personales
• Rectificación — Corregir datos inexactos o incompletos
• Eliminación — Solicitar la eliminación de sus datos
• Portabilidad — Recibir datos en un formato estructurado
• Oposición — Oponerse al procesamiento de datos

Para ejercer estos derechos, contáctanos a info@info.skalastudios.com o vía WhatsApp.

Para solicitar la eliminación completa de tus datos, visita nuestra página de Eliminación de Datos.

10. Seguridad

Implementamos medidas de seguridad incluyendo:

• Encriptación TLS/SSL para todas las comunicaciones
• Políticas de Row-Level Security (RLS) en base de datos
• Contraseñas con requisitos mínimos de 8 caracteres con letras y números
• Autenticación segura con tokens JWT
• Monitoreo de eventos de seguridad y auditoría
• Aislamiento completo de datos entre negocios

11. Cookies

Utilizamos cookies y tecnologías similares exclusivamente para:

• Mantener sesiones de usuario activas
• Recordar preferencias de configuración
• Análisis básico de uso de la plataforma

No utilizamos cookies de terceros para tracking publicitario.

12. Menores de Edad

Scale IA no está dirigido a menores de 16 años. Si un negocio registra miembros menores de edad, es responsabilidad del negocio obtener el consentimiento parental o del tutor legal correspondiente.

13. Cambios a esta Política

Nos reservamos el derecho de actualizar esta política. Notificaremos cambios significativos por correo electrónico. El uso continuado de la plataforma después de los cambios constituye aceptación de la política actualizada.

14. Contacto