Política de privacidad

Bota es un servicio operado por Zentia Labs LLC. Zentia Labs es responsable del tratamiento de los datos recogidos en la web de Bota, formularios de contacto, demos, procesos de alta, onboarding, soporte, facturación y administración de cuentas.

Esta política regula los tratamientos propios de Zentia Labs en relación con Bota como producto SaaS B2B. No sustituye la política de privacidad que cada cliente debe ofrecer a sus usuarios finales cuando despliega Bota en sus propios canales (web o WhatsApp).

Zentia Labs LLC trata los datos personales objeto de esta política desde las siguientes ubicaciones:

• Estados Unidos de América: domicilio social de Zentia Labs y ubicación principal de los subprocesadores de infraestructura cloud, almacenamiento y modelos de IA.
• España: personal autorizado de Zentia Labs (producto, ingeniería, soporte).
• Colombia: personal autorizado de Zentia Labs (producto, ingeniería, soporte).

Al aceptar nuestros términos, el cliente autoriza expresamente estas ubicaciones de tratamiento y se compromete a reflejarlas en la información que facilite a sus clientes finales cuando la normativa aplicable lo requiera. Las salvaguardas para transferencias internacionales se detallan en la sección correspondiente.

• Datos comerciales y de prospección: nombre, email profesional, teléfono, empresa, tamaño de flota, país y necesidades operativas.
• Datos de cuenta y administración: usuarios, roles, credenciales, preferencias, eventos de autenticación y actividad administrativa dentro del portal B2B de Bota.
• Datos contractuales y de facturación: entidad legal, dirección, identificadores fiscales, contactos de cobro, facturas y referencias de pago.
• Datos de soporte e implementación: tickets, correos, configuraciones, dominios, snippets, incidencias técnicas y ejemplos de conversaciones compartidos por el cliente para diagnóstico.
• Datos técnicos y de uso: IP, navegador, dispositivo, cookies, logs, eventos de seguridad, rendimiento y analítica del producto.
• Datos operativos de usuarios finales procesados por cuenta del cliente: mensajes de chat (web y WhatsApp), contenido conversacional, intenciones de reserva, datos de contacto, adjuntos y otros datos que el cliente decida canalizar a través de Bota.

Bota permite iniciar sesión mediante correo electrónico y contraseña, enlace mágico (magic link) o mediante Google OAuth ("Iniciar sesión con Google").

Cuando eliges iniciar sesión con Google, accedemos a tu dirección de correo electrónico, nombre y foto de perfil a través de los permisos (scopes) openid, email y profile de Google OAuth 2.0. Estos datos se utilizan exclusivamente para crear o vincular tu cuenta de usuario en Bota y verificar tu identidad en cada inicio de sesión.

No accedemos a tus contactos, calendario, archivos de Drive ni a ningún otro dato de tu cuenta de Google.

Puedes revocar el acceso de Bota a tu cuenta de Google en cualquier momento desde la configuración de seguridad de tu cuenta en myaccount.google.com.

El uso de la información recibida de las APIs de Google se ajusta a la Política de Datos de Usuario de los Servicios API de Google, incluidos los requisitos de Uso Limitado.

• Atender solicitudes comerciales, demos, pruebas de producto y procesos de alta.
• Crear y administrar cuentas de cliente, usuarios autorizados y permisos.
• Prestar el servicio de chatbot contratado, alojar la infraestructura, procesar mensajes mediante IA (LLM) y operar las automatizaciones habilitadas por el cliente.
• Configurar integraciones, dominios, widgets web y canales de mensajería (incluyendo WhatsApp Business) que el cliente active.
• Prestar soporte, mantenimiento, monitorización, seguridad y prevención de fraude o abuso.
• Gestionar la relación contractual, la facturación, los cobros y las obligaciones contables o fiscales.
• Enviar comunicaciones de servicio y, cuando exista base legítima suficiente, comunicaciones B2B sobre Bota.

• Ejecución de medidas precontractuales o del contrato para demos, onboarding, provisión de Bota, soporte y facturación.
• Cumplimiento de obligaciones legales para contabilidad, fiscalidad, seguridad y atención a requerimientos de autoridades.
• Interés legítimo para seguridad, prevención de abuso, mejora del producto, gestión de la relación B2B y comunicaciones profesionales razonables.
• Consentimiento para cookies no esenciales, determinadas acciones comerciales opcionales y otros tratamientos que lo requieran.
• Respecto de los datos operativos de usuarios finales tratados dentro de Bota (mensajes de chat, conversaciones de WhatsApp, intenciones de reserva), el cliente actúa con carácter general como responsable del tratamiento y Zentia Labs procesa esos datos siguiendo instrucciones documentadas y el correspondiente acuerdo de tratamiento por cuenta.

Para la prestación del servicio Zentia Labs se apoya en proveedores y subprocesadores pertenecientes a las siguientes categorías tecnológicas estándar, cuyo uso el cliente autoriza al aceptar nuestros términos: proveedores de modelos de inteligencia artificial, infraestructura cloud y hosting, plataforma de mensajería (WhatsApp Business), pasarelas y proveedores de pago, correo transaccional, analítica y observabilidad.

• Proveedores de infraestructura, hosting, autenticación, email, soporte, monitorización, analítica y procesamiento tecnológico necesarios para prestar Bota.
• Proveedores de modelos de lenguaje (Anthropic Claude) para generar las respuestas conversacionales de la IA.
• Procesadores de pago y proveedores de facturación para gestionar cobros, suscripciones e incidencias de pago.
• Plataformas de mensajería activadas por el cliente, como WhatsApp Business, cuando el cliente las configure en Bota.
• Asesores profesionales y autoridades públicas cuando exista una obligación legal, una necesidad de defensa o un requerimiento válido.
• El listado completo y actualizado de sub-procesadores (con servicio prestado, datos procesados y localización) está disponible en https://www.bota-chat.com/es/sub-procesadores.

Zentia Labs notificará con antelación razonable cualquier cambio material de subprocesadores con impacto en el tratamiento de datos personales; el cliente podrá oponerse por motivos razonables y justificados. Zentia Labs no vende datos personales ni determina por sí misma las finalidades comerciales del contenido conversacional de usuarios finales de los clientes.

Además de los tratamientos descritos en las finalidades anteriores, Zentia Labs podrá tratar datos agregados, anonimizados o seudonimizados derivados del uso del servicio para las siguientes finalidades adicionales:

• Prestación y mejora técnica del servicio: depuración, rendimiento, fiabilidad y calidad de respuesta.
• Entrenamiento y evaluación interna de los modelos de inteligencia artificial utilizados por el servicio, así como ajuste de prompts, instrucciones y heurísticas.
• Análisis estadísticos agregados del sector de alquiler de vehículos (por ejemplo, métricas de demanda, sentimiento, tipologías de consulta) que no permitan identificar a personas físicas concretas.
• Desarrollo de nuevas funcionalidades y servicios adyacentes que puedan beneficiar a los clientes existentes y a clientes futuros.

En ningún caso usamos contenido conversacional identificable de clientes finales para entrenar modelos de inteligencia artificial de proveedores terceros con fines distintos de la prestación del servicio contratado. Cuando se utilicen modelos de proveedores externos (subencargados), se aplican los acuerdos contractuales y políticas de uso de esos proveedores, que prohíben el uso de datos del cliente para entrenamiento de modelos propios del proveedor salvo opt-in expreso.

La prestación del servicio implica el tratamiento de datos personales en el triángulo Estados Unidos – España – Colombia, en los términos descritos en la sección "Ubicaciones de tratamiento". Adicionalmente, determinados subprocesadores pueden operar desde otros países fuera del Espacio Económico Europeo.

Para legitimar estas transferencias internacionales aplicamos las salvaguardas reconocidas por la normativa aplicable, en particular:

• Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante Decisión (UE) 2021/914, Módulo 2 (Responsable a Encargado), para las transferencias desde España o cualquier otro país del EEE hacia Estados Unidos y Colombia.
• Cláusulas contractuales modelo publicadas por la Superintendencia de Industria y Comercio (SIC) de Colombia para transferencias internacionales desde Colombia.
• Régimen estadounidense aplicable a Zentia Labs LLC como sociedad constituida en el Estado de Wyoming, incluyendo las obligaciones contractuales asumidas en el acuerdo de tratamiento.
• Decisiones de adecuación, certificaciones reconocidas o medidas técnicas complementarias razonables cuando resulten aplicables.

El acuerdo de tratamiento (DPA) incorporado a los términos del servicio constituye, por sí mismo, el mecanismo contractual de salvaguarda de las transferencias entre el cliente y Zentia Labs, al incorporar las obligaciones, garantías y derechos equivalentes a los previstos en las salvaguardas anteriores. Para las transferencias adicionales hacia subprocesadores, Zentia Labs se apoya en los DPA y cláusulas de transferencia publicados por dichos proveedores.

En el futuro Bota podrá ofrecer al cliente funcionalidades adicionales de venta cruzada para sus usuarios finales (por ejemplo, alojamiento, actividades turísticas, seguros, traslados u otros servicios complementarios al alquiler de vehículos).

La activación de cualquier funcionalidad de cross-selling que implique comunicaciones comerciales a los usuarios finales requerirá aprobación previa y por escrito del cliente, así como la información y consentimientos exigidos por la normativa aplicable. Hasta esa activación, los datos personales de usuarios finales no se utilizan para fines de cross-selling.

• Leads, formularios y conversaciones comerciales B2B: hasta 24 meses desde la última interacción, salvo oposición o formalización contractual.
• Datos de cuenta, contrato y facturación: mientras exista relación comercial y después durante los plazos exigidos por la ley.
• Tickets de soporte e implementación: normalmente hasta 3 años desde el cierre del caso.
• Logs de seguridad y acceso: normalmente hasta 12 meses, salvo necesidad de investigación o retención reforzada.
• Datos operativos de usuarios finales del cliente (mensajes de chat, conversaciones de WhatsApp y registros asociados de uso de IA) en formato identificable: se conservan durante 90 días desde el último mensaje. Transcurrido ese plazo, las transcripciones, mensajes y registros de uso asociados se eliminan o se anonimizan.
• Datos derivados del uso del servicio en formato agregado, anonimizado o seudonimizado: podrán conservarse durante un máximo de 24 meses adicionales a efectos de mejora del servicio y defensa de reclamaciones, transcurridos los cuales se suprimirán o anonimizarán de forma irreversible, salvo obligación legal de conservación.

Los usuarios finales que deseen ejercer su derecho de supresión sobre conversaciones identificables deben contactar primero con el rent-a-car que opera el chatbot, que procesará la solicitud a través de las herramientas administrativas de Bota.

• Aplicamos medidas técnicas y organizativas razonables, incluyendo controles de acceso, cifrado en tránsito, registros de eventos y revisión de proveedores.
• El acceso interno a datos se limita al personal autorizado con necesidad funcional y sujeto a deberes de confidencialidad.
• La relación de tratamiento por cuenta respecto de datos operativos del cliente se regula mediante contrato y acuerdo de tratamiento, junto con la gestión de subencargados y medidas de seguridad aplicables.

Puedes ejercer, cuando proceda, los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad respecto de los datos que tratemos como responsable propio.

Si la solicitud se refiere a datos de un usuario final captados a través de Bota desplegado por un cliente, la vía principal debe ser ese cliente como responsable. No obstante, los interesados podrán dirigir sus solicitudes también de forma subsidiaria a Zentia Labs; en este caso, trasladaremos la solicitud al cliente sin demora injustificada y colaboraremos en su resolución conforme a nuestro papel de encargado del tratamiento.

• Solicitudes sobre leads, cuentas, billing, soporte o uso de nuestra web: contacta con nosotros en privacy@bota-chat.com.
• Solicitudes sobre conversaciones de chat, mensajes de WhatsApp o datos de clientes finales de un rent-a-car: contacta primero con ese rent-a-car.
• El procedimiento detallado paso a paso (operadores admin, clientes finales y revocación de Facebook) está descrito en la página dedicada de eliminación de datos: https://www.bota-chat.com/es/data-deletion.

Podemos actualizar esta política para reflejar cambios legales, técnicos o de producto. Publicaremos la versión vigente en esta página e indicaremos la fecha de última actualización.