Política de Privacidad

1. Información General

Reporting and Development Services Sociedad Anónima (en adelante "la Empresa", "nosotros" o "Maximus CRM"), con domicilio en San José, Costa Rica, es la responsable del tratamiento de los datos personales recopilados a través de la plataforma Maximus CRM y sus integraciones con servicios de terceros, incluyendo la API de WhatsApp Business, Facebook Graph API e Instagram Graph API, provistas por Meta Platforms, Inc.

Al utilizar Maximus CRM y sus integraciones, usted acepta las prácticas descritas en esta Política de Privacidad.

2. Datos que Recopilamos

2.1 Datos de cuenta y usuario

• Nombre completo y correo electrónico del usuario registrado.
• Nombre de la empresa (tenant) y configuración de roles y permisos.
• Credenciales de autenticación (almacenadas con cifrado).

2.2 Datos de conversaciones (WhatsApp, Facebook, Instagram)

Al conectar canales de mensajería de Meta a través de Maximus CRM, recopilamos y procesamos la siguiente información:

• WhatsApp Business: mensajes entrantes y salientes, número de teléfono del contacto, estado de entrega/lectura, nombre del contacto (si está disponible), identificador de cuenta WABA, identificador de número de teléfono.
• Facebook Messenger: mensajes entre su Página de Facebook y los usuarios, identificadores de participantes (PSIDs), nombre del participante (si está disponible), identificador de la Página de Facebook.
• Instagram Direct: mensajes directos entre su cuenta de Instagram Business y los usuarios, identificadores de cuenta de Instagram (IGSID), nombre de usuario del participante (si está disponible), foto de perfil del participante.

2.3 Datos de métricas e insights

Con su autorización explícita, accedemos a datos agregados de rendimiento de sus páginas e cuentas de Meta (alcance, impresiones, engagement, estadísticas de mensajes), únicamente para mostrarlos dentro del panel de métricas de Maximus CRM. Estos datos no se comparten con terceros ni se utilizan para publicidad.

2.4 Datos técnicos

• Dirección IP, tipo de navegador, sistema operativo.
• Registros de actividad (logs) para seguridad y soporte técnico.
• Tokens de acceso a API de Meta (almacenados cifrados, nunca expuestos al frontend).

3. Uso de la Información

Utilizamos los datos recopilados exclusivamente para los siguientes fines:

Finalidad	Base Legal
Prestar el servicio de gestión de conversaciones en Maximus CRM	Ejecución del contrato
Mostrar métricas e insights de canales de Meta	Consentimiento explícito
Enviar y recibir mensajes en nombre del usuario (agente) a través de la API de WhatsApp Business, Facebook e Instagram	Ejecución del contrato
Seguridad, prevención de fraude y cumplimiento legal	Interés legítimo / Obligación legal
Soporte técnico y resolución de incidentes	Ejecución del contrato
Mejora del servicio mediante análisis de uso (datos anonimizados)	Interés legítimo

No utilizamos los datos de conversaciones de WhatsApp, Facebook o Instagram para publicidad, perfilado de usuarios ni los compartimos con terceros no autorizados.

4. Integración con Meta Platforms (WhatsApp, Facebook, Instagram)

Maximus CRM utiliza las APIs oficiales de Meta Platforms, Inc. bajo los términos de uso de la Plataforma de Desarrolladores de Meta y la Política de WhatsApp Business.

4.1 Permisos utilizados

Permiso	Para qué se usa
pages_messaging	Recibir y responder mensajes de Facebook Messenger desde la bandeja unificada
pages_show_list	Listar las páginas de Facebook que el usuario administra para que pueda elegir cuál conectar
instagram_basic	Mostrar metadatos básicos del perfil de Instagram conectado (username, ID, foto de perfil)
instagram_manage_messages	Recibir y responder mensajes directos de Instagram desde la bandeja unificada
business_management	Gestionar los activos de negocio del cliente (Page, IG Business Account) que se conectan a Maximus

Adicionalmente, conforme se aprueben permisos solicitados a Meta, se incorporarán a esta política los siguientes:

• whatsapp_business_management — gestión de cuentas WABA y plantillas de mensaje del cliente.
• whatsapp_business_messaging — envío y recepción de mensajes de WhatsApp Business.
• Función Human Agent — respuesta extendida (hasta 7 días) por agentes humanos en casos de soporte.

4.2 Tokens de acceso

Los tokens de acceso a la API de Meta son:

• Almacenados en base de datos cifrada (Supabase / PostgreSQL) con AES-256.
• Nunca expuestos en el frontend ni en logs públicos.
• Utilizados únicamente para las operaciones descritas en esta política.
• Renovados automáticamente antes de su expiración.

4.3 Datos que NO recopilamos de Meta

• No accedemos a datos personales de usuarios de Facebook o Instagram más allá de lo necesario para mostrar conversaciones activas (username, ID, foto de perfil).
• No almacenamos contraseñas ni credenciales de cuentas de Facebook, Instagram o WhatsApp.
• No usamos datos de Meta para publicidad, segmentación ni análisis de comportamiento.
• No solicitamos permisos como email, public_profile, ni ningún permiso user_*.

5. Compartición de Datos con Terceros

No vendemos, cedemos ni distribuimos sus datos personales. Los únicos casos en que compartimos información son:

• Meta Platforms, Inc. — como proveedor de las APIs de WhatsApp, Facebook e Instagram, necesario para el funcionamiento del servicio.
• Supabase — proveedor de base de datos en la nube (PostgreSQL), donde se almacenan los datos de forma segura.
• Amazon Web Services (AWS) — infraestructura de servidores donde corre la plataforma.
• Autoridades competentes — únicamente si existe una orden judicial o requerimiento legal válido.

Todos los proveedores de servicios están sujetos a acuerdos de procesamiento de datos y cumplen con estándares internacionales de seguridad.

6. Retención de Datos

Conservamos sus datos mientras su cuenta esté activa en Maximus CRM. Al cancelar su cuenta:

• Los datos de conversaciones se eliminan dentro de los 30 días siguientes a la solicitud.
• Los datos de facturación se conservan por 7 años según obligaciones fiscales legales.
• Los logs de seguridad se eliminan a los 90 días.
• Los tokens de acceso a Meta se revocan inmediatamente al desconectar la integración.

7. Seguridad de los Datos

Implementamos medidas de seguridad técnicas y organizativas que incluyen:

• Cifrado en tránsito (HTTPS/TLS 1.3) y en reposo (AES-256).
• Autenticación JWT con tokens de corta duración.
• Control de acceso basado en roles (RBAC) por tenant.
• Auditorías de seguridad periódicas.
• Row-Level Security (RLS) en base de datos para aislamiento entre tenants.
• Validación de firma X-Hub-Signature-256 en todos los webhooks entrantes de Meta.
• Monitoreo de accesos no autorizados.

8. Sus Derechos como Usuario

De conformidad con la legislación aplicable (incluyendo el RGPD para usuarios europeos y la Ley de Protección de la Persona frente al tratamiento de sus datos personales N° 8968 de Costa Rica), usted tiene derecho a:

• Acceso: solicitar una copia de todos los datos personales que tenemos sobre usted.
• Rectificación: corregir datos inexactos o incompletos.
• Eliminación: solicitar la eliminación definitiva de sus datos ("derecho al olvido").
• Portabilidad: recibir sus datos en formato estructurado y legible por máquina.
• Oposición: oponerse al tratamiento de sus datos para fines de marketing o análisis.
• Revocación del consentimiento de Meta: retirar en cualquier momento el acceso que otorgó a su cuenta de Meta. Para revocar el acceso de Maximus CRM a su cuenta de Facebook, Instagram o WhatsApp, puede hacerlo directamente en Configuración de Facebook → Aplicaciones y sitios web. Esto eliminará inmediatamente el acceso de la plataforma a sus datos de Meta.

9. Eliminación de Datos — Proceso de Solicitud

9.1 Para usuarios del CRM (clientes de Maximus)

Para solicitar la eliminación definitiva de sus datos como usuario del CRM, puede:

• Email: enviar solicitud a privacy@rdscr.com con el asunto "Eliminación de datos — [su nombre de usuario]".
• Dentro de la plataforma: Configuración → Mi perfil → Solicitar eliminación de cuenta.

Procesaremos su solicitud en un máximo de 30 días hábiles y le confirmaremos por correo electrónico cuando se complete.

9.2 Para usuarios finales de Meta (Facebook, Instagram, WhatsApp)

Si usted es usuario de Facebook, Instagram o WhatsApp y se ha comunicado con un negocio que utiliza Maximus CRM como plataforma de gestión de mensajes, puede solicitar la eliminación de su información (mensajes, identificadores, nombre y foto de perfil, metadatos asociados).

Para hacerlo, escriba a privacy@rdscr.com con el asunto "Solicitud de eliminación de datos Meta" e incluya:

• La plataforma desde la que se comunicó (Facebook / Instagram / WhatsApp).
• El nombre o página del negocio con el que conversó.
• Su identificador o nombre de usuario en la plataforma.

Procesaremos su solicitud en un plazo máximo de 30 días corridos y le confirmaremos por correo electrónico cuando se complete.

Adicionalmente, si revoca el acceso de la aplicación desde la configuración de su cuenta Meta (Configuración → Apps y sitios web), nuestro sistema recibe una notificación automática (Data Deletion Callback) y elimina los tokens y datos asociados dentro de las 72 horas siguientes.

Para instrucciones detalladas paso a paso, consulte nuestra página de Eliminación de Datos.

10. Cookies

Maximus CRM utiliza cookies esenciales para el funcionamiento de la sesión y cookies de análisis (anonimizadas) para mejorar la experiencia. No utilizamos cookies de publicidad ni de seguimiento entre sitios.

Puede eliminar las cookies desde la configuración de su navegador en cualquier momento sin afectar la mayoría de las funciones de la plataforma.

11. Menores de Edad

Maximus CRM es una plataforma empresarial (B2B) dirigida exclusivamente a personas mayores de 18 años. No recopilamos intencionalmente datos de menores de edad. Si detectamos que un menor ha proporcionado datos, los eliminaremos inmediatamente.

12. Transferencias Internacionales de Datos

Sus datos pueden ser procesados en servidores ubicados en Estados Unidos (AWS, Supabase) y en las instalaciones de Meta Platforms, Inc. Estas transferencias se realizan bajo mecanismos legales apropiados, incluyendo cláusulas contractuales estándar, para garantizar un nivel de protección equivalente al exigido en su país de residencia.

13. Cambios a esta Política

Nos reservamos el derecho de actualizar esta Política de Privacidad en cualquier momento. Cuando realicemos cambios materiales, le notificaremos por correo electrónico y/o mediante un aviso visible dentro de la plataforma con al menos 15 días de anticipación. El uso continuado de la plataforma después de la fecha de entrada en vigor implica la aceptación de los cambios.

14. Contacto y Responsable del Tratamiento

Para cualquier consulta, ejercicio de derechos o reporte de incidentes de privacidad:

Esta Política de Privacidad cumple con los requisitos de la Plataforma de Desarrolladores de Meta para el uso de las APIs de WhatsApp Business, Facebook Graph API e Instagram Graph API.