Política deprivacidad

Para Ayer se compromete a proteger la privacidad de todas las personas que visitan el sitio web, solicitan información, contratan los servicios o interactúan con los productos y soluciones tecnológicas que se desarrollan y entregan, incluyendo a los usuarios y clientes en Ecuador, Estados Unidos, la Unión Europea y cualquier otra jurisdicción desde la cual se acceda a los servicios.

Esta política aplica a todas las actividades de tratamiento de datos personales realizadas por Para Ayer, ya sea a través de:

• El sitio web (paraayer.net) y todos los subdominios asociados.
• Los productos de software que desarrollamos para nuestros clientes (aplicaciones web, aplicaciones móviles, plataformas SaaS, sistemas CRM, chatbots, integraciones de IA y cualquier otra solución tecnológica).
• Los canales de comunicación empresarial, incluyendo WhatsApp Business API, correo electrónico y formularios de contacto.
• Las infraestructuras en la nube que gestionamos o administramos como parte de nuestros servicios.

Esta política debe leerse conjuntamente con los Términos y Condiciones y la Política de Eliminación de Datos.

El responsable del tratamiento de los datos personales es Para Ayer.

Para cualquier consulta relacionada con privacidad, ejercicio de derechos, cumplimiento normativo internacional (RGPD, CCPA/CPRA, LOPDP u otras normativas aplicables) o cualquier aspecto del tratamiento de datos, se puede contactar al equipo designado de protección de datos escribiendo a management@paraayer.net.

Para Ayer se compromete a responder toda solicitud en los plazos establecidos por la normativa aplicable.

Según la interacción del usuario con Para Ayer y con los productos o servicios que proporciona, se podrán tratar las siguientes categorías de datos personales:

• Datos de identificación y contacto: nombre completo, correo electrónico, número de teléfono, dirección postal, nombre de la empresa y cargo.
• Datos profesionales y comerciales: sector de actividad, necesidades técnicas indicadas en formularios, reuniones o propuestas, historial de interacciones comerciales y detalles de proyectos.
• Datos técnicos de navegación: dirección IP (truncada o aproximada), tipo de dispositivo, sistema operativo, navegador, páginas visitadas, tiempo de permanencia, URL de referencia y métricas agregadas de uso.
• Contenido proporcionado por el usuario: mensajes, archivos adjuntos, briefs de proyecto, información incluida en solicitudes de presupuesto, soporte técnico o consultas.
• Datos de clientes en canales de mensajería: al utilizar WhatsApp Business API, tratamos identificadores de conversación, número de teléfono, contenido de los mensajes, indicaciones de entrega/lectura, marcas de tiempo y metadatos necesarios para prestar el servicio.
• Datos generados en productos entregados: cuando desarrollamos y entregamos productos de software (aplicaciones web, móviles, plataformas, etc.), los datos de los usuarios finales de esos productos son tratados de acuerdo con las instrucciones del cliente (quien actúa como responsable del tratamiento de esos datos), y Para Ayer actúa como encargado del tratamiento conforme a los contratos de procesamiento de datos (DPA) firmados con cada cliente.

Tratamos datos personales exclusivamente para las siguientes finalidades:

• Gestionar consultas, solicitudes de información y relaciones comerciales.
• Elaborar presupuestos, propuestas técnicas y formalizar contratos de servicios.
• Prestar los servicios contratados, incluyendo el desarrollo, despliegue y mantenimiento de productos de software.
• Administrar y gestionar la infraestructura tecnológica de los productos que desarrollamos o mantenemos para nuestros clientes.
• Prestar soporte técnico y atención al cliente a través de todos nuestros canales de comunicación.
• Mejorar nuestro sitio web, productos y la experiencia de usuario.
• Cumplir obligaciones legales, fiscales y regulatorias.
• Enviar comunicaciones comerciales B2B relacionadas con nuestros servicios, cuando exista interés legítimo o consentimiento.
• Garantizar la seguridad de nuestros sistemas, detectar fraude y proteger contra accesos no autorizados.

5.1. Unión Europea y Espacio Económico Europeo — Reglamento (UE) 2016/679 (RGPD):

• Ejecución contractual o medidas precontractuales (Art. 6.1.b RGPD): cuando el tratamiento sea necesario para la celebración o ejecución de un contrato de prestación de servicios tecnológicos, elaboración de propuestas comerciales o cumplimiento de obligaciones derivadas de la relación contractual.
• Cumplimiento de obligación legal (Art. 6.1.c RGPD): para satisfacer requerimientos tributarios, contables, mercantiles o regulatorios impuestos por la legislación de la UE o de los Estados miembros.
• Interés legítimo del responsable (Art. 6.1.f RGPD): para la mejora continua de los servicios, la seguridad de los sistemas de información, la prevención de fraude y el marketing directo B2B (Considerando 47 RGPD). Para Ayer documenta la evaluación de ponderación (balancing test) conforme al Art. 6.1.f, garantizando que el interés legítimo no prevalezca sobre los derechos y libertades fundamentales del interesado.
• Consentimiento explícito (Art. 6.1.a RGPD): para tratamientos específicos como el envío de comunicaciones promocionales. El consentimiento podrá retirarse en cualquier momento conforme al Art. 7.3 RGPD, sin que ello afecte la licitud del tratamiento previo a la retirada.

5.2. Estados Unidos — California Consumer Privacy Act / California Privacy Rights Act (Cal. Civ. Code §§ 1798.100–1798.199.100):

• Para Ayer trata datos personales en la medida razonablemente necesaria y proporcional para los fines comerciales operativos descritos en esta política (Cal. Civ. Code § 1798.100(c)).
• Para Ayer no vende ni comparte información personal según las definiciones de los §§ 1798.140(ad) y 1798.140(ah) de la CCPA/CPRA. No se participa en publicidad comportamental cruzada (cross-context behavioral advertising).
• Para Ayer no recopila categorías adicionales de información personal más allá de las enumeradas en la sección 3 de esta política, ni las utiliza para fines incompatibles sin notificación previa (§ 1798.100(a)).

5.3. Ecuador — Ley Orgánica de Protección de Datos Personales (LOPDP, R.O. Suplemento 459, 26-V-2021):

• El tratamiento se fundamenta en las bases de licitud establecidas en el Art. 7 de la LOPDP: consentimiento del titular, ejecución de un contrato, cumplimiento de obligación legal e interés legítimo debidamente ponderado.

5.4. Tratamientos a través de WhatsApp Business API:

Los datos intercambiados mediante WhatsApp Business API se tratan estrictamente para atención al cliente, seguimiento contractual y comunicaciones de servicio, respaldados por la ejecución del contrato (Art. 6.1.b RGPD) y el interés legítimo (Art. 6.1.f RGPD), cumpliendo en todo momento con las Condiciones de la Plataforma de WhatsApp Business y la Política de Datos de Meta para empresas.

Para Ayer desarrolla y entrega productos de software para sus clientes, incluyendo pero no limitado a: aplicaciones web, aplicaciones móviles, plataformas SaaS, sistemas CRM, chatbots con IA, integraciones de APIs y soluciones de infraestructura cloud.

En estos casos:

• El cliente es el responsable del tratamiento de los datos de sus propios usuarios finales.
• Para Ayer actúa como encargado del tratamiento, procesando datos únicamente conforme a las instrucciones documentadas del cliente.
• Firmamos Contratos de Procesamiento de Datos (DPA) con nuestros clientes que definen las obligaciones, medidas de seguridad y restricciones en el tratamiento de datos.
• Aplicamos medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos procesados en cada producto.
• No accedemos, usamos ni compartimos datos de usuarios finales de los productos de nuestros clientes para fines propios, salvo lo estrictamente necesario para la prestación del servicio contratado.

Nuestro sitio web puede utilizar cookies y tecnologías similares (como almacenamiento local del navegador o píxeles de seguimiento) para mejorar la experiencia de navegación y recopilar datos de uso agregados.

• Cookies esenciales: necesarias para el funcionamiento básico del sitio (sesión, preferencias de idioma).
• Cookies analíticas: herramientas de analítica para medir tráfico y comportamiento de navegación de forma agregada y anónima.
• Cookies de terceros: si aplicable, relacionadas con servicios de Meta, plataformas de publicidad o herramientas de integración.

Para usuarios en la UE, se solicita consentimiento previo antes de activar cookies no esenciales, conforme a la Directiva ePrivacy y el RGPD. Para usuarios en California, es posible optar por no participar en tecnologías de seguimiento conforme a los derechos reconocidos por la CCPA/CPRA.

Conservamos los datos personales únicamente durante el tiempo necesario para cumplir las finalidades para las que fueron recopilados:

• Datos de clientes activos: durante toda la vigencia de la relación contractual y los plazos de garantía aplicables.
• Datos contables y fiscales: conforme a los plazos legales de conservación establecidos en cada jurisdicción (generalmente entre 5 y 10 años).
• Datos de marketing y comunicaciones: hasta que el titular retire el consentimiento o ejerza el derecho de oposición.
• Datos de navegación: máximo 26 meses desde la última interacción, o según la configuración de las herramientas analíticas utilizadas.
• Datos de productos entregados: según lo establecido en el contrato con cada cliente y su propio DPA.

Transcurridos los plazos correspondientes, se procede a la supresión segura o anonimización irreversible de los datos. Para más detalles o solicitudes específicas, consultar la página de Eliminación de Datos.

No vendemos, alquilamos ni comercializamos datos personales a terceros bajo ninguna circunstancia.

Podemos compartir datos exclusivamente con las siguientes categorías de destinatarios, siempre bajo contratos que garantizan la confidencialidad y seguridad:

• Proveedores de infraestructura y hosting: servicios en la nube para el alojamiento de sitios web y aplicaciones (p. ej., Vercel, AWS u otros proveedores cloud).
• Proveedores de correo electrónico y comunicación: plataformas para la gestión de correos y comunicaciones empresariales.
• Herramientas de analítica web: servicios de medición de tráfico y uso del sitio, configurados para minimizar el tratamiento de datos personales.
• Herramientas de gestión (CRM): plataformas para la gestión de relaciones con clientes.
• Meta Platforms, Inc.: como proveedor de la infraestructura de WhatsApp Business API, bajo sus condiciones y políticas para uso empresarial.
• Asesores legales, contables y profesionales: cuando sea necesario para el cumplimiento de obligaciones legales.

Todos los encargados del tratamiento actúan bajo instrucciones documentadas y están obligados por contratos de procesamiento de datos (DPA) o cláusulas contractuales equivalentes.

Verificación y auditorías de Meta: Para Ayer se somete a procesos de verificación y auditorías periódicas por parte de Meta para garantizar el cumplimiento de sus políticas de seguridad, privacidad y uso empresarial de WhatsApp. Estas auditorías validan que nuestras prácticas de tratamiento de datos cumplen con los más altos estándares internacionales.

Conforme al Art. 32 del RGPD, al Art. 37 de la LOPDP de Ecuador y a las mejores prácticas de la industria, Para Ayer implementa medidas técnicas y organizativas adecuadas al nivel de riesgo del tratamiento. Estas medidas incluyen, de forma no exhaustiva:

• Cifrado: Datos cifrados en reposo (AES-256 o equivalente) y en tránsito (TLS 1.2/1.3) en todos los sistemas y productos.
• Control de acceso: Autenticación multifactor (MFA), controles de acceso lógico basados en roles (RBAC) y aplicación del principio de mínimo privilegio.
• Gestión de accesos: Revisión periódica de permisos, revocación inmediata al cese de la relación laboral o contractual y registro de accesos auditables.
• Copias de seguridad: Backups cifrados con frecuencia definida, almacenamiento geográficamente redundante y planes de recuperación ante desastres (DRP) documentados y probados.
• Monitoreo y detección: Supervisión continua de sistemas, detección de intrusiones, análisis de vulnerabilidades y pruebas de penetración periódicas.
• Formación: Capacitación obligatoria y periódica de todo el personal en protección de datos personales, seguridad de la información y confidencialidad.
• Gestión de proveedores: Evaluación de seguridad de subencargados del tratamiento antes de su contratación y auditoría periódica de cumplimiento.

Estas medidas se revisan y actualizan regularmente conforme al principio de mejora continua para garantizar un nivel de seguridad adecuado al riesgo del tratamiento (Art. 32.1.d RGPD).

Determinados proveedores de servicios de Para Ayer pueden estar ubicados fuera de Ecuador, Estados Unidos o la Unión Europea. Para Ayer garantiza que toda transferencia internacional de datos se realice con las garantías exigidas por la normativa aplicable:

11.1. Transferencias desde la UE/EEE (Capítulo V RGPD, Arts. 44–49):

• Decisiones de adecuación (Art. 45 RGPD): cuando la Comisión Europea haya determinado que el país destinatario ofrece un nivel de protección adecuado.
• Cláusulas Contractuales Tipo (SCC) (Art. 46.2.c RGPD): conforme a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea.
• Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework, Decisión de adecuación de 10 de julio de 2023): para proveedores certificados en Estados Unidos.

11.2. Transferencias desde Ecuador (Art. 39 LOPDP):

Se aplican las garantías contractuales y mecanismos de transferencia previstos en la LOPDP y su normativa de desarrollo.

11.3. Transferencias relacionadas con WhatsApp Business API:

Determinados datos pueden procesarse en la infraestructura global de Meta Platforms, Inc., aplicando las salvaguardas descritas en el Addendum de Procesamiento de Datos de Meta para empresas.

Para información detallada sobre las garantías aplicables a cada transferencia, escribir a management@paraayer.net.

En caso de producirse una violación de la seguridad de los datos personales, Para Ayer activará su protocolo de respuesta a incidentes conforme a la normativa aplicable:

12.1. Procedimiento interno:

• Detección, contención y documentación inmediata del incidente, incluyendo naturaleza de la violación, categorías y número aproximado de interesados afectados, consecuencias probables y medidas adoptadas (Art. 33.3 RGPD).
• Evaluación del nivel de riesgo para los derechos y libertades de las personas físicas afectadas.

12.2. Notificación a autoridades de control:

• RGPD (Art. 33): Notificación a la autoridad de control competente en un plazo máximo de 72 horas desde que se tenga constancia de la violación, salvo que sea improbable que constituya un riesgo para los derechos y libertades de las personas.
• CCPA/CPRA (Cal. Civ. Code § 1798.82): Notificación a los residentes de California afectados en el plazo más breve posible y sin dilación injustificada.
• LOPDP Ecuador: Notificación a la Autoridad de Protección de Datos Personales y al titular en los plazos que establezca la normativa de desarrollo.

12.3. Comunicación al interesado:

Cuando la violación entrañe un alto riesgo para los derechos y libertades del interesado, Para Ayer le comunicará la violación sin dilación indebida, describiendo la naturaleza del incidente y las medidas adoptadas o propuestas (Art. 34 RGPD).

12.4. En calidad de encargado del tratamiento:

Cuando Para Ayer actúe como encargado del tratamiento, notificará al cliente (responsable) sin dilación indebida tras tener constancia del incidente (Art. 33.2 RGPD), conforme a lo establecido en el DPA correspondiente.

El titular de los datos puede ejercer gratuitamente los siguientes derechos. Para Ayer detalla a continuación cada derecho con su fundamento normativo:

13.1. Derechos conforme al RGPD (Arts. 15–22):

• Acceso (Art. 15): obtener confirmación de si se tratan datos personales y acceder a una copia completa, incluyendo finalidades, categorías, destinatarios, plazos de conservación y origen de los datos.
• Rectificación (Art. 16): corregir datos inexactos o completar datos incompletos sin dilación indebida.
• Supresión — Derecho al olvido (Art. 17): solicitar la eliminación cuando los datos ya no sean necesarios, se retire el consentimiento, se ejerza el derecho de oposición, el tratamiento sea ilícito o exista obligación legal de supresión.
• Limitación del tratamiento (Art. 18): restringir el tratamiento mientras se verifica la exactitud, se determina la licitud o se necesiten los datos para reclamaciones.
• Portabilidad (Art. 20): recibir los datos en formato estructurado, de uso común y lectura mecánica (CSV, JSON, XML), y transmitirlos a otro responsable cuando el tratamiento se base en consentimiento o contrato y se efectúe por medios automatizados.
• Oposición (Art. 21): oponerse al tratamiento basado en interés legítimo o en marketing directo, en cuyo caso Para Ayer cesará el tratamiento salvo que acredite motivos legítimos imperiosos.
• No ser objeto de decisiones automatizadas (Art. 22): derecho a no estar sujeto a decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente.
• Retirada del consentimiento (Art. 7.3): en cualquier momento y sin que ello afecte la licitud del tratamiento previo a la retirada.

13.2. Derechos conforme a la CCPA/CPRA (Cal. Civ. Code §§ 1798.100–1798.199):

• Derecho a saber (§ 1798.100): qué información personal se recopila, las fuentes, los fines comerciales y las categorías de terceros con quienes se comparte.
• Derecho a eliminar (§ 1798.105): solicitar la eliminación de información personal, sujeto a las excepciones del § 1798.105(d).
• Derecho a corregir (§ 1798.106): solicitar la corrección de información personal inexacta.
• Derecho a optar por no vender/compartir (§ 1798.120): Para Ayer no vende ni comparte información personal.
• Derecho a la no discriminación (§ 1798.125): no recibir trato diferenciado por ejercer derechos de privacidad.

13.3. Derechos conforme a la LOPDP de Ecuador (Arts. 17–24):

Acceso, rectificación, cancelación (eliminación), oposición, portabilidad y a no ser objeto de decisiones individuales automatizadas, conforme al Título IV de la LOPDP.

13.4. Procedimiento para el ejercicio de derechos:

• Enviar solicitud a management@paraayer.net indicando: (a) derecho que se desea ejercer, (b) nombre completo, (c) correo electrónico de contacto, (d) copia de documento de identidad.
• Plazos de respuesta: 30 días naturales (RGPD, Art. 12.3), 45 días naturales (CCPA, § 1798.130), 15 días hábiles (LOPDP Ecuador).
• También se puede presentar una reclamación ante la autoridad de protección de datos competente o consultar la página de Eliminación de Datos.

Los servicios de Para Ayer son de naturaleza exclusivamente B2B (Business to Business) y no están dirigidos a menores de edad. Para Ayer no recopila intencionadamente datos personales de:

• Menores de 16 años conforme al Art. 8.1 del RGPD (o la edad inferior que establezca el Estado miembro, sin que pueda ser inferior a 13 años).
• Menores de 13 años conforme a la Children's Online Privacy Protection Act (COPPA, 15 U.S.C. §§ 6501–6506) en Estados Unidos.
• Menores según las edades establecidas en la LOPDP de Ecuador (Art. 24) y la normativa de protección de niños, niñas y adolescentes.

En caso de detectar que se han recopilado datos de un menor sin la autorización del titular de la patria potestad o tutela legal, Para Ayer procederá a su supresión inmediata, documentará el incidente y adoptará las medidas correctivas necesarias. Para reportar este tipo de situaciones, escribir a management@paraayer.net.

Para Ayer está verificada por Meta como empresa autorizada para el uso de WhatsApp Business API y otras herramientas empresariales de Meta. Como parte de este proceso:

• Para Ayer se somete a auditorías de cumplimiento y seguridad periódicas que validan las prácticas de privacidad, seguridad y tratamiento de datos.
• Se cumple con las Políticas de la Plataforma de Meta, incluyendo las Condiciones de Servicio de WhatsApp Business, la Política de Datos de WhatsApp Business y las directrices para desarrolladores.
• Se mantiene documentación actualizada de los procesos de tratamiento de datos para responder a cualquier revisión o auditoría.
• Se implementan las medidas técnicas y organizativas requeridas por Meta para la protección de datos de los usuarios.

Este compromiso con la verificación y cumplimiento se extiende a todos los productos y servicios que Para Ayer desarrolla y ofrece, garantizando un estándar consistente de privacidad y seguridad en toda la operación.

Para Ayer se reserva el derecho de actualizar esta Política de Privacidad en cualquier momento para reflejar cambios en la legislación aplicable (como nuevas directrices del RGPD, la EDPB, leyes estatales de privacidad en EE. UU. o la LOPDP en Ecuador), en las políticas y requisitos de auditoría de Meta, o en las prácticas operativas y de desarrollo de productos.

La fecha de la última actualización se indica al inicio del documento. Se recomienda revisar esta página periódicamente. Para cambios sustanciales que afecten los derechos de los titulares, Para Ayer realizará esfuerzos razonables por informar directamente cuando disponga de un medio de contacto.