1. Identidad del responsable
VOLTAFLOW LLC (“Voltaflow”, “nosotros”) es una sociedad incorporada en el Estado de Wyoming, Estados Unidos de América, con modelo operativo 100% remoto. Es la entidad responsable del tratamiento de los datos personales recabados a través del Servicio comercializado bajo la marca GetDecant.
Para cualquier asunto relacionado con este Aviso de Privacidad puede escribirnos a:
- privacidad@getdecant.com (preferente para residentes en México y derechos ARCO)
- privacy@voltaflow.com (alternativo, equipo Voltaflow LLC)
2. Información Personal (PI) e Información Personalmente Identificable (PII): qué son y cómo distinguirlas
Este Aviso utiliza dos términos legales que conviene aclarar al usuario común, porque la legislación aplicable los distingue:
- PI (Información Personal): concepto amplio bajo la LFPDPPP (México) y la CCPA/CPRA (California, EE. UU.). Incluye cualquier dato que se relacione con una persona identificada o identificable — email, nombre, dirección IP, identificadores de cookie, ubicación aproximada por código postal, historial de uso del Servicio.
- PII (Personally Identifiable Information): subconjunto más estricto, usado típicamente bajo marcos estadounidenses, que permite identificar directamente a una persona — nombre completo, número telefónico, dirección postal completa, número de identificación oficial, datos bancarios.
Toda PII es PI, pero no toda PI es PII. Cuando hablamos de “datos personales” en este Aviso nos referimos al concepto amplio (PI) salvo que indiquemos lo contrario.
Roles que asume Voltaflow LLC sobre los distintos tipos de datos:
- Datos del operador (B2B — el dueño de la perfumería que contrata GetDecant): nombre, email, rol, tenant. Voltaflow LLC actúa como Responsable directamente frente al operador.
- Datos del cliente final del operador (B2C indirecto — el comprador de decants): nombre, teléfono, dirección, productos comprados, contenido del paquete. Para estos datos el operador es el Responsable y Voltaflow LLC actúa como Encargado (procesador) por cuenta del operador. El operador es quien debe recolectar el consentimiento de su cliente final y comunicarle su propio aviso de privacidad.
3. Datos personales que recabamos
- De cuentas: email, nombre, rol, tenant, preferencias de idioma, contraseña hash (Supabase Auth).
- De operación (B2C indirecto): cuando el operador captura datos de su cliente final, GetDecant los procesa para que el operador los use (POS, ventas, tickets, devoluciones, inventario por mililitro, transferencias entre sucursales).
- Automáticos: dirección IP, user agent, eventos de telemetría, parámetros UTM, cookies necesarias.
- Datos logísticos: dirección de envío, código postal, teléfono de contacto, contenido declarado, peso y código UNSPSC cuando el operador genera guías a través de Envia.com.
- Datos de mensajería: teléfono del destinatario y contenido del recibo o ticket cuando el operador envía mensajes WhatsApp/SMS a través de Wasend.
- Prompts de IA: texto e imágenes que el operador envía al catálogo IA-asistido, al chat de soporte o al asistente de pricing competitivo. Ver sección 6.
- Queries de mercado: términos de búsqueda no-PII enviados a Serper para inteligencia de precios.
4. Finalidades del tratamiento
Finalidades primarias (necesarias para prestar el Servicio):
- Crear, autenticar y administrar la cuenta del operador
- Operar las funciones del Servicio (POS, inventario, multi-sucursal, transferencias)
- Soporte técnico, incluyendo el chat con IA cuando el operador lo solicite
- Facturación de la suscripción SaaS via Stripe
- Generación de guías de envío con socios de paquetería via Envia.com
- Envío de tickets, recibos y notificaciones por WhatsApp/SMS via Wasend, o por email via Resend
- Enriquecimiento del catálogo de fragancias (Fragella + Gemini)
- Cumplimiento de obligaciones legales y respuesta a autoridades competentes
Finalidades secundarias (no necesarias, puede oponerse):
- Analítica anonimizada y mejoras de producto
- Comunicaciones comerciales sobre nuevas funciones (con consentimiento expreso o implícito por uso)
Si usted desea oponerse a las finalidades secundarias, puede comunicarlo a privacidad@getdecant.com en cualquier momento, sin afectar la prestación del Servicio.
5. Política de IA y NO-filtración de PII a modelos
GetDecant integra modelos de inteligencia artificial generativa (Gemini 2.5 Flash Lite de Google, ruteado a través de Vercel AI Gateway) para enriquecimiento de catálogo, identificación de fragancias por imagen, chat de soporte y pricing competitivo. La privacidad del usuario es la prioridad al diseñar esta integración. Por ello aplicamos las siguientes garantías:
- Redacción automatizada de PII: antes de enviar cualquier prompt al modelo, una capa de sanitización reemplaza nombres, teléfonos, direcciones, emails y números de identificación oficial por placeholders genéricos:
[NOMBRE],[TELÉFONO],[DIRECCIÓN],[EMAIL],[ID]. - Rechazo de imágenes con rostros: la función de identificación por imagen está diseñada para fotografías de productos (frascos de perfume). Las imágenes que contengan rostros detectables son rechazadas antes del envío al modelo.
- Sanitización de prompts de soporte: el chat con IA recibe el contexto operativo (producto, plan, sucursal), pero los datos identificadores del cliente final se enmascaran. El modelo recibe lo necesario para responder, no lo necesario para identificar.
- Retención de logs IA: los logs de las llamadas a IA se conservan durante un máximo de 30 días con fines de debugging y mejora del modelo de redacción, después se eliminan automáticamente.
- Auditoría continua: Voltaflow LLC mantiene un test suite automatizado que verifica que ningún campo PII llegue a los modelos. Los resultados de la auditoría están disponibles bajo NDA para clientes Enterprise que lo soliciten a privacidad@getdecant.com.
- Sin entrenamiento con datos del operador: los prompts y respuestas no son utilizados por Voltaflow LLC para entrenar modelos propietarios. Las políticas del proveedor del modelo (Google) aplican adicionalmente; al ruteo via Vercel AI Gateway sin almacenamiento prolongado.
La IA puede producir resultados imperfectos. La responsabilidad final respecto de la información que el operador publica (precios, descripciones, comunicaciones a clientes finales) recae siempre en el operador.
6. Mensajería WhatsApp/SMS via Wasend (riesgo divulgado)
El Servicio de mensajería WhatsApp opera mediante un proveedor tecnológico llamado Wasend (api.wasend.dev), que NO está afiliado oficialmente con Meta/WhatsApp. Esto significa:
- Los datos de mensajería (teléfono y contenido del ticket) viajan a Wasend y, downstream, a Meta para entregarse en WhatsApp.
- Meta puede aplicar restricciones, suspensión o baneo del número del operador por uso de APIs no-oficiales según su política WhatsApp Business.
- El operador acepta este riesgo conforme a los Términos del Servicio. Su uso debe ser estrictamente transaccional con clientes que han consentido recibir las comunicaciones.
Para los efectos de este Aviso, Wasend y Meta están declarados como destinatarios en la sección 8.
7. Cookies y tecnologías similares
GetDecant utiliza cookies necesarias para autenticación (Supabase), preferencias de idioma, consentimiento, y, cuando aplica, una cookie de impersonation HttpOnly utilizada por administradores SaaS de Voltaflow LLC para soporte autorizado. El detalle por cookie, su duración, y los mecanismos de gestión están documentados en nuestra Política de Cookies disponible en /cookies.
8. Transferencias y comunicación de datos a terceros
Para prestar el Servicio compartimos datos con los procesadores y destinatarios listados a continuación. Cada uno opera bajo sus propios términos y bajo cláusulas contractuales que cumplen con la LFPDPPP (transferencias internacionales con garantías equivalentes) y, cuando aplica, con SCCs (Standard Contractual Clauses) para datos cruzando la Unión Europea.
| Procesador | Función | Jurisdicción | Datos compartidos |
|---|---|---|---|
Supabase | Base de datos, autenticación, almacenamiento de archivos, RLS por tenant | Estados Unidos / Unión Europea | Todos los datos del tenant (catálogo, ventas, inventario, usuarios) |
Stripe | Procesamiento de pagos y facturación de la suscripción SaaS | Estados Unidos / Irlanda | Email, nombre, ID de cliente, datos de facturación |
Envia.com | Cotización, generación de guías y tracking con 100+ paqueterías (Estafeta, DHL México, FedEx México, Redpack, regionales) | Estados Unidos / México / multi-país | Dirección de envío, código postal, teléfono de contacto, contenido declarado, peso, UNSPSC code |
Wasend (api.wasend.dev) IMPORTANTE: Wasend es un proveedor tecnológico que NO está afiliado oficialmente con Meta/WhatsApp. Ver sección 'Mensajería WhatsApp/SMS' más abajo. | Mensajería WhatsApp y SMS para tickets/recibos. Wasend a su vez transfiere los mensajes a Meta (WhatsApp). | Estados Unidos | Teléfono del destinatario, contenido del ticket o mensaje, nombre del cliente final cuando aplica |
Fragella | Catálogo enriquecido de fragancias (notas, accords, ratings) | Por verificar (TBD en próxima versión del Aviso) | Queries del operador (no PII) |
Vercel AI Gateway → Google (Gemini 2.5 Flash Lite) | IA generativa: enriquecimiento de catálogo, identificación por imagen, chat de soporte, pricing competitivo | Estados Unidos | Prompts e imágenes sanitizadas (sin PII por política — ver sección 'Política de IA') |
Serper | Datos de SERP/Shopping para pricing competitivo | Estados Unidos | Queries del operador (no PII) |
Resend | Envío de emails transaccionales (recuperación de cuenta, notificaciones, recibos) | Estados Unidos | Email, nombre, contenido del mensaje |
Sentry (proyecto voltaflow-j5) | Monitoreo de errores y trazas para debugging | Estados Unidos | Stack traces, IPs, user agent, eventos contextualizados sin PII por política |
Vercel | Hosting y analytics del sitio | Estados Unidos | IPs, user agent, eventos de tráfico |
Cloudflare | CDN y protección de borde | Global | IPs, encabezados HTTP, tráfico encriptado |
Paqueterías integradas via Envia.com | Transporte físico de los paquetes — Estafeta, DHL México, FedEx México, Redpack, regionales (lista actualizable) | México (principalmente) y multi-país | Dirección, código postal, teléfono, contenido declarado — cada transportista opera bajo sus propios términos LFPDPPP |
Meta (WhatsApp) — destinatario downstream via Wasend | Plataforma final de entrega del mensaje WhatsApp | Estados Unidos / Irlanda | Teléfono y contenido del mensaje (a través de Wasend) |
No vendemos los datos personales del operador ni de su cliente final a terceros con fines publicitarios.
9. Derechos ARCO (Acceso, Rectificación, Cancelación, Oposición)
Los titulares de datos personales (operadores y clientes finales del operador, en su carácter respectivo) tienen derecho a:
- Acceso: conocer qué datos personales tenemos sobre usted y para qué los utilizamos.
- Rectificación: corregir información inexacta o incompleta.
- Cancelación: solicitar la eliminación de los datos cuando ya no sean necesarios para las finalidades.
- Oposición: oponerse al tratamiento para fines específicos.
Para ejercer cualquiera de estos derechos envíe su solicitud a privacidad@getdecant.com acompañada de una copia de su identificación oficial y la descripción clara y precisa de los datos sobre los que ejerce el derecho. Le responderemos en un plazo máximo de 20 días hábiles conforme al artículo 32 de la LFPDPPP. Para los datos de los clientes finales del operador (en los que somos Encargados), le redirigiremos al operador correspondiente, que es el Responsable.
Residentes en California (EE. UU.) cuentan adicionalmente con derechos específicos bajo CCPA/CPRA: derecho a saber, derecho a eliminar, derecho a corregir, derecho a optar por no participar en la venta o comunicación de datos personales (no vendemos datos personales). Pueden ejercerlos por la misma vía.
10. Limitación y revocación del consentimiento
Usted puede limitar el uso o divulgación de sus datos personales y revocar el consentimiento que nos haya otorgado escribiendo a privacidad@getdecant.com. Tenga en cuenta que la revocación puede tener como consecuencia la imposibilidad de continuar usando el Servicio cuando los datos sean indispensables para su prestación.
11. Conservación / Retención de datos
- Datos de leads (formularios de contacto, registros sin completar): 24 meses.
- Logs de aplicación, errores y telemetría: 12 meses.
- Logs de llamadas a IA (prompts y respuestas redactadas): 30 días.
- Datos del tenant operativos: vida del contrato + 90 días post-terminación (ventana de exportación / reactivación), tras lo cual se eliminan o anonimizan según la categoría.
- Registros contables y obligaciones legales: durante el plazo legal aplicable según la jurisdicción.
12. Datos de menores de edad
GetDecant es un Servicio business-to-business dirigido a operadores mayores de edad. No recabamos conscientemente datos personales de menores. Si detectamos que recibimos datos de un menor, los eliminaremos al ser notificados.
13. Marco aplicable y autoridad competente
- México: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y los Lineamientos del INAI. Autoridad competente: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), inai.org.mx.
- California, EE. UU.: California Consumer Privacy Act (CCPA) y California Privacy Rights Act (CPRA).
- Unión Europea / EEE: tratamientos compatibles con el Reglamento General de Protección de Datos (RGPD/GDPR) y el uso de cláusulas contractuales tipo (SCCs) para transferencias internacionales.
14. Cambios al presente Aviso
Voltaflow LLC podrá modificar este Aviso de Privacidad para reflejar cambios legales, operativos o de proveedores. Cuando los cambios sean materiales, lo notificaremos con al menos 30 días de anticipación al email registrado en la cuenta y publicaremos la nueva versión en /privacy identificada por su versión semántica y fecha de vigencia.
El uso continuado del Servicio después de la fecha de vigencia constituye aceptación de los términos actualizados; cuando aplica, se requerirá una nueva aceptación expresa desde el panel del operador.
15. Contacto y dudas
Para cualquier duda sobre este Aviso de Privacidad o sobre el tratamiento de sus datos personales, escriba a privacidad@getdecant.com. Para asuntos legales generales, escriba a legal@getdecant.com.