Inboxia

Política de Privacidad

Última actualización: 15 de abril de 2026

1. Responsable del Tratamiento

Inboxia (en adelante, “nosotros”, “la Plataforma”) es una plataforma SaaS de atención al cliente automatizada con inteligencia artificial, operada desde España.

2. Datos que Recopilamos

2.1 Datos de registro

Al crear una cuenta en Inboxia, recopilamos:

  • Nombre completo, dirección de correo electrónico y contraseña (cifrada con bcrypt)
  • Número de teléfono (opcional)
  • Zona horaria preferida
  • Foto de perfil (opcional)

2.2 Datos de negocio

Para configurar tus agentes de IA, recopilamos información que tú proporcionas voluntariamente:

  • Nombre del negocio, dirección, descripción y tipo de actividad
  • Catálogo de servicios y/o productos (nombres, precios, descripciones)
  • Horarios de apertura y configuración de calendario
  • Logotipo e imágenes del negocio

2.3 Base de conocimiento

Para entrenar a tus agentes de IA, puedes subir voluntariamente:

  • Documentos PDF, archivos Excel
  • URLs de páginas web para extracción de contenido
  • Preguntas frecuentes (FAQs) escritas manualmente

Estos datos se procesan y almacenan de forma vectorizada para permitir búsqueda semántica en tiempo real. Solo tu agente de IA tiene acceso a tu base de conocimiento.

2.4 Datos de conversaciones

Inboxia actúa como encargado del tratamiento en nombre del cliente, quien es el responsable de los datos de sus usuarios finales.

Al conectar tus canales de comunicación (WhatsApp, Instagram, Messenger), Inboxia procesa:

  • Mensajes de texto enviados y recibidos
  • Archivos multimedia (fotos, vídeos, audios, documentos) compartidos en las conversaciones
  • Datos de contacto de los clientes que te escriben (nombre, número/ID de la plataforma)
  • Metadatos de las conversaciones (fechas, estados, etiquetas)

2.5 Datos de pago

Los pagos se procesan íntegramente a través de Stripe. Inboxia no almacena datos de tarjetas de crédito ni información financiera sensible. Almacenamos únicamente el identificador de cliente de Stripe y el estado de la suscripción.

2.6 Datos de conexiones con terceros

Al conectar servicios externos, almacenamos:

  • WhatsApp: Datos de sesión para mantener la conexión activa
  • Instagram: Token de acceso de larga duración, nombre de usuario, ID de cuenta
  • Messenger: Token de acceso de página, ID de página, nombre de página
  • Google Calendar: Token de acceso OAuth para sincronización de calendario

3. Finalidad del Tratamiento

Utilizamos tus datos para:

  • Prestar el servicio: Gestionar tus agentes de IA, procesar conversaciones, agendar citas y ofrecer las funcionalidades de la plataforma
  • Procesamiento con IA: Tus datos se envían a OpenAI (GPT-4, Whisper, Vision) para generar respuestas inteligentes, transcribir audios y analizar imágenes, siempre dentro del contexto de tus conversaciones
  • Mejora del servicio: Analizar el uso de la plataforma para mejorar funcionalidades
  • Comunicaciones: Enviarte correos electrónicos relacionados con tu cuenta (verificación, cambios de plan, alertas de seguridad)
  • Facturación: Gestionar tu suscripción y procesar pagos a través de Stripe

4. Base Legal del Tratamiento

  • Ejecución de contrato: El tratamiento es necesario para prestar el servicio que has contratado (Art. 6.1.b RGPD)
  • Consentimiento: Para el uso de cookies no esenciales y comunicaciones comerciales (Art. 6.1.a RGPD)
  • Interés legítimo: Para la prevención de fraude y la seguridad de la plataforma (Art. 6.1.f RGPD)

5. Compartición de Datos con Terceros

Inboxia comparte datos con los siguientes proveedores de servicios, exclusivamente para operar la plataforma y prestar las funciones que has solicitado:

  • OpenAI (EE.UU.) — Procesamiento de lenguaje natural, análisis de imágenes y transcripción de audio. Los datos se envían bajo la política de uso empresarial de OpenAI, que no utiliza los datos para entrenar sus modelos. Los datos de Google nunca se envían a OpenAI.
  • Stripe (EE.UU.) — Procesamiento de pagos y gestión de suscripciones
  • Meta Platforms (EE.UU.) — Para la integración con Instagram y Messenger (API oficial)
  • Google (EE.UU.) — Para la sincronización con Google Calendar (únicamente con los usuarios que han concedido explícitamente los permisos OAuth correspondientes)
  • MongoDB Atlas — Almacenamiento cifrado de base de datos

Las transferencias internacionales de datos se realizan al amparo de las Cláusulas Contractuales Tipo de la Comisión Europea y/o el Marco de Privacidad UE-EE.UU.

No transferimos ni divulgamos tu información a terceros para fines distintos de los descritos en esta política. En particular, no vendemos, alquilamos ni compartimos tus datos con fines publicitarios, de perfilado de marketing, intermediación de datos, reventa a brokers de información, evaluación de solvencia, fines crediticios o publicidad dirigida/personalizada/de retargeting.

6. Datos de Usuario de Google

Cuando conectas tu cuenta de Google para usar la integración con Google Calendar, el uso y transferencia por parte de Inboxia de la información recibida de las APIs de Google cumple con la Política de Datos de Usuario de los Servicios API de Google, incluidos los requisitos de Uso Limitado (Limited Use).

6.1 Qué datos de Google accedemos

  • Tu dirección de correo y nombre de perfil de Google (para identificar la cuenta conectada en tu panel)
  • Eventos, calendarios y disponibilidad de Google Calendar para los calendarios que selecciones explícitamente (acceso de lectura/escritura para crear, actualizar, eliminar y consultar citas reservadas por tu agente IA)
  • Tokens de acceso y refresco OAuth, almacenados cifrados en reposo

6.2 Cómo usamos los datos de Google

Los datos de Google se usan exclusivamente para prestar y mejorar las funciones de Calendar que tú has activado: leer la disponibilidad para que el agente IA pueda ofrecer huecos disponibles, y crear, modificar o cancelar eventos en tu nombre durante las conversaciones con tus clientes.

6.3 Con quién compartimos los datos de Google

Inboxia no comparte, transfiere ni divulga tus datos de Google a ningún tercero, salvo:

  • Contigo y con tus usuarios finales — los detalles de eventos se muestran en el panel de Inboxia y se comunican a los clientes con los que hablas, como parte del servicio que has configurado.
  • Google — para realizar las llamadas a la API de Calendar que has autorizado.
  • Proveedores de infraestructura que actúan como encargados del tratamiento bajo estricta confidencialidad — Hetzner (UE, hosting de servidores) y MongoDB Atlas (base de datos cifrada). Estos proveedores no pueden acceder a los datos de Google en forma utilizable ni usarlos para sus propios fines.
  • Cuando sea legalmente requerido — para cumplir con la ley aplicable, regulación, proceso legal o requerimiento gubernamental exigible.
  • Con tu consentimiento explícito — para cualquier otra transferencia, solicitaremos tu consentimiento afirmativo previamente.

6.4 Usos prohibidos

De acuerdo con la Política de Datos de Usuario de los Servicios API de Google, Inboxia NO:

  • Transfiere datos de Google a terceros para servir anuncios, incluidos anuncios de retargeting, personalizados o basados en intereses
  • Vende datos de Google ni los comparte con brokers de datos o revendedores de información
  • Usa datos de Google para determinar solvencia crediticia o con fines de préstamo
  • Usa datos de Google para entrenar, ajustar o evaluar modelos generales de IA/ML; el agente IA solo lee la información específica del evento necesaria para responder a cada conversación del cliente en tiempo real, y esta información no se retiene para entrenamiento de modelos
  • Permite que humanos lean datos de Google, salvo que hayamos obtenido tu consentimiento afirmativo para datos específicos, sea necesario por motivos de seguridad (p. ej. investigar abuso), para cumplir con la ley aplicable, o los datos estén agregados y anonimizados y se usen para operaciones internas

6.5 Revocación del acceso y eliminación

Puedes revocar el acceso de Inboxia a tu cuenta de Google en cualquier momento desde la sección de integraciones de tu panel o desde tu página de permisos de la Cuenta de Google. Tras la revocación, los tokens OAuth se eliminan de nuestros sistemas en un plazo de 7 días. También puedes solicitar la eliminación de todos los datos derivados de Google que almacenamos contactando a agent@inbox-ia.com.

7. Conservación de los Datos

  • Datos de cuenta: Mientras mantengas tu cuenta activa y durante el plazo legal posterior a la baja
  • Conversaciones: Mientras mantengas tu cuenta activa. Los archivos multimedia se eliminan automáticamente tras 30 días
  • Datos de pago: Según las obligaciones fiscales aplicables (mínimo 5 años)
  • Base de conocimiento: Hasta que la elimines manualmente o canceles tu cuenta

8. Tus Derechos (RGPD)

Como usuario, tienes derecho a:

  • Acceso: Solicitar una copia de los datos que tenemos sobre ti
  • Rectificación: Corregir datos inexactos o incompletos
  • Supresión: Solicitar la eliminación de tus datos (“derecho al olvido”)
  • Portabilidad: Recibir tus datos en un formato estructurado
  • Oposición: Oponerte al tratamiento de tus datos
  • Limitación: Solicitar la restricción del tratamiento

Para ejercer cualquiera de estos derechos, contacta con nosotros en agent@inbox-ia.com. Responderemos en un plazo máximo de 30 días.

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

9. Seguridad

Implementamos medidas de seguridad técnicas y organizativas para proteger tus datos:

  • Contraseñas cifradas con bcrypt
  • Comunicaciones cifradas con HTTPS/TLS
  • Autenticación mediante tokens JWT
  • Tokens de terceros almacenados de forma segura y renovados automáticamente
  • Sistema de prevención de fraude para detectar usos indebidos

10. Menores

Inboxia no está dirigido a menores de 16 años. No recopilamos conscientemente datos de menores. Si detectamos que un menor se ha registrado, eliminaremos su cuenta y datos asociados.

11. Cambios en esta Política

Nos reservamos el derecho de actualizar esta política de privacidad. Notificaremos cualquier cambio significativo a través de la plataforma o por correo electrónico. El uso continuado del servicio tras los cambios implica la aceptación de la política actualizada.

12. Contacto

Para cualquier consulta sobre privacidad o protección de datos, puedes contactarnos en: