Última actualización: 28 de octubre de 2025
Ámbito: Esta política se aplica al sitio web y a la plataforma de agentes accesible en platform.nexus-solutions-lab.com (la Plataforma). Nuestro diseño es EU‑first: por defecto tratamos y alojamos datos en la UE/EEE.
1) Identidad del Responsable
Responsable: Nexus solutions Lab
Domicilio profesional: Santa Pola (Alicante) 03130, España
Email de privacidad (operativo): privacy@nexus-solutions-lab.com
Canal de solicitudes de derechos: privacy@nexus-solutions-lab.com
Contacto de protección de datos (no DPO formal): Diego Fernández Gil — privacy@nexus-solutions-lab.com
Si en el futuro designamos un Delegado de Protección de Datos conforme al art. 37 RGPD, lo anunciaremos aquí con sus datos de contacto.
2) Qué datos tratamos
Cuenta y organización
Nombre, apellidos, email, contraseña (hash), empresa/área, rol, IDs internos (tenant/espacio), preferencias.
Operación de la Plataforma
Configuración de agentes/bots, prompts, flujos, webhooks, integraciones activadas, permisos, auditoría de cambios, métricas de uso y logs técnicos (errores, trazas, IP, user‑agent, timestamps).
Conversaciones y contactos (de tus clientes/usuarios finales)
Identificadores (p. ej., wa_id, número de teléfono, email, ID de chat web), mensajes, adjuntos (imágenes, audio, documentos), estados de entrega/lectura, interacciones (botones/listas), etiquetas/notas, asignaciones a agentes.
Facturación y soporte
Datos de pago tokenizados por el PSP/proveedor, incidencias/tickets, diagnósticos.
Web y analítica
Cookies/tecnologías similares (consulta la Política de Cookies).
IA / Modelos
Textos/archivos que tú o tus usuarios enviáis a los agentes para inferencia; resultados, puntuaciones y métricas. Por defecto no re‑entrenamos modelos generales con tus datos (§7).
3) Finalidades y bases jurídicas
Prestar el servicio (panel, agentes, canales, monitorización, seguridad, continuidad).
Base: ejecución de contrato (art. 6.1.b RGPD) e interés legítimo en operar y proteger la Plataforma.
Soporte y mejora (diagnóstico, calidad, prevención de abuso y fraude).
Base: interés legítimo + cumplimiento de obligaciones.
Comunicaciones de producto (newsletters y mejoras para clientes).
Base: soft opt‑in del art. 21.2 LSSI; para no‑clientes, consentimiento. Baja en un clic desde cada mensaje.
Analítica/cookies no esenciales.
Base: consentimiento (CMP con Aceptar/Rechazar/Configurar y registro de consentimiento).
Cumplimientos legales (fiscales, seguridad, solicitudes de autoridades).
Base: obligación legal.
Interés legítimo (LIA): realizamos evaluaciones de equilibrio (balancing test) para soporte/mejora y comunicaciones a clientes; resumen disponible bajo solicitud.
4) Decisiones automatizadas y transparencia de IA
Nuestros agentes pueden automatizar respuestas, clasificar y enrutar conversaciones (p. ej., desviar a humano, priorizar).
Explicamos qué hace la automatización y su impacto.
Puedes oponerte al perfilado con efectos jurídicos o significativamente similares y solicitar intervención humana (art. 22 RGPD).
Mantenemos supervisión humana, métricas de calidad y controles de seguridad (listas de bloqueo, límites, filtros).
5) Conservación (retenciones)
Adoptamos retenciones mínimas y configurables por tenant. Por defecto sugerido (ajustable a solicitud):
| Categoría | Retención por defecto | Notas |
|---|---|---|
| Conversaciones (texto/metadatos) | 180 días | Configurable por tenant; exportables bajo solicitud. |
| Adjuntos (imágenes/audio/docs) | 180 días | Salvo canal con retención propia (ver WhatsApp §8). |
| Logs de aplicación | 90 días | Diagnóstico y seguridad; acceso restringido. |
| Eventos de auditoría | 12 meses | Cambios de configuración y accesos. |
| Backups | 30 días (rotativos) | Cifrados; restauración ante desastre. |
| Datos de cuenta | Vigencia del contrato + plazos legales | Eliminación/bloqueo a solicitud. |
Podemos ajustar estos plazos por imperativo legal o pacto contractual. Avisaremos de cambios materiales.
6) Roles y DPA (art. 28 RGPD)
Respecto a tu cuenta y tu uso de la Plataforma, Nexus solutions Lab actúa como Responsable.
Respecto a los contactos (tus clientes/usuarios finales), actuamos como Encargado que procesa por tu cuenta.
El Acuerdo de Encargo de Tratamiento (DPA) forma parte de nuestras condiciones: https://nexus-solutions-lab.com/dpa (o solicítalo a privacy@nexus-solutions-lab.com).
Mantenemos un ROPA (registro de actividades) y ejecutamos instrucciones documentadas contigo.
7) Uso de datos para IA / entrenamiento
No entrenamos modelos generales con tus datos salvo opt‑in explícito.
Afinado privado (opt‑in): si lo habilitas, el fine‑tuning se ejecuta con tus datos, aislado por tenant y en región UE (cuando sea técnicamente viable).
Evaluaciones: podemos muestrear datos minimizados/anonimizados para medir calidad/seguridad; puedes opt‑out desde contrato o panel.
8) Integraciones y canales
Puedes activar integraciones como WhatsApp, email, webchat, Slack, CRM y otras. Al activarlas, tratamos datos a través de esos servicios únicamente para cursar mensajes o sincronizar información según tu configuración. Tú debes cumplir los términos y políticas de cada integración.
Cláusula específica — WhatsApp Cloud API (Meta)
Qué datos pasan por Meta: identificadores (waba_id, phone_number_id, wa_id), números de teléfono, mensajes, adjuntos y estados (enviado/entregado/leído), así como eventos de webhook.
Retención en Meta: los medios alojados en endpoints de WhatsApp Cloud API pueden persistir hasta 30 días. Recomendamos no usar ese canal como archivo permanente.
Base jurídica: ejecución del contrato para cursar tus comunicaciones y cumplimiento de políticas del canal.
Ubicación del tratamiento por Meta: puede incluir infraestructuras fuera del EEE; ver §12 Transferencias.
Responsabilidad del cliente: debes respetar las Políticas de WhatsApp Business (plantillas, categorías, uso aceptable) y la normativa aplicable. Podemos suspender usos que infrinjan dichas políticas.
9) Destinatarios (subencargados) y divulgaciones
Usamos subencargados para operar la Plataforma. Mantenemos una lista pública con proveedor, servicio y región en https://nexus-solutions-lab.com/subprocessors. Avisamos con 30 días de antelación ante nuevos subencargados no urgentes.
Subencargados actuales (a la fecha de esta política):
| Proveedor | Servicio | Región principal | Fuera EEE | Garantías | Finalidad |
| Vercel | Hosting web | UE (p. ej., DE/NL) | No/Si* | SCC+DTIA* | Frontend y edge |
| Supabase | DB/Storage | UE (p. ej., EU‑West) | No | — | Base de datos/almacen |
| Google Cloud Platform (GCP) | IA/Infra | UE (p. ej., europe‑west) | No/Si* | SCC+DTIA* | Inferencia/servicios |
| Stripe | Pagos | UE/EEE + EE.UU. | Sí | SCC+DTIA | Procesamiento de pagos |
| Pipedream | Integraciones | EE.UU./Global | Sí | SCC+DTIA | Orquestación/automatización |
| Meta (WhatsApp) | Canal | Global | Sí | SCC+DTIA* | Mensajería WhatsApp |
Notas: (i) Algunos proveedores ofrecen regiones UE y evitamos transferencias por configuración; marcamos No/Si* cuando existe posibilidad técnica de salida del EEE dependiendo de la feature usada o del failover. (ii) SCC+DTIA: aplicamos Cláusulas Contractuales Tipo 2021/914 y realizamos evaluación de impacto de transferencia; añadimos salvaguardas complementarias (cifrado, minimización, controles de acceso). (iii) Publicaremos cambios en la lista con preaviso cuando aplique.
También podremos comunicar datos a autoridades/tribunales cuando sea exigible por ley.
10) Seguridad
Medidas técnicas y organizativas:
Cifrado en tránsito (TLS) y en reposo.
Segregación por tenant, controles de acceso RBAC y MFA obligatoria para personal con acceso a datos.
Principio de mínimos privilegios y revisiones periódicas de permisos.
Auditoría de eventos y cambios.
Gestión de vulnerabilidades (parcheo, SAST/DAST), backups cifrados y recuperación ante desastres.
Entornos dev/stg/prod separados y políticas de datos reales en no‑prod = no salvo consentimiento y medidas de seudonimización.
Notificaremos incidentes de seguridad relevantes según RGPD, incluyendo comunicación a afectados cuando proceda.
11) Derechos de las personas
Puedes acceder, rectificar, suprimir, oponerte, limitar, portar tus datos y retirar tu consentimiento.
Cómo ejercer: escribe a privacy@nexus-solutions-lab.com
Plazo de respuesta: 1 mes desde la recepción (prorrogable a 2 meses en casos complejos).
Verificación de identidad: podemos solicitar información adicional razonable para confirmar tu identidad (p. ej., email verificado o justificante mínimo).
Si no estás conforme, puedes reclamar ante la AEPD (www.aepd.es).
Para solicitudes que involucren datos que tratamos como Encargado (p. ej., contactos de tus clientes), te ayudaremos a atenderlas conforme a tus instrucciones.
12) Transferencias internacionales y enfoque EU‑first
Por defecto, tratamos datos en la UE/EEE. No transferimos datos fuera del EEE salvo que:
lo requiera una integración activada por ti (p. ej., WhatsApp Cloud API, un LLM/IA de terceros, Stripe o Pipedream), o
exista una obligación legal puntual.
Cuando proceda, aplicamos SCC 2021/914, realizamos DTIA y adoptamos salvaguardas complementarias (cifrado, minimización, controles de acceso). Copia de las salvaguardas disponible bajo solicitud.
13) Cookies
Consulta la Política de Cookies (https://nexus-solutions-lab.com/cookies). Usamos un CMP con opciones Aceptar / Rechazar / Configurar y registro de consentimiento. Puedes cambiar tus preferencias desde el footer.
14) Menores
La Plataforma no está dirigida a menores de 16 años. No recabamos a sabiendas datos de menores.
15) Cambios
Podemos actualizar esta política. Si el cambio es material, te lo notificaremos en la Plataforma o por email.
Anexo A — Cláusula de WhatsApp Cloud API (Embedding y Coexistence)
Al pulsar “Conectar WhatsApp” en la Plataforma, se abre el Embedded Signup de Meta. Tras autorizar, guardamos waba_id y phone_number_id para operar el canal por tu cuenta.
Si ya usas WhatsApp Business App, puedes activar Coexistence (mismo número en la app y en la API).
Webhooks: suscribimos la app para recibir eventos (mensajes, estados, plantillas) en tu tenant.
Borrado: al desconectar revocamos tokens, desuscribimos webhooks y purgamos datos conforme a las retenciones (§5).
Políticas del canal: debes cumplir las Políticas de WhatsApp Business (plantillas, comercio, límites y uso aceptable).
Responsabilidades: tú defines textos de plantillas, bases jurídicas y fines; nosotros proveemos los medios técnicos.
Anexo B — IA de terceros (opt‑in)
Por defecto, no enviamos tus datos a proveedores de IA fuera del EEE. Si habilitas un proveedor/servicio (p. ej., OpenAI, Azure OpenAI, Vertex AI en GCP):
lo haremos como opt‑in por tenant,
indicaremos región de procesamiento (preferencia: UE), y
aplicaremos SCC/DTIA si hay transferencias.
Puedes deshabilitarlo en cualquier momento desde la configuración del espacio.
Anexo C — Data Deletion (User Data Deletion)
Cómo solicitar la eliminación
Envía un email a privacy@nexus-solutions-lab.com desde la cuenta titular o usa el Portal de Privacidad.
Indica el email de tu cuenta y, si aplica, el waba_id********************************************************/número conectado.
Qué haremos
Revocar tokens y accesos de la integración.
Desuscribir webhooks del WABA/servicio conectado.
Purgar datos del tenant según los plazos de §5 (con bloqueo legal cuando proceda).
Programar el borrado en backups en el siguiente ciclo de rotación.
Confirmarte por email la finalización.
Si iniciaste sesión con servicios de Meta, puedes empezar la solicitud desde tu cuenta de Facebook; aun así, te recomendamos contactarnos para acelerar la coordinación de borrado en la Plataforma.