Políticas de privacidad

Última actualización: abril de 2026

1. Responsable del tratamiento

El servicio VeloBot (“el Servicio”) es operado por Juan Sebastián Valencia Torres, persona natural comerciante, identificado con Cédula de Ciudadanía N.º 1.088.259.999, NIT 1088259999-6, con matrícula mercantil N.º 18235616 expedida por la Cámara de Comercio de Pereira, con nombre comercial registrado VeloBot, con domicilio en Pereira, Risaralda, Colombia (en adelante, "VeloBot" o "el Responsable").

• Correo electrónico: privacidad@velobot.co
• Correo general: contacto@velobot.co

2. Finalidad del Servicio y de esta política

VeloBot ofrece a empresas (“Clientes del Servicio”) la posibilidad de automatizar y mejorar la atención al cliente mediante asistentes conversacionales (chatbots) integrados con WhatsApp Business, Instagram y Messenger. Esta política describe cómo se recogen, usan y protegen los datos en el marco de ese Servicio, tanto en nombre de los Clientes del Servicio como de los usuarios finales que interactúan con los bots.

3. Datos que recogemos y tratamos

3.1 Datos de usuarios finales del chatbot

A través de los webhooks de Meta (WhatsApp Cloud API, Instagram Messaging, Messenger) pueden tratarse:

• Identificadores de usuario proporcionados por Meta: número de teléfono en WhatsApp, ID de usuario en Instagram o Messenger.
• Contenido de mensajes y metadatos asociados (ID de mensaje, marca temporal).
• Datos que el usuario final proporcione voluntariamente (por ejemplo: nombre, dirección, información de pedidos u otros datos relacionados con la gestión comercial del Cliente).
• Identificadores únicos de mensajes entrantes (message_id de Meta), almacenados temporalmente por un máximo de 24 horas con el único fin de prevenir el procesamiento duplicado de eventos de webhook.

3.1.1 Datos de reservas y citas

Cuando el usuario final agenda una cita a través del chatbot, se almacenan en la base de datos del Servicio: nombre, número de teléfono, servicio seleccionado, fecha y hora de la cita, estado de la reserva y el identificador del evento creado en Google Calendar. Estos datos se conservan para gestión operativa del negocio, envío de recordatorios y soporte, y se tratan por instrucción del Cliente del Servicio.

3.2 Datos de Clientes del Servicio (negocios)

Cuando un negocio se registra o contrata VeloBot, se tratan los siguientes datos:

• Nombre del negocio, NIT, teléfono, correo electrónico.
• Nombre completo y cédula del responsable del negocio.
• Credenciales de acceso al panel de administración (contraseña almacenada con hash seguro PBKDF2-SHA256; nunca en texto plano).
• Tokens de acceso a las APIs de Meta, vinculados a la cuenta del negocio (almacenados cifrados en base de datos).
• Credenciales de Google Calendar: tokens de acceso OAuth a la API de Google Calendar, vinculados a la cuenta Google del negocio y almacenados cifrados en base de datos, con el fin exclusivo de gestionar la disponibilidad y crear eventos de cita en nombre del Cliente.
• Configuración de agendamiento: datos de configuración del negocio (horarios de atención, servicios ofrecidos, trabajadores o recursos disponibles, duraciones y calendarios asociados), almacenados en texto estructurado (JSON) en la base de datos del Servicio.
• Métricas de uso: número de conversaciones, mensajes procesados, uso de inteligencia artificial, para facturación y control de límites de plan.
• Información de plantillas de mensajes de WhatsApp (nombre, categoría, idioma y estado de aprobación) consultada desde la API de Meta en nombre del Cliente para su gestión desde el panel.
• Información de catálogo de productos (nombre, descripción, precio y disponibilidad) leída desde el Business Manager de Meta cuando el Cliente tiene un catálogo configurado, con el fin exclusivo de incluir datos de inventario en tiempo real en las respuestas automáticas del chatbot.

3.3 Datos de usuarios finales que concretan ventas

Si el usuario final completa una transacción comercial a través del chatbot, pueden tratarse datos adicionales necesarios para la gestión del pedido o venta, según lo configure cada Cliente del Servicio. VeloBot actúa como encargado del tratamiento en ese contexto.

Datos sensibles: No solicitamos datos sensibles (origen étnico, salud, opiniones políticas, etc.). Si un usuario los comparte espontáneamente en la conversación, se tratan con las mismas medidas de seguridad descritas aquí y no son objeto de tratamiento adicional.

4. Base legal y consentimiento

El tratamiento se basa en:

• La ejecución del contrato o relación comercial con los Clientes del Servicio (Ley 1581 de 2012, art. 10, lit. b).
• El consentimiento o la relación contractual que el usuario final tenga con el Cliente (empresa) que ofrece el chatbot.
• El legítimo interés para el correcto funcionamiento, seguridad y mejora del Servicio, en la medida permitida por la ley.

Uso de inteligencia artificial (IA): Las conversaciones pueden ser procesadas por servicios de IA de terceros (por ejemplo OpenAI) para generar respuestas automatizadas. Los Clientes del Servicio son responsables de obtener el consentimiento adecuado de sus usuarios finales. VeloBot actúa como encargado del tratamiento y garantiza que el flujo de datos hacia los proveedores de IA se realiza conforme a esta política.

5. Uso de los datos

Los datos se utilizan para:

• Recibir y enviar mensajes a través de las APIs de Meta en nombre de los Clientes del Servicio.
• Procesar conversaciones con fines de generación de respuestas automatizadas mediante IA (OpenAI), según las instrucciones de cada Cliente.
• Almacenar historiales de conversación y métricas de uso para operación, soporte, facturación y mejora del Servicio.
• Gestionar el acceso al panel de administración y garantizar la seguridad (prevención de abusos y cumplimiento de condiciones de uso).
• Gestionar solicitudes de ventas o pedidos cuando el chatbot actúe como canal transaccional para el Cliente.
• Gestionar plantillas de mensajes de WhatsApp (listar, crear y eliminar) en nombre del Cliente del Servicio, a través de la API de Meta.
• Leer el catálogo de productos del Business Manager de Meta para incluir información de inventario en tiempo real en las respuestas automáticas del chatbot, cuando el Cliente tenga un catálogo vinculado.
• Almacenar temporalmente identificadores de mensajes entrantes (máximo 24 horas) para prevenir el procesamiento duplicado de eventos de webhook.
• Gestionar reservas y citas a través de la API de Google Calendar en nombre del Cliente del Servicio: consultar disponibilidad, crear, modificar y cancelar eventos en los calendarios configurados por el Cliente (calendarios de trabajadores, salas o recursos).
• Enviar recordatorios de cita a usuarios finales vía WhatsApp, según la configuración del Cliente del Servicio.

6. Destinatarios y cesiones

Los datos pueden ser tratados por:

• Meta Platforms, Inc. (WhatsApp, Instagram, Messenger). Sujeto a su política de privacidad.
• Google LLC (Google Calendar API): cuando el Cliente del Servicio activa la funcionalidad de agendamiento, los datos de citas (nombre del cliente, servicio, fecha y hora) se transmiten a la API de Google Calendar para crear y gestionar eventos. Sujeto a la política de privacidad de Google: https://policies.google.com/privacy.
• OpenAI, cuando el contenido de mensajes se envíe a su API para generar respuestas automatizadas.
• Railway (infraestructura de servidores, AWS us-east, Virginia, EE. UU.), donde se alojan la base de datos y la aplicación.
• Proveedores de infraestructura complementaria que procesen datos bajo instrucciones contractuales y medidas de seguridad adecuadas.

Prohibición de uso publicitario: No vendemos datos personales. No utilizamos los datos de los webhooks de Meta para publicidad, perfilamiento de marketing de terceros ni los cedemos a agencias de datos (data brokers). El uso se limita estrictamente a la prestación del Servicio.

6.1 Permisos de la API de Meta solicitados por VeloBot

Para operar el Servicio, VeloBot solicita a Meta los siguientes permisos de API en nombre de cada Cliente del Servicio. Todos los permisos se usan exclusivamente para las finalidades descritas:

• whatsapp_business_messaging: recibir mensajes entrantes vía webhook y enviar respuestas automáticas en nombre del número de WhatsApp Business del Cliente.
• whatsapp_business_management: gestionar activos de la cuenta WABA del Cliente (número de teléfono, webhook) y administrar plantillas de mensajes de WhatsApp (listar, crear, eliminar) desde el panel de VeloBot.
• business_management: dependencia técnica de whatsapp_business_messaging y pages_messaging. Permite obtener la lista de cuentas WABA y Páginas de Facebook gestionadas en Business Manager (necesario para el flujo de conexión OAuth), y leer el catálogo de productos del Cliente. VeloBot no accede a cuentas publicitarias ni a datos de rendimiento de anuncios.
• instagram_manage_messages: recibir mensajes directos de Instagram (DMs) vía webhook y enviar respuestas automáticas en nombre de la cuenta de Instagram Business del Cliente.
• instagram_basic: obtener el nombre de usuario (@handle) e ID numérico de la cuenta de Instagram Business conectada, mostrados en el panel de VeloBot para confirmar qué cuenta está activa.
• pages_messaging: recibir mensajes de Messenger en nombre de la Página de Facebook del Cliente y enviar respuestas automáticas.
• pages_manage_metadata: suscribir automáticamente el webhook de VeloBot a los eventos de mensajería de la Página del Cliente al completar el flujo OAuth, lo cual es indispensable para recibir mensajes de Messenger e Instagram.
• pages_show_list: obtener la lista de Páginas de Facebook administradas por el usuario durante el flujo de conexión OAuth, para que el Cliente pueda seleccionar cuál Página vincular a VeloBot.

6.2 Permisos de Google Calendar solicitados por VeloBot

Cuando el Cliente activa la integración de agendamiento, VeloBot solicita los siguientes permisos OAuth de Google en nombre del Cliente:

• https://www.googleapis.com/auth/calendar: crear, leer, modificar y eliminar eventos en los calendarios de Google configurados por el Cliente (calendario principal y calendarios secundarios de trabajadores o recursos). Este permiso se usa exclusivamente para gestionar la disponibilidad y las citas agendadas a través del chatbot.

VeloBot no accede a otros datos de la cuenta de Google del Cliente (correos, contactos, Drive, etc.). El token OAuth se almacena cifrado y puede revocarse en cualquier momento desde la configuración de seguridad de la cuenta Google del Cliente.

7. Conservación y seguridad

Los datos se conservan el tiempo necesario para prestar el Servicio, cumplir obligaciones legales y resolver reclamaciones. Las medidas de seguridad implementadas incluyen:

• Cifrado HTTPS en todas las comunicaciones.
• Contraseñas almacenadas con hash PBKDF2-SHA256 (nunca en texto plano).
• Tokens de acceso a Meta almacenados en base de datos con acceso restringido.
• Autenticación con control de roles (Admin / Cliente) en el panel de administración.
• Validación de firma de webhook (X-Hub-Signature-256) para verificar la autenticidad de los mensajes de Meta.
• Registro de eventos de seguridad (logs de acceso, intentos de login, actividades sospechosas).

8. Derechos de los usuarios

8.1 Derechos según la Ley 1581 de 2012 (Colombia — Habeas Data)

De conformidad con la Ley 1581 de 2012 y el Decreto 1377 de 2013, los titulares de datos personales tienen los siguientes derechos:

• Conocer, actualizar y rectificar sus datos personales.
• Solicitar prueba de la autorización otorgada para el tratamiento.
• Ser informado sobre el uso dado a sus datos personales.
• Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) por infracciones a la ley.
• Revocar la autorización y/o solicitar la supresión de los datos, salvo que exista obligación legal de conservarlos.
• Acceder gratuitamente a sus datos personales que hayan sido objeto de tratamiento.

8.2 Derechos según normativa europea (RGPD) y otras legislaciones

Los usuarios ubicados en el Espacio Económico Europeo o en otras jurisdicciones con normativa equivalente pueden ejercer adicionalmente los derechos de: limitación del tratamiento, portabilidad de datos y oposición al tratamiento.

8.3 Cómo ejercer tus derechos

Para ejercer cualquiera de estos derechos:

• Usuarios finales (personas que escriben al chatbot): dirigirse al Cliente del Servicio (la empresa) o a privacidad@velobot.co.
• Clientes del Servicio (negocios): contactar a privacidad@velobot.co para acceder, rectificar o solicitar eliminación de datos de su cuenta.

Plazos de respuesta: Las solicitudes serán atendidas en un plazo máximo de diez (10) días hábiles para consultas y quince (15) días hábiles para reclamos, según el artículo 14 de la Ley 1581 de 2012.

9. Mecanismo de solicitud de eliminación de datos

Si deseas que eliminemos tus datos personales (incluyendo conversaciones mantenidas a través del chatbot en WhatsApp, Instagram o Messenger, y/o reservas o citas agendadas a través del Servicio), envía un correo a privacidad@velobot.co indicando:

• Que solicitas la eliminación de tus datos.
• El canal por el que interactuaste (WhatsApp, Instagram o Messenger) y el número o identificador que utilizaste.
• Si tu solicitud incluye reservas o citas: el nombre del negocio con el que agendaste y la fecha aproximada de la cita, para poder localizarla en nuestros sistemas y en el calendario correspondiente.

Atenderemos tu solicitud en los plazos establecidos por la Ley 1581 de 2012 y te confirmaremos cuando los datos hayan sido eliminados o cuando sea necesario conservar alguno por obligación legal.

10. Cookies y tecnologías similares

El panel de administración del Servicio puede utilizar cookies o tecnologías equivalentes estrictamente necesarias para la sesión de inicio de sesión y el correcto funcionamiento del panel. No utilizamos cookies para publicidad o seguimiento cross-site no esencial. Puedes configurar tu navegador para rechazar cookies no esenciales; en ese caso, es posible que algunas funciones del panel no estén disponibles.

11. Demo interactivo

La landing page de VeloBot incluye un chat de demostración con inteligencia artificial. Al interactuar con este demo, los mensajes que escribas son enviados a los servidores de OpenAI (Estados Unidos) para generar una respuesta automatizada.

VeloBot no almacena el contenido de estas conversaciones en sus propios sistemas. Sin embargo, OpenAI puede procesar y retener temporalmente los mensajes según su propia política de privacidad, disponible en https://openai.com/privacy.

Te recomendamos no ingresar datos personales reales (nombre, teléfono, dirección u otro dato sensible) en el chat de demostración.

Antes de interactuar con el demo, el usuario debe aceptar expresamente estas condiciones mediante un mecanismo de consentimiento visible en la interfaz. Dicho consentimiento es requerido para habilitar el chat de demostración.

12. Menores de edad

El Servicio está dirigido a empresas y a usuarios finales mayores de edad. No recabamos datos de menores de forma consciente. Si tienes conocimiento de que un menor ha facilitado datos a través de un chatbot gestionado por el Servicio, contacta a privacidad@velobot.co para solicitar su eliminación.

13. Transferencias internacionales

Los datos pueden ser procesados en servidores ubicados fuera de Colombia, incluyendo:

• Railway / AWS us-east (Virginia, Estados Unidos) — infraestructura de la aplicación y base de datos.
• OpenAI (Estados Unidos) — procesamiento de mensajes para generación de respuestas.
• Meta Platforms (Estados Unidos y otras jurisdicciones) — transmisión de mensajes vía APIs de WhatsApp, Instagram y Messenger.
• Google LLC (Estados Unidos) — API de Google Calendar para gestión de citas cuando el Cliente activa la funcionalidad de agendamiento.

En todos los casos se adoptan garantías adecuadas (cláusulas contractuales tipo, decisiones de adecuación o medidas equivalentes) según la normativa aplicable.

14. Cambios en esta política

Podemos actualizar esta política para reflejar cambios en el Servicio o en la normativa. La versión vigente se publicará en https://velobot.co/politicasdeprivacidad con la fecha de «Última actualización» al inicio. El uso continuado del Servicio tras la publicación de cambios constituye la aceptación de la política actualizada, en la medida permitida por la ley.

15. Contacto y autoridad de control

Para consultas, ejercicio de derechos o notificación de incidencias: privacidad@velobot.co o contacto@velobot.co.

Los titulares de datos en Colombia también pueden presentar reclamaciones ante la Superintendencia de Industria y Comercio (SIC), autoridad de protección de datos personales, en www.sic.gov.co.

Cláusula de autorización para el tratamiento de datos personales

(Para incluir en contratos y/o formularios de vinculación de Clientes del Servicio)

Nota de uso: Esta cláusula debe incluirse en el contrato de prestación de servicios o en el formulario de vinculación que firme o acepte cada Cliente del Servicio (negocio) al contratar VeloBot. Puede adaptarse para aceptación digital (checkbox en el dashboard) o firma física.

AUTORIZACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES — Ley 1581 de 2012

En cumplimiento de la Ley 1581 de 2012 y el Decreto 1377 de 2013, Juan Sebastián Valencia Torres, identificado con C.C. N.º 1.088.259.999, NIT 1088259999-6, operador del servicio VeloBot, con domicilio en Pereira, Risaralda, Colombia (en adelante el «Responsable»), informa al suscrito Cliente del Servicio que los datos personales suministrados en el presente formulario o contrato serán incorporados a una base de datos y tratados para las siguientes finalidades:

• Gestionar la relación contractual y comercial derivada del uso del servicio VeloBot.
• Administrar el acceso al panel de administración y los canales de mensajería integrados (WhatsApp, Instagram, Messenger).
• Facturación, control de límites de uso y gestión de pagos.
• Envío de comunicaciones relacionadas con el Servicio: actualizaciones, avisos técnicos, vencimiento de tokens, alertas de uso.
• Gestión de reservas y citas a través de Google Calendar en nombre del negocio, incluyendo el almacenamiento de datos de cita de los usuarios finales del chatbot.
• Cumplimiento de obligaciones legales y requerimientos de autoridades competentes.

Los datos tratados podrán incluir: nombre, cédula, NIT, cargo, correo electrónico, teléfono, datos de la empresa, y credenciales de acceso al panel (contraseña almacenada en formato hash seguro).

Derechos del titular: El titular podrá conocer, actualizar, rectificar y suprimir sus datos, revocar la autorización y presentar quejas ante la SIC (www.sic.gov.co), enviando su solicitud a privacidad@velobot.co. Las solicitudes serán atendidas en los plazos previstos en los artículos 14 y 15 de la Ley 1581 de 2012.

Vigencia: El tratamiento de los datos se mantendrá durante la vigencia de la relación contractual y por el tiempo adicional necesario para cumplir obligaciones legales o resolver reclamaciones.

Transferencias internacionales: Los datos podrán ser transferidos a proveedores de infraestructura y servicios ubicados fuera de Colombia (Railway/AWS, OpenAI, Meta Platforms, Google LLC), adoptando las garantías adecuadas conforme a la normativa aplicable.

Declaración de autorización: Mediante la firma del presente contrato / marcación del checkbox de aceptación en el formulario de registro, el Cliente del Servicio declara que ha leído y comprendido la presente cláusula y AUTORIZA de manera libre, expresa, inequívoca e informada al Responsable para tratar sus datos personales conforme a las finalidades descritas y a la Política de Privacidad de VeloBot disponible en https://velobot.co/politicasdeprivacidad.

• Firma del Cliente del Servicio: _______________________________
• Nombre: _______________________________
• Cédula / NIT: _______________________________
• Empresa: _______________________________
• Fecha: _______________________________

VeloBot — privacidad@velobot.co — velobot.co