Legal

Política de Privacidad

Última actualización: 25 de mayo de 2026

1. Responsable del Tratamiento

Napsix Corp (Delaware, USA) y Napsix S.A.S. (Argentina, Mendoza) son corresponsables del tratamiento de los datos personales recopilados a través de la Plataforma. Aplicamos las normativas locales correspondientes según la jurisdicción del titular:

  • 🇦🇷 Argentina: Ley 25.326 de Protección de Datos Personales (AAIP).
  • 🇧🇷 Brasil: LGPD — Lei Geral de Proteção de Dados (ANPD).
  • 🇲🇽 México: LFPDPPP — Ley Federal de Protección de Datos Personales en Posesión de Particulares (INAI).
  • 🇨🇴 Colombia: Ley 1581 de 2012 (SIC).
  • 🇨🇱 Chile: Ley 19.628 sobre Protección de la Vida Privada.
  • 🇪🇺 Unión Europea / Reino Unido: GDPR / UK-GDPR.
  • 🇺🇸 USA: CCPA (California) y normativa federal aplicable.

Contacto del oficial de privacidad: privacy@napsix.ai.

2. Datos que Recopilamos

  • Datos de registro: razón social, ID fiscal local (CUIT/CNPJ/RFC/RUT/NIT), email, teléfono, país, provincia/estado.
  • Datos de uso: interacciones en la plataforma, publicaciones, cotizaciones enviadas, agentes XIA creados, automaciones configuradas.
  • Datos técnicos: dirección IP, navegador, dispositivo. La dirección IP se almacena hash SHA-256 truncado (16 caracteres), nunca en texto plano.
  • Conversaciones con XIA Assistant: mensajes que enviás al asistente, junto con metadata de la sesión (modelo usado, tokens, satisfacción opcional). Estas conversaciones se guardan asociadas a tu usuario.
  • Contenido de feedback: bugs, ideas y reportes que envías a través de XIA Assistant o del widget de Reporte Rápido (página, navegador, mensaje, severidad estimada, archivos adjuntos opcionales).
  • Datos provenientes de integraciones de e-commerce y SaaS de terceros (ver sección 13).

3. Finalidad del Tratamiento

  • Gestionar tu cuenta y perfil comercial.
  • Facilitar la conexión entre compradores y proveedores.
  • Operar tu tienda online (Tiendanube/Nuvemshop, Shopify, etc.) a través de agentes XIA según los permisos OAuth que vos otorgues explícitamente.
  • Enviar notificaciones relacionadas con cotizaciones, mensajes, licitaciones y eventos operativos de tu tienda.
  • Mejorar la experiencia de usuario y la seguridad de la Plataforma.
  • Procesar y dar seguimiento al feedback que envías para mejorar el producto. Las conversaciones XIA asociadas a un reporte son visibles para los administradores de Napsix para entender el contexto del problema. NO son visibles para otros usuarios ni compartidas con terceros.

4. Base Legal

El tratamiento se basa en (a) el consentimiento otorgado al registrarte y al aprobar cada integración OAuth, (b) la ejecución del servicio contratado, y (c) el interés legítimo para mejorar la plataforma y prevenir fraude. La base legal específica depende de la jurisdicción del titular (ver sección 1).

5. Compartir Datos

  • Tus datos de perfil público (razón social, sector, provincia, rating) son visibles para otros usuarios de la Plataforma.
  • No vendemos ni compartimos datos personales con terceros para fines comerciales ajenos a la Plataforma.
  • Sub-procesadores activos (con acuerdos DPA firmados): Supabase (database + storage + auth), Vercel (hosting), AWS Bedrock + Anthropic + OpenAI + Google (modelos de IA), Resend (email transaccional), un proveedor de integraciones SaaS (1.000+ apps), Pusher (push notifications), Cloudflare (CDN + DNS), Commet (billing).
  • Podremos compartir datos cuando sea requerido por autoridad judicial competente.

6. Derechos del Titular

Podés ejercer tus derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento escribiendo a privacy@napsix.ai. Procesamos las solicitudes en un plazo máximo de 30 días. Los órganos de control aplicables por jurisdicción son: AAIP (AR), ANPD (BR), INAI (MX), SIC (CO), Consejo para la Transparencia (CL), Autoridades de Control GDPR (EU), Privacy Rights Clearinghouse (USA).

7. Seguridad

Implementamos medidas técnicas y organizativas para proteger tus datos:

  • Cifrado en tránsito (TLS 1.3) y cifrado en reposo (AES-256).
  • Tokens OAuth de integraciones almacenados en Supabase Vault con cifrado AEAD y acceso restringido por funciones SECURITY DEFINER. El plaintext NUNCA es accesible desde el frontend.
  • Row-Level Security (RLS) en todas las tablas: cada tenant solo ve sus propios datos.
  • Auditoría completa: tabla audit_log con todas las operaciones sensibles trazadas.
  • MFA opcional para cuentas con privilegios elevados.
  • Backups automáticos diarios con retención de 7-30 días según el plan.
  • Monitoreo 24/7 de seguridad y disponibilidad.

8. Cookies y tecnologías de medición

Utilizamos cookies y tecnologías similares de tres tipos: técnicas (esenciales para el funcionamiento del sitio), analíticas y de marketing.

Para las cookies analíticas y de marketing aplicamos el modo de consentimiento (Google Consent Mode v2). En las regiones donde la ley exige consentimiento previo (Unión Europea / EEE, Reino Unido y Suiza) permanecen DENEGADAS por defecto hasta que las aceptás en el banner de cookies; en el resto de las regiones se activan por defecto y podés rechazarlas. Podés cambiar tu elección en cualquier momento o escribiéndonos a privacy@napsix.ai.

  • Técnicas (siempre activas): sesión, autenticación y preferencias necesarias para que el sitio funcione.
  • Analíticas: Google Analytics 4 (vía Google Tag Manager) y Vercel Analytics, para medir tráfico y uso de forma agregada.
  • Marketing: Meta Pixel (Facebook/Instagram) para medir conversiones y campañas publicitarias.

No cargamos estas tecnologías dentro del panel privado de la aplicación (/dashboard); solo en las páginas públicas del sitio.

9. Feedback público (Roadmap)

Cuando el equipo de Napsix decide publicar un feedback en el roadmap público (/dashboard/feedback), publicamos UN título reescrito y una respuesta del equipo. NO se publican datos identificatorios del autor original (email, nombre, IP, contenido literal del mensaje original). Otros tenants pueden votar items públicos.

Si en cualquier momento querés que un envío específico de feedback sea eliminado completamente de nuestros sistemas, escribinos a privacy@napsix.ai indicando el ID del reporte y procederemos a la baja definitiva en un plazo no mayor a 30 días.

10. Retención de datos

  • Datos de cuenta y perfil: durante la vigencia de tu cuenta + 12 meses post-cierre (auditoría legal).
  • Conversaciones XIA Assistant: retención máxima 24 meses desde la última interacción.
  • Feedback enviado: retención por la duración necesaria para procesar el reporte + 12 meses adicionales (auditoría interna). Feedback marcado público en el roadmap se mantiene mientras esté publicado.
  • Comentarios internos del admin sobre un feedback: se eliminan cuando el feedback es eliminado.
  • Datos provenientes de integraciones e-commerce (Tiendanube, Shopify, etc.): se borran o anonimizan según la sección 14 cuando desinstalás la app.
  • Logs de auditoría: 12 meses (logs operativos), 5 años (logs financieros / billing).

11. Modificaciones

Nos reservamos el derecho de actualizar esta política. Te notificaremos cambios significativos por email con al menos 30 días de anticipación.

12. Contacto general

info@napsix.ai — Mendoza, Argentina · Delaware, USA.

13. Datos accesados vía integraciones de e-commerce y SaaS de terceros

Cuando conectás una integración OAuth (Tiendanube/Nuvemshop, Shopify, Gmail, HubSpot, Slack, Google Drive, etc.) a través del catálogo de Napsix Integrations, otorgás un consentimiento explícito para que Napsix acceda a determinados datos del servicio de terceros con los permisos (scopes) que vos aprobás en el flujo OAuth.

13.1 Tiendanube / Nuvemshop

Cuando conectás tu tienda Tiendanube/Nuvemshop a Napsix, accedemos a los siguientes datos según los scopes aprobados:

  • read_products / write_products: catálogo (productos, variantes, precios, stock, imágenes, categorías).
  • read_orders / write_orders: pedidos (estado, items, totales, envíos, facturación).
  • read_customers / write_customers: clientes (nombre, email, teléfono, dirección de envío y facturación).
  • read_coupons / write_coupons: cupones de descuento.
  • read_shipping / write_shipping: configuración de envíos y carriers.
  • read_scripts / write_scripts: scripts inyectados en el storefront.
  • read_content / write_content: páginas, posts de blog, redirects.
  • read_store / write_store: configuración general de la tienda.

Estos datos se procesan exclusivamente para ejecutar las tareas que tu agente XIA decide o que vos solicitás explícitamente desde el chat. No se comparten con terceros, no se venden, no se usan para entrenar modelos de IA generalistas.

Los datos personales de tus clientes finales (compradores de tu tienda) son tratados por Napsix únicamente como encargado del tratamiento según las instrucciones del comerciante (vos), quien es el responsable del tratamiento de esos datos frente a sus propios clientes.

13.2 Otras integraciones (Gmail, Slack, HubSpot, etc.)

El mismo principio aplica: solo accedemos a los datos según los scopes OAuth que vos aprobás, y solo los usamos para ejecutar las tareas que tu agente XIA o vos solicitan.

14. Webhooks GDPR y borrado de datos por desinstalación

Cumplimos con los requisitos de privacidad de las plataformas e-commerce a las que nos conectamos. Específicamente, Tiendanube/Nuvemshop nos suscribe a tres webhooks GDPR obligatorios:

  • app/uninstalled (POST /api/webhooks/tiendanube): cuando desinstalás la app Xia by Napsix desde el admin de Tiendanube, recibimos el evento, borramos el token OAuth de Supabase Vault, marcamos la conexión como revoked, anonimizamos los snapshots de analytics y eliminamos los jobs programados asociados. Los datos crudos (productos, órdenes, customers) que pudimos haber cacheado se eliminan en un plazo máximo de 30 días.
  • store/redact (Tiendanube te elimina como comerciante): recibimos el evento, borramos toda la información de tu tienda de nuestros sistemas dentro de 30 días.
  • customers/redact (un cliente final tuyo solicita ser eliminado): recibimos el evento, anonimizamos cualquier dato personal de ese cliente que tengamos cacheado.
  • customers/data_request (un cliente final tuyo solicita acceso a sus datos): te reenviamos la solicitud para que vos, como responsable del tratamiento, la respondas dentro del plazo legal.

Si querés solicitar manualmente el borrado completo de todos tus datos (no solo los provenientes de una integración), escribinos a privacy@napsix.ai y procederemos en un plazo máximo de 30 días, con una confirmación por email.

XIA
XIAby Napsix.AI
público