Política de Privacidad

1. Responsable del tratamiento

Cheryx Group, con domicilio en San José, Costa Rica, es el responsable del tratamiento de los datos personales recabados a través del sitio cheryxgroup.com y de los canales de contacto operados por la empresa (WhatsApp, Telegram, correo electrónico, formularios web).

2. Datos que recabamos

Recabamos las siguientes categorías de datos personales cuando usted interactúa con Cheryx:

• Datos de identificación: nombre, empresa donde trabaja, cargo cuando lo proporciona.
• Datos de contacto: correo electrónico, número de teléfono (incluyendo WhatsApp), usuario de Telegram.
• Contenido de las conversaciones: texto de los mensajes enviados por los canales de WhatsApp, Telegram, formularios web y correo electrónico, así como los mensajes que nuestro asistente y nuestro equipo le envían.
• Datos de calificación comercial: respuestas a preguntas sobre su negocio, retos operativos, volumen de operación, presupuesto aproximado, cronograma, personas involucradas en la decisión.
• Datos de navegación: dirección IP, tipo de navegador, páginas visitadas, duración de la visita, página de origen, interacciones con botones principales. Estos datos se recaban mediante analítica propia del sitio, no se enriquecen con perfiles de terceros.
• Datos contractuales: cuando se firma una propuesta, se gestionan los datos necesarios para la facturación y ejecución del servicio.

No recabamos categorías especiales de datos (salud, origen racial, creencias religiosas, afiliación sindical, vida sexual u orientación).

3. Finalidades del tratamiento

Tratamos sus datos personales con las siguientes finalidades:

• Responder a sus consultas comerciales a través de los canales de contacto.
• Calificar si nuestros servicios son adecuados para su caso y, si lo son, agendar una sesión de diagnóstico.
• Elaborar y enviar propuestas comerciales.
• Ejecutar los servicios contratados y mantener la relación comercial.
• Enviar comunicaciones operativas relacionadas con los servicios activos (confirmaciones, recordatorios, avisos).
• Cumplir con obligaciones legales, contables y fiscales aplicables.
• Mejorar nuestros servicios y la calidad de la atención mediante análisis agregado y auditoría interna de las conversaciones.

No utilizamos sus datos con fines publicitarios de terceros, ni los compartimos con corredores de datos, ni los vendemos.

4. Base legal del tratamiento

El tratamiento de sus datos se fundamenta en:

• Consentimiento: cuando usted voluntariamente inicia contacto por WhatsApp, Telegram, el formulario web, el correo o el teléfono, otorga consentimiento informado para que procesemos los datos necesarios para responderle.
• Ejecución contractual: cuando firma una propuesta comercial, el tratamiento es necesario para cumplir con el contrato.
• Obligaciones legales: para el cumplimiento de obligaciones fiscales, contables y de facturación vigentes en Costa Rica.
• Interés legítimo: para auditoría de seguridad, prevención de fraude y mejora de la calidad del servicio, siempre respetando sus derechos.

5. Asistente automatizado con inteligencia artificial

Parte de las respuestas iniciales en WhatsApp y Telegram son generadas por un asistente conversacional que utiliza modelos de lenguaje de inteligencia artificial. El asistente se identifica como tal desde el primer mensaje. Usted puede solicitar en cualquier momento ser atendido por una persona humana de nuestro equipo escribiendo frases como "quiero hablar con una persona" o "no entiendo, que me contacte Douglas".

El contenido de las conversaciones es procesado por los siguientes encargados del tratamiento:

• Meta Platforms — WhatsApp Business Platform, para la entrega de mensajes.
• Anthropic — modelos Claude de inteligencia artificial, para la generación de respuestas.
• OpenAI — modelos GPT como respaldo secundario, utilizados solamente si Anthropic no está disponible.

Ninguno de estos proveedores utiliza el contenido de las conversaciones para entrenar modelos de inteligencia artificial, conforme a sus términos comerciales vigentes.

6. Encargados y procesadores externos

Para operar el sitio y los servicios, utilizamos los siguientes procesadores externos que pueden tener acceso a datos personales en el marco de sus respectivos servicios:

• Meta Platforms — WhatsApp Business Platform (mensajería).
• Telegram FZ-LLC — Telegram Bot API (mensajería de respaldo).
• Anthropic PBC — modelos de inteligencia artificial (generación de respuestas).
• OpenAI OpCo, LLC — modelos de inteligencia artificial de respaldo.
• Google LLC — Google Calendar y Google Meet (agendamiento de sesiones de diagnóstico).
• PandaDoc Inc. — gestión de propuestas comerciales y firma electrónica de contratos.
• Resend Inc. — envío transaccional de correo electrónico.
• Formspree Inc. — recepción de formularios de contacto.
• Hostinger International Ltd. — alojamiento del sitio web y del servidor del asistente.

Todos los encargados citados cuentan con compromisos contractuales o términos de servicio que obligan a tratar los datos con confidencialidad y medidas de seguridad adecuadas. En caso de transferencias internacionales, se aplican los mecanismos reconocidos en la Ley 8968 y su reglamento.

7. Plazo de conservación

Conservamos sus datos personales por los plazos necesarios para cumplir con las finalidades descritas, con los siguientes criterios:

• Leads sin contratación activa: hasta 24 meses desde el último contacto. Después de ese plazo, los datos de identificación y contacto se anonimizan y el contenido detallado de las conversaciones se purga.
• Leads con contratación activa: durante toda la duración del contrato y los plazos legales aplicables posteriores (obligaciones fiscales, contables, garantías contractuales).
• Leads que solicitan baja (opt-out): se cierra la relación inmediatamente, se registra la baja en el sistema y se conserva únicamente el registro de la solicitud de baja por el tiempo mínimo necesario para evitar contactos no solicitados futuros.
• Registros de auditoría: se conservan hasta 5 años, con acceso restringido, para cumplir con obligaciones de trazabilidad.

8. Medidas de seguridad

Implementamos medidas de seguridad técnicas y organizativas razonables para proteger los datos personales contra pérdida, acceso no autorizado, alteración o divulgación:

• Conexiones cifradas con TLS en todos los canales.
• Control de acceso por roles con autenticación robusta en los sistemas internos.
• Auditoría inmutable de las acciones realizadas por el personal administrativo.
• Separación de ambientes de desarrollo y producción.
• Revisión periódica de dependencias y vulnerabilidades.
• Respaldos cifrados con retención definida.

9. Sus derechos (ARCO)

La Ley 8968 le garantiza los siguientes derechos sobre sus datos personales:

• Acceso: saber qué datos personales tenemos sobre usted y con qué finalidad.
• Rectificación: corregir datos inexactos o incompletos.
• Cancelación (supresión): solicitar la eliminación de sus datos cuando ya no sean necesarios o si usted retira el consentimiento.
• Oposición: oponerse al tratamiento de sus datos en supuestos específicos.
• Revocación del consentimiento: retirar en cualquier momento el consentimiento otorgado previamente.

Para ejercer cualquiera de estos derechos, escríbanos con el asunto "Derecho ARCO" indicando claramente cuál derecho desea ejercer, a través del formulario en /hablemos o al correo electrónico publicado en nuestro pie de página. Responderemos en un plazo máximo de cinco días hábiles desde la recepción de la solicitud.

Si considera que el tratamiento de sus datos no se ajusta a la normativa costarricense, puede presentar una denuncia ante la Agencia de Protección de Datos de los Habitantes (PRODHAB).

10. Transferencias internacionales

Dado que utilizamos proveedores con servidores fuera de Costa Rica (Estados Unidos, Unión Europea y otras regiones), existen transferencias internacionales de datos en el marco de los servicios contratados con dichos encargados. Cada transferencia se realiza bajo las garantías de seguridad y confidencialidad que ofrecen las respectivas políticas de los proveedores y los mecanismos aceptados por la Ley 8968.

11. Niños y menores

El sitio no está dirigido a menores de edad. No recabamos intencionalmente datos personales de menores. Si usted es representante legal de una persona menor de edad y considera que hemos recabado datos sin autorización, por favor contáctenos para eliminarlos de inmediato.

12. Cambios en esta política

Podemos actualizar esta política para reflejar cambios en nuestros servicios o en la normativa aplicable. La fecha de última actualización está indicada al inicio de este documento. Los cambios significativos se comunicarán en el propio sitio web y, cuando corresponda, directamente a las personas afectadas.

13. Contacto

Para cualquier consulta relativa al tratamiento de sus datos personales, al ejercicio de sus derechos ARCO o a esta política en general, puede escribirnos a través de /hablemos.