Legal
Política de privacidad
Cómo Gesty Online trata los datos personales de restaurantes, usuarios del sistema y comensales en el marco de WhatsApp Business Platform.
Última actualización:
1. Introducción
Esta Política de privacidad describe cómo Gesty Online («Gesty», «nosotros» o «nuestro») recopila, utiliza, almacena, comparte y protege la información personal en el marco de su plataforma SaaS para restaurantes.
Gesty se integra con la WhatsApp Business Platform de Meta Platforms, Inc. («Meta») mediante la API oficial de WhatsApp Business Cloud. Los restaurantes pueden conectar su propia cuenta de WhatsApp Business a través de la API oficial de Meta.
Al utilizar Gesty, el sitio web, el panel de administración o los servicios asociados, usted acepta las prácticas descritas en esta política. Si no está de acuerdo, no debe utilizar la plataforma.
2. Responsable del tratamiento
El responsable del tratamiento de los datos personales relacionados con la prestación del servicio Gesty Online es Manuel Enrique Rivero Valdivieso, monotributista en la República Argentina, en su calidad de operador de la plataforma.
Cuando un restaurante (cliente empresarial) utiliza Gesty para atender a sus comensales por WhatsApp, ese restaurante actúa como responsable del tratamiento de los datos de sus clientes finales, y Gesty actúa como encargado del tratamiento, procesando esos datos conforme a las instrucciones del restaurante y a esta política.
3. Información que recopilamos
Recopilamos información de distintas fuentes según el rol del usuario (visitante del sitio, personal del restaurante o comensal que escribe por WhatsApp). Las categorías principales son las siguientes.
- Datos de identificación y contacto (nombre, correo electrónico, teléfono).
- Datos de la cuenta de WhatsApp Business del restaurante y metadatos asociados a la integración.
- Contenido de conversaciones, pedidos, reservas y configuraciones del negocio.
- Datos de usuarios del sistema (personal del restaurante con acceso al panel).
- Archivos multimedia y contenido enviado o recibido a través de WhatsApp cuando el servicio los procesa o almacena.
- Datos técnicos, registros de actividad, cookies y, cuando aplica, dirección IP.
- Información aportada en formularios del sitio (por ejemplo, solicitud de demo).
4. Información proveniente de WhatsApp
Cuando un restaurante conecta su cuenta de WhatsApp Business y opera a través de Gesty, la plataforma recibe y procesa información proveniente de la WhatsApp Business Platform de Meta, que puede incluir:
- Identificadores de la cuenta WhatsApp Business (WABA), del número de teléfono comercial y del Phone Number ID.
- Tokens de acceso necesarios para autenticar llamadas a la API de Meta, gestionados de forma segura en la infraestructura del servicio.
- Mensajes entrantes y salientes (texto, botones interactivos, listas, ubicaciones y otros tipos de mensaje admitidos por la API).
- Identificadores de mensaje asignados por Meta, estados de entrega o lectura cuando estén disponibles, y metadatos técnicos del webhook.
- Número de teléfono del usuario final (comensal) que inicia o participa en la conversación, y el nombre de perfil de WhatsApp cuando Meta lo proporciona.
- Archivos multimedia enviados por WhatsApp (imágenes, audio, video, documentos u otros formatos soportados) cuando el producto los procesa o almacena para la operación del restaurante.
- Plantillas de mensajes y contenido relacionado con la comunicación comercial del negocio, cuando se configuran o utilizan en la plataforma.
Gesty no es afiliado de Meta. El uso de WhatsApp está sujeto también a las condiciones y políticas de Meta, incluyendo los Términos de WhatsApp Business y las políticas de la WhatsApp Business Platform.
5. Datos del negocio cliente
Respecto de cada restaurante o negocio que contrata Gesty, podemos almacenar:
- Nombre comercial, descripción, zona horaria, moneda, dirección y datos de ubicación del local.
- Configuraciones operativas: horarios, mesas, ambientes, zonas de cobertura, modos de pedido (delivery, takeaway), reservas y preferencias del bot.
- Catálogo de productos o menú (nombres, descripciones, precios, imágenes y metadatos asociados).
- Credenciales de integración con WhatsApp Business y, cuando corresponda, con proveedores de pago u otros servicios conectados por el negocio.
- Usuarios del sistema vinculados al negocio (correo electrónico, rol, sesiones de acceso) y registros de uso del panel de administración.
- Datos de suscripción, facturación y límites de uso del servicio (por ejemplo, consumo de tokens de inteligencia artificial).
- Anuncios, banners u otros contenidos multimedia que el negocio carga en la plataforma.
6. Datos de usuarios finales (comensales)
Cuando una persona escribe al WhatsApp del restaurante conectado a Gesty, podemos tratar, por cuenta del restaurante, datos tales como:
- Número de teléfono de WhatsApp y nombre asociado al perfil o aportado en la conversación.
- Contenido de los mensajes y el historial de la conversación con el negocio.
- Datos de pedidos: productos, cantidades, importes, método de pago, estado del pedido y tipo de cumplimiento.
- Direcciones de entrega e instrucciones asociadas, incluyendo datos de geolocalización cuando se proporcionan.
- Datos de reservas (fecha, hora, cantidad de comensales y tokens de check-in cuando aplica).
- Preferencias o información adicional que el comensal envíe voluntariamente por el chat.
El restaurante es quien determina los fines del tratamiento frente a sus clientes. Gesty procesa estos datos para prestar el servicio de automatización, CRM y operaciones contratado por el restaurante.
8. Logs, dirección IP y datos técnicos
Para operar, asegurar y diagnosticar el servicio, podemos registrar datos técnicos que incluyen:
- Registros de aplicación (logs) con eventos de sistema, errores, identificadores de solicitud y, en algunos casos, fragmentos o metadatos de mensajes necesarios para depuración operativa.
- Dirección IP y encabezados de red (por ejemplo, a través de proxies inversos, balanceadores o la infraestructura de hosting) cuando se conecta al sitio, a la API o al panel.
- Datos del dispositivo y del navegador: tipo de cliente, sistema operativo, user-agent, idioma y protocolos de conexión.
- Metadatos de webhooks de Meta y de otros proveedores (marca de tiempo, IDs de mensaje, códigos de estado).
- Métricas de uso de inteligencia artificial (tokens consumidos, costos estimados y modelos utilizados) asociadas a la cuenta del negocio.
9. Uso de inteligencia artificial
Gesty utiliza modelos de inteligencia artificial, principalmente a través de OpenAI, para automatizar y asistir las conversaciones de WhatsApp y otras funciones del producto. Entre los usos se encuentran:
- Interpretar la intención del mensaje del comensal y generar respuestas automáticas o sugeridas.
- Asistir en el flujo de pedidos, consultas de menú, horarios y atención al cliente.
- Analizar el sentimiento de la conversación y enriquecer información del catálogo cuando el negocio lo habilita.
- Generar embeddings y búsquedas semánticas sobre el menú u otros contenidos del negocio.
Para prestar estas funciones, el contenido relevante de la conversación, datos del menú y contexto operativo del negocio pueden enviarse a OpenAI como subprocesador. No debe enviarse información innecesaria; aun así, cualquier dato que el comensal o el restaurante incluyan en el chat puede formar parte del contexto procesado por el modelo.
El restaurante puede configurar o limitar el uso del bot según las opciones disponibles en la plataforma. El uso de IA no implica que las respuestas sean siempre exactas; el personal del restaurante puede intervenir en modo humano cuando corresponda.
10. Cómo utilizamos los datos
Utilizamos la información recopilada para:
- Prestar, mantener y mejorar la plataforma Gesty Online (mensajería, CRM, pedidos, reservas y panel de administración).
- Conectar y operar la cuenta de WhatsApp Business del restaurante mediante la API oficial de Meta.
- Automatizar respuestas y flujos conversacionales con inteligencia artificial.
- Permitir al personal del restaurante visualizar y gestionar conversaciones, pedidos y clientes.
- Procesar pagos y cobros cuando el negocio integra proveedores de pago compatibles.
- Autenticar usuarios del sistema, prevenir abusos, detectar fraudes y garantizar la seguridad del servicio.
- Cumplir obligaciones legales, responder a requerimientos de autoridad competente y hacer valer nuestros derechos.
- Comunicarnos con clientes empresariales sobre el servicio, demos, soporte y cambios relevantes.
- Generar estadísticas agregadas y no identificativas para mejorar el producto.
11. Compartición de datos y servicios de terceros
No vendemos datos personales. Compartimos información únicamente cuando es necesario para operar el servicio, cumplir la ley o con el consentimiento correspondiente. Los principales destinatarios o subprocesadores son:
- Meta Platforms, Inc. — WhatsApp Business Platform / Cloud API: envío y recepción de mensajes, verificación de webhooks y gestión de la cuenta WhatsApp Business conectada.
- OpenAI — procesamiento de lenguaje natural, generación de respuestas, análisis de conversaciones y embeddings asociados a las funciones de IA del producto.
- Neon — base de datos PostgreSQL donde se almacenan conversaciones, pedidos, configuraciones, usuarios y demás datos operativos de la plataforma.
- Cloudflare — almacenamiento de objetos (R2) para archivos multimedia del negocio (por ejemplo, imágenes de menú y medios de anuncios) y, cuando aplica, infraestructura de red asociada.
- Vercel — utilizado únicamente en entornos de prueba y desarrollo (por ejemplo, previews del sitio o del panel para el equipo técnico). Los usuarios de cada negocio (personal del restaurante y comensales) no operan sobre Vercel en el uso productivo del servicio.
- Proveedores de infraestructura de hosting del API (servidores, contenedores y proxy inverso) necesarios para ejecutar el backend de forma segura.
- Proveedores de pago (por ejemplo, Mercado Pago) cuando el restaurante habilita cobros en línea: se comparten los datos estrictamente necesarios para procesar la transacción.
- Otros integradores opcionales que el restaurante active (por ejemplo, servicios de logística o courier) conforme a la configuración del negocio.
Estos terceros tratan los datos según sus propias políticas de privacidad y acuerdos de procesamiento. También podemos divulgar información si es razonablemente necesario para proteger la seguridad de los usuarios, prevenir ilícitos o cumplir un proceso legal válido.
12. Seguridad
Aplicamos medidas técnicas y organizativas razonables para proteger la información personal, entre ellas:
- Cifrado en tránsito mediante HTTPS/TLS en las conexiones al sitio, al panel y a la API.
- Autenticación de usuarios del sistema con contraseñas almacenadas mediante hash seguro y sesiones basadas en tokens (cookies HttpOnly).
- Control de acceso por roles y aislamiento de datos por negocio (multi-tenant) en las consultas de la aplicación.
- Cifrado de secretos sensibles de ciertos proveedores de pago en reposo.
- Validación de webhooks de WhatsApp mediante token de verificación configurado por el servicio.
- Restricciones de CORS, controles de carga de archivos y prácticas de despliegue en contenedores.
Ningún sistema es 100 % seguro. Si detecta un incidente de seguridad relacionado con Gesty, contáctenos de inmediato a través de los canales indicados en la sección de contacto.
13. Tiempo de retención
Conservamos la información durante el tiempo necesario para prestar el servicio y cumplir las finalidades descritas en esta política, salvo que la ley exija o permita un plazo distinto.
- Datos del negocio, conversaciones, pedidos, clientes y configuraciones: se conservan mientras la cuenta del restaurante esté activa y, posteriormente, durante un período razonable para respaldo, disputas, auditoría o obligaciones legales.
- Sesiones de usuario del panel: hasta el cierre de sesión, la expiración del token o la revocación de la sesión.
- Borradores de pedidos y ciertos datos temporales: pueden eliminarse automáticamente al expirar según la configuración del sistema.
- Cachés técnicos (por ejemplo, geocodificación): con plazos de caducidad definidos por el servicio.
- Logs técnicos: el tiempo necesario para operación, seguridad y diagnóstico.
- Datos de leads del formulario de demo: el tiempo necesario para gestionar la solicitud comercial.
14. Derechos del usuario
Según la normativa aplicable (incluida, cuando corresponda, la legislación argentina de protección de datos personales y, si resulta de aplicación, marcos como el GDPR), usted puede ejercer derechos tales como:
- Acceso a sus datos personales.
- Rectificación de datos inexactos o incompletos.
- Actualización, oposición o limitación del tratamiento en los casos previstos por la ley.
- Eliminación o solicitud de borrado, conforme a las excepciones legales y operativas aplicables.
- Revocación del consentimiento cuando el tratamiento se base en ese fundamento.
- Información sobre los terceros con los que se hayan compartido datos.
Si usted es comensal (usuario final de WhatsApp), en la mayoría de los casos debe dirigir su solicitud primero al restaurante con el que interactuó, ya que ese negocio es el responsable del tratamiento de su relación comercial. Gesty puede asistir al restaurante en la atención de esas solicitudes.
Si usted es usuario del panel o representante del restaurante cliente, puede ejercer sus derechos contactándonos según la sección de contacto.
15. Eliminación de datos
Gesty no dispone actualmente de un sistema automático de eliminación de datos. Las solicitudes se procesan mediante un procedimiento administrado por el equipo de soporte, que es el proceso oficial vigente:
- El solicitante contacta a Gesty e indica que pide la eliminación de datos de su cuenta.
- Se verifica la identidad y se confirma que sea el propietario de la cuenta o un administrador autorizado.
- La solicitud es revisada por el equipo de Gesty.
- La eliminación es realizada por un Super Administrador.
- El cliente recibe una confirmación cuando el proceso finaliza.
- Usuarios finales (comensales): en general deben solicitar primero al restaurante; el restaurante puede pedir asistencia a Gesty para completar el borrado mediante el mismo procedimiento.
El detalle completo del procedimiento, la información a aportar, los plazos (hasta 30 días) y qué datos pueden retenerse temporalmente por obligaciones legales o de seguridad está publicado en /data-deletion.
La desconexión de WhatsApp Business o la eliminación de la integración no borra automáticamente todo el historial ya almacenado en Gesty; debe solicitarse expresamente la eliminación.
16. Menores de edad
Gesty está dirigido a negocios y no está pensado para que menores de edad lo utilicen de forma directa. No recopilamos de manera consciente datos personales de menores. Si cree que un menor nos ha proporcionado datos, contáctenos para que podamos eliminarlos.
17. Transferencias internacionales
Algunos subprocesadores (por ejemplo Meta, OpenAI, Cloudflare o Neon y, en entornos de prueba o desarrollo, Vercel) pueden tratar datos en servidores ubicados fuera de su país de residencia. En esos casos, adoptamos las salvaguardas disponibles mediante contratos con esos proveedores y las medidas de seguridad descritas en esta política.
18. Contacto
Para ejercer derechos, formular consultas sobre privacidad, solicitar eliminación de datos o reportar incidentes relacionados con esta política, puede contactarnos a través de:
- Responsable: Manuel Enrique Rivero Valdivieso
- Correo: contacto@gestyonline.com
- Página de contacto: /contact
Procuramos responder en un plazo razonable y, en todo caso, dentro de los plazos que exija la normativa aplicable. Puede solicitársele información adicional para verificar su identidad antes de procesar la solicitud.
19. Cambios en esta política
Podemos actualizar esta Política de privacidad para reflejar cambios en el producto, en la normativa o en nuestras prácticas. La fecha de «Última actualización» al inicio de esta página indica la versión vigente.
Cuando los cambios sean sustanciales, podremos notificarlos mediante el sitio web, el panel de administración o los canales de contacto del cliente empresarial. El uso continuado del servicio después de la entrada en vigor de los cambios constituye la aceptación de la política actualizada, en la medida permitida por la ley.
Le recomendamos revisar esta página periódicamente.