AC²CRM· Legal

Política de Privacidad

Versión 1.0 · Última actualización: 17 de mayo de 2026

1. Identificación del Responsable del Tratamiento

Esta Política de Privacidad describe cómo AC² CRM recolecta, usa, almacena y protege los datos personales de sus usuarios y los datos personales que sus clientes (en adelante "el Cliente" o "los Clientes") procesan a través de la plataforma.

Responsable del Tratamiento:
Marlon Esteban Monar Palma
RUC: 1803784469001
Dirección: Española 105 y Camino del Rey, Ecuador
Correo de contacto para temas de datos: privacidad@ac2crm.com

Para los efectos de esta Política, se entiende por "la Plataforma" al sistema AC² CRM, accesible desde los dominios ac2crm.com, app.ac2crm.com y cualquier subdominio o aplicación derivada.

2. Naturaleza dual del tratamiento

AC² CRM actúa en dos roles distintos según la categoría de datos:

2.1. Como Responsable del Tratamiento

Respecto a los datos personales del Cliente directo (la persona o empresa que contrata la suscripción), AC² CRM es Responsable del Tratamiento. Esto incluye: nombre, RUC o cédula, correo electrónico, teléfono, dirección fiscal, datos de facturación, datos de uso de la Plataforma y métricas de actividad.

2.2. Como Encargado del Tratamiento

Respecto a los datos personales de los contactos, pacientes, leads o usuarios finales que el Cliente almacena, procesa o gestiona en la Plataforma (en adelante "Datos del Cliente Final"), AC² CRM actúa como Encargado del Tratamiento. El Cliente es el Responsable de dichos datos y debe contar con la base legal apropiada para su tratamiento.

El Cliente garantiza que ha obtenido los consentimientos necesarios o cuenta con base legal suficiente para procesar los Datos del Cliente Final mediante la Plataforma, y se compromete a respetar los derechos de los titulares de dichos datos.

3. Datos personales que recolectamos

3.1. Del Cliente (Responsable)

  • Datos de identificación: nombre completo, cédula o RUC, dirección, correo electrónico, teléfono.
  • Datos de facturación: información necesaria para emitir comprobantes de pago, conforme a normativa tributaria ecuatoriana.
  • Datos de acceso: credenciales cifradas, dirección IP, navegador, sistema operativo, registros de inicio de sesión.
  • Datos de uso: acciones realizadas en la Plataforma, configuración, preferencias, fechas y horarios de uso.
  • Datos de pago: procesados por nuestro proveedor de pasarela Payphone. La Plataforma no almacena directamente datos de tarjetas; recibimos únicamente identificadores de transacción y, cuando el Cliente lo autoriza expresamente, un token de tarjeta (cardToken) para procesar renovaciones futuras.
  • Comunicaciones: mensajes que el Cliente nos envía por canales de soporte o ventas.

3.2. Datos del Cliente Final (Encargado)

Cuando el Cliente utiliza la Plataforma, puede subir o recolectar datos personales de terceros: contactos, pacientes, leads, suscriptores u otros usuarios finales. Estos datos pueden incluir:

  • Nombre, teléfono, correo electrónico
  • Datos demográficos (edad, ocupación, ubicación general)
  • Historial de conversaciones por WhatsApp u otros canales
  • Datos de servicios, citas, pedidos, fichas clínicas, antecedentes médicos o cualquier información que el Cliente decida almacenar
  • Datos de seguimiento comercial (estado en pipeline, etiquetas, notas)

Datos sensibles: si el Cliente almacena datos sensibles (información clínica, datos de salud, datos de menores de edad, datos biométricos), debe asegurarse de cumplir con los requisitos adicionales de la LOPDP Ecuador y normativa sectorial aplicable. AC² CRM aplica medidas reforzadas de seguridad sobre estos datos pero el Cliente sigue siendo el Responsable.

4. Finalidades del tratamiento

Tratamos los datos personales para las siguientes finalidades:

  • Prestación del servicio: dar acceso a la Plataforma, sus funcionalidades y soporte.
  • Gestión de la relación contractual: facturación, cobranza, renovaciones, suspensión y baja.
  • Comunicaciones operativas: notificaciones técnicas, avisos de seguridad, recordatorios de pago, cambios en la Plataforma.
  • Mejora del servicio: análisis agregado y anonimizado del uso de la Plataforma.
  • Atención al Cliente: respuesta a consultas y soporte técnico.
  • Cumplimiento de obligaciones legales: tributarias, contables, judiciales y de las autoridades competentes.
  • Marketing: envío de novedades sobre la Plataforma, únicamente si el Cliente lo ha consentido previamente. El consentimiento puede revocarse en cualquier momento.

5. Base legal del tratamiento

Las bases legales que sustentan el tratamiento son las siguientes, conforme a la Ley Orgánica de Protección de Datos Personales del Ecuador y normativa internacional concordante (GDPR para clientes europeos):

  • Ejecución de la relación contractual entre el Cliente y AC² CRM: al registrarse en la Plataforma y aceptar estos términos, se perfecciona un contrato de adhesión electrónico entre el Cliente y el Proveedor. No se requiere firma manuscrita: la aceptación digital de los Términos y Condiciones tiene plena validez legal en Ecuador (Ley de Comercio Electrónico) y constituye la relación contractual que legitima el tratamiento de datos necesario para prestar el servicio (autenticación, almacenamiento de información, facturación, envío de comunicaciones operativas, etc.).
  • Cumplimiento de obligaciones legales: tributarias, contables, judiciales o administrativas aplicables al Proveedor en Ecuador (por ejemplo, emisión de comprobantes electrónicos al SRI).
  • Interés legítimo: para fines de seguridad, prevención de fraude, mejora continua del servicio y análisis agregado anónimo sobre el uso de la Plataforma, siempre respetando los derechos del titular.
  • Consentimiento expreso del titular: para finalidades específicas que no derivan necesariamente del servicio, como el envío de comunicaciones de marketing o el guardado de la tarjeta de pago (tokenización) para renovaciones automáticas. Este consentimiento es revocable en cualquier momento.

6. Encargados y destinatarios de los datos

Para prestar el servicio, AC² CRM comparte datos con los siguientes proveedores (Encargados del Tratamiento), bajo acuerdos contractuales que garantizan niveles equivalentes de protección:

  • Anthropic, PBC (Estados Unidos) — Modelos de inteligencia artificial Claude. Procesa contenido de conversaciones, contexto del negocio y prompts para generar respuestas. Política Anthropic.
  • OpenAI, LLC (Estados Unidos) — Modelos de inteligencia artificial GPT (alternativa configurable). Política OpenAI.
  • Meta Platforms, Inc. (Estados Unidos) — WhatsApp Business Cloud API para envío y recepción de mensajes. Política Meta.
  • YCloud — Proveedor alternativo de WhatsApp Business API utilizado mientras se finaliza la integración directa con Meta. Política YCloud.
  • Payphone S.A. (Ecuador) — Procesamiento de pagos con tarjeta. Los datos de tarjeta nunca son recibidos ni almacenados por AC² CRM. Política Payphone.
  • Google LLC (Estados Unidos) — Sincronización de calendario con Google Calendar mediante OAuth, si el Cliente lo activa.
  • Vercel Inc. (Estados Unidos) — Hosting de la página web de marketing (ac2crm.com).
  • Proveedor de servidor (VPS) — Hosting del CRM en infraestructura ubicada físicamente en territorio europeo o americano según el plan.
  • Proveedores de SMTP — Envío de correos transaccionales y comerciales según configuración del Cliente.

AC² CRM no vende, alquila ni comparte datos personales con terceros para fines de marketing ajeno al servicio.

7. Transferencias internacionales de datos

Algunos de los Encargados mencionados (Anthropic, OpenAI, Meta, Google, Vercel) tienen sus servidores principales en Estados Unidos. Las transferencias internacionales de datos personales se realizan amparadas en:

  • Cláusulas Contractuales Tipo o equivalentes en los contratos con cada proveedor.
  • Garantías de seguridad y certificaciones reconocidas internacionalmente (SOC 2, ISO 27001, etc., según corresponda al proveedor).
  • Consentimiento informado del Cliente al aceptar esta Política.

Los Clientes residentes en la Unión Europea aceptan que sus datos puedan ser transferidos fuera del Espacio Económico Europeo (EEE) bajo las salvaguardas descritas, conforme a los artículos 44 a 49 del Reglamento General de Protección de Datos (GDPR).

8. Plazos de conservación

  • Datos del Cliente activo: mientras dure la relación contractual.
  • Datos del Cliente tras la cancelación: se conservan durante 90 días después del vencimiento sin renovación, periodo durante el cual el Cliente puede reactivar su cuenta y recuperar sus datos. Transcurridos los 90 días, se procede al archivado o eliminación.
  • Datos contables y de facturación: se conservan por el plazo que exija la normativa tributaria ecuatoriana (actualmente, 7 años desde la emisión del comprobante).
  • Datos del Cliente Final: el Cliente controla la conservación de sus contactos. AC² CRM elimina los Datos del Cliente Final al cabo del periodo de retención descrito o cuando el Cliente lo solicite expresamente, salvo obligación legal de conservación.
  • Logs de seguridad y auditoría: hasta 12 meses.

9. Derechos del titular

Conforme a la Ley Orgánica de Protección de Datos Personales del Ecuador(Registro Oficial 459, 26 de mayo de 2021) y normativa concordante, todo titular de datos personales tiene los siguientes derechos:

  • Derecho de acceso a sus datos personales.
  • Derecho de rectificación de datos inexactos o incompletos.
  • Derecho de eliminación (al olvido) cuando los datos ya no sean necesarios o el titular revoque su consentimiento.
  • Derecho de oposición al tratamiento de sus datos.
  • Derecho a la portabilidad de sus datos en formato estructurado.
  • Derecho a la limitación del tratamiento.
  • Derecho a revocar el consentimiento en cualquier momento, sin que afecte la licitud del tratamiento previo.
  • Derecho a no ser objeto de decisiones individuales automatizadas con efectos jurídicos significativos.
  • Derecho a presentar reclamo ante la Autoridad de Protección de Datos Personales del Ecuador.

9.1. Cómo ejercer estos derechos

Para ejercer cualquiera de los derechos anteriores, el titular debe enviar una solicitud al correo privacidad@ac2crm.comindicando: nombre completo, copia de documento de identidad, derecho que ejerce y descripción de la solicitud. AC² CRM responderá en un plazo máximo de 15 días hábiles contados desde la recepción.

Si el titular es un Cliente Final cuyos datos fueron subidos por un Cliente, recomendamos dirigir la solicitud directamente al Cliente (Responsable de esos datos). AC² CRM puede facilitar el contacto si fuera necesario.

10. Medidas de seguridad

AC² CRM aplica medidas técnicas y organizativas razonables para proteger los datos personales contra acceso no autorizado, alteración, divulgación o destrucción. Estas medidas incluyen, entre otras:

  • Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones con la Plataforma.
  • Cifrado en reposo de credenciales y datos sensibles en la base de datos.
  • Autenticación de usuarios con contraseñas cifradas (hash).
  • Control de accesos basado en roles (SUPERADMIN, ADMIN, OPERADORA).
  • Aislamiento lógico multi-tenant: cada Cliente solo accede a sus propios datos mediante filtros estrictos por identificador único de organización (`clinic_id`).
  • Copias de seguridad periódicas de la base de datos.
  • Registros de auditoría de operaciones críticas.
  • Actualizaciones de seguridad continuas en el software de servidor y dependencias.

Sin perjuicio de lo anterior, ninguna medida de seguridad es absolutamente infalible. En caso de detectarse una violación de seguridad que afecte datos personales, AC² CRM notificará a los Clientes y, cuando corresponda, a la autoridad de control en los plazos legales aplicables.

11. Uso de cookies y tecnologías similares

La Plataforma utiliza cookies y tecnologías similares para mantener la sesión del usuario, almacenar preferencias y analizar el uso de manera agregada. Para más información, consulte nuestra Política de Cookies.

12. Inteligencia artificial

La Plataforma incorpora componentes de inteligencia artificial (Claude de Anthropic y, opcionalmente, modelos de OpenAI) para generar contenido, sugerir respuestas, analizar conversaciones y automatizar tareas. Los datos enviados a estos modelos se procesan únicamente para responder a la solicitud del Cliente y no son utilizados por los proveedores para entrenar sus modelos sin autorización explícita, conforme a los acuerdos vigentes con cada proveedor.

Las respuestas generadas por IA son herramientas de asistencia. AC² CRM no garantiza que sean infalibles y recomienda al Cliente revisar y supervisar las respuestas antes de actuar sobre ellas.

13. Menores de edad

La Plataforma no está dirigida a menores de 18 años. Si un Cliente almacena datos de menores en la Plataforma (por ejemplo, en el contexto de un consultorio pediátrico u otra actividad regulada), debe contar con el consentimiento de los representantes legales y cumplir con la normativa específica aplicable.

14. Cambios a esta Política

AC² CRM podrá actualizar esta Política de Privacidad para reflejar cambios normativos, técnicos o de servicio. La versión vigente estará siempre publicada en esta página, con la fecha de última actualización al inicio. Cuando los cambios sean sustanciales, notificaremos al Cliente por correo electrónico con al menos 15 días de antelación a su entrada en vigor.

15. Reclamos ante la Autoridad de Control

Si el titular considera que el tratamiento de sus datos no se ajusta a la normativa vigente, puede presentar un reclamo ante la Autoridad de Protección de Datos Personales del Ecuador u otra autoridad competente según su jurisdicción.

16. Contacto

Para cualquier consulta relacionada con esta Política de Privacidad o el tratamiento de sus datos personales:

  • Responsable: Marlon Esteban Monar Palma
  • Correo: privacidad@ac2crm.com
  • Dirección: Española 105 y Camino del Rey, Ecuador