Política de Privacidad

1. Responsable del tratamiento

• Titular: John Sandoval Meza
• NIF: 50747503G
• Nombre comercial: Tane Solutions
• Domicilio: Avenida San Diego 104, 1-1, 28053 Madrid, España
• Email: privacy@tanesolutions.com
• Sitio web: silvion.tanesolutions.com

2. Qué datos recogemos

• De ti (cliente de Silvion): email, nombre del negocio, datos de facturación vía Stripe.
• De tus usuarios finales (los que te escriben por WhatsApp, Instagram, Telegram o widget web): identificador del canal (teléfono, ID de Instagram/Telegram), nombre de perfil, contenido de mensajes, timestamps. Los datos que tú configures como captura (ej. email).
• Datos técnicos: dirección IP, user-agent, logs de auditoría, analytics anónimos (PostHog) para mejorar el producto.

3. Para qué los usamos

• Prestar el Servicio (autenticación, procesamiento de mensajes con IA, agenda, CRM).
• Facturación y gestión de la suscripción.
• Mejorar Silvion (estadísticas anónimas, detección de bugs).
• Cumplir con obligaciones legales (conservación fiscal).

Nunca vendemos datos. Nunca entrenamos modelos de IA con tus datos ni con los de tus clientes.

4. Con quién compartimos

Usamos proveedores técnicos estrictamente necesarios:

• Supabase — base de datos y autenticación
• Vercel — hosting
• OpenAI — procesamiento del agente IA (sin retención de datos)
• Stripe — pagos
• Meta Platforms Ireland Ltd. — WhatsApp Business API e Instagram Messaging API (canales de mensajería)
• Google LLC — Google Calendar API, solo si el cliente conecta voluntariamente su calendario (ver sección 5 para detalle completo)
• Resend — emails transaccionales (recibos, recordatorios, invitaciones)
• PostHog — analytics producto
• Sentry — captura de errores en producción
• Cloudflare Turnstile — captcha anti-bot en signup

Todos ellos firmados bajo Data Processing Agreement (DPA). Consulta nuestra lista completa de sub-procesadores con detalle de qué datos comparte cada uno, en qué región se alojan y enlaces a sus políticas.

5. Datos de Google y Google Calendar API

Esta sección detalla cómo Silvion accede, usa, almacena, comparte, retiene y elimina los datos obtenidos de los Servicios de Google APIs cuando un usuario conecta voluntariamente su cuenta de Google Calendar a Silvion. Esta funcionalidad es opcional: solo se activa cuando el cliente la habilita expresamente desde Ajustes → Integraciones.

5.1 Datos de Google a los que accedemos

Solicitamos los siguientes scopes OAuth 2.0 a través de la pantalla de consentimiento estándar de Google:

• https://www.googleapis.com/auth/calendar.events — lectura y escritura de eventos en los calendarios del usuario.
• https://www.googleapis.com/auth/calendar.readonly — lectura de la lista de calendarios del usuario para que pueda elegir cuál sincronizar.
• openid y email — identificación del usuario de Google que ha autorizado la conexión.

Concretamente recibimos: identificador de usuario de Google, dirección de email principal de la cuenta de Google, lista de calendarios disponibles, y los eventos del calendario seleccionado (título, descripción, fechas de inicio/fin, asistentes, ubicación). No solicitamos ningún otro scope (no leemos Gmail, Drive, Contacts ni ningún otro producto de Google).

5.2 Para qué usamos estos datos

El acceso a Google Calendar tiene una única finalidad: mantener sincronizadas las citas creadas o gestionadas en Silvion con el calendario propio del cliente, en ambos sentidos:

• Cuando el agente IA agenda una cita por WhatsApp, se crea automáticamente un evento en Google Calendar.
• Cuando el cliente cancela o reprograma una cita en Silvion, el evento de Google Calendar se actualiza.
• Cuando el cliente bloquea horarios manualmente en Google Calendar, el agente IA los respeta y no agenda en esas franjas.
• El email de Google se almacena exclusivamente para mostrarle al usuario qué cuenta tiene conectada y permitirle desconectarla.

NO usamos los datos de Google para: publicidad, perfilado, venta a terceros, entrenamiento de modelos de IA, marketing, ni ningún otro fin que no sea la sincronización de citas.

5.3 Compartición con terceros

Silvion no comparte ni transfiere datos obtenidos de Google APIs con ningún tercero, con la única excepción de los proveedores de infraestructura estrictamente necesarios para operar la plataforma: Supabase (almacena los tokens y eventos sincronizados en la base de datos en Frankfurt, UE) y Vercel (procesa las peticiones HTTP del flujo OAuth).

Los datos de Google no se envían a OpenAI ni a otros sub-procesadores que no sean esenciales para el sync. Los eventos no aparecen en analytics, no se exportan en reportes públicos ni se incluyen en el contenido de los mensajes que el agente IA envía a usuarios finales por WhatsApp.

5.4 Almacenamiento y protección

• Tokens OAuth (access_token y refresh_token) se almacenan en la base de datos PostgreSQL de Supabase, en la región Frankfurt (UE), cifrados en reposo con AES-256 a nivel de disco.
• Eventos sincronizados se almacenan en la tabla appointments con Row-Level Security: solo la organización propietaria puede leerlos.
• Transferencia a Google APIs y desde ellas: siempre vía HTTPS con TLS 1.2 o superior.
• Acceso interno: ningún empleado de Tane Solutions accede a los datos de Google de un cliente concreto en el curso normal de operaciones. El acceso de soporte requiere consentimiento explícito del titular y queda registrado en el audit log.
• Refresh token: se renueva con un único click desde el panel del usuario y queda invalidado el anterior si se revoca.

5.5 Retención y eliminación

• Los tokens y datos sincronizados se conservan mientras la integración esté activa.
• El usuario puede desconectar Google Calendar en cualquier momento desde Ajustes → Integraciones → Google Calendar → Desconectar. Esta acción borra inmediatamente los tokens de nuestra base de datos y revoca programáticamente el grant en Google.
• El usuario también puede revocar el acceso directamente desde myaccount.google.com/permissions en cualquier momento.
• Si el usuario elimina su cuenta de Silvion, todos los datos de Google asociados se borran en un máximo de 30 días junto con el resto de información de la cuenta.
• Los eventos sincronizados ya creados en Google Calendar permanecen en el calendario del usuario tras la desconexión — nosotros simplemente dejamos de tocarlos.

5.6 Compromiso con la Política de Datos de Usuario de Google API Services (Limited Use)

5.7 Cómo ejercer tus derechos sobre datos de Google

Cualquier titular puede ejercer los derechos descritos en la sección 6 también respecto a sus datos de Google. Para preguntas específicas sobre el uso de Google APIs por parte de Silvion, contactar con privacy@tanesolutions.com.

6. Tus derechos (RGPD)

Tienes derecho a:

• Acceder a tus datos y a los de tus contactos
• Rectificar información inexacta
• Suprimir (derecho al olvido) tu cuenta y todos los datos asociados
• Portabilidad: exporta todo tu histórico en JSON desde el panel
• Oposición al tratamiento con fines no esenciales

Desde el panel puedes exportar o eliminar contactos individuales. Para eliminar tu cuenta completa escríbenos.

7. Política de retención

Aplicamos retención por categoría de dato, con purga automática nocturna:

Puedes solicitar la eliminación inmediata de cualquier dato a través de nuestro formulario público o desde el panel si eres administrador de tu cuenta.

8. Seguridad

Tu información está cifrada en tránsito (TLS) y en reposo. Multi-tenant con Row Level Security agresiva en Postgres. Tokens de WhatsApp cifrados con Supabase Vault. Audit log de acciones sensibles.

9. Cookies

Usamos cookies técnicas esenciales (autenticación) y una cookie de preferencia de idioma. No usamos cookies de marketing ni tracking de terceros.

10. Contacto

Para ejercer cualquier derecho o dudas de privacidad: privacy@tanesolutions.com.

Si consideras que tus derechos no han sido atendidos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos.