En breve: Smart Zend LLC opera Nilo AI. Somos responsable (controller) de los datos de cuenta, billing y uso; y encargado (processor) respecto del contenido que tu organización sube (contactos de CRM, contenido de reuniones), del cual tu organización es el responsable. Tus datos se almacenan en la nube en EE. UU. con cifrado. No vendemos tus datos ni los usamos para entrenar modelos de IA. Podés ejercer tus derechos escribiendo a privacy@niloai.org.
1Alcance y Roles — Responsable vs Encargado
Smart Zend LLC es el responsable del tratamiento (controller) de los datos de cuenta, facturación y uso del Servicio. Respecto de los datos que tu organización sube o procesa a través del Servicio (contactos de CRM, contenido de reuniones), Smart Zend LLC actúa como encargado / proveedor de servicios (processor) por instrucción del cliente, siendo el cliente el responsable de esos datos. En consecuencia, la base legal y la atención de solicitudes de los titulares de esos contactos recaen en el cliente.
2Qué Datos Recopilamos
- Datos de cuenta: nombre, email, teléfono, organización, rol.
- Datos de reuniones: grabaciones, transcripciones y resúmenes que generás.
- Datos de CRM: contactos, empresas y actividad que importás o creás.
- Datos de uso: logs, métricas de la app, eventos de producto.
- Datos de pago: procesados por Stripe (no almacenamos números de tarjeta).
- Datos técnicos: dirección IP, tipo de dispositivo/navegador, cookies necesarias.
3Cómo y Por Qué los Usamos
Usamos los datos para: prestar y operar el Servicio; mejorar el producto; comunicarnos con vos; y seguridad/prevención de fraude. El marco primario de esta política es de EE. UU.; los derechos de sujetos fuera de EE. UU. se tratan en el Anexo Regional (§12).
4Base Legal
Cuando la ley de EE. UU. aplica, tratamos los datos para ejecutar el contrato, por interés legítimo y con tu consentimiento donde corresponde. Las bases legales del GDPR (Art. 6) y marcos análogos se detallan en el Anexo Regional (§12), no como régimen primario.
5Procesamiento de IA y Sub-procesadores
El contenido de reuniones y las transcripciones se procesan mediante proveedores de IA (Anthropic, OpenAI) y de speech-to-text (Deepgram). Estos datos pueden contener información identificable y no los describimos como "anonimizados".
Los proveedores se contratan bajo acuerdos de procesamiento de datos que prohíben usar tu contenido para entrenar sus modelos, con retención limitada. No vendemos tu contenido ni lo usamos para entrenar modelos fundacionales de terceros.
6Lista de Sub-procesadores y Aviso de Cambios
Sub-procesadores actuales:
| Sub-procesador | Propósito | Ubicación |
|---|---|---|
| Anthropic | Procesamiento de IA de transcripciones y contenido de reuniones/deals (Claude). | USA |
| OpenAI | Procesamiento de IA y speech-to-text para ciertas funciones. | USA |
| Deepgram | Transcripción speech-to-text en tiempo real. | USA |
| Stripe | Procesamiento de pagos y cálculo de impuestos (PCI-DSS Level 1). | USA |
| Neon | Base de datos PostgreSQL gestionada (cifrado en reposo). | USA |
| Railway | Hosting de la aplicación e infraestructura. | USA |
| Cloudflare R2 | Almacenamiento de objetos para grabaciones y adjuntos. | USA |
| Resend | Envío de emails transaccionales. | USA |
Comunicaremos los cambios materiales en esta lista con antelación razonable; los clientes podrán objetar un nuevo sub-procesador escribiendo a privacy@niloai.org. Lista viva en /subprocessors.
7Compartición y Divulgación
No vendemos ni alquilamos tus datos personales. Compartimos datos solo con: sub-procesadores (§6) por instrucción nuestra; ante requerimientos legales válidos; y en una eventual operación de M&A (con continuidad de estas protecciones).
8Retención de Datos
- Cuenta y perfil: Mientras tu cuenta esté activa, más 90 días tras el cierre de la cuenta.
- Transcripciones y grabaciones: Se conservan mientras tu cuenta esté activa y hasta que las elimines. Podés eliminarlas on-demand en cualquier momento; lo eliminado se purga de forma permanente dentro de los 30 días.
- Datos de CRM: Mientras tu cuenta esté activa; eliminables on request o desde la app.
- Logs de auditoría: 12 meses, por seguridad y cumplimiento.
- Sesión: 30 días desde la última actividad.
- Ventana de exportación post-cancelación: Tras la cancelación tenés 30 días para exportar tus datos, luego de lo cual se eliminan de forma permanente.
9Seguridad
Aplicamos cifrado en tránsito (TLS) y en reposo (AES-256), OAuth 2.0, control de acceso basado en roles (RBAC), logs de auditoría y principio de menor privilegio. Ningún sistema es 100% infalible, pero trabajamos para proteger tus datos de forma proporcionada al riesgo.
10Notificación de Brechas
Ante una brecha de seguridad que afecte datos personales, notificaremos conforme a la ley aplicable y sin demora indebida (incluidos plazos tipo 72 horas del GDPR y las leyes estatales de breach de EE. UU. cuando correspondan).
11Derechos de Privacidad (EE. UU. — CCPA/CPRA)
Si sos residente de California (CCPA/CPRA), tenés derecho a: saber/acceder, eliminar, corregir, optar por no participar en la "venta"/"compartición", y limitar el uso de información personal sensible. No vendemos tu información. Honramos la señal Global Privacy Control (GPC), brindamos el "Notice at Collection" y el derecho "Shine the Light" (Cal. Civ. Code §1798.83), y no discriminamos por ejercer tus derechos. Residentes de VA, CO, CT, UT, TX y otros estados pueden tener derechos análogos.
12Anexo Regional / Internacional (UE, UK, Argentina, Brasil)
Para sujetos en la UE/UK (GDPR / UK GDPR), Argentina (Ley 25.326) y Brasil (LGPD): tenés derecho de acceso, rectificación, supresión, portabilidad, oposición y limitación del tratamiento, y a presentar reclamos ante tu autoridad de control. Las bases legales del GDPR (Art. 6) aplican cuando corresponde. Ejercé estos derechos en privacy@niloai.org.
13Transferencias Internacionales de Datos
Tus datos se almacenan en servidores en los Estados Unidos. Para sujetos de la UE/UK, las transferencias se realizan, cuando corresponda, bajo Cláusulas Contractuales Tipo (SCC) y/o el EU-US Data Privacy Framework. Usamos lenguaje condicional porque la cobertura depende de las salvaguardas vigentes con cada sub-procesador.
15Datos de Menores
El Servicio es para mayores de 18 años. No recopilamos conscientemente datos de menores; si detectamos uno, lo eliminamos.
16Mecánica de Solicitudes (DSAR) y Tiempos de Respuesta
Podés ejercer tus derechos en privacy@niloai.org. Responderemos sin demora indebida y en todo caso dentro de 30 días calendario (un mes), prorrogable cuando la ley aplicable lo permita. Para los contactos importados a tu CRM, actuamos como encargados: derivamos la solicitud al cliente como responsable y actuamos según sus instrucciones.
17Cambios a esta Política
Comunicaremos los cambios materiales con al menos 30 días de aviso.
18Contacto
Smart Zend LLC — Nilo AI · Equipo de Privacidad
Privacy / DSAR: privacy@niloai.org
Legal: legal@niloai.org
Web: https://niloai.org
Tiempo de respuesta: sin demora indebida y en todo caso dentro de 30 días calendario (un mes), prorrogable cuando la ley aplicable lo permita.