Política de Privacidad de Darto

Última actualización: 2026-04-14
Titular: David Chicano
Email de contacto: [email protected]
País: España

Darto es una plataforma SaaS para negocios que automatiza la atención al cliente y la gestión operativa a través de canales de mensajería e integraciones opcionales. Esta política explica qué datos accedemos, cómo los usamos, con quién los compartimos, cómo los protegemos y cómo los usuarios pueden solicitar su eliminación.

1. Datos que tratamos

1.1 Datos de cuenta y negocio

Nombre, email y datos de acceso de la cuenta del negocio.
Información del negocio introducida por el usuario o disponible públicamente, como nombre comercial, dirección, horarios o descripciones.
Configuración del asistente, integraciones conectadas y preferencias operativas.

1.2 Datos de mensajería y uso del servicio

Mensajes enviados y recibidos a través de canales conectados como WhatsApp Business e Instagram.
Datos operativos y técnicos necesarios para prestar el servicio, como logs, direcciones IP, métricas internas y registros de errores.

1.3 Datos de integraciones opcionales

Si el titular del negocio decide conectar una integración externa en Darto, podremos acceder y tratar los datos mínimos necesarios para configurar esa integración y prestar la funcionalidad solicitada. Dependiendo de la integración, esto puede incluir identificadores de cuenta o negocio, datos de configuración, disponibilidad, información operativa y otros datos necesarios para consultar o ejecutar acciones autorizadas por el usuario.

2. Cómo usamos los datos

Utilizamos los datos anteriores únicamente para las siguientes finalidades:

Crear y administrar la cuenta del negocio en Darto.
Prestar las funcionalidades contratadas del producto.
Procesar conversaciones con clientes y generar respuestas o acciones asistidas por IA.
Conectar, mantener y reconfigurar integraciones externas autorizadas por el negocio.
Consultar o ejecutar operaciones en la integración correspondiente solo cuando el usuario haya decidido conectarla y la funcionalidad lo requiera.
Mostrar al negocio información sincronizada dentro de la app.
Detectar fallos, prevenir abusos, mantener la seguridad y resolver incidencias técnicas.
Cumplir obligaciones legales y regulatorias.

Las integraciones externas solo se utilizan cuando el negocio decide conectarlas y autoriza su uso dentro de Darto.

3. Compartición de datos y terceros

Solo compartimos datos cuando es necesario para prestar el servicio o cuando la ley lo exige.

3.1 Proveedores y encargados del tratamiento

Supabase: infraestructura, base de datos y almacenamiento operativo.
OpenAI, Anthropic, Google Gemini y xAI: procesamiento de IA a través de sus APIs de empresa/negocio, utilizadas cuando es necesario para generar respuestas o ejecutar funciones asistidas dentro de Darto. Los términos de servicio de empresa/negocio de estos proveedores prohíben contractualmente usar las entradas o salidas de los clientes para entrenar modelos de IA generalizados.
Meta Platforms: prestación de canales de mensajería conectados como WhatsApp Business e Instagram.
El proveedor o servicio externo correspondiente a la integración conectada por el negocio, únicamente cuando sea necesario para consultar datos o ejecutar la funcionalidad solicitada.

Compartimos con cada proveedor únicamente los datos mínimos necesarios para la finalidad correspondiente.

3.2 Qué no hacemos

No vendemos datos personales ni datos obtenidos a través de integraciones externas a terceros.
No compartimos datos de integraciones externas con terceros para fines publicitarios.
No accedemos a una integración externa sin una autorización previa del usuario o del negocio correspondiente.

3.3 Requerimientos legales

También podremos revelar información si resulta necesario para cumplir una obligación legal, responder a un requerimiento válido de una autoridad competente o proteger la seguridad del servicio.

4. Almacenamiento y protección de los datos

Aplicamos medidas técnicas y organizativas razonables para proteger los datos personales y los datos tratados a través de integraciones:

Transmisión cifrada mediante HTTPS/TLS.
Almacenamiento en infraestructura gestionada por Supabase con controles de seguridad del proveedor.
Control de acceso a nivel de aplicación y base de datos.
Restricción de acceso a sistemas y credenciales solo a componentes autorizados del servicio.
Minimización de datos y tratamiento limitado a la finalidad descrita en esta política.
Almacenamiento server-side de credenciales o tokens de integración cuando sean necesarios para mantener una conexión autorizada; no se exponen a clientes finales del negocio.

5. Conservación, desconexión y eliminación

Conservamos los datos mientras sean necesarios para prestar el servicio, mantener una integración activa, resolver incidencias, cumplir obligaciones legales o atender reclamaciones legítimas.

En relación con las integraciones externas:

Mientras la integración permanezca activa, Darto conserva los datos de conexión y configuración necesarios para operarla.
Si el negocio desvincula una integración desde la app de Darto, se elimina de Darto el vínculo de integración y los datos sincronizados asociados necesarios para esa conexión, y Darto deja de acceder a esa integración a partir de ese momento.
El usuario también puede solicitar la eliminación de sus datos escribiendo a [email protected].

Podremos conservar durante un tiempo limitado determinados registros técnicos o copias de seguridad cuando sea necesario por motivos de seguridad, prevención de fraude, continuidad del servicio o cumplimiento legal.

6. Base legal

Tratamos los datos personales sobre las siguientes bases:

Ejecución del contrato con el negocio usuario.
Consentimiento del usuario cuando conecta servicios o integraciones externas que requieren autorización.
Interés legítimo para seguridad, prevención de abuso, mantenimiento técnico y mejora operativa del servicio.
Cumplimiento de obligaciones legales.

7. Derechos de los usuarios

Puedes solicitar acceso, rectificación, eliminación, limitación, oposición o portabilidad de tus datos escribiendo a [email protected].

También puedes revocar el acceso a una integración desconectándola desde Darto y, cuando el proveedor lo permita, revocando después el acceso de la aplicación desde tu cuenta en dicho proveedor.

8. Transferencias internacionales

Algunos proveedores utilizados por Darto pueden tratar datos fuera del Espacio Económico Europeo. En esos casos aplicamos medidas de protección razonables, incluidas cláusulas contractuales tipo u otras salvaguardas adecuadas cuando proceda.

9. Tratamiento por IA

Cuando una funcionalidad del asistente necesita usar datos del negocio, de la conversación o de una integración externa para responder a una petición o ejecutar una acción autorizada, Darto puede procesar los datos mínimos necesarios para interpretar la solicitud, consultar información relevante y devolver una respuesta útil.

Darto no vende datos obtenidos a través de integraciones externas ni los usa para publicidad.

10. Información específica de proveedores

Algunas integraciones o proveedores pueden requerir información adicional y específica sobre los datos accedidos, su uso, su almacenamiento o su eliminación. En esos casos, Darto podrá publicar anexos o apartados específicos para ese proveedor sin modificar la estructura general de esta política.

10.1 Google Calendar

Si el titular del negocio decide conectar Google Calendar mediante OAuth, Darto puede acceder y tratar las siguientes categorías de datos de Google:

La dirección de correo de la cuenta de Google conectada.
La lista de calendarios disponibles en esa cuenta durante el proceso de conexión, incluyendo identificadores, nombres, descripciones, zona horaria, rol de acceso y si un calendario es principal.
El calendario seleccionado por el usuario para usar con Darto, incluyendo su ID y nombre.
Los permisos OAuth concedidos y los tokens necesarios para mantener la conexión activa.
La disponibilidad del calendario seleccionado mediante consultas de bloques ocupados/libres.
Los datos de eventos del calendario seleccionado cuando son necesarios para prestar la funcionalidad solicitada por el negocio, incluyendo título, descripción, ubicación, fecha y hora de inicio y fin, zona horaria, estado del evento, recurrencia y, cuando existan en el propio evento, asistentes u organizador.

Darto usa estos datos de Google únicamente para:

mostrar los calendarios disponibles durante la configuración;
permitir seleccionar el calendario que se conectará a Darto;
consultar disponibilidad;
listar o recuperar eventos;
crear, modificar o cancelar eventos autorizados por el usuario;
responder dentro de Darto a solicitudes relacionadas con la gestión de citas.

Darto no solicita acceso a servicios de Google no relacionados con la integración autorizada por el usuario.

Si el negocio conecta Google Calendar, Darto comparte con Google únicamente los datos necesarios para autenticar la conexión OAuth y leer o escribir en el calendario autorizado por el usuario.

Darto no utiliza datos obtenidos a través de Google Workspace APIs para desarrollar, mejorar o entrenar modelos generalizados de IA o aprendizaje automático. Cualquier procesamiento por IA de datos de Google Calendar se realiza exclusivamente a través de las APIs de empresa/negocio de los proveedores (Google Gemini, OpenAI, Anthropic, xAI), cuyos términos de servicio prohíben contractualmente usar las entradas o salidas de los clientes para entrenar modelos de IA generalizados. Esto cumple el requisito de Uso Limitado de la Google API Services User Data Policy.

Si el usuario solicita la eliminación de sus datos o desconecta Google Calendar desde Darto, Darto elimina el vínculo de integración y deja de acceder al calendario a partir de ese momento, sin perjuicio de la conservación limitada que pueda ser necesaria por razones legales, de seguridad o de respaldo.

11. Cambios en esta política

Publicaremos cualquier actualización de esta política en esta misma URL: https://www.darto.es/privacy