Política de privacidad.

Qué es esta política y por qué importa.

AlToki es un servicio peruano que conecta WhatsApp Business con asistentes de inteligencia artificial para que negocios chicos atiendan a sus clientes de forma automática. Para que esto funcione necesitamos procesar mensajes, fotos y datos del negocio. Esta política explica qué recolectamos, para qué, con quién lo compartimos y qué derechos tienes sobre tu información.

Está redactada en cumplimiento de la Ley N.º 29733 — Ley de Protección de Datos Personales del Perú y su Reglamento (DS 003-2013-JUS), e incorpora las prácticas exigidas por las tiendas de aplicaciones Apple App Store y Google Play.

Quién está detrás de AlToki.

El responsable del tratamiento de tus datos personales es:

• Titular: Deiby Juan Vargas Manchinelli
• Domicilio: Lima, Perú
• Correo de contacto: legal@altoki.net
• Aplicación móvil: AlToki, disponible en App Store y Google Play

Para cualquier consulta o solicitud relacionada con tu información personal, puedes escribirnos a la dirección indicada arriba. Respondemos en un plazo máximo de diez (10) días hábiles, de acuerdo con lo establecido por la Autoridad Nacional de Protección de Datos Personales (ANPDP).

Dos tipos de usuarios, dos relaciones.

AlToki distingue entre dos grupos de personas cuyos datos pueden ser tratados:

Dueños de negocio (titulares de la cuenta)

Son las personas que descargan la app, contratan AlToki y configuran el bot para que atienda a sus clientes. Mantienen una relación contractual directa con nosotros. Sus datos son recolectados con su consentimiento explícito al momento del registro.

Clientes finales del negocio (usuarios de WhatsApp)

Son las personas que escriben por WhatsApp al número del negocio (por ejemplo, alguien que pide una hamburguesa, agenda una cita en un salón o consulta por un arreglo floral). En este caso, AlToki actúa como encargado del tratamiento en nombre del dueño del negocio, quien es el responsable directo de los datos de sus propios clientes.

Qué información llega a nuestros servidores.

Del dueño del negocio

• Datos de cuenta: nombre, número de teléfono, correo electrónico, contraseña (almacenada con hash), nombre del negocio, rubro (vertical) y dirección.
• Configuración del bot: tono de voz, horario de atención, métodos de pago aceptados, zonas de delivery, productos y servicios del catálogo.
• Datos de pago al servicio: imágenes de comprobantes (Yape, transferencia) que el dueño envía para recargar saldo de mensajes. No almacenamos números de tarjeta de crédito ni débito — el cobro se procesa fuera de la app.
• Tokens de notificación: identificadores únicos del dispositivo emitidos por Apple (APNs) o Google (FCM) para enviarte alertas push.
• Datos de uso: fecha y hora de inicio de sesión, dispositivo y sistema operativo, registros de errores (logs) anonimizados.

De los clientes finales que escriben al bot

• Identificación: número de WhatsApp del cliente y nombre que aparece en su perfil de WhatsApp (pushname).
• Contenido de la conversación: mensajes de texto, imágenes (fotos de comprobantes, fotos de referencia para sastrería o florería), notas de voz transcritas a texto y stickers.
• Datos derivados de la conversación: pedidos generados, citas agendadas, dirección de entrega declarada, preferencias mencionadas (talla, color, alergias, fecha de cumpleaños, etc.), y resúmenes automáticos del historial.
• Vectores de embedding: representaciones numéricas de los mensajes generadas para que el bot recuerde el contexto entre conversaciones (no son legibles por humanos directamente).

No recolectamos: ubicación GPS continua, contactos de tu teléfono, fotos de la galería sin tu acción explícita, información financiera de tarjetas, ni datos sensibles (salud detallada, religión, orientación política).

Finalidades concretas, sin letra chica.

1. Operar el chatbot. Procesar mensajes entrantes y generar respuestas usando inteligencia artificial.
2. Memoria conversacional. Guardar embeddings de mensajes para que el bot recuerde el historial entre interacciones y dé respuestas coherentes.
3. Validación de pagos. Almacenar y revisar comprobantes (vouchers) que envían los clientes para confirmar pedidos. La validación se hace de forma manual por el dueño del negocio para prevenir fraude.
4. Notificaciones push. Avisarle al dueño cuando hay un evento crítico (nuevo voucher por revisar, saldo bajo, error del bot, etc.).
5. Estadísticas internas. Mostrarle al dueño métricas de su propio negocio (ventas del día, ocupación de citas, top de productos), siempre dentro de su propia cuenta.
6. Seguridad y prevención de abuso. Detectar patrones de uso fraudulento, intentos de spam y abuso del servicio.
7. Cumplimiento legal. Atender requerimientos de autoridades competentes cuando exista obligación legal.
8. Mejora del producto. Analizar uso agregado y anonimizado para identificar bugs, mejorar la experiencia y desarrollar nuevas funciones.

No usamos tus datos para: entrenar modelos comerciales propios de inteligencia artificial, vender perfiles a anunciantes, ceder bases de datos a terceros con fines de marketing, ni compartir conversaciones entre cuentas de distintos negocios.

El marco bajo el cual procesamos.

El tratamiento de datos personales en AlToki se realiza bajo las siguientes bases legales contempladas en la Ley 29733:

• Consentimiento expreso: al registrarte en la app aceptás esta política y autorizás el tratamiento de tus datos para los fines descritos.
• Ejecución contractual: el procesamiento es necesario para prestarte el servicio que contrataste.
• Interés legítimo: para prevenir fraudes, asegurar la integridad del sistema y mejorar el servicio.
• Cumplimiento de obligación legal: cuando una autoridad peruana competente lo requiera mediante mandato formal.

Podés retirar tu consentimiento en cualquier momento siguiendo las instrucciones de la sección Tus derechos.

Proveedores que procesan datos por nosotros.

Para que AlToki funcione contratamos servicios de terceros que actúan como encargados del tratamiento bajo nuestras instrucciones. Cada uno recibe únicamente los datos mínimos necesarios para su función específica:

Cada uno de estos proveedores cuenta con sus propias políticas de privacidad y certificaciones de seguridad. AlToki celebra contratos de tratamiento de datos (DPA) con todos sus proveedores principales.

Tus datos pueden viajar fuera del Perú.

Algunos de nuestros proveedores (Anthropic, Voyage AI, Cloudflare, Google, Apple, Meta) tienen su infraestructura principal en Estados Unidos u otras jurisdicciones fuera del Perú. Esto implica una transferencia internacional de datos personales.

Estas transferencias se realizan bajo cláusulas contractuales estándar que garantizan un nivel de protección equivalente al exigido por la Ley 29733. Los proveedores cuentan con certificaciones reconocidas (ISO 27001, SOC 2) y políticas de privacidad públicas.

Al usar AlToki autorizás explícitamente esta transferencia internacional para los fines descritos en esta política.

Cuánto tiempo guardamos cada cosa.

• Datos del dueño del negocio: mientras la cuenta esté activa. Tras la eliminación de la cuenta, conservamos los datos por hasta 30 días en backup técnico y luego se eliminan de forma definitiva.
• Mensajes de WhatsApp: mientras la conversación esté activa. Conversaciones inactivas por más de 12 meses son archivadas y posteriormente eliminadas.
• Comprobantes de pago (vouchers): hasta 12 meses desde la transacción, como evidencia anti-fraude y para cumplimiento contable del negocio.
• Embeddings de memoria conversacional: mientras el cliente esté activo en el negocio. Se eliminan al cerrar la cuenta del negocio.
• Logs técnicos: hasta 90 días para diagnóstico y seguridad.
• Datos requeridos por obligación legal: conservados por el plazo que la ley peruana exija (por ejemplo, comprobantes contables: 5 años según SUNAT).

Podés solicitar la eliminación anticipada de tus datos siguiendo el procedimiento descrito en la sección Tus derechos.

Lo que puedes exigir sobre tu información.

Como titular de datos personales, la Ley 29733 te reconoce los siguientes derechos (conocidos como derechos ARCO):

Acceso

Saber qué datos tuyos tenemos, cómo los obtuvimos y para qué los usamos.

Rectificación

Corregir datos inexactos o desactualizados (por ejemplo, cambiar el correo o la dirección del negocio).

Cancelación / Eliminación

Pedir el borrado de tus datos cuando ya no sean necesarios para los fines para los que fueron recolectados.

Oposición

Oponerte al tratamiento por motivos legítimos relacionados con tu situación particular.

Cómo ejercerlos

Escríbenos un correo a legal@altoki.net con el asunto Solicitud ARCO, indicando:

1. Tu nombre completo y un documento de identidad.
2. El derecho específico que quieres ejercer.
3. El correo electrónico asociado a tu cuenta de AlToki.
4. La descripción clara de tu solicitud.

Te responderemos en un plazo máximo de diez (10) días hábiles. Si consideras que no atendimos correctamente tu solicitud, puedes acudir a la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia y Derechos Humanos del Perú.

Cómo protegemos lo que confiás en nosotros.

Implementamos medidas técnicas y organizativas razonables para proteger tus datos contra accesos no autorizados, pérdida o alteración:

• Comunicación cifrada extremo a extremo entre la app y nuestros servidores mediante HTTPS / TLS 1.3.
• Almacenamiento cifrado en reposo de bases de datos e imágenes.
• Contraseñas de usuario almacenadas con función de hash bcrypt; nunca en texto plano.
• Aislamiento estricto entre cuentas de distintos negocios (multi-tenancy con verificación a nivel de base de datos).
• Control de acceso basado en roles para nuestro equipo interno, con registro de auditoría.
• Backups cifrados y periódicos, almacenados separadamente de los datos productivos.
• Monitoreo continuo de eventos sospechosos y respuesta a incidentes.

Ninguna medida es infalible. Si llegara a ocurrir un incidente que afecte significativamente tus datos personales, te notificaremos en un plazo razonable y reportaremos a la autoridad correspondiente según lo exige la ley.

AlToki es un servicio para adultos.

AlToki está dirigido a dueños de negocios mayores de 18 años. No recolectamos conscientemente datos de menores de edad como titulares de cuenta.

Si descubrimos que un menor de edad creó una cuenta sin el consentimiento verificable de su padre, madre o tutor legal, eliminaremos esa cuenta y los datos asociados a la brevedad.

Respecto a los clientes finales que escriben al bot por WhatsApp, su edad no es verificable por AlToki. La responsabilidad de gestionar correctamente las interacciones con menores recae en el negocio que opera el bot.

Cómo te enterás cuando algo cambia.

Podemos actualizar esta política de privacidad periódicamente para reflejar cambios legales, nuevas funciones del producto o mejoras en nuestras prácticas.

Cuando los cambios sean materiales (afecten tus derechos o cómo procesamos tus datos), te avisaremos con al menos quince (15) días de anticipación mediante:

• Notificación dentro de la aplicación móvil.
• Correo electrónico a la dirección registrada.
• Aviso destacado al inicio de este documento.

El uso continuado de AlToki después de la entrada en vigencia de los cambios constituye tu aceptación de los mismos. Si no estás de acuerdo, puedes cerrar tu cuenta antes de la fecha efectiva.

Las versiones anteriores de esta política quedan archivadas y disponibles bajo solicitud al correo de contacto.

¿Tenés una pregunta? Escríbenos.

Estamos a tu disposición para resolver dudas sobre esta política o sobre el tratamiento de tu información.