Legal

Política de privacidad

Fecha de entrada en vigor: May 9, 2026

ProfitPilot («nosotros», «nos», «nuestro») respeta tu privacidad y se compromete a proteger tus datos personales. Esta política de privacidad explica cómo recopilamos, usamos, almacenamos y protegemos la información cuando usas la aplicación ProfitPilot («la App»), disponible en la Shopify App Store y en nuestro sitio web («el Servicio»). Esta política se aplica a los comerciantes de Shopify («Comerciantes»), a sus clientes («Usuarios finales») y a los visitantes de nuestro sitio web («Visitantes»).

1. Datos que recopilamos

A. Datos de la cuenta del comerciante

  • Nombre y dirección de correo electrónico proporcionados durante el registro
  • Credenciales de autenticación (la contraseña se almacena como un hash bcrypt, nunca en texto plano)
  • Preferencias de la cuenta y estado de incorporación

B. Datos de la tienda de Shopify (mediante OAuth)

  • Productos: Título, descripción, precio, variantes, imágenes y estado del inventario
  • Pedidos: Totales de pedidos, líneas de artículos, descuentos, reembolsos y estado de cumplimiento
  • Metadatos de la tienda: Nombre de la tienda, dominio, moneda y zona horaria

Accedemos a estos datos mediante la API oficial de Shopify con los siguientes alcances de OAuth: read_orders, read_products, y write_products (se utiliza únicamente para funciones opcionales, como la importación de borradores de productos en tendencia).

C. Datos protegidos del cliente

Nuestra App puede acceder a Shopify Datos protegidos del cliente únicamente después de recibir la aprobación explícita de Shopify a través de su proceso de acceso a Datos protegidos del cliente. Hasta que se otorgue dicha aprobación, no almacenamos ninguna dirección de correo electrónico ni identificador de cliente de tus pedidos. Si se aprueba, los datos del cliente se utilizan exclusivamente para atribuir pedidos con fines de análisis y nunca se comparten con terceros.

D. Datos de uso

Páginas visitadas, funciones utilizadas y duración de la sesión para mejorar el Servicio. No utilizamos rastreadores de análisis de terceros en la App.

E. Datos de soporte

Nombre, correo electrónico y contenido del mensaje si te comunicas con nosotros mediante el widget de chat de soporte, el correo electrónico o el sistema de tickets.

Nosotros no recopilamos los datos de las tarjetas de pago. Toda la facturación se procesa exclusivamente a través de la Billing API integrada de Shopify.

2. Base legal para el tratamiento

Tratamos tus datos sobre las siguientes bases legales conforme al RGPD:

  • Ejecución del contrato: El tratamiento de los datos de la tienda de Shopify es necesario para prestar el servicio de análisis que contrataste.
  • Consentimiento: Otorgas tu consentimiento explícito a través del flujo de OAuth de Shopify cuando instalas la App y apruebas los alcances de datos solicitados.
  • Interés legítimo: Análisis de uso para mejorar el Servicio, siempre que no prevalezca sobre tus derechos.
  • Obligación legal: Cuando la ley nos exige conservar o divulgar datos.

3. Cómo usamos tus datos

Usamos tus datos exclusivamente para prestar y mejorar el Servicio:

  • Generar paneles de beneficios, informes y análisis de productos
  • Calcular métricas de beneficio basadas en COGS y clasificaciones de productos
  • Producir información impulsada por IA y recomendaciones prácticas
  • Hacer seguimiento de los precios de la competencia y descubrir productos en tendencia
  • Enviar informes semanales de auditoría de beneficios y resúmenes diarios de acciones
  • Brindar soporte al cliente y resolver tickets
  • Mejorar el Servicio en función de patrones de uso agregados

Al generar información con IA, enviamos métricas agregadas y anonimizadas (totales de ingresos, porcentajes de margen, puntuaciones de rendimiento de productos) a nuestro proveedor de IA. Las solicitudes de IA nunca incluyen información de identificación personal (nombres, correos electrónicos, direcciones o datos de pago).

4. Intercambio de datos y proveedores de servicios

Nosotros no vendemos, alquilamos ni compartimos tus datos personales con terceros con fines de marketing o publicidad. Solo compartimos datos con los siguientes proveedores de servicios necesarios para operar la aplicación:

Proveedor Finalidad Datos compartidos
Shopify Acceso a los datos de la tienda y facturación Tokens de OAuth, cargos de facturación
Google (Gemini API) Generación de insights con IA Solo métricas agregadas, sin datos personales identificables
OpenAI Proveedor de IA de respaldo Solo métricas agregadas, sin datos personales identificables
Proveedor de infraestructura Alojamiento de servidores y base de datos Todos los datos (cifrados en reposo)

Podemos divulgar información si así lo exige la ley, una orden judicial o una normativa gubernamental, o para proteger nuestros derechos legales.

5. Conservación de los datos

Conservamos tus datos únicamente durante el tiempo necesario para prestar el servicio:

  • Datos de la cuenta: Se conservan mientras tu cuenta esté activa. Se eliminan dentro de los 30 días posteriores al cierre de la cuenta o a la solicitud de eliminación.
  • Métricas de la tienda y pedidos: Se conservan entre 90 y 365 días según tu plan de suscripción, y luego se depuran automáticamente.
  • Conversaciones del chat: Se conservan durante 90 días y luego se eliminan automáticamente.
  • Registros de auditoría de cumplimiento: Se conservan durante el tiempo legalmente exigido para el cumplimiento normativo.
  • Registros de eventos de webhooks: Se depuran después de 30 días.

Cuando desconectas una tienda de Shopify, revocamos y eliminamos de inmediato los tokens de acceso de OAuth almacenados. Los datos de la tienda en caché (productos, pedidos, métricas) se eliminan en un plazo de 48 horas. Cuando Shopify envía un shop/redact webhook, eliminamos de forma atómica todos los datos asociados a esa tienda.

6. Cumplimiento obligatorio de Shopify

ProfitPilot cumple plenamente con los webhooks de privacidad obligatorios de Shopify exigidos por la Shopify App Store:

  • Solicitud de datos del cliente (customers/data_request): Cuando el cliente de un comerciante solicita sus datos, registramos la solicitud y notificamos al comerciante. No se almacenan datos personales identificables del cliente en el registro.
  • Eliminación de datos del cliente (customers/redact): Cuando el cliente de un comerciante solicita la eliminación, retiramos de inmediato todos los identificadores asociados del cliente (correo electrónico, ID de cliente) de nuestros registros de pedidos.
  • Eliminación de datos de la tienda (shop/redact): Cuando un comerciante desinstala la aplicación y Shopify solicita la eliminación completa, borramos todos los datos de la tienda, incluidos pedidos, productos, métricas, informes, sugerencias, insights de IA, tokens, costes y suscripciones.

Todos los webhooks se verifican mediante firmas HMAC-SHA256 para evitar solicitudes no autorizadas. Las acciones de cumplimiento se procesan de forma sincrónica para garantizar que se completen dentro del plazo exigido por Shopify.

7. Medidas de seguridad

Aplicamos medidas de seguridad conformes a los estándares del sector para proteger tus datos:

  • Tokens de acceso de OAuth de Shopify cifrados con AES-256 en reposo
  • Todos los datos se transmiten por HTTPS con cifrado TLS
  • Las firmas de los webhooks se verifican criptográficamente mediante comparación en tiempo constante en cada solicitud
  • Las contraseñas se cifran con bcrypt (nunca se almacenan en texto plano)
  • Protección CSRF en todos los envíos de formularios
  • Cabeceras de Política de Seguridad de Contenido (CSP) aplicadas en toda la aplicación
  • Protección SSRF aplicada a todas las URL proporcionadas por los usuarios
  • Limitación de velocidad en los endpoints de la API y las rutas de autenticación

8. Cookies

Solo utilizamos cookies esenciales necesarias para el funcionamiento del Servicio:

  • Cookie de sesión: Mantiene tu sesión de inicio de sesión (caduca al cerrar el navegador o tras 120 minutos de inactividad)
  • Token CSRF: Protege contra los ataques de falsificación de solicitudes entre sitios
  • Cookie del widget de chat: Identifica las sesiones de chat anónimas para dar continuidad al soporte

Nosotros no utilizamos cookies de seguimiento de terceros, píxeles publicitarios ni rastreadores de analítica. Para más detalles, consulta nuestra Política de cookies.

9. Tus derechos (RGPD y privacidad global)

Independientemente de tu ubicación, tienes los siguientes derechos sobre tus datos personales:

  • Acceso: Solicitar una copia de los datos personales que tenemos sobre ti
  • Rectificación: Actualizar o corregir datos inexactos desde la configuración de tu perfil
  • Supresión (derecho al olvido): Solicitar la eliminación de tu cuenta y de todos los datos asociados
  • Restricción del tratamiento: Pedirnos que limitemos el uso que hacemos de tus datos
  • Portabilidad de los datos: Exportar tus informes y métricas en formatos estándar
  • Oposición: Oponerte al tratamiento de datos basado en el interés legítimo
  • Retirada del consentimiento: Revocar el acceso a tu tienda Shopify en cualquier momento desconectando tu tienda o desinstalando la App

Para ejercer cualquiera de estos derechos, escríbenos a [email protected] o utiliza las opciones de autoservicio en la configuración de tu cuenta. Responderemos en un plazo de 30 días.

10. Derechos de privacidad de California (CCPA)

Si resides en California, tienes derechos adicionales en virtud de la Ley de Privacidad del Consumidor de California (CCPA):

  • El derecho a saber qué información personal recopilamos y cómo se utiliza
  • El derecho a solicitar la eliminación de tu información personal
  • El derecho a rechazar la venta de información personal
  • El derecho a no sufrir discriminación por ejercer sus derechos de privacidad

Nosotros no vendemos información personal a terceros. Para ejercer sus derechos conforme a la CCPA, contáctenos en [email protected].

11. Datos de los clientes del comerciante

ProfitPilot procesa los datos de pedidos de tu tienda de Shopify para calcular las analíticas de beneficios. En cuanto a los datos de tus clientes:

  • Nosotros no almacenamos información de identificación personal del cliente (correo electrónico, nombre, dirección) salvo que Shopify haya aprobado nuestra solicitud de acceso a Datos Protegidos del Cliente
  • Nosotros nunca contactamos a tus clientes directamente
  • Nosotros nunca compartimos los datos de tus clientes con terceros
  • Nosotros nunca usamos los datos de tus clientes para marketing, publicidad o elaboración de perfiles
  • Los identificadores de los clientes, cuando se almacenan, se utilizan únicamente para la atribución de pedidos dentro de tus analíticas
  • Cuando un cliente solicita el borrado de sus datos a través de tu tienda de Shopify, procesamos la solicitud de borrado automáticamente mediante el webhook obligatorio de Shopify

Los comerciantes son los responsables del tratamiento de los datos de sus clientes. ProfitPilot actúa como encargado del tratamiento en nombre del comerciante.

12. Ubicación y transferencias de datos

Tus datos se almacenan en servidores seguros. Cuando se transfieren datos a proveedores externos de IA (Google, OpenAI) para generar insights, solo se transmiten métricas agregadas y anonimizadas. Ninguna información de identificación personal sale de nuestros servidores para el procesamiento de IA.

Si te encuentras en el Espacio Económico Europeo (EEE) y tus datos se transfieren fuera del EEE, garantizamos que se apliquen las salvaguardas adecuadas, como las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

13. Privacidad de los menores

ProfitPilot es un servicio de empresa a empresa diseñado para comerciantes de Shopify. No recopilamos de forma consciente información personal de menores de 16 años. Si descubrimos que hemos recopilado datos de un menor de 16 años, los eliminaremos de inmediato.

14. Cambios en esta política

Podemos actualizar esta política de vez en cuando. Los cambios sustanciales se comunicarán por correo electrónico o mediante un aviso destacado dentro del Servicio con al menos 30 días de antelación a su entrada en vigor. La "Fecha de entrada en vigor" en la parte superior de esta página indica la última revisión. El uso continuado del Servicio tras los cambios constituye su aceptación.

¿Preguntas o solicitudes de privacidad?

Si tienes alguna pregunta sobre esta política de privacidad, deseas ejercer tus derechos sobre los datos o necesitas informar de un problema de privacidad, contáctanos en:

[email protected]

Nuestro objetivo es responder a todas las consultas relacionadas con la privacidad en un plazo de 30 días.