¿Es legal el marketing por WhatsApp en la UE?

Sí, cuando los clientes han dado opt-in y la mensajería sigue la política de WhatsApp Business de Meta y el RGPD. Hapee es primero por plantilla y exige que garantices el opt-in; no envía mensajes a clientes que no han consentido.

¿Dónde se almacenan mis datos?

En la UE. El procesamiento y el almacenamiento se ejecutan en una región de la UE, y los datos de tus clientes no salen del bloque.

¿Quién puede ver mi token de acceso de WhatsApp?

Nadie a través del producto. Los tokens se cifran por inquilino y nunca se devuelven al navegador ni en ninguna respuesta de API.

¿Cumple Hapee con el RGPD?

Hapee está creado para respaldar el RGPD: una base legal mediante el opt-in del comercio, residencia en la UE, cifrado, gestión de solicitudes de los interesados y un acuerdo de tratamiento de datos a petición.

¿Qué pasa con mis datos si me voy?

El contacto se detiene de inmediato y los registros se conservan solo lo necesario para la facturación y las obligaciones legales, luego se eliminan o anonimizan.

Seguridad y confianza

Creado para comercios que se toman en serio los datos de sus clientes.

Residencia de datos en la UE, cifrado por inquilino y aislamiento estricto. Compromisos en lenguaje claro, no solo insignias.

Residencia de datos en la UE Listo para el RGPD Cifrado por inquilino Conforme con la política de Meta

Residencia de datos en la UE

Los datos se procesan y almacenan en la UE. La infraestructura se ejecuta en una región de la UE; la información de tus clientes no sale del bloque.

Cifrado en reposo, por inquilino

Los tokens de acceso de WhatsApp se cifran por inquilino y nunca se exponen al navegador. Las API de configuración omiten los secretos por completo.

Datos de cliente protegidos de Shopify

Cumplimos los requisitos de Datos de Cliente Protegidos de Shopify: acceso mínimo necesario, un propósito documentado para cada campo y controles de tratamiento de datos de Nivel 2. Hapee lee carritos y pedidos, nunca datos de pago.

Aislamiento de inquilinos

Cada solicitud se limita a tu tienda mediante un token bearer firmado; el servidor deriva tu identidad, nunca el cliente. Un inquilino nunca puede alcanzar los datos de otro.

Cumplimiento de WhatsApp y Meta

El contacto es primero por plantilla y conforme a la política. Tú garantizas el opt-in de tus clientes; Hapee aplica las reglas de mensajería y plantillas de Meta.

Secretos solo en el servidor

La URL base de la API de Go y el token bearer del comercio residen solo en el servidor. El navegador habla con nuestro servidor de aplicación; nunca tiene una credencial ni llama directamente al núcleo.

Límites de los datos

Cómo se protegen tus datos, de principio a fin

El navegador nunca toca el núcleo ni tu token de WhatsApp. Cada solicitud se intermedia en el servidor y se limita a tu tienda.

Navegador

Solo cookie de sesión, httpOnly y Secure

Sesión

Servidor de app de Hapee

Guarda el token bearer y lo añade en el servidor

Cifrado

Núcleo Go

Datos por inquilino, token cifrado en reposo

El navegador habla solo con el servidor de app de Hapee. El núcleo Go y el token de WhatsApp nunca se exponen al cliente.

Dos límites hacen el verdadero trabajo. Entre el navegador y nuestro servidor de app solo viaja una cookie de sesión httpOnly, Secure y SameSite, así que ninguna credencial llega nunca al JavaScript del cliente y no hay nada que un script malicioso pueda robar.

Entre nuestro servidor de app y el núcleo Go, un bearer firmado con HMAC y de corta duración identifica tu tienda, derivado solo del token, nunca de nada que envíe el cliente. Tu token de acceso de WhatsApp permanece cifrado en reposo y se descifra solo en memoria, en el momento de enviar un mensaje. Nunca se escribe en un registro, se devuelve en una API ni se muestra en el panel.

Ciclo de vida de los datos

Qué procesamos y durante cuánto tiempo

Lo mínimo necesario para recuperar carritos, conservado solo mientras es útil y luego eliminado.

Qué recopilamos

El contenido y el valor de los carritos abandonados, el nombre y el número de WhatsApp del cliente para compradores con opt-in, los cuerpos de los mensajes y los estados de entrega, y la finalización del pedido para la atribución. Sin datos de pago.

Por qué lo procesamos

Únicamente para entregar la mensajería de recuperación que configures, sobre la base legal en la que te apoyas y que garantizas. Clasificamos los carritos para no mensajear a bots, lo que protege a los compradores y tu reputación como remitente.

Cuánto tiempo lo conservamos

El tiempo necesario para operar el servicio y justificar la atribución y la facturación, luego eliminado o anonimizado. Puedes solicitar una eliminación anticipada, sujeta a la conservación legal.

Compromisos

Lo que Hapee nunca hace

Nunca envía mensajes a clientes que no han dado opt-in. El contacto es primero por plantilla y tú garantizas el consentimiento. Hapee no contacta a compradores sin consentimiento.

Nunca expone tu token de WhatsApp. Se cifra por inquilino y nunca se devuelve al navegador ni en ninguna respuesta de API.

Nunca vende datos personales. Los datos se comparten solo con los subencargados necesarios para operar el servicio, indicados en el ACD.

Nunca saca tus datos de la UE. El procesamiento y el almacenamiento permanecen en una región de la UE.

Postura de arquitectura

Cómo se trazan los límites.

Un mapa rápido y honesto de dónde viven los datos y quién puede tocarlos.

Flujo de datos

Navegador ⇄ servidor de app de Hapee (cookie de sesión) ⇄ núcleo Go (bearer). Nunca navegador ⇄ núcleo directamente.

Auth

Token bearer firmado con HMAC; la tienda se deriva solo del token. Los identificadores de tienda enviados por el cliente se tratan como no confiables.

Secretos

El access_token de WhatsApp cifrado en reposo, por inquilino. Los DTO lo omiten; nunca se devuelve al cliente ni se acepta de él.

Transporte

HTTPS en todo, HSTS, nosniff, política de referente estricta y una CSP basada en nonce que solo permite el origen de Meta Embedded Signup en un marco.

Sesión

Cookie de sesión httpOnly, Secure, SameSite=Strict entre el navegador y nuestro servidor de app.

RGPD

Tus derechos de datos, respaldados

Las solicitudes de los interesados se atienden con prontitud. Para los datos de los compradores, las solicitudes se dirigen a ti como responsable y Hapee asiste como encargado.

Acceso

Obtén una copia de los datos personales que se guardan sobre un interesado.

Rectificación

Corrige datos personales inexactos o incompletos.

Supresión

Solicita la eliminación, sujeta a obligaciones legales de conservación.

Limitación

Limita cómo se tratan los datos personales en casos definidos.

Portabilidad

Recibe los datos en un formato estructurado y portable.

Oposición

Oponte a determinados tratamientos de datos personales.

Transparencia

Subencargados

Los datos se comparten solo con los proveedores necesarios para operar el servicio. La lista actual se mantiene en el ACD.

Proveedor	Propósito	Región
Alojamiento en la nube	Ejecuta la app y el núcleo de Hapee	UE
Conector de plataforma	Lee carritos abandonados y pedidos completados (p. ej. Shopify)	Según la plataforma
WhatsApp vía Meta	Entrega mensajes en tu propio número	Según Meta

Solicita la lista completa y actual de subencargados con el ACD.

Preguntas de seguridad y cumplimiento

: Sí, cuando los clientes han dado opt-in y la mensajería sigue la política de WhatsApp Business de Meta y el RGPD. Hapee es primero por plantilla y exige que garantices el opt-in; no envía mensajes a clientes que no han consentido.
: En la UE. El procesamiento y el almacenamiento se ejecutan en una región de la UE, y los datos de tus clientes no salen del bloque.
: Nadie a través del producto. Los tokens se cifran por inquilino y nunca se devuelven al navegador ni en ninguna respuesta de API.
: Hapee está creado para respaldar el RGPD: una base legal mediante el opt-in del comercio, residencia en la UE, cifrado, gestión de solicitudes de los interesados y un acuerdo de tratamiento de datos a petición.
: El contacto se detiene de inmediato y los registros se conservan solo lo necesario para la facturación y las obligaciones legales, luego se eliminan o anonimizan.

Lee la letra pequeña.

Nuestras políticas están escritas para leerse, no para pasarlas por alto.

Política de privacidad Términos del servicio Acuerdo de tratamiento de datos Empezar