Culshawflow

Política de Privacidad · Privacy Policy

Política de Privacidad

Última actualización: 2 de mayo de 2026

Esta política describe cómo CulshawFlow ("nosotros", "el servicio") recolecta, almacena, procesa y protege los datos personales del titular del negocio que contrata el servicio ("cliente", "dueño") y los mensajes que sus clientes finales envían a través de los canales conectados (WhatsApp Business, Instagram Direct, entre otros).

1. Quiénes somos

CulshawFlow es un servicio SaaS multi-tenant operado desde Argentina por Matías Culshaw. Contacto: culshawflow@gmail.com. Sitio: app.culshawflow.com.

2. Qué datos recolectamos

  • Mensajes recibidos en los canales conectados (texto, audio, imagen, adjuntos y metadatos como timestamps e identificadores de la plataforma).
  • Identificadores de cuenta de plataforma: por ejemplophone_number_id de WhatsApp,IGSID de Instagram,waba_id, y datos públicos del perfil del negocio (nombre de usuario, foto, tipo de cuenta).
  • Tokens de acceso de Meta emitidos por el dueño al autorizar la integración. Se almacenan cifrados con AES-256-GCM usando una clave maestra que jamás se expone al cliente ni a terceros.
  • Información de la cuenta del dueño: email, plan contratado, fechas de alta y configuración del negocio.
  • Datos generados por el bot: respuestas, etiquetas, escalaciones a humano, métricas de uso.

3. Cómo y dónde almacenamos los datos

Usamos Supabase (PostgreSQL administrado, cifrado en reposo) como base de datos primaria, Redis para estado en caliente, y almacenamiento cifrado para credenciales sensibles. El acceso a la infraestructura está restringido por políticas RLS (Row-Level Security) por tenant y por roles, y todas las conexiones se realizan sobre TLS.

4. Para qué usamos los datos

  • Responder automáticamente mensajes de tus clientes mediante un motor conversacional (LLM) provisto por OpenRouter / OpenAI.
  • Permitir que el dueño del negocio vea el historial de conversaciones desde el panel CRM.
  • Generar reportes y métricas internas del negocio del dueño (cantidad de conversaciones, ventas cerradas, etc.).
  • Detectar abuso, fraude y degradaciones del servicio.

No vendemos ni alquilamos tus datos a terceros. No los usamos para entrenar modelos públicos. No mostramos publicidad.

5. Subprocesadores

Para prestar el servicio compartimos datos estrictamente necesarios con los siguientes proveedores:

  • Supabase — base de datos administrada y autenticación.
  • OpenRouter / OpenAI — proveedores de LLM para generar respuestas. Los mensajes del cliente final se envían como contexto para producir la respuesta. Estos proveedores se rigen por sus propias políticas de privacidad.
  • Meta Platforms (WhatsApp Business / Instagram) — plataforma de origen de los mensajes; nuestra integración respeta sus políticas.
  • Resend — envío de emails transaccionales (invitación, recuperación de contraseña).

6. Tiempo de retención

Los mensajes y conversaciones se conservan por 90 días por defecto, configurable por tenant según contrato. Los logs operativos se conservan hasta 30 días. Las credenciales OAuth se eliminan inmediatamente al desconectar la integración.

7. Tus derechos

Como titular de la cuenta o como cliente final cuyas conversaciones atendemos, tenés derecho a:

  • Acceder a los datos personales que mantenemos sobre vos.
  • Rectificar datos inexactos.
  • Solicitar la eliminación de tus datos.
  • Oponerte al procesamiento o limitarlo.
  • Portar tus datos a otro servicio en formato estructurado.

Para ejercerlos, escribinos a culshawflow@gmail.com. Respondemos en un plazo máximo de 30 días corridos. Para solicitudes específicas de Instagram (data deletion) podés usar también: /webhooks/instagram/data-deletion.

8. Cookies

Solo usamos cookies estrictamente necesarias para mantener la sesión autenticada del dueño del negocio (cookies de Supabase Auth). No usamos cookies de publicidad, analítica de terceros ni rastreo cross-site.

9. Seguridad

Aplicamos cifrado TLS en tránsito, cifrado AES-256-GCM para credenciales sensibles en reposo, principio de mínimo privilegio en el acceso al servidor, y registro de auditoría de operaciones críticas. Ningún sistema es 100% inviolable; en caso de incidente notificaremos a los afectados conforme a la ley aplicable.

10. Menores

El servicio no está dirigido a menores de 18 años. Si descubrimos que recolectamos datos de un menor sin autorización del responsable parental, los eliminamos.

11. Cambios

Podemos actualizar esta política. La fecha de "Última actualización" refleja la versión vigente. Los cambios materiales se comunican por email a los clientes activos con al menos 14 días de anticipación.

12. Jurisdicción y contacto

Esta política se rige por la ley argentina. Los conflictos serán resueltos por los tribunales ordinarios con asiento en la Ciudad Autónoma de Buenos Aires, sin perjuicio de los derechos no renunciables del consumidor. Contacto: culshawflow@gmail.com.

Privacy Policy (English)

Última actualización: May 2, 2026

This English version is provided for reviewers and non-Spanish speaking users. The Spanish version above is the authoritative text. In case of discrepancy, the Spanish version prevails.

1. Who we are

CulshawFlow is a multi-tenant SaaS operated from Argentina by Matías Culshaw. Contact: culshawflow@gmail.com. Site: app.culshawflow.com.

2. Data we collect

  • Messages received on connected channels (text, audio, image, attachments and metadata such as timestamps and platform IDs).
  • Platform account identifiers: WhatsApp phone_number_id, Instagram IGSID, waba_id, public business profile data (username, profile picture, account type).
  • Meta access tokens issued by the business owner during OAuth, stored encrypted with AES-256-GCM.
  • Owner account information: email, plan, signup date and business configuration.
  • Data generated by the bot: replies, tags, human escalations, usage metrics.

3. Storage

Supabase (managed PostgreSQL, encrypted at rest) as primary database, Redis for hot state, encrypted storage for sensitive credentials. Tenant isolation enforced via Row-Level Security policies. All connections over TLS.

4. How we use the data

  • Auto-reply to your customers' messages via an LLM-powered conversational engine (OpenRouter / OpenAI).
  • Let the business owner browse conversation history from the CRM panel.
  • Internal business reporting and metrics for the owner.
  • Detect abuse, fraud and service degradations.

We do not sell or rent your data. We do not use it to train public models. We do not show ads.

5. Subprocessors

  • Supabase — managed database and authentication.
  • OpenRouter / OpenAI — LLM providers used to generate replies; customer messages are sent as context for response generation, governed by their own privacy policies.
  • Meta Platforms (WhatsApp Business / Instagram) — origin platform of the messages.
  • Resend — transactional email delivery.

6. Retention

Messages and conversations: 90 days by default, configurable per tenant by contract. Operational logs: up to 30 days. OAuth credentials are deleted immediately upon disconnection of the integration.

7. Your rights

Account holders and end customers whose conversations we process have the right to access, rectify, delete, restrict, object to or port their personal data. Email culshawflow@gmail.com to exercise any right; we respond within 30 days. For Instagram- specific data deletion you can also use /webhooks/instagram/data-deletion.

8. Cookies

Strictly necessary cookies only (Supabase Auth session). No advertising, third-party analytics or cross-site tracking.

9. Security

TLS in transit, AES-256-GCM at rest for sensitive credentials, least-privilege server access, audit log of critical operations. No system is fully impervious; affected parties will be notified of material incidents per applicable law.

10. Minors

The service is not directed to children under 18. If we learn we collected data from a minor without parental consent, we delete it.

11. Changes

We may update this policy. The "Last updated" date reflects the active version. Material changes are emailed to active customers at least 14 days in advance.

12. Governing law and contact

This policy is governed by Argentine law; disputes go to the courts of the Autonomous City of Buenos Aires without prejudice to consumer rights that cannot be waived. Contact: culshawflow@gmail.com.

Iniciar sesiónTérminos del ServicioEliminación de datosculshawflow@gmail.com