1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es:
- Razón social: Phantomsoft SAS
- NIT: 901.857.909
- Dirección: Calle 13 A Sur # 53 B - 182, Medellín, Colombia
- Correo de atención al titular: contacto@phantomsoft.io
- Nombre comercial del producto: PhantomApp
En esta política nos referimos a Phantomsoft SAS indistintamente como “PhantomApp”, “nosotros” o “la empresa”. A quien lee y usa nuestros servicios lo llamamos “el titular”, “vos” o “el usuario”, según el contexto.
2. Datos que recolectamos
Recolectamos distintas categorías de datos dependiendo de cómo usás PhantomApp. Nunca pedimos más información de la necesaria para prestar el servicio.
2.1. Si sos un comerciante (dueño o colaborador de un negocio)
- Identificación: nombre completo, correo, rol asignado.
- Acceso: identificador técnico de Firebase Authentication (no guardamos tu contraseña; la gestiona Google Firebase de forma cifrada).
- Datos fiscales del negocio: razón social, NIT, dirección, teléfono, correo, logotipo, datos de la sucursal.
- Operación: ventas, inventario, clientes atendidos, colaboradores, comisiones, configuración del POS, registros de auditoría de acciones (incluye dirección IP desde donde trabajás).
- Integración WhatsApp Business: identificadores de tu cuenta de Meta (WABA ID, Phone Number ID, Business ID), número visible, tokens de acceso —estos últimos se almacenan cifrados antes de persistirse en la base de datos.
- Pagos del plan: datos del método de pago los procesa directamente la pasarela (Wompi). No almacenamos números completos de tarjeta en nuestros servidores.
- Datos de suscripción y comprobantes: cuando pagás por fuera de la pasarela (transferencia, Nequi u otros medios), registramos el monto, la referencia bancaria, la fecha, notas internas y opcionalmente un enlace al comprobante que nos envías por WhatsApp. Estos datos se guardan para auditoría contable y contractual, y se comparten únicamente con nuestro equipo de facturación y soporte.
- Consentimiento de aceptación: al momento del registro guardamos la fecha y hora de aceptación de estos Términos, la dirección IP desde la que se aceptaron y la versión vigente de cada documento legal. Estos datos se conservan como prueba del consentimiento otorgado por el titular (Ley 1581 art. 9).
2.2. Si sos un cliente final de un negocio que usa PhantomApp
- Identificación: nombre, tipo y número de documento, tipo de persona (natural o jurídica).
- Contacto: teléfono y correo electrónico.
- Dirección y ubicación: dirección de envío, barrio, ciudad, indicaciones adicionales y coordenadas (latitud/longitud) cuando pedís domicilio.
- Historial de compras: productos, cantidades, precios, medios de pago usados, propinas, descuentos, fechas.
- Datos del vehículo (para lavaderos y parqueaderos): placa, marca, modelo, referencia.
- Mensajes y archivos enviados por WhatsApp: el contenido de las conversaciones con el negocio, incluyendo imágenes, audios y otros adjuntos.
- Documentos de soporte: archivos que el negocio adjunta a tu perfil (por ejemplo copia de cédula para cuenta corporativa).
2.3. Datos técnicos automáticos
- Información de conexión (dirección IP, tipo de navegador, sistema operativo) cuando entrás al sitio o al SaaS.
- Cookies de sesión para mantener tu inicio de sesión activo.
- Métricas de uso agregadas para mejorar el producto (solo si PostHog está activo; hoy está deshabilitado por defecto —ver la Política de Cookies).
3. Finalidades y base legal
Tratamos tus datos únicamente para las siguientes finalidades, con la base legal correspondiente (Ley 1581 de 2012, arts. 9 y 10):
- Prestación del servicio: operar el POS, gestionar inventario, emitir facturas, enviar mensajes por WhatsApp, procesar pagos. Base legal: ejecución del contrato de servicio.
- Facturación electrónica: transmitir a la DIAN la información tributaria. Base legal: obligación legal (Decreto 358 de 2020 y normas DIAN vigentes).
- Atención al cliente y soporte técnico: responder tus consultas y resolver incidencias. Base legal: ejecución del contrato e interés legítimo.
- Comunicaciones transaccionales: notificar estado de pedidos, recibos, cambios contractuales. Base legal: ejecución del contrato.
- Mercadeo y comunicaciones comerciales de PhantomApp: enviarte novedades o promociones del producto. Base legal: autorización expresa (podés retirarla en cualquier momento sin afectar el contrato).
- Mejora del producto: métricas agregadas, diagnóstico de errores, usabilidad. Base legal: interés legítimo, con métricas anonimizadas cuando sea posible.
- Cumplimiento y defensa legal: atender requerimientos de autoridades y defender nuestros derechos. Base legal: obligación legal o interés legítimo.
4. Con quién compartimos datos
No vendemos, alquilamos ni cedemos tus datos a terceros con fines comerciales. Solo los compartimos con proveedores técnicos (“encargados del tratamiento”) que nos ayudan a prestar el servicio. Cada uno procesa datos bajo contrato y solo para las finalidades autorizadas.
| Proveedor | Para qué lo usamos | País |
|---|---|---|
| Microsoft Azure | Hosting de servidores y bases de datos (SQL, contenedores, Redis, Key Vault). | Estados Unidos |
| Meta Platforms (WhatsApp Cloud API) | Enviar y recibir mensajes de WhatsApp Business en nombre del comerciante. | Estados Unidos |
| Google Firebase | Autenticación de usuarios (Firebase Auth). Google gestiona tu contraseña de forma cifrada; PhantomApp no la ve. | Estados Unidos |
| Google Maps | Geocodificación de direcciones para domicilios (convertir texto a coordenadas). | Estados Unidos |
| Anthropic (Claude) | Respuestas automáticas del asistente de negocio y del agente de WhatsApp. Solo se envía el texto necesario para generar la respuesta. | Estados Unidos |
| OpenAI | Generación de embeddings (representaciones numéricas) de tu catálogo para búsquedas semánticas. | Estados Unidos |
| Supabase | Almacenamiento vectorial (embeddings) para búsqueda semántica del catálogo. | Estados Unidos |
| Wompi | Pasarela de pagos del plan de PhantomApp y de pedidos WhatsApp del comerciante. Certificación PCI DSS. | Colombia |
| Phantom FacturadorApi | Servicio propio de Phantomsoft para emisión de facturas electrónicas ante la DIAN. | Colombia |
| PrinterCloud | Enviar comandas e imprimir tirillas en impresoras físicas del comerciante. | Estados Unidos |
| Google reCAPTCHA | Protección contra bots en los formularios públicos. | Estados Unidos |
| OpenStreetMap (Nominatim) | Servicio alternativo de geocodificación. | Alemania / internacional |
| PostHog | Analítica de producto (opcional, hoy deshabilitada por defecto). | Estados Unidos |
También podemos entregar datos a autoridades cuando exista obligación legal (por ejemplo, requerimientos judiciales, DIAN, SIC).
5. Transferencias internacionales
Varios de nuestros proveedores operan desde Estados Unidos. Al aceptar esta política autorizás la transferencia internacional de tus datos a esos países, bajo las siguientes garantías:
- Contratos de encargo del tratamiento o Data Processing Addendums firmados con cada proveedor, con cláusulas equivalentes a los Estándares Contractuales aceptados internacionalmente.
- Cifrado de los datos en tránsito mediante TLS 1.2 o superior.
- Cifrado aplicativo adicional para secretos críticos (por ejemplo tokens de Meta, con AES-256-GCM).
- Principio de minimización: solo transferimos los datos estrictamente necesarios para cada finalidad.
Si no estás de acuerdo con estas transferencias, podés optar por no usar las funciones que las requieren (por ejemplo: WhatsApp Business, asistente IA) sin afectar el resto del servicio.
6. Tiempo de conservación
Conservamos tus datos solo mientras sean necesarios para cumplir las finalidades descritas, o mientras una obligación legal nos exija guardarlos. Como referencia:
- Datos tributarios (facturas, documentos soporte): mínimo 5 años desde el último movimiento, por obligación del Estatuto Tributario colombiano.
- Cuenta del comerciante: mientras esté activa. Si cancelás, conservamos lo tributario según el punto anterior y borramos o anonimizamos el resto en un plazo máximo de 12 meses.
- Clientes finales registrados por un comerciante: mientras el comerciante mantenga activa la relación comercial.
- Mensajes de WhatsApp: se conservan mientras la cuenta del comerciante esté activa. Parte del historial puede retenerse por obligaciones legales o auditoría.
- Registros de auditoría y seguridad: hasta 5 años por interés legítimo y obligación legal.
- Registros de pagos y auditoría de suscripción: mínimo 5 años según el Estatuto Tributario y por interés legítimo de conciliación contable.
- Consentimiento de aceptación de Términos y Políticas: se conservan durante toda la vigencia de la cuenta y hasta 5 años adicionales como prueba del consentimiento otorgado (Ley 1581 art. 9).
- Tokens de acceso a Meta: hasta que se desconecte la cuenta o caduquen.
Tu solicitud de supresión tiene prioridad sobre estos plazos, salvo cuando tengamos un deber legal de conservarlos.
7. Tus derechos
Como titular de datos personales en Colombia (Ley 1581 de 2012, art. 8), tenés los siguientes derechos:
- Conocer qué datos tenemos y para qué los usamos.
- Actualizar y corregir datos parciales, inexactos o fraccionados.
- Solicitar prueba de la autorización salvo en los casos en que la ley no la exige.
- Ser informado sobre el uso que damos a tus datos cuando lo solicités.
- Presentar quejas ante la Superintendencia de Industria y Comercio (SIC) cuando consideres que se vulneran tus derechos, una vez agotado el trámite ante nosotros.
- Revocar la autorización cuando el tratamiento no sea legal o contractualmente obligatorio.
- Solicitar la supresión de tus datos en las mismas condiciones.
- Acceder gratuitamente a tus datos (al menos una vez por mes calendario).
8. Cómo ejercer tus derechos
Podés ejercer tus derechos escribiendo a:
- Correo: contacto@phantomsoft.io
En la solicitud, incluí:
- Tu nombre completo y documento de identidad.
- Descripción del derecho que querés ejercer (acceso, corrección, supresión, etc.).
- Datos de contacto para responderte.
- Una copia de tu documento de identidad o poder si actuás por terceros.
Plazos de respuesta (Ley 1581, arts. 14 y 15):
- Consultas (acceso e información): 10 días hábiles, prorrogables por 5 más.
- Reclamos (corrección, actualización, supresión, revocación): 15 días hábiles, prorrogables por 8 más.
Para solicitudes específicas de borrado de tu cuenta o de datos conversacionales, revisá las Instrucciones de Borrado de Datos.
9. WhatsApp Business en PhantomApp
PhantomApp integra la plataforma WhatsApp Business de Meta para que los comercios gestionen pedidos, catálogos y atención al cliente por WhatsApp. Cuando usás estas funciones (ya sea como comerciante o como cliente final):
- Los mensajes, archivos multimedia, números de teléfono e identificadores de la cuenta de WhatsApp Business pasan por la infraestructura de Meta Platforms, Inc. en Estados Unidos.
- El uso de esa plataforma se rige además por la WhatsApp Business Messaging Policy y la WhatsApp Business Solution Terms.
- Los comercios solo pueden enviarte mensajes después de que vos inicies la conversación o aceptes explícitamente recibirlos (opt-in). Cuando ejercés tu opt-out por WhatsApp, tu solicitud queda registrada y el comercio deja de contactarte por ese canal. Si querés darte de baja también de otros canales (email, SMS), escribinos a contacto@phantomsoft.io.
- Podés darte de baja en cualquier momento escribiendo “BAJA”, “STOP” o “CANCELAR” al número de WhatsApp Business del comerciante, o pidiéndolo por el canal de contacto de este documento.
- PhantomApp registra la fecha y hora en que diste tu consentimiento para conversar por WhatsApp, para poder demostrar la base legal del tratamiento.
10. Inteligencia Artificial
PhantomApp usa modelos de IA (Anthropic Claude y OpenAI) para dos cosas:
- Asistente de negocio embebido en el POS que responde preguntas sobre tus ventas, reportes y configuración. Solo recibe el texto de tu consulta y los datos agregados necesarios para responderla.
- Agente conversacional de WhatsApp que atiende pedidos y preguntas del cliente final, siguiendo las instrucciones del comerciante. Recibe el texto de los mensajes del canal y el catálogo del comercio.
No usamos los contenidos que envías para entrenar modelos de terceros. Los proveedores de IA actúan como encargados del tratamiento bajo contrato y no conservan la información más allá del tiempo necesario para generar la respuesta.
11. Menores de edad
PhantomApp está dirigido a mayores de edad (18 años en adelante) que actúen por sí mismos o en representación de una empresa. No está diseñado para ser usado por menores sin autorización de sus padres o tutores.
Si identificamos datos de un menor recolectados sin autorización de quien ejerza la patria potestad, procederemos a su supresión. Reportá cualquier situación así a contacto@phantomsoft.io.
12. Seguridad de la información
Aplicamos medidas administrativas, técnicas y físicas razonables para proteger tus datos:
- Conexiones cifradas con TLS 1.2 o superior entre tu dispositivo y nuestros servidores, y entre los servidores y cada sub-procesador.
- Tokens de acceso a la API de WhatsApp cifrados antes de almacenarse mediante envelope encryption con claves rotadas periódicamente.
- Autenticación delegada a Firebase Authentication (contraseñas nunca son almacenadas por PhantomApp).
- Controles de acceso basados en roles multi-tenant que aíslan los datos de cada comerciante.
- Registros de auditoría y monitoreo continuo de infraestructura.
- Infraestructura gestionada por Microsoft Azure, con certificaciones ISO 27001, SOC 2 Type II, entre otras.
Ningún sistema es 100% invulnerable. Si detectamos un incidente de seguridad que afecte tus datos, te notificaremos sin demora injustificada, en los términos que exija la ley.
14. Cambios y vigencia
Esta política puede actualizarse. Cuando los cambios sean significativos (por ejemplo, nuevas finalidades de tratamiento o un nuevo sub-procesador), te avisaremos con al menos 15 días de anticipación por correo o por un banner visible dentro del producto, para que puedas revisar y —si no estás de acuerdo— ejercer tu derecho de revocación o supresión.
La versión y fecha vigente aparecen en la parte superior de este documento. Podés solicitar a contacto@phantomsoft.io el historial de versiones anteriores.