Política de Privacidad y Términos de Servicio B2B

1. Roles Legales y Responsabilidad de Datos

Krexo.ai provee infraestructura técnica de orquestación de agentes de IA.

• El Cliente (Usted): Actúa como el Responsable del Tratamiento (Data Controller). Es su obligación legal indelegable obtener el consentimiento previo y explícito de sus usuarios finales (leads, pacientes, clientes) para ser contactados vía WhatsApp y para que sus datos sean procesados por sistemas de Inteligencia Artificial.
• Krexo.ai: Actúa estrictamente como Encargado del Tratamiento (Data Processor). Proveemos la tecnología; no somos dueños de sus leads ni de su base de datos comercial.

2. Exención de Responsabilidad por Inteligencia Artificial ("Alucinaciones")

Nuestros agentes autónomos operan mediante Modelos de Lenguaje de Gran Escala (LLMs) de terceros (Google Gemini, Groq). Al utilizar nuestros servicios, el Cliente comprende de forma irrevocable que la IA es de naturaleza probabilística, no determinista.

• Riesgo Comercial: Krexo.ai NO se hace responsable legal, civil ni financieramente por "alucinaciones" de la IA, tales como promesas de descuentos inexistentes, precios incorrectos, respuestas fuera de contexto, o agendamientos erróneos. La auditoría de los logs y el control del agente es responsabilidad exclusiva del Cliente.
• Privacidad de Modelos: Garantizamos que los datos de sus clientes y el contenido de los chats NO son utilizados para entrenar los modelos públicos fundacionales de nuestros proveedores de IA.

3. Disponibilidad de Terceros y Bloqueos (SLA Externo)

Krexo.ai orquesta la "Trinidad del Valor" (Comunicación, Logística, Transacción) apoyándose en plataformas globales. No asumimos responsabilidad por caídas de servicio, lucro cesante o cambios unilaterales en las políticas de terceros:

• Meta (WhatsApp Cloud API): Si Meta bloquea, suspende o banea el número telefónico del Cliente por incumplimiento de sus Políticas de Comercio y Mensajería (ej. SPAM, industrias prohibidas), Krexo.ai no emitirá reembolsos de la suscripción mensual/anual ni del Setup Fee.
• Google (Calendar API): ver sección dedicada 3.1 (alcance OAuth, almacenamiento cifrado y eliminación).
• Mercado Pago API: Krexo.ai NO almacena, retiene ni procesa datos de tarjetas de crédito o credenciales bancarias. Toda transacción financiera se ejecuta íntegramente en los servidores cifrados de Mercado Libre S.R.L.

3.1 Google Calendar (OAuth) — datos, cifrado y eliminación

Cuando el Cliente conecta Google Calendar desde el dashboard de Krexo, autoriza mediante OAuth 2.0 los siguientes permisos de la API de Google Calendar:

• Lectura: consultar disponibilidad (eventos ocupados/libres) en las agendas seleccionadas para ofrecer turnos reales al usuario final.
• Escritura: crear y actualizar eventos de turnos confirmados en nombre del negocio del Cliente.
• Eliminación: borrar o cancelar eventos creados por Krexo cuando el turno se cancela desde el dashboard o flujos automatizados autorizados por el Cliente.

Qué no accedemos: Gmail, Drive, Contactos personales ni otros productos de Google fuera del alcance del scope calendar y el email de la cuenta conectada (identificación de la cuenta OAuth).

Almacenamiento: los tokens de acceso y actualización (refresh) se guardan en PostgreSQL (Supabase), tabla tenant_google_calendar_accounts / integraciones legacy, cifrados en reposo con AES-GCM 256 (clave KREXO_ENCRYPTION_KEY gestionada por el operador de la plataforma). Los metadatos de eventos necesarios para reservas pueden persistirse en tablas de bookings del tenant, siempre aisladas por tenant_id (Row Level Security).

Eliminación y revocación: el Cliente puede (a) desconectar Google desde Ajustes → Google Calendar en el dashboard, (b) revocar el acceso en myaccount.google.com/permissions, o (c) solicitar borrado completo según la sección 6 y Eliminación de datos. Tras la desconexión, dejamos de llamar a la API de Calendar y los tokens quedan invalidados en nuestra base.

URL pública de esta política: https://legal.krexo.ai/privacy (mismo contenido que /privacy en el sitio legal).

4. Privacidad en "Coexistencia" de WhatsApp

El asistente de IA puede escalar conversaciones al equipo de supervisión del Cliente. Los usuarios finales pueden solicitar atención humana con lenguaje natural o darse de baja escribiendo STOP o BAJA; en ese caso el sistema deja de enviar mensajes automáticos a ese número.

Si el Cliente utiliza un número telefónico mixto (App de WhatsApp Business física + Cloud API en simultáneo), Krexo.ai implementa Filtros de Eco y un Nodo de Privacidad que intenta detectar intenciones personales (familia, amigos) para poner a la IA en "Modo Silencio". Dado que este filtro semántico es de mejor esfuerzo (best-effort), Krexo.ai se exime de total responsabilidad si la IA procesa o responde accidentalmente a un contacto personal o privado del titular de la línea.

5. Aislamiento Técnico Multi-Tenant (Zero Data Leak)

La plataforma garantiza el aislamiento criptográfico de los datos mediante Row Level Security (RLS) en nuestra base de datos (PostgreSQL/Supabase). Los historiales de chat (memoria de sesión por conversación y tenant), los documentos de la Base de Conocimiento (RAG) y las métricas del "Inquilino A" son estructural y matemáticamente invisibles para el "Inquilino B".

6. Retención de Datos y Cancelaciones

Retenemos el historial conversacional (AgentState) para dotar a la IA de memoria a largo plazo. Si el Cliente cancela su suscripción automática o el cobro recurrente falla, los datos entrarán en un período de retención pasiva de 30 días, tras lo cual serán eliminados permanentemente de nuestra infraestructura (Derecho al Olvido). Bajo el modelo Zero-Friction, no existen reembolsos prorrateados por meses parciales utilizados.

7. Derechos ARCO y Jurisdicción

El titular de los datos personales tiene la facultad de ejercer el derecho de acceso a los mismos en forma gratuita a intervalos no inferiores a seis meses. La Agencia de Acceso a la Información Pública (AAIP) tiene la atribución de atender las denuncias y reclamos que se interpongan con relación al incumplimiento de las normas sobre protección de datos personales.

Para ejercer sus derechos, contáctenos en [email protected]. Cualquier controversia se someterá a la jurisdicción exclusiva de los Tribunales Ordinarios de la Ciudad Autónoma de Buenos Aires.