Política de Privacidad

Esta Política de Privacidad describe cómo OCASUS AI, nombre comercial registrado en la República de Panamá, operado por Jean Carlos Santos Chicas (persona natural inscrita en el Registro Único de Contribuyentes), con domicilio en Ciudad de Panamá, Panamá, recopila, utiliza, almacena y protege los datos personales y los datos de los clientes en el contexto de su sitio web público y de su Plataforma SaaS.

Esta política está dividida en dos partes:

• Parte I — Sitio web y formulario de contacto: aplica a visitantes de ocasusai.com.
• Parte II — Plataforma SaaS y aplicación: aplica a clientes que contratan el Servicio y a las integraciones que autorizan.

1. Responsable del tratamiento

OCASUS AI, con domicilio en Ciudad de Panamá, Panamá. Correo de contacto: [email protected].

---

Parte I — Sitio web

2. Datos que recopilamos en el sitio web

Recopilamos los siguientes datos personales cuando interactúas con el sitio:

• Nombre y correo electrónico (formulario de contacto)
• Nombre de empresa y tipo de negocio
• Mensajes enviados a través de nuestros canales
• Datos técnicos: dirección IP, tipo de navegador, páginas visitadas

3. Finalidad del tratamiento

• Responder a consultas y solicitudes de contacto
• Prestar y mejorar nuestros servicios de automatización con IA
• Enviar comunicaciones relacionadas con el servicio contratado
• Cumplir con obligaciones legales

4. Base legal

El tratamiento se realiza con base en el consentimiento del titular, la ejecución de un contrato, y el cumplimiento de obligaciones legales, conforme a la Ley 81 de 26 de marzo de 2019 sobre Protección de Datos Personales de la República de Panamá.

5. Derechos ARCO

Como titular de datos personales, tienes derecho a:

• Acceso: conocer qué datos tenemos sobre ti
• Rectificación: corregir datos inexactos
• Cancelación: solicitar la eliminación de tus datos
• Oposición: oponerte al tratamiento de tus datos

Para ejercer estos derechos, escríbenos a [email protected]. Responderemos en un plazo máximo de 10 días hábiles.

6. Autoridad de protección de datos

La Autoridad Nacional de Transparencia y Acceso a la Información (ANTAI) es el órgano competente en materia de protección de datos personales en Panamá.

7. Retención de datos del sitio

Conservamos tus datos personales únicamente durante el tiempo necesario para cumplir con las finalidades descritas, o según lo requiera la ley. Los datos de contacto se eliminan tras 24 meses de inactividad.

8. Servicios de terceros usados en el sitio

• Cloudflare: CDN, DNS y protección DDoS
• Resend: envío de correos transaccionales
• Cloudflare Turnstile: protección anti-bots

---

Parte II — Plataforma SaaS y aplicación

9. Alcance de esta sección

Esta sección aplica cuando un cliente contrata la Plataforma OCASUS AI y autoriza conexiones con servicios externos como QuickBooks Online, WhatsApp Business, sistemas de facturación electrónica y ERPs.

10. Roles de tratamiento

En el contexto de la Plataforma:

• Cliente: actúa como responsable del tratamiento (data controller) respecto a los datos de sus propios clientes finales, empleados o contactos que se procesen en la Plataforma.
• OCASUS AI: actúa como encargado del tratamiento (data processor) y procesa los datos exclusivamente bajo instrucciones del Cliente.

Esta distribución de roles se formaliza en los Términos del Servicio y, cuando aplique, en un acuerdo de tratamiento de datos (DPA) firmado entre las partes.

11. Datos procesados en la Plataforma

Según la funcionalidad contratada, la Plataforma puede procesar:

• Datos de identificación de la organización del Cliente: razón social, RUC, dirección, contactos.
• Datos de Usuarios Autorizados: nombre, correo, rol, registros de acceso.
• Datos de los clientes finales del Cliente: nombre, correo, teléfono, dirección, historial de conversación, transacciones.
• Datos contables y fiscales: facturas (Bills/Invoices), catálogo de cuentas, proveedores (vendors), clientes (customers), ítems, eventos fiscales DGI, CUFE, montos, fechas.
• Datos técnicos: logs de uso, métricas, IDs de transacción, identificadores de tenant.

12. Conexiones con servicios externos

12.1 Principio general

Cuando el Cliente autoriza una conexión OAuth a un servicio externo, la Plataforma accede únicamente a los datos necesarios para la funcionalidad contratada y dentro del alcance autorizado por el Cliente.

12.2 Integración con Intuit QuickBooks Online

Datos accedidos: catálogo de cuentas (Chart of Accounts), proveedores (Vendors), clientes (Customers), ítems (Items), facturas (Bills/Invoices), información de la compañía (CompanyInfo).

No se accede a: datos de nómina, reportes fiscales personales, datos bancarios, información ajena al alcance del servicio contratado.

Almacenamiento de credenciales: los tokens OAuth (access token y refresh token) se almacenan cifrados con AES-256-GCM en reposo, en una base de datos PostgreSQL aislada por tenant. La clave de cifrado se gestiona como secreto Docker fuera del repositorio.

Revocación: el Cliente puede revocar la autorización en cualquier momento desde la configuración de la Plataforma o directamente desde appcenter.intuit.com. Tras la revocación, los tokens se eliminan permanentemente.

Cumplimiento Intuit: OCASUS AI cumple con los Intuit Developer Terms of Service y la API End User Agreement. OCASUS AI no es propietario, afiliado ni patrocinado por Intuit Inc.

12.3 Integración con WhatsApp Business (Meta)

Datos procesados: mensajes intercambiados entre el cliente final y el agente IA, número de teléfono, nombre del contacto, archivos multimedia adjuntos. Los mensajes se almacenan cifrados en tránsito (TLS 1.3) y en reposo (AES-256). El cumplimiento adicional con la WhatsApp Business Platform se rige por los términos de Meta.

12.4 Otras integraciones

Cualquier integración adicional (ERPs, Google Sheets, Alegra, Factura Fácil, etc.) se rige por los mismos principios: alcance mínimo necesario, almacenamiento cifrado de credenciales, derecho de revocación.

13. Aislamiento entre tenants

La Plataforma implementa aislamiento estricto por client_id en:

• Base de datos (Row-Level Security activo en PostgreSQL)
• Caché y colas (Redis con prefijo por tenant)
• Logs y métricas (etiqueta tenant_id en Loki, Prometheus, Tempo)
• Almacenamiento de documentos

Ningún Cliente puede acceder a datos de otro Cliente, ni siquiera por error.

14. No entrenamiento de modelos

OCASUS AI no utiliza Datos del Cliente para entrenar modelos de inteligencia artificial propios ni de terceros. Las llamadas a proveedores de modelos (Google Vertex AI, OpenAI, Anthropic) se realizan en modo de inferencia bajo acuerdos comerciales que prohíben la retención de datos para entrenamiento.

15. Seguridad

OCASUS AI implementa medidas técnicas y organizativas alineadas con estándares internacionales:

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256)
• Autenticación SSH por llaves criptográficas exclusivamente
• Firewall (UFW) y fail2ban activos
• Aislamiento por contenedores con principio de menor privilegio
• Backups encriptados diarios con prueba de restauración periódica
• Rotación de tokens y credenciales cada 90 días
• Registros de auditoría inmutables

Para más detalle, ver la página de Seguridad.

16. Ubicación de los datos

La infraestructura productiva está alojada en Hostinger KVM en Estados Unidos (Ubuntu 24.04). Los respaldos cifrados se almacenan en Backblaze B2. Las llamadas a proveedores de IA pueden enrutarse a centros de datos en distintas regiones según el proveedor; OCASUS AI selecciona configuraciones que minimicen la transferencia internacional cuando es viable.

17. Transferencias internacionales

Algunos servicios usados (Google Cloud, Cloudflare, Backblaze, Resend, Intuit) implican transferencia de datos a los Estados Unidos u otras jurisdicciones. Estas transferencias se realizan bajo cláusulas contractuales tipo (SCC) o mecanismos equivalentes provistos por los proveedores. El Cliente reconoce y consiente esta transferencia al utilizar la Plataforma.

18. Retención de datos en la Plataforma

Los Datos del Cliente se conservan durante la vigencia del contrato y por un periodo adicional de noventa (90) días tras la terminación, salvo solicitud expresa del Cliente de eliminación inmediata o requerimiento legal de retención mayor. Pasado ese periodo, los datos se eliminan de los sistemas activos. Los respaldos se purgan según la política de rotación de backups (rotación máxima: 180 días).

19. Brechas de seguridad

En caso de brecha que afecte datos personales, OCASUS AI notificará al Cliente y a la ANTAI dentro de los plazos establecidos por la Ley 81 de Panamá, e implementará medidas de mitigación. Los reportes de vulnerabilidades pueden enviarse a [email protected].

20. Derechos del titular

Los titulares de datos personales procesados en la Plataforma pueden ejercer sus derechos ARCO contactando primero al Cliente (responsable del tratamiento) y, subsidiariamente, a OCASUS AI en [email protected].

21. Cambios a esta política

Nos reservamos el derecho de modificar esta política. Cualquier cambio será publicado en esta página con la fecha de actualización. Los cambios sustanciales se notificarán al Cliente con al menos treinta (30) días de anticipación.

22. Contacto

• Asuntos legales y privacidad: [email protected]
• Soporte: [email protected]
• Reporte de seguridad: [email protected]
• Domicilio: Ciudad de Panamá, Panamá