Politica de Privacidad

Ultima actualizacion: abril de 2026

Resumen breve: PumpFlow es un agente IA de ventas para empresas HVAC que cualifica leads por WhatsApp. Recogemos los datos minimos necesarios para operar el servicio, no los vendemos a nadie, y tu tienes control total para acceder, corregir o borrar tus datos en cualquier momento.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos es PumpFlow, con domicilio en Madrid, Spain y NIF registered as autónomo in Spain. Puedes contactarnos en privacy@pumpflow.co.

2. Que datos recogemos

Datos de los clientes (empresas HVAC)

Datos de registro: nombre de empresa, email, contrasena (cifrada)
Informacion de la empresa: telefono, numero de WhatsApp, servicios, zona de cobertura, marcas, informacion de precios, personalidad del asistente
Datos de facturacion: gestionados por Stripe (no almacenamos numeros de tarjeta)
Tokens de Google Calendar (para sincronizar citas), cifrados
Registros de uso del panel (fechas de acceso, acciones)

Datos de los leads (clientes finales de las empresas HVAC)

Numero de telefono de WhatsApp
Nombre (si lo proporcionan en la conversacion)
Contenido de los mensajes enviados al asistente
Informacion de cualificacion: tipo de vivienda, metros cuadrados, sistema de calefaccion actual, ubicacion, fecha de cita
Puntuacion del lead generada por la IA

Datos tecnicos

Direccion IP (solo para seguridad y rate limiting)
User agent del navegador
Registros de errores y excepciones

3. Para que los usamos

Prestar el servicio: procesar mensajes de WhatsApp, cualificar leads, reservar citas, sincronizar con Google Calendar, mostrar el panel
Gestionar tu cuenta: autenticacion, facturacion, soporte
Comunicaciones operativas: emails de bienvenida, confirmaciones, restablecimiento de contrasena, recibos
Mejorar el producto: analisis agregado y anonimizado del uso
Seguridad: prevenir fraude, abuso y accesos no autorizados
Obligaciones legales: facturacion, fiscalidad, respuesta a requerimientos de autoridades

No usamos tus datos ni los de tus leads para entrenar modelos de IA.

4. Base legal para el tratamiento (GDPR)

Ejecucion del contrato (Art. 6.1.b GDPR): para prestar el servicio que has contratado
Consentimiento (Art. 6.1.a GDPR): cuando un lead te escribe por WhatsApp aceptando el inicio de la conversacion
Interes legitimo (Art. 6.1.f GDPR): seguridad, prevencion de fraude, mejora del producto
Obligacion legal (Art. 6.1.c GDPR): facturacion, conservacion contable

5. Con quien compartimos tus datos

Trabajamos con los siguientes proveedores (encargados del tratamiento), todos con acuerdos de proteccion de datos firmados:

Anthropic (Estados Unidos) — modelo de IA Claude para generar respuestas
OpenAI (Estados Unidos) — modelo GPT-4 como fallback de IA
Meta / WhatsApp Business API (Estados Unidos) — enviar y recibir mensajes de WhatsApp
Google (Estados Unidos) — OAuth de Google Calendar para sincronizar citas
Stripe (Estados Unidos / Irlanda) — procesamiento de pagos y gestion de suscripciones
Resend (Estados Unidos) — envio de emails transaccionales
Railway (Estados Unidos) — infraestructura de hosting

No vendemos tus datos a nadie. No usamos los datos de clientes o leads para publicidad. Si utilizamos el Pixel de Meta para medir visitas en nuestras paginas de aterrizaje, pero solo cuando lo aceptas en el banner de cookies — consulta nuestra politica de cookies para mas detalles.

6. Cuanto tiempo conservamos los datos

Cuenta activa: mientras tengas una cuenta con nosotros
Tras cancelar: los datos se eliminan a los 30 dias, salvo obligaciones legales (por ejemplo, facturas: 5 anos por la legislacion fiscal espanola)
Conversaciones de leads: 12 meses por defecto, configurable
Registros tecnicos: 90 dias

7. Transferencias internacionales

Algunos de nuestros proveedores (Anthropic, OpenAI, Meta, Google, Stripe, Resend, Railway) procesan datos en Estados Unidos. Estas transferencias se realizan al amparo de:

Clausulas Contractuales Tipo aprobadas por la Comision Europea
Marco de Proteccion de Datos UE-EE.UU. (cuando aplica)

8. Tus derechos

Bajo el GDPR y la LOPDGDD tienes derecho a:

Acceso: saber que datos tenemos tuyos
Rectificacion: corregir datos inexactos
Supresion: solicitar el borrado de tus datos ("derecho al olvido")
Oposicion: oponerte a ciertos tratamientos
Limitacion: pedir que limitemos el tratamiento
Portabilidad: recibir tus datos en formato estructurado
Retirar consentimiento: en cualquier momento, sin efectos retroactivos

Para ejercer cualquier derecho, escribenos a privacy@pumpflow.co. Responderemos en un plazo maximo de 30 dias.

Tambien puedes presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (aepd.es).

9. Seguridad

Usamos las siguientes medidas de seguridad:

Cifrado TLS en todas las comunicaciones
Contrasenas almacenadas con hash + salt (nunca en texto plano)
Tokens OAuth y credenciales cifradas en reposo
Control de acceso por API key y sesiones
Rate limiting para prevenir abuso
Verificacion HMAC de webhooks entrantes
Backups automaticos de base de datos

10. Cambios en esta politica

Si realizamos cambios importantes, te notificaremos por email con al menos 30 dias de antelacion. La version vigente estara siempre publicada en esta pagina con la fecha de ultima actualizacion.

11. Contacto

Para cualquier duda sobre esta politica, escribe a privacy@pumpflow.co.