Política de tratamiento de datos personales y privacidad
Última actualización: 2026-04-30
1. Identificación del Responsable del tratamiento
Esta plataforma ("Mosend", "Mosend WB", "el Servicio", "nosotros") es operada por:
- Razón social: Moshipp SAS
- NIT: 901675933-1
- Domicilio: Lorica, Córdoba, Colombia
- Representante legal: Jesús Herney Medina Hoyos (CC 1.063.169.834)
- Email general: info@moshipp.com
- Email para tratamiento de datos / Habeas Data: info@moshipp.com
- WhatsApp: +57 350 602 7870
Moshipp SAS está registrada en Colombia y, cuando aplique, en el Registro Nacional de Bases de Datos (RNBD) de la Superintendencia de Industria y Comercio (SIC).
2. Definiciones
- Titular: persona natural cuyos datos personales son objeto de tratamiento.
- Cliente / Usuario: persona o empresa que crea una cuenta en Mosend y conecta su WhatsApp Business.
- Contacto: persona con quien el Cliente se comunica vía WhatsApp a través de Mosend (cliente final del Cliente).
- Responsable: quien decide la finalidad y los medios del tratamiento (Mosend lo es respecto a datos de cuentas del Cliente).
- Encargado: quien realiza el tratamiento por cuenta del Responsable (Mosend lo es respecto a los datos de los Contactos del Cliente).
- Dato sensible: los definidos por Ley 1581 art. 5 (origen racial, salud, datos biométricos, etc).
- Tratamiento: cualquier operación sobre datos personales (recolección, almacenamiento, uso, supresión).
3. Datos personales que recolectamos
3.1 Datos del Cliente / Usuario (somos Responsables)
- Cuenta: nombre, email, teléfono, contraseña (hasheada con Argon2id), idioma, zona horaria, configuración 2FA.
- Organización: nombre comercial, NIT/RUT, país, moneda, dirección de facturación, email de contacto financiero.
- Identidad del operador: rol (owner, admin, agent), historial de logins (IP, user-agent, fecha).
- Pagos: referencias a transacciones de Mercado Pago. No almacenamos números de tarjeta — solo el ID externo del pago.
3.2 Datos de Contactos (somos Encargados por instrucción tuya)
- Identificadores: número de teléfono E.164, nombre de perfil de WhatsApp, idioma del cliente, atributos personalizados que cargues.
- Mensajería: contenido de los mensajes (texto, imagen, video, audio, documentos) intercambiados a través de tus números, plus metadata (timestamps, status de entrega, mensaje al que responde).
- Conversaciones: hilos, asignación a agente, etiquetas, snooze, conteo de no leídos.
- Estado de consentimiento: opt-in / opt-out histórico con fuente y timestamp.
3.3 Datos técnicos y de uso
- Logs del servidor con IP, fecha, ruta, método, status code, user-agent y request id (para diagnóstico).
- Métricas de uso: cantidad de mensajes enviados/recibidos, calidad del número, tier de mensajería.
- Cookies estrictamente necesarias: sesión httpOnly cifrada, token CSRF, preferencia de organización activa.
- No usamos cookies publicitarias ni de tracking de terceros.
3.4 Datos sensibles
Mosend no solicita datos sensibles (salud, biométricos, raciales, religiosos, etc) para operar el Servicio. Si un Contacto envía datos sensibles vía mensaje al Cliente, el Cliente es el único responsable de su gestión, base legal y custodia.
4. Finalidades del tratamiento
4.1 Como Responsable (datos del Cliente)
- Crear, administrar y mantener tu cuenta y la de tu organización.
- Autenticarte y proteger el acceso (login, 2FA, recuperación de contraseña).
- Procesar pagos y emitir documentos contables vía proveedores autorizados.
- Detectar y prevenir fraude, abuso y violaciones a estos términos o a las políticas de Meta.
- Cumplir obligaciones legales (DIAN, requerimientos de autoridades, lucha contra el lavado de activos).
- Comunicarnos contigo sobre el Servicio (alertas operacionales, facturas, cambios contractuales).
- Mejorar el Servicio con métricas agregadas y anónimas.
4.2 Como Encargado (datos de Contactos)
- Enviar y recibir mensajes a través de WhatsApp Business Cloud API por instrucción tuya.
- Almacenar el historial de conversaciones y mensajes para que tú y tus agentes los consulten.
- Registrar opt-in / opt-out de Contactos para cumplir las políticas de WhatsApp.
- Calcular cargos de facturación según el modelo de conversaciones de Meta.
- Generar reportes operativos para que evalúes el desempeño de tus números.
Como Encargado, no usamos los datos de tus Contactos para ningún fin propio: no entrenamos modelos de IA propios o de terceros con tu contenido, no los vendemos, no los analizamos para perfilamiento publicitario.
5. Bases legales del tratamiento
- Consentimiento expreso: al registrarte aceptas el tratamiento descrito en esta Política (Ley 1581 art. 9; GDPR art. 6.1.a).
- Ejecución de contrato: tratamiento necesario para prestar el Servicio que contrataste (GDPR art. 6.1.b).
- Cumplimiento de obligación legal: retención fiscal-contable, requerimientos de autoridades (GDPR art. 6.1.c).
- Interés legítimo: seguridad de la plataforma, prevención de fraude, detección de abuso (GDPR art. 6.1.f).
- Para datos de Contactos como Encargados: nuestra base legal es el contrato con el Cliente. La base legal frente al Contacto debe acreditarla el Cliente (consentimiento del Contacto, ejecución contractual con él, etc).
6. Compartición con terceros (encargados / sub-encargados)
Compartimos datos exclusivamente con los proveedores estrictamente necesarios para operar el Servicio. La lista completa de sub-encargados se mantiene actualizada y notificamos cambios materiales con al menos 30 días de anticipación:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Meta Platforms, Inc. | Mensajería WhatsApp, plantillas, calidad del número, webhooks. | USA / Irlanda |
| Mercado Pago | Procesamiento de pagos y recargas de saldo. | Argentina / Brasil |
| Cloudflare, Inc. | DNS, CDN, tunneling y protección DDoS. | Global (CDN) |
| Proveedor de email transaccional | Envío de emails operacionales (recuperación de contraseña, facturas, alertas). | USA / EU |
| Infraestructura cloud | Cómputo y almacenamiento de la base de datos PostgreSQL y storage S3. | Suramérica / USA |
No vendemos información personal a terceros bajo ninguna circunstancia. No participamos en redes de publicidad comportamental ni intercambio de datos.
7. Transferencia internacional de datos
Algunos de nuestros sub-encargados (Meta, Cloudflare, proveedores de email) están ubicados fuera de Colombia. Las transferencias internacionales se realizan bajo cláusulas contractuales tipo (SCCs cuando aplica para GDPR) o se basan en decisiones de adecuación que la SIC ha emitido. Para clientes con operaciones en la UE, podemos firmar un Data Processing Addendum (DPA) con SCCs incorporadas. Solicítalo a info@moshipp.com.
8. Medidas de seguridad técnicas y organizativas
- Cifrado en tránsito: TLS 1.2+ obligatorio en todas las comunicaciones HTTPS y WSS.
- Cifrado en reposo: tokens de Meta cifrados con AES-256-GCM (clave gestionada en variable de entorno con rotación documentada).
- Hashing: contraseñas con Argon2id (parámetros OWASP); tokens de API con bcrypt (cost ≥ 12).
- Webhooks salientes: firmados con HMAC SHA-256 que el receptor debe validar.
- Webhooks entrantes: validación HMAC SHA-256 obligatoria antes de procesar payloads de Meta.
- Aislamiento multi-tenant: scoping a nivel de base de datos forzado por extensión Prisma; queries que tocan modelos con `organizationId` deben pasar por la capa scoped.
- Control de acceso: RBAC granular (owner, admin, agent, billing) y 2FA opcional con TOTP.
- Rate limiting: protección contra abuso por IP y por usuario.
- Backups: backup diario cifrado de la base de datos con retención de 30 días.
- Logs de auditoría: todas las acciones sensibles (login, cambios de RBAC, creación/borrado de assets) quedan registradas con IP y user-agent.
- Acceso de personal: solo personal autorizado de Moshipp con autenticación 2FA y bajo principio de mínimo privilegio.
- Notificación de incidentes: en caso de violación de seguridad notificamos a los Clientes afectados dentro de las 72 horas siguientes a la detección, conforme al estándar GDPR aplicado por buena práctica.
9. Plazos de conservación
| Tipo de dato | Plazo | Fundamento |
|---|---|---|
| Cuenta y organización | Mientras la cuenta esté activa | Ejecución de contrato |
| Mensajes y conversaciones | Mientras la cuenta esté activa | Instrucción del Cliente (Encargado) |
| Facturas y registros contables | 5 años | Estatuto Tributario / DIAN |
| Logs de auditoría | 12 meses, luego anonimizados | Interés legítimo (seguridad) |
| Logs operativos del servidor | 30 días | Diagnóstico técnico |
| Backups de base de datos | 30 días | Continuidad operativa |
| Datos tras solicitud de borrado | Borrados en ≤ 15 días hábiles, salvo retención obligatoria | Habeas Data art. 8 |
10. Derechos del Titular
Conforme a la Ley 1581 de 2012, el Decreto 1377 de 2013 y, cuando aplique, el GDPR, los Titulares pueden ejercer los siguientes derechos sobre sus datos:
- Acceso: conocer qué datos tenemos sobre ti.
- Rectificación: corregir datos inexactos o incompletos.
- Actualización: mantener datos al día.
- Supresión: solicitar el borrado (ver /borrar-datos).
- Revocación: retirar el consentimiento al tratamiento.
- Portabilidad: recibir tus datos en formato estructurado y legible (JSON / CSV).
- Oposición: oponerte al tratamiento por motivos legítimos.
- Limitación: restringir el tratamiento mientras se atiende una solicitud.
- No ser objeto de decisiones automatizadas: no tomamos decisiones individuales basadas únicamente en perfilamiento automatizado.
- Reclamación: presentar quejas ante la SIC (www.sic.gov.co) o, si te aplica, ante la Autoridad de Protección de Datos de tu país.
10.1 Cómo ejercer tus derechos
- Envía un correo a info@moshipp.com con asunto "Habeas Data — <tipo de solicitud>".
- Identifícate con nombre completo, número de identificación y email registrado en la cuenta.
- Describe la solicitud (qué datos, qué derecho ejerces).
- Adjunta evidencia de tu identidad si la solicitud lo requiere.
Plazos legales: consultas se atienden en máximo 10 días hábiles; reclamos en máximo 15 días hábiles (prorrogables 8 días más con justificación). Te notificamos el estado y resultado por correo.
11. Datos de menores de edad
Mosend no está dirigido a menores de 18 años. No recolectamos conscientemente datos de menores como Clientes. Si un Contacto del Cliente es menor de edad, el Cliente es responsable de obtener autorización de los padres o tutores conforme al art. 7 de la Ley 1581 y a las políticas de WhatsApp. Si tomamos conocimiento de que un Cliente es menor, suspenderemos la cuenta y borraremos los datos.
12. Cookies y tecnologías similares
Mosend usa exclusivamente cookies estrictamente necesarias para el funcionamiento del Servicio:
- Cookie de sesión: mantiene tu inicio de sesión activo (httpOnly, Secure, SameSite=Lax).
- Token CSRF: previene falsificación de peticiones (corta duración).
- Preferencia de organización activa: almacenada en localStorage del navegador.
No usamos cookies publicitarias, de marketing, ni pixeles de terceros (Facebook Pixel, Google Analytics, etc) en el dashboard. La landing pública (mosend.dev) puede incluir herramientas analíticas anonimizadas; cuando esto ocurra se documentará aquí.
13. Notificación de incidentes de seguridad
En caso de violación de seguridad que pueda afectar tus datos personales, Mosend:
- Notificará a los Clientes afectados por correo dentro de las 72 horas siguientes a la detección.
- Reportará a la SIC los incidentes que correspondan según la circular externa vigente.
- Documentará la naturaleza del incidente, los datos comprometidos, las medidas tomadas y las recomendaciones para Titulares.
- Conservará registros de cada incidente durante al menos 5 años.
14. Decisiones automatizadas y perfilamiento
Mosend no toma decisiones individuales basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos sobre los Titulares. Algoritmos del Servicio (detección de spam saliente, alertas de calidad de número) generan recomendaciones que pueden ser revisadas por personal humano antes de aplicar acciones graves como suspensión.
15. Marketing y comunicaciones comerciales
Te enviaremos comunicaciones operativas (alertas, facturas, cambios contractuales) por correo aunque no tengas marketing activado: son inherentes al Servicio. Las comunicaciones comerciales (newsletter, novedades de producto) requieren tu consentimiento explícito y puedes darte de baja en cualquier momento desde el footer del email o vía Configuración → Perfil.
16. Política específica para Contactos del Cliente
Si eres un Contacto que recibió un mensaje de WhatsApp originado a través de Mosend:
- El Cliente (la empresa que te escribió) es el responsable principal del tratamiento de tus datos.
- Mosend actúa como Encargado y solo procesa tu mensaje para entregarlo al Cliente.
- Para darte de baja: responde "STOP", "BAJA", "CANCELAR" al chat. Mosend marca tu contacto como
OPTED_OUTautomáticamente y bloquea futuros envíos desde el Cliente. - Para ejercer derechos sobre tus datos contacta primero al Cliente. Si no obtienes respuesta puedes escribirnos a info@moshipp.com y te ayudaremos a redirigir la solicitud.
17. Acuerdos con Meta y políticas aplicables
Como Tech Provider de Meta cumplimos las Plataform Terms, el Business Messaging Policy de WhatsApp y el Developer Policy de Meta. Cualquier conflicto entre esta Política y las políticas de Meta para los datos que se procesan vía Cloud API se resuelve en favor de las políticas de Meta.
18. Cambios a esta Política
Podemos actualizar esta Política. Cambios materiales (alteración de finalidades, nuevos sub-encargados, recolección de nuevas categorías de datos) los notificamos con al menos 30 días de anticipación por correo a la dirección registrada en tu cuenta y/o mediante aviso destacado en el dashboard. La fecha de "Última actualización" arriba refleja la versión vigente.
19. Contacto y reclamaciones
Para cualquier asunto relacionado con esta Política o ejercicio de derechos:
- Email: info@moshipp.com
- WhatsApp: +57 350 602 7870
- Asunto sugerido: "Habeas Data — <tipo de solicitud>"
- Plazo de respuesta: 10 días hábiles para consultas, 15 días hábiles para reclamos.
- Autoridad de control en Colombia: Superintendencia de Industria y Comercio — Dirección de Investigación de Protección de Datos Personales (www.sic.gov.co).