Zelly logoZelly
Registrarse

Política de Privacidad

Versión 3 — 12 de junio de 2026, en vigor desde esa fecha (suscriptores existentes: treinta días después de la notificación)

1. Introducción y Responsable del Tratamiento

Zelly Sàrl, con domicilio social en Lausana (Suiza), ofrece un servicio de asistente personal basado en la inteligencia artificial, prestado a través de plataformas de mensajería. La presente política describe los datos personales que tratamos, por qué, con qué proveedores y cuáles son tus derechos.

Responsable del tratamiento

Zelly Sàrl es responsable del tratamiento de tus datos. Datos de contacto completos: véase el Aviso legal. Contacto: social@zellyapp.me.

Representante en la Unión Europea

Para los usuarios residentes en la UE/EEE, nuestro representante en el sentido del art. 27 del RGPD es: [REPRESENTANTE UE — pendiente de designación antes del lanzamiento comercial en la UE].

Estatus técnico (Privacy by Design)

De conformidad con el principio de protección de datos desde el diseño, cada asistente se ejecuta en un entorno aislado dotado de un volumen persistente propio del Cliente, cuyo contenido no es consultado, extraído ni explotado por la Sociedad. Los tratamientos descritos a continuación (copias de seguridad, memoria a largo plazo, notificaciones) se realizan de forma automatizada, sin consulta humana de los contenidos.

2. Datos Tratados

Limitamos la recogida a los datos necesarios para el Servicio:

  • Datos de cuenta: dirección de correo electrónico e identificadores técnicos (a través de nuestro proveedor de autenticación Supabase), preferencias de idioma y de notificación.
  • Datos de facturación: información de pago e historial de transacciones gestionados por Stripe. Zelly Sàrl no almacena ningún dato bancario.
  • Datos de Telegram: el identificador numérico de Telegram del Cliente (a fin de reservar el asistente a su único propietario), el identificador y el nombre de usuario del bot de Telegram asociado y, cuando el Cliente utiliza nuestra mini aplicación de Telegram, los datos de inicialización transmitidos por Telegram (identificador de usuario, idioma), así como tokens de vinculación temporales de un solo uso.
  • Datos de infraestructura: registros de sistema relativos al despliegue, estado del entorno (healthcheck) y metadatos de consumo de recursos (volúmenes de uso, sin contenido).
  • Datos de integraciones (Apps): cuando activas una App (por ejemplo Gmail), conservamos el identificador opaco de la conexión proporcionado por nuestro orquestador de integraciones, el estado de la conexión (pendiente, activa, expirada, revocada) y las marcas de tiempo asociadas, así como un registro de auditoría de cada acción activada por tu asistente: nombre de la App, nombre de la acción, estado, latencia y marca de tiempo. El contenido de las acciones (texto de los correos electrónicos, eventos de calendario, etc.) jamás se registra. Cuando una App requiere una clave de acceso personal (clave API), esta se transmite directamente al orquestador y no es almacenada por Zelly Sàrl.
  • Notificaciones de apps conectadas: si activas las notificaciones para una app conectada (por ejemplo, recibir un aviso de un nuevo correo electrónico o de un comentario), conservamos tu elección de activación y, con fines de deduplicación, los identificadores técnicos de los eventos ya notificados (sin contenido). El contenido de la notificación transita hacia Telegram sin ser almacenado por Zelly Sàrl.
  • Memoria a largo plazo: cuando está activada, informaciones duraderas extraídas de tus conversaciones (preferencias, contexto, hábitos) se conservan en una base de memoria dedicada a tu asistente, aislada por cuenta, cifrada en reposo y alojada en nuestra infraestructura (Fly.io). Véase la sección 3.
  • Copias de seguridad de la memoria: copias de seguridad cifradas en reposo del espacio de trabajo de tu asistente (archivos de memoria y de configuración) se realizan periódicamente y se conservan durante un máximo de noventa (90) días, con fines de restauración.

Nota sobre los contenidos de conversación: tus conversaciones y archivos residen en el entorno dedicado de tu asistente. Zelly Sàrl no los consulta, no los extrae y no los explota para fines propios; jamás son utilizados para entrenar modelos de inteligencia artificial. Para generar las respuestas, los mensajes transitan por las interfaces de los proveedores de modelos de IA (sección 5); a fin de reducir los costes y la latencia, una parte del contexto de conversación puede ser temporalmente almacenada en caché por el proveedor del modelo (Google) durante un periodo del orden de diez (10) minutos, y después eliminada automáticamente.

3. Memoria a Largo Plazo

La memoria a largo plazo permite a tu asistente recordar informaciones duraderas que le confías, más allá de la conversación en curso. Funcionamiento:

  • elementos fácticos duraderos se extraen automáticamente de tus conversaciones y se conservan en una base de memoria dedicada a tu asistente (aislamiento por cuenta, cifrado en reposo, alojamiento en nuestra infraestructura);
  • estos elementos pueden incluir, según lo que confíes a tu asistente, informaciones pertenecientes a categorías sensibles (por ejemplo, informaciones de salud o de convicciones). Por ello, para los usuarios residentes en la UE/EEE, la activación de la memoria a largo plazo se basa en tu consentimiento explícito, libremente revocable en cualquier momento;
  • puedes solicitar en cualquier momento la desactivación de la memoria a largo plazo y el borrado de los recuerdos de tu asistente (a través de tu asistente o por correo electrónico a nuestro contacto);
  • la base de memoria se elimina definitivamente al suprimirse la cuenta.

4. Finalidades y Bases Jurídicas

Tus datos se tratan para:

  • La ejecución contractual (base: contrato — art. 6, apdo. 1, letra b del RGPD para los usuarios de la UE/EEE): aprovisionamiento y mantenimiento del entorno de tu asistente, facturación, autenticación, respuestas del asistente, ejecución de las Acciones en tus servicios conectados siguiendo tu instrucción, notificaciones que hayas activado.
  • El mantenimiento y la seguridad (base: interés legítimo — art. 6, apdo. 1, letra f) del RGPD): supervisión técnica (healthcheck), reinicio automático de un entorno íntegro a partir del volumen persistente en caso de anomalía, copias de seguridad, registro de auditoría de las Apps, prevención de abusos. Zelly Sàrl no consulta activamente los contenidos; cualquier eventual acceso técnico del proveedor de alojamiento se rige por su propia política de privacidad.
  • La memoria a largo plazo (base para los usuarios de la UE/EEE: consentimiento explícito — art. 6, apdo. 1, letra a) y art. 9, apdo. 2, letra a del RGPD): personalización duradera de tu asistente, tal como se describe en la sección 3.
  • La gestión comercial (base: contrato y obligaciones legales): facturación, contabilidad, soporte al cliente relativo al acceso al servicio, comunicaciones transaccionales.

No vendemos tus datos ni los utilizamos con fines publicitarios. Ninguna decisión que produzca efectos jurídicos respecto a ti se adopta de manera exclusivamente automatizada.

5. Encargados del Tratamiento y Transferencias Internacionales

El Servicio se apoya en los siguientes proveedores. Los países de destino de los datos se indican para cada uno de ellos:

  • Infraestructura & alojamiento:Fly.io Inc. (EE. UU. — entornos de los asistentes, memoria a largo plazo; regiones de ejecución principalmente en Europa), Supabase Inc. (EE. UU./UE — base de datos, autenticación, almacenamiento de las copias de seguridad), Vercel Inc. (EE. UU. — aplicación web y proxy técnico).
  • Pagos:Stripe, Inc. (EE. UU.).
  • Modelos de inteligencia artificial:Google LLC (EE. UU.) y Anthropic PBC (EE. UU.) — tratamiento de los mensajes para generar las respuestas del asistente, incluido el almacenamiento temporal en caché descrito en la sección 2.
  • Correos electrónicos transaccionales:Resend, Inc. (EE. UU.).
  • Orquestación de las Apps:Sampark Inc. (Composio, EE. UU.) — puente de autenticación entre tu asistente y los servicios de terceros que conectas.
  • Canales de comunicación:Telegram FZ-LLC (Emiratos Árabes Unidos); WhatsApp/Meta Platforms Inc. (EE. UU.) previsto en una futura evolución del Servicio.

Garantías de transferencia

Los Estados Unidos figuran en el anexo 1 de la ordenanza suiza sobre protección de datos (OPDo) como país que ofrece un nivel de protección adecuado cuando la entidad receptora está certificada conforme al Swiss-U.S. Data Privacy Framework (DPF). Están actualmente certificados en el marco del Swiss-U.S. DPF (y de su equivalente para la UE): Stripe, Google, Vercel y Fly.io. Para los proveedores estadounidenses no certificados en el componente suizo del DPF (Anthropic, Supabase, Resend, Sampark/Composio), así como a título de garantía complementaria para el conjunto de los proveedores, las transferencias están reguladas por las Cláusulas Contractuales Tipo (CCT/SCC) reconocidas por el Comisionado federal suizo de protección de datos y transparencia (PFPDT) y por la Comisión Europea, previstas en los respectivos contratos de encargo de tratamiento. Las transferencias hacia Telegram FZ-LLC (Emiratos Árabes Unidos, país sin decisión de adecuación) son necesarias para la ejecución del contrato: la prestación del asistente a través de Telegram constituye el objeto mismo del Servicio (art. 17, apdo. 1, letra a de la ley federal suiza de protección de datos (LPD); art. 49, apdo. 1, letra b del RGPD).

Subencargados

Cada uno de estos proveedores recurre a su vez a encargados técnicos (por ejemplo, proveedores cloud subyacentes). La lista de subencargados de Sampark/Composio puede consultarse en su portal de confianza trust.composio.dev. Al activar una App, el Cliente acepta esta cadena de encargados del tratamiento.

6. Servicios de Terceros

El Cliente interactúa directamente con servicios de terceros (modelos de IA y mensajería), sujetos a sus propias políticas de privacidad (Google, Anthropic, Telegram, Meta). Zelly Sàrl no es responsable de sus prácticas de tratamiento propias.

Apps (integraciones de terceros)

Cuando el Cliente activa una App (por ejemplo Gmail), autoriza expresamente, a través del mecanismo de autenticación del proveedor correspondiente, a su asistente a actuar sobre dicho servicio en su nombre. El contenido accesible a través de esta autorización (correos electrónicos, eventos, archivos, etc.) permanece alojado en el proveedor tercero; Zelly Sàrl no lo almacena ni lo copia. El Cliente reconoce que:

  • garantiza activar una App únicamente para cuentas que le pertenecen o para las cuales dispone de una autorización válida;
  • las Acciones ejecutadas por su asistente en sus servicios conectados se consideran realizadas por el propio Cliente y comprometen su propia responsabilidad frente al proveedor tercero y los destinatarios;
  • el proveedor tercero puede en cualquier momento suspender, restringir o revocar el acceso; Zelly Sàrl no podrá ser considerada responsable de tal decisión.

El Cliente puede revocar una App en cualquier momento desde la página Apps de su cuenta. La revocación se propaga al proveedor en un plazo máximo de veinticuatro (24) horas mediante nuestra tarea de verificación diaria.

7. Plazos de Conservación

  • Cuenta activa: los datos de cuenta y de facturación se conservan durante toda la duración del contrato.
  • Puesta en suspensión (30 días): en caso de resolución o de impago, el entorno del asistente (incluido el volumen persistente y la memoria a largo plazo) y los datos de cuenta asociados se conservan durante treinta (30) días, y después se eliminan de manera irreversible.
  • Apps activas: los registros de conexión (identificador opaco, estado, marcas de tiempo) se conservan mientras la App permanece activa. La revocación conlleva la eliminación del registro y la revocación correspondiente en el orquestador de integraciones.
  • Registro de auditoría de las Apps: los metadatos de las acciones ejecutadas (sin contenido) se conservan durante doce (12) meses, y después se eliminan automáticamente.
  • Notificaciones: los identificadores técnicos de deduplicación de los eventos notificados (sin contenido) se conservan durante un máximo de doce (12) meses, y después se eliminan automáticamente.
  • Copias de seguridad de la memoria: noventa (90) días renovables como máximo.
  • Caché de conversación (proveedor del modelo): del orden de diez (10) minutos, eliminación automática.
  • Excepción contable: los datos de facturación (nombre, dirección, importes) están sujetos a las obligaciones legales de conservación contable de diez (10) años de conformidad con el art. 958f del Código de las obligaciones. Esta conservación se limita a los estrictos datos contables y no afecta a los contenidos.

8. Seguridad y Violaciones de Datos

Aplicamos medidas técnicas y organizativas apropiadas: aislamiento de los entornos por cuenta, cifrado en tránsito y en reposo, control de acceso estricto, autenticación de dos factores para los accesos de administración, registro de actividad. En caso de violación de la seguridad de los datos susceptible de entrañar un riesgo para tus derechos, lo notificamos al Comisionado federal suizo de protección de datos y transparencia (PFPDT) de conformidad con el art. 24 de la LPD y, para los usuarios de la UE/EEE, a la autoridad de control competente en los plazos del art. 33 del RGPD (72 horas), así como a las personas afectadas cuando la ley lo exija.

9. Tus Derechos

De conformidad con la LPD y, para los usuarios residentes en la UE/EEE, con el RGPD, dispones de los siguientes derechos:

  • Derecho de acceso y de rectificación de tus datos.
  • Derecho de supresión de tus datos y de tu asistente (eliminación de la cuenta en autoservicio desde los ajustes).
  • Derecho a la portabilidad: derecho a recibir tus datos en un formato estructurado y legible por máquina (JSON), incluidos tus datos de cuenta, los registros de Apps, el registro de auditoría asociado y los recuerdos de la memoria a largo plazo.
  • Derecho de oposición y de limitación: derecho a oponerte a determinados tratamientos o a solicitar su limitación.
  • Derecho a retirar tu consentimiento en cualquier momento, sin afectar a la licitud de los tratamientos anteriores (en particular para la memoria a largo plazo).
  • Derecho de revocación de las Apps y de las notificaciones: en cualquier momento, sin motivo y sin coste, desde las páginas dedicadas de tu cuenta.
  • Derecho de reclamación: para los usuarios de la UE/EEE, derecho a presentar una reclamación ante la autoridad de control de tu Estado de residencia; para Suiza, ante el PFPDT.

Ejercicio de los derechos: toda solicitud puede dirigirse a social@zellyapp.me. Respondemos en un plazo máximo de treinta (30) días.

10. Modificaciones de la Presente Política

Podemos actualizar la presente política para reflejar la evolución del Servicio o de la normativa. Toda modificación sustancial — en particular la adición de nuevas finalidades de tratamiento — te será notificada activamente (por correo electrónico) antes de su entrada en vigor. La versión en vigor se publica en esta página con su fecha de actualización.

Zelly Sàrl — Lausana, Suiza · Aviso legal
Política de Privacidad Versión 3 — 12 de junio de 2026