Privacidad y Datos
Política de privacidad del programa de desarrolladores y obligaciones sobre el manejo de datos de tiendas y usuarios finales.
Fecha efectiva: 1 de abril de 2026
Esta Política de Privacidad y Datos establece las prácticas de recopilación, uso y protección de datos dentro del ecosistema de desarrolladores de Whatalo. Se divide en dos secciones: los datos que Whatalo recopila de los desarrolladores y las obligaciones de los desarrolladores respecto a los datos de tiendas y usuarios finales.
El incumplimiento de esta política puede resultar en la suspensión inmediata de la cuenta de desarrollador y el retiro de todos los plugins del Marketplace.
Sección A — Datos que Whatalo recopila de los desarrolladores
1. Datos de registro
Al crear una cuenta de desarrollador, Whatalo recopila:
- Nombre completo y datos de identidad.
- Dirección de correo electrónico.
- Información de la empresa u organización (si aplica).
- País de residencia o domicilio fiscal.
- Información bancaria o de pago para la distribución de ingresos.
2. Datos de uso de la plataforma
Whatalo recopila automáticamente:
- Registros de acceso a las API (endpoints consultados, frecuencia, códigos de respuesta).
- Actividad en el panel de desarrollador (envíos de plugins, actualizaciones, configuraciones).
- Métricas de rendimiento de los plugins (tiempos de respuesta, tasa de errores).
- Registros de eventos de webhook (entregas, fallos, reintentos).
3. Datos del plugin
Al publicar un plugin, Whatalo almacena:
- Código fuente del manifiesto y metadatos del plugin.
- Capturas de pantalla, ícono y materiales de marketing proporcionados.
- Historial de versiones y notas de cambios.
- Resultados de las revisiones de seguridad y funcionalidad.
4. Uso de los datos del Desarrollador
Whatalo utiliza estos datos para:
- Administrar la cuenta de desarrollador y procesar pagos.
- Operar y mejorar la Plataforma y el Marketplace.
- Comunicar actualizaciones de políticas, API y herramientas.
- Detectar y prevenir fraude, abuso o violaciones de seguridad.
- Cumplir con obligaciones legales y regulatorias.
- Generar estadísticas agregadas y anónimas sobre el ecosistema.
5. Retención
- Los datos de la cuenta se conservan mientras la cuenta de desarrollador esté activa.
- Tras la eliminación de la cuenta, los datos se conservan por un período de 12 meses para fines legales y de auditoría, después del cual se eliminan de forma segura.
- Los registros de transacciones financieras se conservan según los plazos legales aplicables (mínimo 10 años en República Dominicana).
6. Derechos del Desarrollador
Como titular de sus datos personales, usted tiene derecho a:
- Acceso: Solicitar una copia de los datos personales que Whatalo mantiene sobre usted.
- Corrección: Solicitar la corrección de datos inexactos o incompletos.
- Eliminación: Solicitar la eliminación de sus datos personales, sujeto a obligaciones legales de retención.
- Portabilidad: Solicitar sus datos en un formato estructurado, de uso común y lectura mecánica.
- Oposición: Oponerse al procesamiento de sus datos para fines de marketing directo.
Para ejercer estos derechos, contacte a [email protected].
Sección B — Obligaciones de los desarrolladores respecto a datos de tiendas
Esta sección establece las obligaciones que todo Desarrollador debe cumplir al acceder, procesar o almacenar datos de tiendas y usuarios finales a través de las API de Whatalo.
1. Principio de minimización de datos
- Recopile únicamente los datos estrictamente necesarios para la funcionalidad declarada de su plugin.
- No solicite scopes de OAuth que no sean indispensables.
- No almacene datos "por si acaso" o para usos futuros no definidos.
- Revise periódicamente los datos almacenados y elimine los que ya no sean necesarios.
Si su plugin necesita acceder a datos de pedidos para generar reportes, no debe almacenar datos de clientes que no sean relevantes para esos reportes.
2. Encriptación y seguridad
- Todas las comunicaciones con las API de Whatalo deben realizarse sobre TLS 1.2 o superior.
- Los datos sensibles (información personal, datos financieros) deben encriptarse en reposo utilizando algoritmos estándar de la industria (AES-256 o equivalente).
- Las credenciales de acceso (tokens, claves de API) deben almacenarse en sistemas de gestión de secretos, nunca en código fuente o archivos de configuración sin encriptar.
- Los backups que contengan datos de tienda deben estar encriptados.
3. Consentimiento
- El Desarrollador debe informar claramente a los propietarios de tienda sobre qué datos recopila, cómo los utiliza y con quién los comparte.
- Esta información debe estar disponible en la política de privacidad del plugin antes de la instalación.
- Si el plugin recopila datos adicionales no cubiertos por los scopes de OAuth, debe obtener consentimiento explícito del propietario de tienda.
- El propietario de tienda debe poder revocar el consentimiento en cualquier momento.
4. Eliminación de datos al desinstalar
Al recibir la notificación de desinstalación de un plugin, el Desarrollador debe eliminar todos los datos del propietario de tienda dentro de los 30 días naturales siguientes.
- La eliminación debe incluir todos los datos almacenados: bases de datos, archivos, backups, caches y logs.
- Si la ley exige la retención de ciertos datos (por ejemplo, registros fiscales), el Desarrollador debe informar al propietario de tienda y conservar únicamente lo legalmente requerido.
- El Desarrollador debe poder demostrar que la eliminación se realizó correctamente si Whatalo lo solicita.
5. Prohibición de venta de datos
Queda estrictamente prohibido:
- Vender, alquilar, licenciar o comercializar de cualquier forma los datos de tiendas o usuarios finales a terceros.
- Compartir datos con terceros para fines publicitarios, de perfilamiento o de marketing sin consentimiento explícito.
- Utilizar datos de tienda para desarrollar productos competidores.
- Agregar datos de múltiples tiendas para crear bases de datos de mercado sin consentimiento.
6. Notificación de brechas de seguridad
En caso de una brecha de seguridad que afecte datos de tiendas o usuarios finales:
-
Dentro de 48 horas: Notificar a Whatalo enviando un reporte a [email protected] que incluya:
- Naturaleza de la brecha (datos afectados, alcance estimado).
- Fecha y hora de detección.
- Medidas de contención aplicadas.
- Plan de remediación con cronograma.
-
Dentro de 72 horas: Notificar a los propietarios de tienda afectados con:
- Descripción de la brecha en lenguaje claro.
- Datos potencialmente afectados.
- Medidas que el propietario puede tomar para protegerse.
- Información de contacto para consultas.
-
Dentro de 30 días: Presentar a Whatalo un informe post-incidente con:
- Causa raíz identificada.
- Medidas correctivas implementadas.
- Plan para prevenir incidentes similares.
7. Marco legal aplicable
Los desarrolladores deben cumplir con las siguientes regulaciones según corresponda:
7.1 Ley 172-13 (República Dominicana)
La Ley 172-13 sobre Protección Integral de los Datos Personales en Posesión de Sujetos Obligados establece:
- El tratamiento de datos personales requiere el consentimiento libre, específico e informado del titular.
- Los datos deben recopilarse para fines determinados, explícitos y legítimos.
- El titular tiene derecho de acceso, rectificación, cancelación y oposición (derechos ARCO).
- Los datos deben protegerse mediante medidas de seguridad adecuadas.
- La transferencia internacional de datos requiere garantías adecuadas.
7.2 GDPR (Unión Europea)
Si su plugin procesa datos de residentes de la Unión Europea, debe cumplir adicionalmente con el Reglamento General de Protección de Datos (GDPR), incluyendo:
- Base legal válida para cada tipo de procesamiento.
- Evaluaciones de impacto en la protección de datos cuando sea necesario.
- Designación de un representante en la UE si corresponde.
- Cumplimiento del derecho al olvido y la portabilidad de datos.
7.3 Otras jurisdicciones
- Los desarrolladores que operen en México deben cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
- Los desarrolladores que operen en Colombia deben cumplir con la Ley 1581 de 2012 (Ley de Protección de Datos Personales).
- En caso de conflicto entre regulaciones, se aplicará la más restrictiva.
8. Derechos de los titulares de datos
El Desarrollador debe implementar mecanismos para que los propietarios de tienda y usuarios finales ejerzan sus derechos:
| Derecho | Descripción | Plazo de respuesta |
|---|---|---|
| Acceso | Proporcionar copia de los datos personales almacenados. | 15 días hábiles |
| Corrección | Corregir datos inexactos o incompletos. | 15 días hábiles |
| Eliminación | Eliminar datos cuando ya no sean necesarios o se retire el consentimiento. | 30 días naturales |
| Portabilidad | Entregar datos en formato estructurado y de lectura mecánica. | 30 días naturales |
| Oposición | Cesar el procesamiento de datos para fines específicos. | 15 días hábiles |
9. Auditorías
- Whatalo se reserva el derecho de auditar las prácticas de manejo de datos de cualquier Desarrollador.
- Las auditorías se realizarán con aviso previo razonable, excepto en casos de sospecha de brecha de seguridad.
- El Desarrollador debe cooperar de buena fe con las auditorías y proporcionar la información solicitada.
- Los resultados de las auditorías son confidenciales entre Whatalo y el Desarrollador.
Contacto
Para consultas sobre privacidad y protección de datos:
- Privacidad: [email protected]
- Seguridad: [email protected]
- Portal de desarrolladores: whatalo.com/developers