Política de privacidad

Dilo es una aplicación web y móvil que convierte tu voz en recordatorios, listas de compras y mensajes de WhatsApp, orientada a pequeños negocios y uso personal en Latinoamérica. El responsable del tratamiento es Dilo (operado por Owen Radics, persona física).

Para cualquier asunto relacionado con privacidad escríbenos a hola@dilo.app. Nos comprometemos a responder dentro de los plazos legales (10 días hábiles en LFPDPPP, 15 días en LGPD, 30 días en GDPR/CCPA).

Recolectamos sólo lo necesario para prestar el servicio:

Datos que NO recolectamos: no pedimos tu identificación oficial, tu ubicación GPS precisa, tus contactos del teléfono, ni información financiera más allá del estado de tu suscripción en Stripe.

Procesamos tus datos personales para las siguientes finalidades, con la base legal indicada (LGPD / GDPR):

• Prestar el servicio (guardar tu cuenta, procesar voz, mostrar recordatorios): ejecución del contrato de servicio que aceptas al registrarte.
• Procesar pagos: ejecución del contrato y cumplimiento de obligaciones fiscales.
• Enviar notificaciones (recordatorios push, correos transaccionales): interés legítimo en avisarte lo que pediste recordar.
• Procesamiento con IA (transcripción Whisper, parsing GPT-4o-mini): ejecución del servicio, con consentimiento explícito adicional para sensibilidad reforzada (ver sección 4).
• Seguridad y anti-abuso (límite de tasa por IP, logs de error): interés legítimo en proteger la plataforma.
• Marketing dirigido (pixeles publicitarios): consentimiento explícito vía el banner de cookies.
• Cumplimiento legal (responder requerimientos de autoridad competente, conservar registros fiscales): obligación legal.

Dilo usa inteligencia artificial en dos etapas distintas:

• Voz → texto: tu dispositivo graba un audio corto y lo envía a OpenAI (Whisper) a través de nuestros servidores, que lo transcriben en texto. El audio se procesa en tránsito; OpenAI no lo retiene, y Dilo no lo guarda en su base de datos una vez generada la transcripción. Antes del 26 de abril de 2026, Dilo usaba la API de reconocimiento del navegador (Web Speech) — la migración a Whisper mejoró la precisión en español pero cambia el proveedor de transcripción a OpenAI. Cualquier cuenta creada después de esa fecha ha usado Whisper desde el inicio.
• Texto → estructura: el texto transcrito (no el audio) se envía a OpenAI (GPT-4o-mini) para identificar cliente, fecha, monto y tipo a partir de lo que dijiste.

Esto es procesamiento automatizado en el sentido de los artículos 20 de la LGPD y 22 del GDPR.

Qué garantizamos:

• Pedimos tu consentimiento explícito la primera vez que usas una función de IA. Puedes rechazarlo y seguir usando Dilo escribiendo a mano.
• Puedes revocar el consentimiento en cualquier momento desde Ajustes. Revocarlo desactiva la IA pero no borra tu cuenta.
• OpenAI se compromete contractualmente a no usar el contenido de la API para entrenar sus modelos (política vigente en openai.com/policies/api-data-usage-policies).
• Los datos que enviamos a OpenAI son el mínimo necesario: el audio breve que dictaste y el texto transcrito que estés procesando. No les compartimos tu correo, tu lista de clientes ni tu historial. Los audios se procesan en tránsito y no persisten en disco una vez generada la transcripción.
• Los resultados del modelo son editables. Si Dilo interpreta mal lo que dijiste, puedes corregirlo antes de guardarlo — nunca te vinculamos a una decisión automatizada irrevocable.

Si tienes preocupaciones sobre cómo la IA procesó un dato específico, escríbenos y podemos explicarte qué información se envió y cómo se interpretó.

WhatsApp Business (próximamente — junio 2026): cuando esta función esté activa para los planes Pro y Maestro, Dilo enviará mensajes a tus clientes en tu nombre usando la API oficial de WhatsApp Business de Meta. Cada plantilla de mensaje requiere tu aprobación antes de enviarse. Meta procesará el contenido del mensaje, el número del destinatario y los metadatos de entrega como sub-procesador. Volveremos a pedirte consentimiento explícito antes de activar la integración en tu cuenta y actualizaremos esta política con los detalles finales (retención, plantillas aprobadas, lista de países disponibles) en el momento del lanzamiento.

Para operar Dilo usamos proveedores (sub-procesadores). Cada uno solo ve lo que necesita para su función:

Firmamos contratos de tratamiento de datos (DPA) con cada proveedor que exige estándares de seguridad equivalentes a los de esta política. Podemos agregar o remover proveedores; actualizaremos esta tabla y te avisaremos si el cambio es material.

Usamos tres categorías:

• Esenciales (siempre activas). Cookies de sesión de Supabase para mantenerte conectado, cookie CSRF para protegerte contra ataques cross-site. Sin estas Dilo no funciona.
• Funcionales (siempre activas). localStorage para guardar tus preferencias (tema, último cliente abierto, borradores sin enviar, estado de consentimiento con IA).
• Publicidad (opcional). Pixeles de Meta, Reddit y TikTok. Solo se cargan si tocaste “Aceptar todo” en el banner de cookies al entrar. Puedes cambiar de opinión borrando las cookies del sitio y recargando la página.

No usamos cookies de terceros para analítica (usamos Vercel Analytics, que es cookieless por diseño).

Dilo opera desde infraestructura ubicada principalmente en Estados Unidos (Vercel, Supabase US, OpenAI). Esto significa que tus datos cruzan fronteras internacionales. Para transferencias desde jurisdicciones con reglas especiales:

• Desde Brasil (LGPD): nos apoyamos en tu consentimiento explícito y en que la transferencia es necesaria para ejecutar el contrato de servicio.
• Desde la Unión Europea (GDPR): nuestros proveedores mayores (Supabase, Stripe, Vercel, OpenAI) mantienen Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea.
• Desde México (LFPDPPP), Colombia y Argentina: consentimiento explícito al registrarte + obligación de ejecución del contrato.

Si no estás cómodo con que tus datos salgan de tu país, por favor no crees una cuenta — no tenemos forma de alojar todo localmente en cada jurisdicción.

Dependiendo de dónde vivas, tienes uno o varios de estos derechos:

• Acceso: saber qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos o incompletos.
• Eliminación (derecho al olvido): borrar tus datos.
• Portabilidad: obtener una copia legible de tus datos para llevártelos a otro servicio.
• Oposición y revocación del consentimiento: decirnos que paremos de usar tus datos para ciertas finalidades.
• Restricción del tratamiento: pedir que pausemos el uso mientras resolvemos una disputa.
• No discriminación (CCPA): si vives en California, no podemos tratarte diferente por ejercer tus derechos.
• Revisión humana de decisiones automatizadas: si Dilo interpretó mal tu voz, puedes pedirnos que un humano lo revise.

Cómo ejercerlos:

• Las cosas más comunes (eliminar cuenta, exportar datos, editar información) las puedes hacer tú directamente desde Ajustes.
• Para lo demás, escríbenos a hola@dilo.app desde el correo con el que te registraste, indicando qué derecho quieres ejercer. Si escribes desde otro correo te pediremos una verificación adicional.
• Plazos de respuesta: 10 días hábiles (LFPDPPP), 15 días (LGPD), 30 días (GDPR, CCPA). Si necesitamos una prórroga te lo diremos por correo.
• No cobramos por ejercer tus derechos. Solo podemos rechazar solicitudes manifiestamente infundadas o repetitivas, y te explicaremos por qué si eso sucede.

Usamos medidas técnicas y organizativas razonables para protegerte:

• Cifrado en tránsito (HTTPS/TLS) y en reposo (Supabase AES-256).
• Contraseñas almacenadas solo como hashes bcrypt — jamás en texto plano.
• Row-Level Security (RLS) en todas las tablas de usuario: por defecto solo tú puedes leer tus propias filas.
• Límite de tasa por IP para prevenir abuso (intentos de login, spam de formularios, spam de llamadas a IA).
• Protección CSRF en todos los endpoints que modifican datos.
• Separación de privilegios: solo el código del servidor usa la clave de servicio; el navegador nunca la ve.
• Registro de errores sin PII: las IP se truncan, los tokens de autenticación se redactan.

Ningún sistema es 100% seguro. Si descubres una vulnerabilidad, escríbenos a hola@dilo.app — respondemos a reportes de seguridad dentro de 72 horas.

Dilo está pensado para adultos que manejan un negocio o sus responsabilidades personales. No está dirigido a menores de 18 años y no recolectamos datos de menores conscientemente. Si descubres que un menor se registró con datos falsos, escríbenos y eliminaremos la cuenta y los datos asociados dentro de 7 días.

Para jurisdicciones con edad digital menor (Brasil, LGPD: 12 años con consentimiento parental): aún así no aceptamos menores. Nuestro producto requiere manejo de dinero y contactos que no son apropiados para esa edad.

Podemos actualizar esta política. Cuando el cambio sea material (por ejemplo: agregamos un nuevo sub-procesador, cambiamos la base legal de un tratamiento, ampliamos el alcance de la IA), te avisaremos por correo y/o dentro de la aplicación al menos 14 días antes de que entre en vigor, y — si tu jurisdicción lo requiere — volveremos a pedirte consentimiento.

La fecha de “última actualización” al inicio de esta página siempre refleja la versión vigente. Versiones anteriores están disponibles a petición.

Para cualquier pregunta o solicitud sobre privacidad: hola@dilo.app.

Si consideras que no respondimos adecuadamente a tu solicitud, tienes derecho a presentar una queja ante la autoridad de protección de datos de tu país:

• México — INAI (home.inai.org.mx)
• Brasil — ANPD (gov.br/anpd)
• Argentina — AAIP (argentina.gob.ar/aaip)
• Colombia — SIC (sic.gov.co)
• Chile — Consejo para la Transparencia
• Unión Europea — tu autoridad nacional (lista en edpb.europa.eu)
• California, EE.UU. — California Privacy Protection Agency (cppa.ca.gov)