SMELT — Plataforma WhatsApp Business

1. Introducción

SMELT es una empresa brasileña con sede en Río de Janeiro, Brasil, que ofrece sus servicios a clientes en Brasil y en toda América Latina, incluyendo a través del dominio smelt.lat. La presente Política de Privacidad se rige principalmente por la legislación brasileña, en particular por la Ley General de Protección de Datos Personales (LGPD), sin perjuicio de las leyes locales de protección de datos aplicables al Usuario en su país de residencia, conforme se detalla a continuación.

SMELT Tecnologia LTDA ("SMELT", "nosotros", "nuestro" o "nuestra"), persona jurídica de derecho privado, inscrita en el CNPJ bajo el nº 65.505.765/0001-29, con sede en Rua Visconde de Pirajá, 414, Sala 718, Ipanema, Río de Janeiro — RJ, CEP 22.410-905, Brasil, es la controladora de los datos personales tratados por medio de la plataforma SMELT, accesible a través de los dominios www.smelt.com.br, smelt.lat y smelt.digital (colectivamente, la "Plataforma").

Esta Política de Privacidad ("Política") tiene por objetivo informar, de forma clara y transparente, cómo realizamos el tratamiento de datos personales de nuestros usuarios, clientes, visitantes y demás titulares de datos, en conformidad con la Ley General de Protección de Datos Personales (Ley nº 13.709/2018 — "LGPD"), el Marco Civil de Internet (Ley nº 12.965/2014), el Código de Defensa del Consumidor (Ley nº 8.078/1990) y demás legislaciones aplicables, incluyendo las leyes locales aplicables del país del Usuario.

Al acceder o utilizar la Plataforma, usted declara haber leído, comprendido y aceptado los términos de esta Política. En caso de no estar de acuerdo con cualquier disposición aquí prevista, solicitamos que interrumpa inmediatamente el uso de la Plataforma.

2. Definiciones

Para los fines de esta Política, se consideran las siguientes definiciones, en consonancia con el artículo 5º de la LGPD:

Dato Personal:: Información relacionada a persona natural identificada o identificable.
Dato Personal Sensible:: Dato personal sobre origen racial o étnico, convicción religiosa, opinión política, afiliación a sindicato o a organización de carácter religioso, filosófico o político, dato referente a la salud o a la vida sexual, dato genético o biométrico, cuando esté vinculado a una persona natural.
Titular:: Persona natural a la que se refieren los datos personales objeto de tratamiento.
Controlador:: Persona natural o jurídica, de derecho público o privado, a quien competen las decisiones referentes al tratamiento de datos personales. En esta Política, SMELT Tecnologia LTDA.
Operador:: Persona natural o jurídica, de derecho público o privado, que realiza el tratamiento de datos personales en nombre del controlador.
Tratamiento:: Toda operación realizada con datos personales, como recolección, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación, control, modificación, comunicación, transferencia, difusión o extracción.
Consentimiento:: Manifestación libre, informada e inequívoca por la cual el titular acepta el tratamiento de sus datos personales para una finalidad determinada.
Encargado (DPO):: Persona designada por el controlador para actuar como canal de comunicación entre el controlador, los titulares de los datos y la Autoridad Nacional de Protección de Datos (ANPD).
ANPD:: Autoridad Nacional de Protección de Datos, órgano de la administración pública responsable por velar, implementar y fiscalizar el cumplimiento de la LGPD.
Plataforma:: El conjunto de sistemas, aplicaciones, sitios web y servicios ofrecidos por SMELT, incluyendo la aplicación web accesible en smelt.digital y el sitio institucional www.smelt.com.br.

3. Datos Personales Recopilados

SMELT recopila datos personales de diferentes categorías de titulares, conforme se describe a continuación:

3.1. Datos Proporcionados Directamente por el Titular

•Nombre completo y nombre de exhibición;
•Dirección de correo electrónico corporativo o personal;
•Número de teléfono (incluyendo WhatsApp);
•Nombre de la empresa y cargo/función;
•CNPJ (o identificación fiscal equivalente) de la empresa;
•Credenciales de acceso (correo electrónico y contraseña encriptada);
•Información ingresada en formularios de contacto, soporte o registro;
•Datos de pago y facturación (procesados por terceros — no almacenamos datos completos de tarjeta de crédito);
•Fotografía de perfil (cuando se proporcione);
•Cualquier información adicional proporcionada voluntariamente por el titular durante la utilización de la Plataforma.

3.2. Datos Recopilados Automáticamente

•Dirección IP (Internet Protocol);
•Tipo y versión del navegador;
•Sistema operativo y dispositivo utilizado;
•Páginas visitadas, tiempo de permanencia y flujo de navegación;
•Fecha y hora de acceso;
•URL de referencia (página de origen);
•Datos de geolocalización aproximada (basados en la IP);
•Datos de almacenamiento local del navegador (localStorage) para autenticación y preferencias (conforme la Sección 11);
•Registros de acceso a la aplicación (logs), conforme exigido por el Marco Civil de Internet;
•Datos de desempeño y errores de la aplicación (telemetría técnica).

3.3. Datos Provenientes de la Integración con WhatsApp Business API

Al utilizar la Plataforma para gestionar comunicaciones vía WhatsApp, los siguientes datos podrán ser tratados:

•Número de teléfono de los contactos (destinatarios de los mensajes);
•Nombre de perfil de WhatsApp de los contactos;
•Foto de perfil de WhatsApp de los contactos (cuando esté disponible públicamente);
•Contenido de los mensajes enviados y recibidos (texto, imágenes, documentos, audios, videos, ubicación y stickers);
•Metadatos de los mensajes (timestamps de envío, entrega y lectura; status de entrega);
•Identificadores técnicos de las conversaciones y mensajes (IDs de WhatsApp Business API);
•Datos de plantillas de mensajes aprobadas por Meta;
•Datos de catálogo de productos (cuando sea utilizado);
•Historial de interacciones y conversaciones.

Importante: SMELT actúa como operadora de los datos personales de los contactos/clientes finales de nuestros clientes empresariales. El cliente empresarial que utiliza la Plataforma es el controlador de los datos de sus propios contactos/clientes finales, siendo responsable de garantizar la base legal adecuada para el tratamiento de esos datos, incluyendo la obtención de consentimiento cuando sea necesario y el cumplimiento de todas las obligaciones previstas en la LGPD y en las leyes locales aplicables.

3.4. Datos de Agentes de IA

Cuando el cliente utiliza los agentes de inteligencia artificial disponibles en la Plataforma:

•Los mensajes recibidos de los contactos finales son procesados por modelos de IA para generación de respuestas automatizadas;
•Los datos de contexto de la conversación son procesados temporalmente para fines de generación de respuesta;
•Las configuraciones e instrucciones de los agentes de IA definidas por el cliente son almacenadas;
•Logs de ejecución de los agentes de IA son mantenidos para fines de depuración y mejora del servicio.

3.5. Datos de Automatizaciones (Flows)

En el uso de las funcionalidades de automatización (flows no-code/low-code):

•Datos utilizados como condiciones de disparo (triggers);
•Variables y datos manipulados durante la ejecución de los flows;
•Logs de ejecución conteniendo identificadores de contactos y acciones realizadas;
•Configuraciones de los flows creados por el cliente.

4. Finalidades del Tratamiento

Los datos personales recopilados son tratados para las siguientes finalidades:

4.1. Ejecución del Contrato y Prestación de los Servicios

•Creación, mantenimiento y gestión de cuentas de usuario;
•Provisión y operación de la Plataforma y sus funcionalidades;
•Gestión del inbox unificado de conversaciones de WhatsApp;
•Envío y recepción de mensajes por medio de WhatsApp Business API;
•Ejecución de campañas de mensajes masivos (bulk messaging);
•Operación de automatizaciones y flows configurados por el cliente;
•Funcionamiento de agentes de IA para atención al cliente;
•Gestión de contactos y funcionalidades de CRM;
•Creación y gestión de plantillas de mensajes;
•Generación de reportes y analytics;
•Gestión de equipos y asignación de permisos.

4.2. Comunicación

•Envío de comunicaciones transaccionales (confirmación de registro, restablecimiento de contraseña, alertas de seguridad);
•Envío de comunicaciones sobre actualizaciones de la Plataforma y nuevos recursos;
•Respuesta a solicitudes de contacto y soporte técnico;
•Envío de comunicaciones de marketing y comerciales (solamente mediante consentimiento previo y con opción de cancelación de suscripción).

4.3. Seguridad y Prevención de Fraudes

•Autenticación de usuarios y verificación de identidad;
•Detección, prevención e investigación de actividades fraudulentas, abusivas o ilegales;
•Monitoreo de seguridad de la Plataforma;
•Protección de los derechos y de la seguridad de los usuarios y de terceros;
•Gestión de incidentes de seguridad de la información.

4.4. Mejora de los Servicios

•Análisis de uso y desempeño de la Plataforma;
•Desarrollo y perfeccionamiento de funcionalidades;
•Personalización de la experiencia del usuario;
•Realización de investigaciones y análisis estadísticos (datos anonimizados o agregados, siempre que sea posible).

4.5. Cumplimiento de Obligaciones Legales y Regulatorias

•Cumplimiento de obligaciones legales, regulatorias y fiscales;
•Atención a órdenes judiciales y requisiciones de autoridades competentes;
•Mantenimiento de registros de acceso a la aplicación por el plazo de 6 (seis) meses, conforme el Marco Civil de Internet (art. 15);
•Ejercicio regular de derechos en proceso judicial, administrativo o arbitral.

5. Bases Legales para el Tratamiento

El tratamiento de datos personales realizado por SMELT se fundamenta en las siguientes bases legales previstas en el artículo 7º de la LGPD:

Base Legal	Aplicación
Ejecución de contrato (art. 7º, V)	Prestación de los servicios contratados, gestión de cuenta, operación de la Plataforma
Consentimiento (art. 7º, I)	Envío de comunicaciones de marketing, recopilación de datos opcionales
Legítimo interés (art. 7º, IX)	Mejora y personalización de los servicios, seguridad de la Plataforma, prevención de fraudes, analytics agregados
Cumplimiento de obligación legal (art. 7º, II)	Retención de logs de acceso conforme el Marco Civil de Internet, obligaciones fiscales y regulatorias
Ejercicio regular de derechos (art. 7º, VI)	Defensa en procesos judiciales, administrativos o arbitrales

6. Compartición de Datos

SMELT podrá compartir datos personales con terceros en las siguientes hipótesis y con las siguientes categorías de destinatarios:

6.1. Proveedores de Infraestructura y Hosting

•Proveedores de hosting en la nube para aplicación e infraestructura de servidores. Los datos pueden ser procesados en data centers ubicados en Estados Unidos o en otras regiones;
•Proveedores de base de datos gestionada (PostgreSQL) para almacenamiento seguro de datos. Los datos pueden ser procesados en data centers ubicados en Estados Unidos o en otras regiones;
•Proveedores de hosting de contenido estático y CDN para el sitio institucional. Los datos pueden ser procesados en data centers distribuidos globalmente.

6.2. Plataformas de Comunicación

•Meta Platforms, Inc. (WhatsApp Business API): para envío y recepción de mensajes vía WhatsApp. Los datos son transmitidos conforme los Términos de Servicio y la Política de Privacidad de Meta/WhatsApp. Meta puede procesar datos en servidores ubicados globalmente;
•Proveedores de servicio de correo electrónico transaccional para envío de comunicaciones (confirmaciones, alertas, notificaciones).

6.3. Proveedores de Inteligencia Artificial y Procesamiento de Lenguaje

•Proveedores de modelos de lenguaje (LLM) para procesamiento de lenguaje natural y funcionamiento de los agentes de IA. Los mensajes son procesados exclusivamente para generación de respuestas, sin entrenamiento de modelos con datos de los clientes, conforme los términos de uso de la API de cada proveedor;
•Proveedores de transcripción de audio para conversión de mensajes de voz en texto, cuando sea aplicable. Los datos de audio son procesados exclusivamente para fines de transcripción y no son retenidos por el proveedor después del procesamiento;
•Otros proveedores de IA que vengan a ser integrados a la Plataforma, siempre mediante actualización de esta Política.

6.4. Procesadores de Pago

•Procesadores de pago tercerizados para cobro de suscripciones y servicios. SMELT no almacena datos completos de tarjeta de crédito, siendo estos procesados directamente por el proveedor de pago en ambiente seguro y certificado PCI-DSS.

6.5. Integraciones con CRM y Servicios Externos

•Proveedores de CRM (Customer Relationship Management) para sincronización de datos de contactos y gestión de relacionamiento con clientes, cuando esté habilitado por el cliente empresarial;
•Proveedores de notificaciones push para envío de alertas y notificaciones en dispositivos móviles de los usuarios de la Plataforma;
•Proveedores de geocodificación para obtención de información de ubicación aproximada a partir de coordenadas geográficas compartidas en mensajes, cuando sea aplicable.

6.6. Obligaciones Legales

•Autoridades gubernamentales y órganos reguladores, cuando sea exigido por ley, regulación, proceso judicial o solicitud gubernamental;
•Autoridad Nacional de Protección de Datos (ANPD), cuando sea aplicable;
•Poder Judicial, en cumplimiento de órdenes judiciales.

6.7. Operaciones Societarias

En caso de fusión, adquisición, reorganización societaria, venta de activos o quiebra, los datos personales podrán ser transferidos al sucesor o adquirente, respetadas las disposiciones de la LGPD y siempre que el destinatario asuma las mismas obligaciones de protección de datos aquí previstas.

SMELT no vende, alquila ni comercializa datos personales a terceros para fines de marketing o publicidad. Toda compartición se realiza con base en finalidades legítimas y específicas, mediante contratos que garantizan la protección adecuada de los datos.

7. Transferencia Internacional de Datos

En razón de la naturaleza de los servicios prestados y de los proveedores de infraestructura utilizados, los datos personales podrán ser transferidos y almacenados en servidores ubicados fuera de Brasil, notablemente en los Estados Unidos de América, para las siguientes finalidades:

•Hosting de la aplicación y base de datos en proveedores de infraestructura en la nube (servidores en EE. UU. o en otras regiones);
•Procesamiento de mensajes vía WhatsApp Business API (Meta — servidores globales);
•Procesamiento de inteligencia artificial y transcripción de audio por proveedores especializados (servidores en EE. UU. o en otras regiones);
•Hosting del sitio institucional en proveedores de CDN y contenido estático (servidores distribuidos globalmente);
•Integración con proveedores de CRM, notificaciones push y geocodificación (servidores en EE. UU. o en otras regiones).

Esas transferencias se realizan en conformidad con el Capítulo V de la LGPD (artículos 33 a 36) y con las leyes locales aplicables del país del Usuario, con base en las siguientes salvaguardas:

•Cláusulas contractuales específicas que garantizan nivel de protección de datos personales adecuado al previsto en la LGPD;
•Utilización de proveedores que adhieren a frameworks de protección de datos reconocidos internacionalmente;
•Compromiso de los proveedores con la adopción de medidas técnicas y organizacionales de seguridad adecuadas;
•Cuando sea aplicable, adopción de cláusulas-estándar contractuales u otros mecanismos previstos por la ANPD.

8. Retención y Eliminación de Datos

Los datos personales serán retenidos solamente por el período necesario al cumplimiento de las finalidades para las cuales fueron recopilados, observados los siguientes plazos:

Categoría de Datos	Plazo de Retención	Justificación
Datos de cuenta del usuario	Mientras la cuenta esté activa + 6 meses después del cierre	Ejecución del contrato y período de recuperación
Historial de conversaciones y mensajes	Mientras la cuenta esté activa + 90 días después del cierre	Ejecución del contrato
Registros de acceso (logs)	6 meses	Obligación legal (Marco Civil de Internet, art. 15)
Datos de facturación	5 años después del cierre de la relación contractual	Obligación fiscal y tributaria (CTN, art. 173)
Datos de contactos/CRM del cliente	Mientras la cuenta esté activa + 30 días después del cierre	Ejecución del contrato y exportación de datos
Datos de automatizaciones y flows	Mientras la cuenta esté activa + 30 días después del cierre	Ejecución del contrato
Datos de almacenamiento local	Mientras el usuario mantenga los datos en el navegador o hasta el logout	Ejecución del contrato / Legítimo interés
Datos para ejercicio regular de derechos	Hasta el término del plazo prescripcional aplicable (hasta 5 años, según el caso)	Ejercicio regular de derechos

Después del término del período de retención, los datos serán eliminados de forma segura o anonimizados, salvo cuando la retención sea necesaria para cumplimiento de obligación legal o regulatoria, para el ejercicio regular de derechos en proceso judicial, administrativo o arbitral, o para uso exclusivo del controlador, vedado su acceso por terceros, y siempre que los datos sean anonimizados.

9. Seguridad de los Datos

SMELT adopta medidas técnicas y organizacionales adecuadas para proteger los datos personales contra acceso no autorizado, destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento inadecuado o ilícito, incluyendo, pero no limitándose a:

9.1. Medidas Técnicas

•Encriptación de datos en tránsito (TLS/SSL) para todas las comunicaciones;
•Encriptación de contraseñas utilizando algoritmos de hash seguros (bcrypt o equivalente);
•Control de acceso basado en roles (RBAC) con diferentes niveles de permiso;
•Autenticación segura con gestión de sesiones;
•Conexiones seguras a la base de datos vía PgBouncer con connection pooling;
•Monitoreo continuo de infraestructura y aplicación;
•Backups regulares de los datos almacenados;
•Segregación lógica de datos entre diferentes clientes (multi-tenant isolation);
•Rate limiting y protección contra ataques de denegación de servicio (DoS/DDoS);
•Sanitización de inputs y protección contra inyección de código (SQL injection, XSS, CSRF).

9.2. Medidas Organizacionales

•Principio del menor privilegio (least privilege) en el acceso a datos;
•Políticas internas de seguridad de la información;
•Capacitación y concientización del equipo sobre protección de datos;
•Revisión periódica de accesos y permisos;
•Procedimientos de respuesta a incidentes de seguridad;
•Selección minuciosa de proveedores y socios, con evaluación de sus prácticas de seguridad y protección de datos.

Aunque SMELT emplee los mejores esfuerzos y adopte medidas de seguridad compatibles con el estado del arte, ningún sistema de transmisión o almacenamiento de datos es 100% seguro. En caso de que ocurra un incidente de seguridad que pueda acarrear riesgo o daño relevante a los titulares, SMELT comunicará a la ANPD y a los titulares afectados en plazo razonable, conforme previsto en el artículo 48 de la LGPD.

10. Derechos del Titular

En conformidad con los artículos 17 a 22 de la LGPD, el titular de los datos personales tiene los siguientes derechos, que podrán ser ejercidos mediante solicitud a nuestro Encargado de Protección de Datos (DPO):

•Confirmación de la existencia de tratamiento de datos personales;
•Acceso a los datos personales tratados;
•Corrección de datos incompletos, inexactos o desactualizados;
•Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en disconformidad con la LGPD;
•Portabilidad de los datos a otro proveedor de servicio o producto, mediante solicitud expresa, de acuerdo con la regulación de la ANPD;
•Eliminación de los datos personales tratados con base en el consentimiento del titular, excepto en las hipótesis previstas en el artículo 16 de la LGPD;
•Información de las entidades públicas y privadas con las cuales el controlador realizó uso compartido de datos;
•Información sobre la posibilidad de no proporcionar consentimiento y sobre las consecuencias de la negativa;
•Revocación del consentimiento en cualquier momento, mediante manifestación expresa, sin afectar la licitud del tratamiento realizado anteriormente;
•Revisión de decisiones tomadas únicamente con base en tratamiento automatizado de datos personales que afecten los intereses del titular, incluyendo decisiones destinadas a definir su perfil personal, profesional, de consumo y de crédito o aspectos de su personalidad.

10.1. Cómo Ejercer sus Derechos

Las solicitudes podrán ser realizadas por medio de:

•Correo electrónico al Encargado (DPO): dpo@smelt.com.br;
•Formulario de contacto disponible en www.smelt.com.br/contato;
•Correspondencia enviada a la dirección de la empresa.

SMELT responderá a las solicitudes en el plazo de 15 (quince) días hábiles, contados desde la recepción de la solicitud, conforme establecido por la LGPD. En casos excepcionales y justificados, este plazo podrá ser extendido. La identidad del solicitante será verificada antes de la atención de cualquier requisición, para fines de seguridad y protección de los datos.

10.2. Limitaciones

El ejercicio de los derechos del titular podrá ser limitado en las siguientes situaciones:

•Cuando los datos sean necesarios para cumplimiento de obligación legal o regulatoria por el controlador;
•Cuando los datos sean necesarios para el ejercicio regular de derechos en proceso judicial, administrativo o arbitral;
•Cuando la eliminación de los datos torne imposible la ejecución del contrato;
•Para protección de la vida o de la incolumidad física del titular o de terceros;
•Cuando los datos hayan sido anonimizados.

11. Almacenamiento Local y Tecnologías Similares

11.1. Tecnologías Utilizadas

La Plataforma SMELT no utiliza cookies para rastreo, publicidad o análisis de comportamiento. En su lugar, utilizamos las siguientes tecnologías de almacenamiento local del navegador:

Tecnología	Finalidad	Duración	Base Legal
localStorage — Autenticación	Almacenamiento de tokens de acceso (JWT) y refresh tokens para mantener la sesión del usuario autenticada	Hasta logout o expiración del token	Ejecución del contrato
localStorage — Preferencias	Almacenamiento de preferencias del usuario, como tema (claro/oscuro) y configuraciones de interfaz	Hasta limpieza por el usuario	Legítimo interés
Fingerprinting de dispositivo	Identificación de dispositivos confiables para la funcionalidad de autenticación en dos factores (2FA), cuando esté habilitada por el usuario	Conforme configuración del 2FA	Ejecución del contrato / Legítimo interés

11.2. Gestión de los Datos Locales

El usuario puede gestionar los datos almacenados localmente en cualquier momento por medio de:

•Funcionalidad de logout en la Plataforma, que elimina los tokens de autenticación;
•Configuraciones del navegador, donde es posible limpiar los datos de almacenamiento local (localStorage) para el dominio de la Plataforma;
•Herramientas de desarrollador del navegador, para visualizar y eliminar datos específicos.

La eliminación de los datos de autenticación almacenados localmente resultará en el cierre de la sesión, siendo necesario realizar un nuevo login para acceder a la Plataforma.

Nota: La Plataforma SMELT no utiliza cookies de terceros, píxeles de rastreo, web beacons o cualquier tecnología de rastreo para fines de publicidad, remarketing o análisis comportamental. No compartimos datos de navegación con redes de publicidad o plataformas de analytics de terceros.

12. Tratamiento de Datos vía WhatsApp Business API

La Plataforma SMELT se integra con WhatsApp Business API, proporcionada por Meta Platforms, Inc., para posibilitar la gestión de comunicaciones vía WhatsApp. En relación a esta integración, aclaramos:

12.1. Roles y Responsabilidades

•El cliente empresarial de SMELT es el controlador de los datos de sus contactos/clientes finales y es responsable de obtener y mantener la base legal adecuada (incluyendo consentimiento, cuando sea aplicable) para el envío de mensajes vía WhatsApp;
•SMELT actúa como operadora de los datos de los contactos/clientes finales, procesándolos conforme las instrucciones del cliente empresarial y dentro de los límites de esta Política;
•Meta Platforms, Inc. actúa como operadora independiente y/o controladora conjunta de determinados datos, conforme sus propios Términos de Servicio y Política de Privacidad.

12.2. Datos Procesados

•Los mensajes enviados y recibidos vía WhatsApp son encriptados en tránsito entre SMELT y la API de Meta;
•El contenido de los mensajes es almacenado en la Plataforma para fines de historial y gestión de conversaciones, por el período de retención indicado en la Sección 8;
•Metadatos de mensajes (status de entrega, timestamps) son procesados para fines de analytics y reportes;
•SMELT no tiene acceso al contenido de los mensajes que transitan directamente entre los servidores de Meta, fuera del alcance de WhatsApp Business API.

12.3. Conformidad con Políticas de Meta

•La utilización de WhatsApp Business API está sujeta a las Políticas de Negocios y Comercio de WhatsApp;
•El cliente empresarial es responsable de garantizar que el uso de la Plataforma esté en conformidad con las políticas de Meta y de WhatsApp;
•Mensajes de marketing y campañas masivas deben respetar las reglas de opt-in y opt-out de WhatsApp;
•SMELT se reserva el derecho de suspender el acceso de clientes que violen las políticas de Meta/WhatsApp o utilicen la Plataforma para envío de spam o mensajes no solicitados.

12.4. Opt-out de Mensajes

Los contactos/clientes finales que deseen dejar de recibir mensajes vía WhatsApp deben entrar en contacto directamente con la empresa remitente (cliente de SMELT). SMELT pone a disposición herramientas para que sus clientes gestionen listas de opt-out y bloqueo de contactos.

13. Inteligencia Artificial y Tratamiento Automatizado

13.1. Agentes de IA

La Plataforma ofrece funcionalidades de inteligencia artificial para atención automatizada al cliente. En relación al tratamiento de datos por agentes de IA:

•Los mensajes de los contactos finales son enviados a proveedores tercerizados de modelos de lenguaje exclusivamente para generación de respuestas contextuales;
•Los datos enviados a los proveedores de IA no son utilizados para entrenamiento de modelos de lenguaje, conforme los términos de uso de la API de cada proveedor;
•El cliente empresarial es responsable de informar a sus contactos finales sobre el uso de IA en la atención;
•Las respuestas generadas por IA son almacenadas como parte del historial de conversaciones en la Plataforma;
•El cliente puede configurar y personalizar el comportamiento de los agentes de IA dentro de los límites de la Plataforma.

13.2. Decisiones Automatizadas

La Plataforma puede realizar tratamiento automatizado de datos para:

•Clasificación y enrutamiento automático de conversaciones;
•Ejecución de automatizaciones (flows) configurados por el cliente;
•Generación de respuestas automatizadas vía agentes de IA;
•Segmentación de contactos para campañas.

Conforme previsto en el artículo 20 de la LGPD, el titular tiene el derecho de solicitar la revisión de decisiones tomadas únicamente con base en tratamiento automatizado que afecten sus intereses.

14. Datos de Niños y Adolescentes

La Plataforma SMELT está destinada a empresas y profesionales mayores de 18 (dieciocho) años. SMELT no recopila intencionalmente datos personales de niños o adolescentes (menores de 18 años).

En caso de tomar conocimiento de que datos personales de menores de edad fueron recopilados inadvertidamente, adoptaremos medidas inmediatas para eliminarlos, en conformidad con el artículo 14 de la LGPD, con el Estatuto del Niño y del Adolescente (Ley nº 8.069/1990) y con las leyes locales aplicables del país del Usuario.

Los clientes empresariales que utilizan la Plataforma para comunicarse con su público son responsables de garantizar que el tratamiento de datos de menores de edad, si fuera aplicable, sea realizado en conformidad con la LGPD, incluyendo la obtención de consentimiento específico y en destaque dado por al menos uno de los padres o por el responsable legal.

15. Responsabilidades del Cliente Empresarial

El cliente empresarial que utiliza la Plataforma SMELT asume las siguientes responsabilidades en relación a la protección de datos:

•Garantizar que posee base legal adecuada para el tratamiento de los datos personales de sus contactos/clientes finales;
•Obtener el consentimiento necesario de sus contactos para envío de mensajes vía WhatsApp, cuando sea aplicable;
•Mantener actualizada su propia Política de Privacidad, informando sobre el uso de la Plataforma SMELT como herramienta de gestión de comunicaciones;
•No utilizar la Plataforma para envío de spam, mensajes no solicitados o comunicaciones que violen la legislación aplicable;
•Gestionar adecuadamente las solicitudes de opt-out y eliminación de datos recibidas de sus contactos/clientes finales;
•Informar a SMELT sobre cualquier incidente de seguridad que afecte datos personales tratados por medio de la Plataforma;
•Cumplir todas las obligaciones previstas en la LGPD en su calidad de controlador de los datos de sus contactos/clientes finales;
•No ingresar datos personales sensibles en las comunicaciones vía Plataforma, salvo cuando sea estrictamente necesario y con base legal adecuada;
•Mantener la confidencialidad de sus credenciales de acceso a la Plataforma;
•Informar a sus contactos finales sobre el uso de inteligencia artificial en la atención, cuando sea aplicable.

16. Limitación de Responsabilidad

SMELT no será responsable por:

•Datos personales tratados exclusivamente por el cliente empresarial fuera de la Plataforma;
•Uso inadecuado de la Plataforma por el cliente, incluyendo envío de mensajes en disconformidad con la LGPD o con las políticas de Meta/WhatsApp;
•Actos u omisiones de terceros, incluyendo proveedores de infraestructura, que escapen al control razonable de SMELT;
•Daños derivados de caso fortuito o fuerza mayor;
•Fallas de seguridad atribuibles a negligencia del usuario en la protección de sus credenciales de acceso;
•Contenido de los mensajes enviados por los clientes empresariales a sus contactos/clientes finales;
•Decisiones o acciones tomadas por el cliente empresarial con base en análisis, reportes o datos proporcionados por la Plataforma;
•Eventuales imprecisiones en las respuestas generadas por los agentes de inteligencia artificial;
•Indisponibilidad temporal de WhatsApp Business API o de servicios de terceros integrados a la Plataforma;
•Daños derivados del tratamiento de datos realizado en desacuerdo con esta Política por parte del cliente empresarial.

La responsabilidad total y agregada de SMELT, en cualquier circunstancia, estará limitada al valor total pagado por el cliente a SMELT en los 12 (doce) meses anteriores al evento que dio origen a la responsabilidad, excepto en los casos en que la limitación de responsabilidad esté vedada por la legislación aplicable.

17. Encargado de Protección de Datos (DPO)

SMELT designó un Encargado de Protección de Datos (Data Protection Officer — DPO), conforme previsto en el artículo 41 de la LGPD, para actuar como canal de comunicación entre SMELT, los titulares de datos y la Autoridad Nacional de Protección de Datos (ANPD).

Datos de Contacto del DPO

Correo electrónico: dpo@smelt.com.br

Formulario: www.smelt.com.br/contato

Horario de atención: lunes a viernes, de 9h a 18h (horario de Brasilia)

El Encargado es responsable por:

•Aceptar reclamaciones y comunicaciones de los titulares, prestar aclaraciones y adoptar providencias;
•Recibir comunicaciones de la ANPD y adoptar providencias;
•Orientar a los funcionarios y a los contratados de la entidad respecto a las prácticas a ser tomadas en relación a la protección de datos personales;
•Ejecutar las demás atribuciones determinadas por el controlador o establecidas en normas complementarias.

18. Incidentes de Seguridad

En caso de incidente de seguridad que pueda acarrear riesgo o daño relevante a los titulares de datos, SMELT:

•Comunicará a la Autoridad Nacional de Protección de Datos (ANPD) en plazo razonable, conforme establecido en el artículo 48 de la LGPD y regulaciones de la ANPD;
•Comunicará a los titulares de datos afectados, describiendo la naturaleza de los datos personales afectados, las medidas técnicas y de seguridad utilizadas para protección de los datos, los riesgos relacionados al incidente, las medidas adoptadas para revertir o mitigar los efectos del incidente, y, cuando sea aplicable, los motivos de la demora, en caso de que la comunicación no sea inmediata;
•Adoptará medidas técnicas y organizacionales para mitigar los efectos del incidente y prevenir su recurrencia;
•Mantendrá registro interno de todos los incidentes de seguridad, independientemente de su comunicación a la ANPD.

19. Alteraciones en esta Política

SMELT se reserva el derecho de alterar esta Política de Privacidad en cualquier momento, para adecuarla a alteraciones legislativas, regulatorias, jurisprudenciales, a nuevas funcionalidades de la Plataforma o a cambios en nuestras prácticas de tratamiento de datos.

Alteraciones sustanciales serán comunicadas por medio de:

•Aviso destacado en la Plataforma;
•Notificación por correo electrónico para los usuarios registrados;
•Actualización de la fecha de "última actualización" en la parte superior de esta Política.

El uso continuado de la Plataforma después de la publicación de las alteraciones constituye aceptación de la Política revisada. Recomendamos que el usuario revise esta Política periódicamente.

20. Legislación Aplicable y Fuero

Esta Política de Privacidad se rige por las leyes de la República Federativa de Brasil, en especial:

•Ley General de Protección de Datos Personales (Ley nº 13.709/2018);
•Marco Civil de Internet (Ley nº 12.965/2014);
•Código de Defensa del Consumidor (Ley nº 8.078/1990);
•Código Civil Brasileño (Ley nº 10.406/2002);
•Demás legislaciones y regulaciones aplicables, incluyendo las leyes locales aplicables del país del Usuario.

Queda elegido el Fuero de la Comarca del domicilio de SMELT Tecnologia LTDA, en Brasil, como competente para dirimir cualesquiera controversias derivadas de esta Política, con renuncia expresa a cualquier otro, por más privilegiado que sea.

21. Disposiciones Finales

•La eventual invalidez o inexigibilidad de cualquier disposición de esta Política no afectará la validez o la exigibilidad de las demás disposiciones;
•La tolerancia de SMELT en relación al incumplimiento de cualquier disposición de esta Política no constituirá renuncia al derecho de exigir el cumplimiento de la respectiva obligación;
•Esta Política constituye el entendimiento integral entre las partes en lo que respecta a la protección y privacidad de datos personales;
•En caso de conflicto entre la versión en portugués de esta Política y cualquier traducción eventualmente puesta a disposición, prevalecerá la versión en portugués;
•Dudas, sugerencias o reclamaciones sobre esta Política pueden ser enviadas a nuestro Encargado de Protección de Datos (DPO) por el correo electrónico dpo@smelt.com.br.

SMELT Tecnologia LTDA — CNPJ 65.505.765/0001-29
Rua Visconde de Pirajá, 414, Sala 718, Ipanema, Río de Janeiro — RJ
www.smelt.com.br | smelt.digital
DPO: dpo@smelt.com.br | Jurídico: juridico@smelt.com.br

Esta Política de Privacidad fue actualizada el 21 de marzo de 2026.