1. Quiénes somos
Blacknel S.A.P.I. de C.V. ("Blacknel", "nosotros") es una empresa registrada en Ciudad de México con domicilio en Av. Insurgentes Sur 1234, Piso 6, Del Valle, 03100. Operamos la plataforma SaaS disponible en blacknel.com y app.blacknel.com como data controller para nuestros servicios.
GDPR · Somos data controller. Al estar Blacknel establecida fuera de la UE, no requerimos representante GDPR bajo Art. 27, pero mantenemos un canal dedicado en privacy@blacknel.com para data subjects en la UE.
LFPDPPP · Nuestro Responsable de Protección de Datos es accesible en privacy@blacknel.com. Tiempo máximo de respuesta para ejercicio de derechos ARCO: 20 días hábiles.
CCPA · Somos un "business" bajo CCPA. No vendemos datos personales y honramos requests de "Right to Know", "Right to Delete" y "Right to Opt-Out of Sale".
2. Datos que recopilamos
2.1 Datos de cuenta y autenticación
- Nombre completo para identificación en el equipo
- Correo electrónico de trabajo para auth y comunicación transaccional
- Hash de contraseña (si usás password auth; default es magic link sin password)
- Empresa y rol para personalización del onboarding
2.2 Datos de uso y telemetría
- Logs de acciones con timestamp e IP (retención: 90 días)
- User-agent y device fingerprint básico (para detección de session hijacking)
- GeoIP a nivel país y región — nunca ubicación GPS precisa
- Métricas de uso vía Plausible Analytics (cookieless, agregado anónimo)
2.3 Contenido cargado
- Posts programados (texto, imágenes, videos)
- Mensajes en inbox (DMs, comentarios, reviews, replies)
- Assets en media library
- Brand voice docs que subís para training de IA
2.4 Datos de plataformas conectadas (OAuth)
Cuando conectás Facebook, Instagram, WhatsApp, Google Business, etc., accedemos via OAuth oficial sólo a: mensajes/DMs hacia tu cuenta business, posts publicados, reviews y métricas agregadas de ads. NO accedemos a mensajes privados ni contactos personales fuera del scope business.
2.5 Datos de facturación
Procesados por Stripe (PCI-DSS Level 1). Blacknel NUNCA tiene acceso al número completo de tarjeta — solo a últimos 4 dígitos, dirección de facturación, país y tipo de impuesto aplicable.
2.6 Datos que NO recopilamos
- NO datos biométricos (huella, reconocimiento facial)
- NO datos de salud (Art. 9 GDPR — special categories)
- NO datos de menores (servicio prohibido para <16 años GDPR / <13 años COPPA)
- NO ubicación GPS precisa — solo GeoIP a nivel ciudad
3. Cómo usamos tus datos
Procesamos datos bajo las bases legales de ejecución de contrato (Art. 6.1.b GDPR) y consentimiento (Art. 6.1.a GDPR) para marketing opt-in. Específicamente: operar la plataforma, procesar pagos, enviar comunicaciones transaccionales, mejorar el servicio con analítica agregada, y enviar el newsletter si optaste.
No usamos tus datos para entrenar modelos de IA de terceros. La IA de Blacknel entrena solamente en tus propios brand voice docs dentro de tu workspace — nunca compartimos datos con Anthropic ni OpenAI más allá del prompt de inferencia que pasa por sus APIs con zero data retention activado.
4. Retención
- Datos de cuenta: hasta 90 días tras la cancelación
- Logs de uso detallados: 90 días
- Contenido cargado: borrado a los 30 días tras la cancelación
- Audit log: Standard 90d · Growth 1 año · Enterprise hasta 7 años configurable
- Datos de facturación: 5 años (obligación fiscal mexicana)
5. Sub-procesadores
Operamos con los siguientes sub-procesadores. Cada uno tiene DPA firmado y SCCs cuando aplica:
| Sub-procesador | Propósito | Ubicación | DPA / SCC |
|---|---|---|---|
| Vercel | Hosting + Edge CDN | US (multi-region) | SCC firmado |
| Supabase | Database + Auth + Storage | US (us-east-1) | SCC firmado |
| Anthropic | Inferencia IA (Claude) | US | SCC firmado |
| OpenAI | Inferencia IA (GPT) | US | SCC firmado |
| Stripe | Pagos | US + EU | SCC + PCI-DSS |
| Resend | Email transaccional | US | SCC firmado |
| Plausible | Analytics | EU (Germany) | GDPR by design |
| Sentry | Error monitoring | US | SCC firmado |
| Cloudflare | CDN + DDoS protection | Global | SCC firmado |
Te notificamos via email al menos 30 días antes de agregar o cambiar un sub-procesador con impacto material.
6. Tus derechos
Bajo LFPDPPP, GDPR y CCPA tenés derecho a: acceder a tus datos, rectificarlos, eliminarlos, restringir su procesamiento, portarlos, y oponerte a su procesamiento. Para ejercer cualquier derecho, escribí a privacy@blacknel.com con prueba de identidad.
Si considerás que tratamos tus datos en violación, podés presentar una queja ante tu autoridad de protección de datos local: INAI (México), CNIL/AEPD/etc. (UE), California AG (CCPA).
7. Contacto del DPO
Para temas de privacidad: privacy@blacknel.com. Tiempo de respuesta máximo: 30 días naturales bajo GDPR; 20 días hábiles bajo LFPDPPP; 45 días bajo CCPA.
8. Solicitud de Eliminación de Datos
Para detalles completos sobre cómo solicitar la eliminación de tus datos, visitá nuestra página dedicada: https://blacknel.com/es/data-deletion. El resumen a continuación se mantiene como referencia.
Tus derechos de eliminación
Bajo LFPDPPP (México), GDPR (UE) y CCPA (California), tenés derecho a solicitar la eliminación completa de tus datos personales almacenados por Blacknel.
Cómo solicitar la eliminación
Existen tres formas de solicitar la eliminación de tus datos:
1. Desde tu cuenta Blacknel (más rápido)
Si tenés una cuenta activa:
- Iniciá sesión en https://app.blacknel.com
- Andá a Settings → Privacy → Delete my data
- Confirmá con tu contraseña o magic link
- Tus datos se eliminan en 30 días
2. Por email
Enviá un email a privacy@blacknel.com con:
- Asunto: "Solicitud de eliminación de datos"
- Tu email registrado en Blacknel
- Tu nombre completo
- Razón (opcional)
Respondemos en máximo 5 días hábiles y completamos la eliminación en máximo 30 días.
3. Desde aplicaciones de terceros (Facebook, Instagram, WhatsApp)
Si conectaste tu cuenta de Facebook, Instagram o WhatsApp con Blacknel y querés eliminar los datos que recibimos desde esas plataformas:
- Andá a Facebook → Settings → Apps and Websites → Blacknel
- Click "Remove"
- Facebook nos enviará automáticamente una solicitud de eliminación de datos
- Procesamos la solicitud en máximo 30 días
- Podés verificar el estado en:
https://app.blacknel.com/api/meta/data-deletion/{tu-codigo-de-confirmación}
El código de confirmación lo recibís de Facebook al hacer "Remove".
Qué datos se eliminan
Cuando solicitás eliminación, eliminamos permanentemente:
- Tu cuenta de usuario y credenciales
- Todos los posts, mensajes y contenido que hayas creado
- Tu historial de actividad y logs
- Tus brand voice docs cargados
- Tokens OAuth de plataformas conectadas
- Datos derivados (analytics agregadas, sentiment analysis, etc.)
Qué datos NO podemos eliminar
Por obligaciones legales mexicanas (SAT), debemos conservar:
- Facturas y comprobantes fiscales: 5 años
- Logs de seguridad para investigación forense: hasta 1 año
Estos datos quedan en archivo encriptado, sin acceso operativo, hasta cumplir el período legal.
Tiempo de respuesta
- LFPDPPP (México): 20 días hábiles para confirmar + 15 días para completar
- GDPR (UE): 30 días máximo
- CCPA (California): 45 días máximo
Si no recibís respuesta en estos plazos, podés reclamar ante:
- INAI (México): https://home.inai.org.mx
- DPA local (UE): según tu país
- California AG: https://oag.ca.gov
Contacto
privacy@blacknel.com
DPO de Blacknel SAPI de CV