Política de privacidad

Última actualización: 30 de abril de 2026

Social Bot Studio (“nosotros”, “la plataforma”) es un producto SaaS que automatiza la generación y publicación de contenido en redes sociales. Esta política describe qué datos recolectamos, cómo los usamos y los derechos que tenés sobre ellos.

1. Datos que recolectamos

  • Cuenta: email, contraseña hasheada, fecha de registro y estado de suscripción.
  • Marca y contenido: información de la marca que cargás (nombre, descripción, voz, paleta, productos) y los posts generados.
  • Conexiones a redes sociales: tokens OAuth de Instagram (vía Meta Graph API) y Twitter/X. Nunca recolectamos contraseñas de redes sociales.
  • Métricas de publicación: estadísticas públicas de los posts publicados (likes, comentarios, alcance) que devuelve la API de cada red.
  • Datos técnicos: dirección IP, tipo de navegador y logs de uso para diagnóstico y seguridad.

2. Para qué los usamos

  • Generar y publicar contenido en tu nombre en las cuentas que vos conectás.
  • Mostrar métricas de performance de tus posts.
  • Mejorar la calidad del contenido generado por IA en base a tu engagement histórico (sólo dentro de tu marca).
  • Procesar pagos de suscripción (vía un procesador externo) y enviar notificaciones operativas relacionadas a tu cuenta.
  • Cumplir obligaciones legales y prevenir fraude.

3. Servicios de terceros

Para que la plataforma funcione, usamos los siguientes proveedores. Cada uno tiene su propia política de privacidad:

  • Meta Platforms (Instagram Graph API): para publicar y leer métricas en tu cuenta de Instagram Business. Detalle de permisos en sección 4.
  • Twitter / X API: para publicar y leer métricas en X.
  • Supabase: base de datos y storage donde guardamos tu información (región US-East).
  • OpenAI, Cloudflare, Google Gemini, Hugging Face: proveedores de IA usados para generar texto e imágenes.
  • Pexels, Unsplash: catálogos de fotografía stock licenciada.
  • Apify: scraping autorizado de posts virales públicos en redes para enriquecer el contexto de generación.
  • Resend: envío de emails transaccionales (verificación de cuenta, recuperación de contraseña).

4. Datos de Instagram (Meta) en detalle

Cuando conectás tu cuenta de Instagram Business, Social Bot Studio solicita los siguientes permisos del Instagram Graph API y los usa exclusivamente para los fines descriptos:

  • instagram_business_basic: leemos handle, foto de perfil, biografía y conteo de seguidores para mostrar la cuenta conectada en tu dashboard y permitirte verificar que es la correcta antes de publicar.
  • instagram_business_content_publish: publicamos en tu cuenta los posts (foto, carrusel, reel, story) que vos previamente programaste y aprobaste en la plataforma. Nunca publicamos sin tu autorización al programar el slot.
  • instagram_business_manage_insights: leemos métricas agregadas de tu cuenta (followers, reach, impressions, online followers, demografía) y de cada post publicado vía SBS (likes, comments, saved, shares, reach, plays) para mostrarte el dashboard de performance histórica.
  • instagram_business_manage_comments: leemos los comentarios en los posts que publicaste vía SBS y respondemos en tu nombre con respuestas acordes a la voz de tu marca, para mejorar el engagement. Solo sobre tu propio contenido; nunca comentamos en cuentas de terceros.
  • instagram_business_manage_messages: leemos y respondemos mensajes directos y respuestas a tus stories dentro de tu propia cuenta, para no dejar conversaciones sin atender. Solo respondemos a quien te escribió primero.

Cuando revocás el acceso desde la configuración de Instagram, Meta nos notifica vía webhooks (deauthorize y data deletion) en los endpoints /api/auth/instagram/deauthorize y /api/auth/instagram/data-deletion. Al recibirlos, eliminamos el token y todos los datos asociados a esa conexión dentro de las 48 horas.

5. Almacenamiento, seguridad y retención

Los datos se guardan en infraestructura de Supabase (Postgres + Storage), región US-East. Las contraseñas se hashean con PBKDF2. Los tokens OAuth se guardan encriptados en reposo. Aplicamos Row-Level Security (RLS) para que cada usuario sólo pueda acceder a sus propias marcas y posts.

Retención por tipo de dato:

  • Tokens OAuth de Instagram/X: vida del token (Instagram ~60 días renovable). Se eliminan inmediatamente al revocar el acceso o al recibir el webhook de deauthorize de Meta.
  • Posts publicados y métricas: 12 meses desde la publicación. Después se borran automáticamente del cron de cleanup.
  • Caché de insights de cuenta: 24 horas (se refresca on demand).
  • Marcas, configuración, voz: hasta que el usuario los borra, o hasta 6 meses de inactividad de la cuenta.
  • Logs técnicos (IP, errores): 90 días.

Como Supabase está en US-East, si residís en la Unión Europea, Reino Unido u otra jurisdicción con leyes de protección de datos (GDPR, LGPD, etc.), los datos se transfieren fuera de tu país. Aplicamos las medidas estándar requeridas por esas regulaciones.

6. Tus derechos

  • Acceso: podés ver toda tu información desde el dashboard de la plataforma.
  • Eliminación: al eliminar una marca o tu cuenta, borramos todos los datos asociados (posts, conexiones, métricas, tokens). También podés solicitar borrado completo desde la página de eliminación de datos o por email.
  • Revocar accesos: podés revocar el acceso de Social Bot Studio a tu Instagram o X cuando quieras desde la configuración de cada red social. Recibimos la notificación de Meta y eliminamos los datos asociados.
  • Portabilidad: podés exportar tus marcas y posts contactándonos por email.

7. No vendemos tus datos

Social Bot Studio no vende, alquila ni cede tus datos personales ni los datos provenientes de Instagram/X a terceros con fines publicitarios o comerciales. Los datos se usan únicamente para operar la plataforma según se describe en esta política.

8. Cookies

Usamos cookies estrictamente necesarias para mantener tu sesión iniciada (auth token). No usamos cookies de tracking ni publicidad. No compartimos información con redes publicitarias.

9. Menores

La plataforma no está dirigida a menores de 18 años. Si descubrimos que recolectamos información de un menor, la eliminamos.

10. Cambios

Si actualizamos esta política, te notificamos por email a la dirección registrada al menos 7 días antes de que los cambios entren en vigencia.

11. Contacto

¿Dudas o reclamos? Escribinos a curiatravelmentor@gmail.com.