Política de Privacidad

Última actualización: 2026-04-15 · Versión 1.1

1. Responsable del tratamiento

CALIXO trata tus datos personales conforme a GDPR (UE 2016/679), LOPD (España), LGPD (Brasil), CCPA (California) y leyes aplicables. Contacto del DPO: dpo@calixo.io.

2. Datos que recopilamos

Cuenta: email, nombre, empresa, país, tax ID, contraseña (hash bcrypt), 2FA.
Facturación: transacciones, pagos, dirección fiscal, payment IDs, últimos 4 dígitos de tarjeta (tokenizada por Stripe).
Uso del servicio: CDRs (origen, destino E.164, duración, costo, códec, codecs negociados), trunks, DIDs, ASR/ACD.
Técnicos: IPs de registro SIP, user-agent, logs de acceso, fingerprints de dispositivo.
Cookies: sesión (esenciales), preferencias. No usamos trackers publicitarios ni vendemos datos.

3. Finalidades

Prestar el Servicio, facturar y cumplir obligaciones fiscales.
Detección de fraude y seguridad (interés legítimo).
Soporte técnico y comunicaciones operativas.
Cumplimiento legal (órdenes judiciales, KYC cuando aplique).
Mejora del Servicio mediante análisis agregado anónimo.

4. Bases legales

Ejecución de contrato (Art. 6.1.b GDPR), cumplimiento legal (6.1.c), interés legítimo (6.1.f — antifraude y seguridad), y consentimiento (6.1.a — comunicaciones comerciales, opcional y retirable).

5. Compartición con terceros

Compartimos datos únicamente con:

Procesadores de pago (Stripe, Coinbase Commerce) para cobro y reembolsos.
Operadores upstream (carriers SIP) solo lo mínimo para enrutar la llamada.
Infraestructura (hosting, DB, email transaccional) bajo contratos DPA conformes.
Autoridades cuando exista obligación legal vinculante.

Nunca vendemos ni alquilamos tus datos personales a terceros con fines publicitarios.

6. Transferencias internacionales

Podemos transferir datos a países fuera del EEE bajo Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) con evaluaciones complementarias (TIA) donde aplique.

7. Conservación

Datos de facturación: plazo legal fiscal (5–10 años según país).
CDRs: 12 meses por defecto (configurable por el cliente).
Logs de seguridad / auditoría: 180 días.
Datos de cuenta: mientras la cuenta esté activa + 90 días post-baja.

8. Tus derechos

Acceso, rectificación, supresión, limitación, oposición, portabilidad, no ser sometido a decisiones automatizadas con efectos jurídicos. Ejercelos desde el panel (self-service export / delete) o por email a privacy@calixo.io. Respondemos en ≤ 30 días. Podés presentar reclamo ante la autoridad de protección de datos de tu país.

9. Seguridad

TLS 1.2+ en tránsito, SRTP en medios cuando se negocia, bcrypt para contraseñas, HMAC-SHA256 para webhooks, 2FA TOTP, backups cifrados at-rest (AES-256), principio de menor privilegio, registros de auditoría inmutables, pentests anuales, monitoreo SIEM 24/7.

10. Menores

El Servicio no está dirigido a menores de 16 años. Si detectamos una cuenta de un menor, la eliminamos inmediatamente.

11. Brechas de seguridad

En caso de brecha que afecte datos personales, notificaremos a la autoridad de control en ≤ 72h y a los titulares afectados sin demora indebida, conforme al Art. 33-34 GDPR.

12. Cambios

Los cambios sustanciales se notifican por email con 30 días de antelación. El historial de versiones está disponible a pedido.

13. Contacto / DPO

Data Protection Officer: dpo@calixo.io · Privacidad general: privacy@calixo.io