Seguridad y privacidad de datos
Esta página describe cómo Meta proporciona la API Cloud como un servicio independiente para que las empresas envíen mensajes a usuarios a gran escala a través de WhatsApp. Meta también ofrece servicios adicionales opcionales que las empresas pueden usar con la API Cloud. Por ejemplo, una empresa puede aprovechar las capacidades de IA de Meta para conversar con los clientes mediante la API de la nube. Es posible que se apliquen diferentes condiciones si una empresa decide usar estos servicios. Consulte la documentación correspondiente para obtener más detalles sobre la forma en la que Meta procesa los datos de estos servicios.
Flujos de mensajes
Cuando un usuario envía un mensaje a una de estas empresas, el mensaje viaja cifrado de extremo a extremo entre el usuario y la API Cloud. Conforme al protocolo de Signal, el usuario y la API Cloud negocian las claves de cifrado y establecen un canal de comunicación seguro en nombre del negocio. WhatsApp no puede acceder al contenido de los mensajes intercambiados entre los usuarios y las empresas.
Una vez que la API Cloud reciba un mensaje, este se descifrará y se reenviará a la empresa. La API Cloud almacena los mensajes solo durante el tiempo que sea necesario para proporcionar las funciones básicas para la API.
Los mensajes desde una empresa hacia un usuario fluyen en el camino inverso. Las empresas envían mensajes a la API Cloud. El servicio de la API Cloud almacena los mensajes temporalmente y se encarga de enviar el mensaje a la plataforma de WhatsApp. Los mensajes se almacenan en caso de que sea necesario realizar retransmisiones.
La API Cloud cifra todos los mensajes antes de enviarlos a WhatsApp mediante el protocolo de Signal a través de claves negociadas con el usuario (destinatario).
WhatsApp funciona como servicio de transporte. Proporciona el software de reenvío de mensajes tanto al cliente como al servidor. No puede ver el contenido de los mensajes que se envían. Para proteger a los usuarios, detecta patrones de mensajes inusuales (por ejemplo, una empresa que intenta enviar un mensaje a todos los usuarios) y recopila los reportes de spam de los usuarios.
La API Cloud, operada por Meta, actúa como intermediaria entre WhatsApp y las empresas de la API Cloud. En otras palabras, las empresas autorizaron a la API Cloud para que opere en su nombre. Por este motivo, WhatsApp reenvía todos los mensajes destinados a dichas empresas a la API Cloud. A su vez, WhatsApp espera recibir de la API Cloud todos los mensajes provenientes de dichas empresas. Este es el mismo comportamiento que tiene el cliente en las instalaciones locales.
Al proporcionar el servicio de la API Cloud, Meta actúa como procesador de datos en nombre de la empresa. Como tal, las empresas solicitaron a Meta que proporcionase acceso programático a la plataforma de WhatsApp Business.
La API Cloud recibe de WhatsApp los mensajes destinados a las empresas que utilizan la API Cloud. Además, la API Cloud envía a WhatsApp los mensajes que dichas empresas enviaron. Las demás partes de Meta (que no son la API Cloud) no tienen acceso a las comunicaciones empresariales de la API Cloud, lo cual incluye el contenido de los mensajes. Meta no utiliza los datos de la API Cloud con fines publicitarios.
Datos recopilados y almacenados
Todos los datos que la API Cloud recopila y almacena, o bien aquellos a los que puede acceder, están controlados y supervisados para garantizar el uso apropiado y preservar el alto nivel de privacidad que se espera de un cliente de WhatsApp.
Meta y el administrador comercial mantienen la información sobre las empresas (que incluye sus números de teléfono comerciales, la dirección de empresa, etc.), sujeta a las Condiciones del servicio establecidas por Meta. La API Cloud depende del administrador comercial y otros sistemas de Meta para identificar cualquier acceso a la API Cloud en nombre de la empresa.
La API Cloud es la única que puede acceder a los mensajes enviados o recibidos a través de la API Cloud. Ninguna otra parte de Meta puede utilizar esta información. Los mensajes tienen un período de retención máxima de 30 días a fin de proporcionar las funciones básicas del servicio de la API de la nube (por ejemplo, retransmisiones). Una vez transcurridos los 30 días, estas funciones no estarán más disponibles.
La API Cloud no depende de la información sobre el usuario (cliente/consumidor) que la empresa comunique más allá del número de teléfono utilizado para identificar la cuenta. La información se utiliza únicamente para entregar los mensajes a través del código de cliente de WhatsApp. Los números de teléfono de los usuarios se utilizan como fuentes o destinos de mensajes individuales. Como tales, se eliminarán al eliminarse los mensajes. Ninguna otra parte de Meta que no sea la API Cloud tiene acceso a esta información.
En ningún momento se compartirá o enviará contenido del mensaje a WhatsApp. Asimismo, ningún empleado de WhatsApp tiene acceso al contenido del mensaje.
| Datos de la API Cloud | Sistema | ¿Disponible para el resto de Meta? | ¿Disponible para WhatsApp? |
|---|---|---|---|
Contenido del mensaje | API Cloud | No | No |
Número de teléfono del consumidor | API Cloud | No | Sí |
Estadísticas no identificables | API Cloud | Sí | Sí |
Señales de integridad (por empresa) | Cliente de WhatsApp | No | Sí |
Información de la empresa | Administrador comercial | Sí | Sí |
Facturación (por empresa) | Sí | Sí |
Preguntas frecuentes
Meta no usará mensajes de WhatsApp para personalizar los anuncios que ve una persona. Sin embargo, como siempre sucede, las empresas pueden usar los mensajes que reciben para sus propios fines de marketing, como la publicidad en Facebook o en otros canales (por ejemplo, correo electrónico o televisión).
La API de la nube se aloja en los centros de datos de Meta, a menos que un negocio haya elegido utilizar el almacenamiento local para la API de la nube. Meta tiene centros de datos en Norteamérica y la UE.
Los mensajes en reposo están cifrados. Se eliminan automáticamente después de 30 días.
Al igual que todos los demás socios de soluciones de la API de WhatsApp Business, Meta administra las claves de cifrado y descifrado en nombre del negocio. A fin de enviar y recibir mensajes mediante la API de la nube, esta API administra las claves de cifrado y descifrado en nombre del negocio. Meta opera la API de la nube y sus condiciones limitan su uso de proporcionar este servicio a enviar mensajes únicamente. WhatsApp no tiene acceso a las claves ni a los mensajes.
Obtuvimos el informe SOC 2 tipo II. Visita el centro de cumplimiento de mensajes comerciales de Meta para obtener más información.
Meta se toma muy en serio la protección de datos y la privacidad de las personas, por lo que estamos comprometidos a seguir cumpliendo las leyes de protección de datos. La API de la nube permite que nuestros clientes sigan cumpliendo sus obligaciones en virtud del Reglamento General de Protección de Datos (RGPD). Meta cumple los requisitos legales, normativos y del sector aplicables, así como las prácticas recomendadas del sector. Más información.
Meta y WhatsApp usan mecanismos de transferencia apropiados que cumplen con el RGPD para las transferencias de datos de la Unión Europea o el Reino Unido a los Estados Unidos.
Consulta las siguientes condiciones legales para obtener más información:
- Si eres cliente en la Región Europea, consulta el Apéndice sobre la transferencia de datos de WhatsApp Business.
- Si eres cliente en el Reino Unido, consulta el Apéndice sobre la transferencia de datos de WhatsApp Business para el Reino Unido.
Consulta las Condiciones del tratamiento de los datos de WhatsApp Business o las Condiciones de alojamiento de Meta para la API de nube para obtener una lista de subencargados del tratamiento de los datos.
Nos aseguraremos de que nuestras empresas y nuestros socios puedan seguir disfrutando de las soluciones comerciales, al mismo tiempo que mantienen sus datos seguros y protegidos.