Política de Privacidad
EnglishÚltima actualización: 6 de mayo de 2026
Esta Política de Privacidad describe cómo SPEUX EIRL (“Zentro”, “nosotros”) trata los datos personales que recibe a través de su plataforma SaaS de gestión de pedidos Cash on Delivery (COD), accesible en https://zentro.one.
1. Identificación del responsable
Razón social: SPEUX EIRL
RUC: 20607072168
Domicilio fiscal: Lima, Perú
Email del oficial de privacidad: privacy@zentro.one
Zentro actúa como responsable del tratamiento respecto de los datos de sus usuarios suscriptores (los merchants), y como encargado del tratamiento respecto de los datos de los clientes finales que los merchants almacenan y gestionan a través de la plataforma.
2. Datos que recolectamos
2.1 Datos de cuenta del merchant
- Nombre, email y contraseña (hash bcrypt) de los usuarios.
- Razón social, RUC y datos de la organización del merchant.
- Logs de acceso, eventos de auditoría y direcciones IP.
2.2 Datos de los pedidos (clientes finales del merchant)
- Nombre, teléfono y DNI (cuando lo entrega el cliente final).
- Dirección de entrega, departamento, provincia, distrito, coordenadas.
- Historial de pedidos, montos, comprobantes de pago y estados de envío.
2.3 Datos de integraciones de terceros
Solicitamos el mínimo de permisos necesarios. El detalle completo por integración aparece en las secciones 9 a 12 de esta política.
3. Cómo usamos los datos
- Operar y mantener la plataforma de gestión de pedidos.
- Sincronizar el estado de envíos con los couriers integrados.
- Generar reportes operativos y comerciales para el merchant.
- Detectar y prevenir fraude o uso indebido del servicio.
- Cumplir obligaciones legales aplicables.
No vendemos, no alquilamos, no compartimos los datos de los merchants ni de sus clientes finales con anunciantes, brokers de datos, redes publicitarias ni terceros para fines distintos a los aquí declarados.
4. Sub-procesadores
Zentro utiliza los siguientes proveedores para operar el servicio. Todos están sujetos a obligaciones contractuales de confidencialidad y seguridad equivalentes a las descritas en esta política:
| Proveedor | Función | Ubicación |
|---|---|---|
| Vercel Inc. | Hosting y CDN | EE.UU. / Global edge |
| Neon (PostgreSQL) | Base de datos administrada | EE.UU. |
| Vercel Blob | Almacenamiento de comprobantes de pago e imágenes | EE.UU. |
| Sentry | Monitoreo de errores y rendimiento | EE.UU. |
| Browserbase | Automatización segura de navegador (integración Zeus) | EE.UU. |
| Resend | Envío de notificaciones por email | EE.UU. |
5. Seguridad
Aplicamos medidas técnicas y organizativas razonables para proteger los datos:
- Encriptación en tránsito: TLS 1.2+ en todas las conexiones.
- Encriptación en reposo: AES-256-GCM para tokens y credenciales de integraciones.
- Control de acceso por roles (RBAC): ADMIN, SUPERVISOR, SELLER, LOGISTICS — cada rol con permisos mínimos.
- Aislamiento multi-tenant: cada query filtra por organización; nunca se mezclan datos entre merchants.
- Registros de auditoría: trazabilidad de accesos y cambios sensibles.
- Backups separados para entornos de testing y producción.
6. Retención
Los datos de cuenta se conservan mientras la suscripción esté activa. Tras la cancelación, eliminamos los datos del merchant en un plazo máximo de 30 días, salvo obligación legal de retenerlos por más tiempo. Los logs de aplicación se rotan a los 90 días.
7. Tus derechos (Ley N° 29733 — Perú)
Como titular de datos personales tienes derecho a:
- Acceso: conocer qué datos tuyos tratamos.
- Rectificación: corregir datos inexactos.
- Cancelación: solicitar la eliminación de tus datos.
- Oposición: oponerte a tratamientos específicos.
- Portabilidad: obtener una copia estructurada de tus datos.
Para ejercer estos derechos escribe a privacy@zentro.one o usa el formulario en Eliminación de Datos. Responderemos en un plazo máximo de 20 días hábiles. Si consideras que no se ha respetado tu derecho, puedes denunciarlo ante la Autoridad Nacional de Protección de Datos Personales (ANPDP).
8. Transferencia internacional de datos
Algunos de nuestros sub-procesadores operan fuera de Perú (principalmente EE.UU.). Las transferencias se realizan bajo cláusulas contractuales tipo y proveedores con certificaciones reconocidas (SOC 2, ISO 27001).
9. Datos provenientes de Shopify
Cuando un merchant conecta su tienda Shopify, Zentro recibe los siguientes datos vía la Admin API. Solicitamos únicamente permisos de solo lectura:
| Permiso (scope) | Datos accedidos | Para qué |
|---|---|---|
read_orders | Pedidos confirmados (cliente, productos, totales, dirección de envío) | Importar pedidos al sistema COD para gestión de entregas |
read_draft_orders | Borradores de pedidos / carritos abandonados | Capturar leads de carritos abandonados para recuperación de venta |
read_products | Catálogo (nombre, SKU, precio, variantes) | Mantener tu catálogo sincronizado para vincular pedidos a productos |
No solicitamos permisos de escritura. Zentro no puede modificar, eliminar ni crear pedidos, productos o clientes en tu tienda Shopify.
Como app del Shopify App Store, cumplimos los webhooks obligatorios de privacidad:
customers/data_request— entregamos los datos del cliente al merchant dentro de los 30 días.customers/redact— eliminamos los datos del cliente cuando el merchant lo solicita.shop/redact— eliminamos todos los datos de la tienda 48 horas después de la desinstalación.
10. Datos provenientes de Google APIs
Zentro accede a Google APIs únicamente cuando el merchant autoriza explícitamente la integración. El alcance se limita a archivos que el usuario selecciona vía el Google Picker:
| Scope | Datos accedidos | Para qué |
|---|---|---|
openid, email | Tu correo electrónico de Google | Identificar la cuenta que conectas la integración |
https://www.googleapis.com/auth/drive.file | Solo las hojas de cálculo que selecciones explícitamente vía Google Picker | Sincronizar pedidos con hojas de cálculo de couriers (ej. Fenix) |
No accedemos a Gmail, Calendar, Contacts ni a otros servicios de Google. El scope drive.file nos limita exclusivamente a los archivos que el usuario autoriza explícitamente uno por uno.
Zentro's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
Específicamente:
- No transferimos datos obtenidos de Google a terceros con fines publicitarios, retargeting ni publicidad personalizada.
- No vendemos datos obtenidos de Google.
- No usamos datos de Google para entrenar modelos generales de IA o ML.
- La revisión humana solo ocurre con consentimiento explícito del usuario o por motivos de seguridad, cumplimiento legal o investigación de abuso.
11. Datos provenientes de Meta (Facebook/Instagram Ads)
Zentro solicita el siguiente permiso de solo lectura a Meta:
| Permiso | Datos accedidos | Para qué |
|---|---|---|
ads_read | Métricas de campañas (gasto, impresiones, clicks, conversiones) | Mostrar el rendimiento de tus anuncios en el dashboard de Zentro |
No publicamos contenido, no enviamos mensajes y no creamos ni modificamos campañas. Solo leemos métricas para reportes dentro de Zentro.
12. Datos provenientes de TikTok Marketing API
Zentro accede a la TikTok Marketing API exclusivamente para leer métricas de las cuentas publicitarias que el merchant autoriza:
| Permiso | Datos accedidos | Para qué |
|---|---|---|
Reporting (Read) | Métricas de campañas (gasto, impresiones, conversiones, CPC, CTR) | Calcular ROAS combinando gasto publicitario con ingreso COD entregado |
No accedemos a videos privados, mensajes directos ni datos personales de la cuenta TikTok. Los datos de TikTok no se almacenan permanentemente; se consultan bajo demanda al abrir el dashboard.
13. Cookies
Usamos cookies estrictamente necesarias para la sesión (autenticación) y cookies analíticas agregadas (Vercel Analytics, Speed Insights). No usamos cookies publicitarias ni de seguimiento de terceros. Detalle completo en Política de Cookies.
14. Menores de edad
El servicio no está dirigido a menores de 14 años. No recolectamos a sabiendas datos personales de menores. Si crees que un menor nos ha proporcionado datos, contáctanos para eliminarlos.
15. Brechas de seguridad
En caso de una brecha que afecte datos personales, notificaremos a la ANPDP y a los titulares afectados conforme a los plazos establecidos por la Ley N° 29733 y su reglamento.
16. Cambios a esta política
Podemos actualizar esta política. Notificaremos cambios materiales por email o mediante un aviso visible en la plataforma con al menos 30 días de antelación. La fecha de la última actualización aparece al inicio del documento.
17. Contacto
Cualquier consulta sobre privacidad puede dirigirse a privacy@zentro.one. También puedes solicitar la eliminación de tus datos desde /data-deletion.