Política de Privacidad

FirstSales ('nosotros', 'nos' o 'nuestro') opera la plataforma FirstSales disponible en firstsales.io, un producto de prospección por email en frío de empresa a empresa (B2B) que ofrece creación de secuencias de email asistida por IA, calentamiento automatizado de buzones y dominios, herramientas de entregabilidad, gestión de listas de prospectos y analíticas de campañas.

Esta Política de Privacidad describe cómo recopilamos, recibimos, usamos, almacenamos, compartimos, transferimos y protegemos los datos personales en relación con su uso del sitio web y la plataforma de FirstSales (en conjunto, el 'Servicio'). Se aplica a todos los visitantes de firstsales.io, a los titulares de cuentas registradas, a los usuarios de prueba y a cualquier persona cuyos datos se procesen a través de nuestra infraestructura.

Respecto a los datos personales de nuestros propios usuarios y visitantes del sitio web, FirstSales actúa como responsable del tratamiento: determinamos los fines y los medios del procesamiento. Respecto a los datos personales que los usuarios suben sobre sus propios prospectos y contactos (listas de destinatarios, datos de enriquecimiento, importaciones de CRM), FirstSales actúa como encargado del tratamiento, operando según las instrucciones del usuario, que es el responsable del tratamiento de esos datos.

Al crear una cuenta, iniciar una prueba o usar cualquier parte del Servicio, usted reconoce que ha leído y comprendido esta Política de Privacidad. Si no está de acuerdo con alguna de sus partes, no debe usar el Servicio.

Recopilamos distintas categorías de datos personales según cómo interactúe con nosotros.

Datos de cuenta y perfil: cuando se registra, recopilamos su nombre, dirección de email y los datos de perfil opcionales que facilite, como el nombre de la empresa, el cargo o el sitio web. Si invita a miembros de su equipo, recopilamos sus direcciones de email para enviar las invitaciones.

Datos de facturación y pago: cuando inicia una suscripción de pago o una prueba de $1, facilita datos de facturación como el nombre del titular de la tarjeta y la información del instrumento de pago. Los pagos los procesan nuestros procesadores de pago externos (actualmente Stripe). No recibimos ni almacenamos el número completo de su tarjeta de crédito, el CVV ni la fecha de caducidad completa en nuestros propios servidores. Recibimos y almacenamos un token de pago, los últimos cuatro dígitos, la marca de la tarjeta y el país de facturación para la gestión de la suscripción y la prevención del fraude.

Datos de buzón y dominio conectados: para enviar email en su nombre, usted autoriza a FirstSales a acceder a su cuenta de email mediante OAuth (Google, Microsoft o proveedores similares) o credenciales SMTP/IMAP. Esto nos otorga acceso para enviar emails desde su dirección, leer el estado de entrega del correo enviado y, cuando habilita el warm-up, intercambiar mensajes de calentamiento dentro de nuestra red. Almacenamos los tokens OAuth (cifrados), su dirección de email, el nombre visible, la identidad del proveedor y la configuración de envío. Accedemos a los metadatos del email (asunto, marca de tiempo, message-id, direcciones de destinatarios) y, en algunos casos, a contenido limitado del cuerpo del email únicamente para ejecutar el warm-up, registrar eventos de apertura y clic, y proporcionar analíticas de entregabilidad.

Datos de prospectos y contactos subidos por los usuarios: puede subir archivos CSV, conectar integraciones de CRM o añadir manualmente registros de contacto que contengan nombres, direcciones de email empresariales, cargos, nombres de empresas, URLs de LinkedIn y otros atributos de prospección. Estos datos le pertenecen. Usted es el responsable del tratamiento y es el único responsable de asegurarse de tener una base legal para procesar y contactar a cada persona.

Datos de uso y producto: recopilamos información sobre cómo utiliza el Servicio, incluidas las páginas visitadas, las funciones activadas, las secuencias creadas, las campañas lanzadas, los emails enviados y rastreados, los eventos de clic y apertura, y la duración de la sesión. Estos datos están vinculados principalmente a su cuenta y no se rastrean entre otros sitios.

Datos de dispositivo y registro: nuestros servidores registran automáticamente su dirección IP, el tipo y la versión del navegador, el sistema operativo, la URL de referencia y las marcas de tiempo cuando interactúa con el Servicio. Estos registros se utilizan para la supervisión de la seguridad, la depuración y la prevención de abusos.

• Cookies y tecnologías similares: usamos cookies esenciales para mantener su sesión de inicio de sesión y la protección CSRF. Podemos usar cookies de analítica para entender el uso agregado del producto. Las cookies de preferencias recuerdan ajustes como la zona horaria y el idioma. Para conocer todos los detalles sobre cookies, tecnologías de rastreo y cómo desactivarlas, consulte nuestra Política de Cookies.

Usamos la información que recopilamos para los siguientes fines:

• Proporcionar y operar el Servicio: autenticarle, ejecutar envíos de email y warm-up en su nombre, gestionar campañas y secuencias, almacenar y mostrar sus listas de prospectos, y ofrecer paneles de analíticas.
• Gestión de cuenta y facturación: procesar suscripciones, activaciones de prueba y renovaciones; comunicar cambios de plan, facturas e incidencias de pago.
• Entregabilidad y warm-up: analizar patrones de envío, señales de reputación, tasas de rebote y entrega en bandeja de entrada para asesorarle y ajustar automáticamente los calendarios de warm-up.
• Generación de contenido asistida por IA: usar el contexto de su campaña (buyer persona objetivo, descripción del producto, preferencias de tono) para generar textos de email personalizados. No entrenamos modelos de IA compartidos con sus datos privados de prospectos ni con el contenido de sus emails sin su consentimiento explícito.
• Atención al cliente: responder a sus solicitudes, resolver incidencias y ofrecer asistencia de incorporación.
• Seguridad y prevención de abusos: detectar cuentas fraudulentas, abuso de spam originado en nuestra plataforma, intentos de acceso no autorizado e infracciones de nuestros Términos del Servicio.
• Obligaciones legales y de cumplimiento: conservar registros según lo exija la legislación aplicable, responder a procesos legales válidos y hacer cumplir nuestros acuerdos.
• Mejora del producto: analizar tendencias de uso agregadas y anonimizadas para mejorar funciones, corregir errores y priorizar la hoja de ruta del producto.

No vendemos sus datos personales, el contenido de su buzón conectado ni sus listas de prospectos a terceros con fines publicitarios.

Si se encuentra en el Espacio Económico Europeo (EEE), el Reino Unido o Suiza, tratamos sus datos personales con base en uno o varios de los siguientes fundamentos jurídicos del Reglamento General de Protección de Datos (GDPR) y la legislación nacional aplicable:

• Contrato (Artículo 6(1)(b)): tratamiento necesario para ejecutar el contrato que tenemos con usted, incluida la operación de su cuenta, la ejecución de los envíos, la gestión de la facturación y la prestación de soporte.
• Intereses legítimos (Artículo 6(1)(f)): tratamiento para nuestros intereses comerciales legítimos cuando dichos intereses no prevalezcan sobre sus derechos, por ejemplo, la detección de fraude, la supervisión de la seguridad, las analíticas de producto, el marketing directo a clientes existentes sobre funciones relacionadas y la mejora de las herramientas de entregabilidad.
• Consentimiento (Artículo 6(1)(a)): cuando nos basamos en su consentimiento, como para las cookies de analítica opcionales o las comunicaciones de marketing dirigidas a prospectos de FirstSales. Puede retirar su consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
• Obligación legal (Artículo 6(1)(c)): tratamiento requerido para cumplir con la legislación aplicable, como la conservación de registros fiscales, la respuesta a órdenes judiciales o las solicitudes regulatorias.

Para las categorías especiales de datos personales (si aparecieran inadvertidamente en las listas de prospectos subidas), solo realizamos el tratamiento con consentimiento explícito o según lo permita la legislación aplicable, y recomendamos encarecidamente a los usuarios que no suban datos de categorías sensibles a través del Servicio.

Cuando conecta un buzón de Google Workspace o Microsoft 365 mediante OAuth, otorga a FirstSales permisos OAuth específicos. Para Google, solicitamos permisos suficientes para enviar email (gmail.send), leer las etiquetas y los metadatos necesarios para el seguimiento de entrega (gmail.readonly o equivalente) y, cuando el warm-up está habilitado, para insertar y gestionar mensajes de calentamiento. No solicitamos acceso a la totalidad de su bandeja de entrada ni a sus contactos más allá de lo necesario para las funciones que active.

Los tokens OAuth se almacenan cifrados en reposo mediante cifrado estándar del sector. Los tokens de acceso se renuevan automáticamente y se almacenan solo mientras su conexión de buzón permanezca activa. Revocar el permiso OAuth desde la configuración de su cuenta de Google o Microsoft invalidará de inmediato nuestro acceso.

• Leemos los metadatos del email (remitente, destinatario, asunto, message-id, marca de tiempo) para correlacionar los mensajes enviados con los eventos de seguimiento de apertura y clic.
• Para el warm-up, nuestro sistema envía y recibe mensajes breves, similares a los humanos, entre las cuentas conectadas de nuestra red de warm-up. Estos mensajes son claramente generados por máquina con fines de calentamiento y no contienen el contenido real de su campaña.
• No leemos, indexamos ni analizamos el contenido completo de los emails de su bandeja de entrada más allá de lo que envía explícitamente a través del Servicio.
• No compartimos, vendemos ni usamos el contenido de su email para publicidad, intermediación de datos ni entrenamiento de modelos de IA compartidos sin su consentimiento explícito.
• Actuamos únicamente según sus instrucciones al acceder a su buzón. Usted sigue siendo responsable de garantizar que su uso de los buzones conectados cumpla con los términos de servicio de su proveedor de email.

Si desconecta un buzón de FirstSales, dejamos de acceder a él de inmediato. Los metadatos conservados (registros de envío, eventos de analítica) vinculados a la actividad histórica de campañas se conservan conforme a nuestra política de retención de datos para preservar los informes de sus campañas.

FirstSales es una herramienta para la prospección de empresa a empresa. Los usuarios suben listas de contactos empresariales —normalmente profesionales de empresas— para ejecutar campañas de cold email. Cuando sube datos de prospectos, usted es el responsable del tratamiento de esos datos y FirstSales actúa como su encargado del tratamiento.

Sus responsabilidades como responsable del tratamiento de los datos de prospectos incluyen:

• Obtener sus contactos por medios legítimos (p. ej., información profesional disponible públicamente, formularios de suscripción, listas adquiridas a proveedores que cumplan la normativa) y confirmar que tiene una base legal para la prospección B2B.
• Garantizar que cada campaña de email contenga una identificación clara del remitente, una línea de asunto veraz y un mecanismo funcional de exclusión o cancelación de suscripción, según lo exijan CAN-SPAM y leyes similares.
• Atender con prontitud las solicitudes de exclusión y supresión. FirstSales ofrece funciones de lista de supresión que está obligado a usar cuando un contacto solicite su eliminación.
• No subir categorías especiales de datos personales (datos de salud, financieros, políticos, biométricos u otros datos sensibles) a la base de datos de prospectos.
• No subir datos para los que no tenga autoridad legal para procesar o enviar email comercial.

FirstSales procesa los datos de prospectos únicamente para ejecutar sus campañas, mostrar los registros en su panel y ofrecer analíticas sobre sus envíos. No cruzamos sus listas de prospectos con las de otros clientes, no vendemos datos de prospectos ni los usamos para ningún fin distinto a la ejecución de la actividad de campaña que nos indique.

Cuando se cierra su cuenta, los datos de prospectos se eliminan conforme a nuestro calendario de retención de datos descrito en la Sección 8.

No vendemos datos personales. Compartimos datos personales únicamente en las circunstancias limitadas que se describen a continuación.

Subencargados y proveedores de servicios: contratamos a empresas externas cuidadosamente seleccionadas para ayudarnos a operar el Servicio. Estos subencargados pueden tratar datos personales en nuestro nombre, pero están obligados contractualmente a usarlos solo para los fines que especificamos y a mantener una seguridad adecuada. Las categorías principales de subencargados incluyen:

• Infraestructura en la nube: servicios de alojamiento y de bases de datos que almacenan datos de cuenta, datos de campañas y registros en entornos de nube seguros.
• Infraestructura de envío de email: servicios de retransmisión SMTP y de entregabilidad que ayudan a enrutar y supervisar el email saliente.
• Procesadores de pago: Stripe (y equivalentes) que gestionan las transacciones con tarjeta de crédito. Estos procesadores cumplen con PCI-DSS.
• Analítica y supervisión de errores: herramientas que recopilan datos agregados de uso del producto y registros de errores de la aplicación para ayudarnos a mejorar la fiabilidad y el rendimiento.
• Herramientas de atención al cliente: plataformas de soporte y chat que utilizamos para responder a sus tickets y preguntas.
• Proveedores de autenticación: proveedores de identidad OAuth (Google, Microsoft) con cuyos servidores de autorización interactúa al conectar buzones.

Divulgaciones legales y de seguridad: podemos divulgar datos personales si así lo exige la ley, la normativa, un proceso legal o una solicitud gubernamental válida (como una orden judicial o una citación). Cuando esté legalmente permitido, le notificaremos antes de aportar datos en respuesta a tal solicitud. También podemos divulgar datos para proteger los derechos, la propiedad o la seguridad de FirstSales, de nuestros usuarios o del público.

Transferencias empresariales: en caso de fusión, adquisición, financiación, reorganización, quiebra o venta de la totalidad o parte de nuestros activos, los datos personales que poseamos podrán transferirse a una entidad sucesora. Le notificaremos de cualquier transferencia de este tipo y de las opciones que pueda tener.

Con su consentimiento: compartiremos sus datos con otros terceros cuando nos lo haya indicado explícitamente, por ejemplo, cuando autorice una integración nativa con su CRM.

Conservamos los datos personales mientras su cuenta esté activa y durante un período definido posterior, o según lo exija la ley.

• Cuentas activas: el perfil de la cuenta, los registros de facturación, los datos de campañas y los metadatos del buzón conectado se conservan durante toda la vida de su cuenta.
• Tras el cierre de la cuenta o la cancelación de la suscripción: conservamos los registros principales de la cuenta y el historial de facturación durante un máximo de 7 años para cumplir con las obligaciones financieras y legales. Los datos de analítica de campañas (métricas agregadas, registros de envío) se conservan durante un máximo de 2 años tras el cierre para la resolución de disputas.
• Datos de prospectos y contactos: se eliminan en un plazo de 90 días tras el cierre de la cuenta, salvo que se solicite una eliminación anterior.
• Tokens OAuth: se revocan y eliminan de inmediato al desconectar el buzón o eliminar la cuenta.
• Registros del servidor y de seguridad: se conservan durante un máximo de 12 meses para la supervisión de la seguridad y la prevención de abusos, y después se eliminan o anonimizan.
• Copias de seguridad: las copias de seguridad cifradas pueden conservar datos durante un máximo de 60 días adicionales más allá del período de retención estándar antes de su purga.

Puede solicitar la eliminación de su cuenta y los datos personales asociados en cualquier momento escribiendo a support@firstsales.io. Procesaremos las solicitudes de eliminación en un plazo de 30 días, con sujeción a cualquier obligación legal de conservar determinados registros.

Proteger sus datos y el acceso a su buzón conectado es fundamental para nuestro producto. Implementamos medidas de seguridad técnicas y organizativas adecuadas a la sensibilidad de los datos que manejamos.

• Cifrado en tránsito: todas las comunicaciones entre su navegador o cliente de email y nuestros servidores usan TLS 1.2 o superior. Los endpoints de la API son exclusivamente HTTPS.
• Cifrado en reposo: las bases de datos, el almacenamiento de objetos y los repositorios de copias de seguridad se cifran en reposo mediante AES-256 o equivalente. Los tokens OAuth y las credenciales SMTP se cifran además en la capa de aplicación antes de su almacenamiento.
• Controles de acceso: el acceso a los sistemas de producción y a los datos de los clientes está restringido al personal autorizado conforme al principio de mínimo privilegio. Todo acceso a producción se registra y se revisa. Usamos autenticación multifactor para el acceso administrativo.
• Gestión de tokens: los tokens OAuth nunca se registran ni se exponen en texto plano. Los tokens de actualización se rotan en cada uso. Almacenamos los permisos mínimos necesarios para cada integración de buzón.
• Gestión de vulnerabilidades: realizamos auditorías de dependencias periódicas, aplicamos parches de seguridad con prontitud y revisamos los cambios de código en busca de implicaciones de seguridad.
• Respuesta a incidentes: mantenemos un plan de respuesta a incidentes. En caso de una vulneración de datos personales, notificaremos a los usuarios afectados y a las autoridades de control pertinentes dentro de los plazos exigidos por la legislación aplicable.

A pesar de nuestras medidas, ningún sistema de transmisión o almacenamiento por internet es 100% seguro. Si sospecha de un acceso no autorizado a su cuenta de FirstSales, póngase en contacto con support@firstsales.io de inmediato y cambie su contraseña y permisos OAuth.

FirstSales opera a nivel mundial y puede tratar sus datos personales en países distintos a su país de residencia. En particular, nuestra infraestructura está alojada principalmente en Estados Unidos. Si se encuentra en el EEE, el Reino Unido o Suiza, sus datos personales pueden transferirse y tratarse en Estados Unidos u otros países que quizá no ofrezcan el mismo nivel de protección de datos que su país de origen.

Cuando transferimos datos personales desde el EEE, el Reino Unido o Suiza a países sin una decisión de adecuación, nos basamos en garantías apropiadas que incluyen:

• Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, incorporadas a nuestros acuerdos con subencargados e importadores de datos.
• El Acuerdo de Transferencia Internacional de Datos (IDTA) del Reino Unido o el anexo a las SCC para las transferencias desde el Reino Unido.
• Evaluaciones de impacto de las transferencias realizadas cuando sea necesario, con medidas técnicas complementarias (cifrado, seudonimización) aplicadas según corresponda.

Al usar el Servicio, usted reconoce que sus datos pueden transferirse internacionalmente como se describe anteriormente. Si tiene preguntas sobre las garantías específicas aplicables a sus datos, póngase en contacto con nosotros en support@firstsales.io.

Según el lugar en el que se encuentre, puede tener determinados derechos sobre sus datos personales. Nos comprometemos a respetar estos derechos con prontitud y sin obstáculos indebidos.

Derechos bajo el GDPR (residentes del EEE, Reino Unido y Suiza):

• Derecho de acceso: puede solicitar una copia de los datos personales que tenemos sobre usted e información sobre cómo los tratamos.
• Derecho de rectificación: puede pedirnos que corrijamos los datos personales inexactos o incompletos.
• Derecho de supresión ('derecho al olvido'): puede solicitar la eliminación de sus datos personales cuando ya no sean necesarios para el fin para el que se recopilaron, cuando retire su consentimiento (y no se aplique otra base legal) o cuando el tratamiento sea ilícito.
• Derecho a la portabilidad de los datos: puede solicitar sus datos personales en un formato estructurado, de uso común y de lectura mecánica para su transferencia a otro responsable, cuando el tratamiento se base en el consentimiento o en un contrato y se realice por medios automatizados.
• Derecho de oposición: puede oponerse al tratamiento basado en nuestros intereses legítimos, incluido el marketing directo. Dejaremos de tratar los datos salvo que demostremos motivos legítimos imperiosos que prevalezcan sobre sus intereses.
• Derecho a la limitación del tratamiento: puede solicitar que limitemos el tratamiento de sus datos en determinadas circunstancias, como mientras se resuelve una disputa sobre su exactitud.
• Derechos relacionados con las decisiones automatizadas: no tomamos decisiones basadas únicamente en medios automatizados que produzcan efectos jurídicos o de relevancia similar sobre usted sin intervención humana.

Derechos bajo CCPA/CPRA (residentes de California):

• Derecho a saber: puede solicitar la divulgación de las categorías y los elementos específicos de información personal que hemos recopilado sobre usted, las fuentes, los fines y los terceros con quienes la compartimos.
• Derecho a eliminar: puede solicitar la eliminación de la información personal que hemos recopilado, con sujeción a determinadas excepciones.
• Derecho a corregir: puede solicitar la corrección de información personal inexacta.
• Derecho a excluirse de la venta o el intercambio: no vendemos ni compartimos información personal para publicidad conductual entre contextos. No se requiere ninguna acción de exclusión, pero puede ponerse en contacto con nosotros para confirmarlo.
• Derecho a la no discriminación: no le discriminaremos por ejercer sus derechos de privacidad.

Cómo ejercer sus derechos: envíe una solicitud a support@firstsales.io con la línea de asunto 'Privacy Rights Request'. Verificaremos su identidad antes de procesar su solicitud y responderemos en un plazo de 30 días (o 45 días cuando esté permitido, previa notificación). No hay coste por una solicitud cada 12 meses.

Privacidad de los menores: el Servicio está destinado exclusivamente a profesionales del ámbito empresarial y no se dirige a menores de 16 años (o la edad de consentimiento digital aplicable en su jurisdicción). No recopilamos a sabiendas datos personales de menores. Si cree que un menor nos ha facilitado datos personales, póngase en contacto con nosotros en support@firstsales.io y los eliminaremos de inmediato.

Cambios en esta política: podemos actualizar esta Política de Privacidad de vez en cuando para reflejar cambios en nuestras prácticas, requisitos legales o funciones del producto. Cuando realicemos cambios sustanciales, se lo notificaremos por email (a la dirección de su cuenta) y mediante un aviso destacado en el producto al menos 14 días antes de que el cambio entre en vigor. La fecha de 'Última actualización' en la parte superior de esta página siempre refleja la fecha de la revisión más reciente. El uso continuado del Servicio tras la fecha de entrada en vigor de una política actualizada constituye su aceptación de los cambios.

Las versiones anteriores de esta Política de Privacidad pueden facilitarse previa solicitud.

Cómo ponerse en contacto con nosotros: si tiene alguna pregunta, inquietud o solicitud relacionada con esta Política de Privacidad o nuestras prácticas de datos, póngase en contacto con nosotros:

• Email: support@firstsales.io
• Línea de asunto para asuntos de privacidad: 'Privacy Inquiry' o 'Privacy Rights Request'
• Procuramos responder a todas las consultas de privacidad en un plazo de 5 días hábiles y atender las solicitudes de derechos en un plazo de 30 días.