Saltar al contenido principal

Legal

Política de privacidad / Privacy Policy

Última actualización: 16 de mayo de 2026

En Impulsa PR (“nosotros”, “nuestro”) respetamos tu privacidad. Esta política explica qué información recolectamos, por qué la usamos, cómo la protegemos, con quién la compartimos y cuáles son tus derechos cuando usas impulsapr.com, nuestros productos — Impulsa CRM (cliente.impulsapr.com) y Lanza(lanza.impulsapr.com) —, nuestros agentes de inteligencia artificial, generadores de anuncios con IA, automatizaciones e integraciones conectadas.

1. Información que recolectamos

Información que tú nos das

  • Nombre, correo electrónico, número de WhatsApp, teléfono, nombre del negocio y datos de contacto cuando llenas un formulario, creas una cuenta o nos contactas.
  • Mensajes y conversaciones que intercambies con nosotros vía WhatsApp, email o formulario.
  • Información del negocio: servicios, precios, horarios, políticas, ubicación, equipo, disponibilidad, clientes, leads, tareas, productos, documentos y configuraciones del bot o CRM.
  • Información de facturación, plan contratado, historial de pagos, depósitos, facturas, recibos y datos necesarios para soporte administrativo.

Información que recolectamos automáticamente

  • Datos de navegación: páginas visitadas, tiempo en sitio, referrer, dispositivo y navegador (vía Vercel Analytics, Google Analytics 4, Meta Pixel).
  • Dirección IP aproximada para análisis geográfico (no la asociamos a tu identidad).
  • Logs técnicos del dashboard, eventos de automatización, errores, estado de webhooks, entregas de mensajes y actividad necesaria para seguridad, soporte y auditoría.

Información de servicios conectados

Cuando conectas herramientas externas, recibimos la información que autorizas expresamente mediante el flujo de conexión correspondiente. Esto puede incluir datos de Google, Meta Business, WhatsApp Business, YCloud, Stripe, proveedores de email, calendarios, almacenamiento de documentos y otras integraciones que actives.

2. Datos de Google que podemos acceder

Si eliges conectar tu cuenta de Google, Impulsa PR solicita permisos OAuth solo para las funciones que activas en el producto. Dependiendo de las integraciones habilitadas, podemos acceder a:

  • Google Sign-In: nombre, correo electrónico, foto de perfil e identificador de cuenta para iniciar sesión y crear tu perfil de usuario.
  • Google Calendar: calendarios autorizados, eventos, disponibilidad, horarios, invitados, ubicaciones, enlaces de Google Meet, recordatorios y cambios necesarios para crear, actualizar, sincronizar o cancelar citas.
  • Gmail o correo de Google: mensajes, hilos, metadatos, destinatarios, asuntos, adjuntos y contenido autorizado, solo cuando actives funciones de correo como seguimiento de leads, respuestas, clasificación, registro en CRM o automatizaciones visibles.
  • Google Drive: archivos, carpetas, nombres, metadatos, permisos y contenido autorizado, solo cuando actives funciones de documentos, base de conocimiento, adjuntos, importación o almacenamiento operativo.
  • Tokens OAuth: tokens de acceso, refresh tokens, scopes, expiración e identificadores técnicos necesarios para mantener activa la integración que autorizaste.

3. Datos de Meta y WhatsApp Business que podemos acceder

Si conectas WhatsApp Business, Meta Business o un proveedor BSP como YCloud, podemos recibir y procesar datos necesarios para operar mensajería, soporte, ventas, citas, automatizaciones y cumplimiento de políticas de WhatsApp Business.

  • Identificadores del Meta Business Portfolio, WhatsApp Business Account, números telefónicos, phone number ID, WABA ID, business ID, perfiles de negocio y estado de verificación.
  • Mensajes enviados y recibidos, remitente, destinatario, timestamps, estado de entrega, errores, conversaciones, adjuntos, botones, plantillas y respuestas interactivas.
  • Plantillas de mensajes, nombres, idiomas, categorías, estado de aprobación, calidad, límites, webhooks y eventos técnicos de mensajería.
  • Datos necesarios para opt-in, opt-out, bloqueos, preferencias de contacto, historial de consentimiento y cumplimiento de solicitudes de baja.
  • Logs y metadatos técnicos necesarios para diagnosticar errores, prevenir abuso, demostrar cumplimiento, responder soporte y mantener calidad de mensajería.

Estos datos se usan para enviar y recibir mensajes autorizados, responder clientes, registrar conversaciones en el CRM, disparar automatizaciones, respetar preferencias de contacto, manejar plantillas, monitorear entregas y cumplir las políticas de Meta, WhatsApp y proveedores conectados.

4. Datos de Stripe y Stripe Connect que podemos acceder

Si conectas Stripe o Stripe Connect, podemos recibir y procesar datos necesarios para operar pagos, depósitos, suscripciones, checkout, conciliación, soporte, facturación y automatizaciones relacionadas.

  • Identificadores de cuenta conectada, estado de onboarding, capacidades, requisitos pendientes, información pública del negocio y configuración de pagos.
  • Eventos de checkout, payment intents, sesiones, recibos, facturas, suscripciones, depósitos, reembolsos, disputas, contracargos, transferencias, balances, payouts y application fees cuando aplique.
  • Datos limitados de clientes y transacciones, como nombre, email, teléfono, monto, moneda, estado de pago, descripción, metadata y referencias internas del CRM.
  • Tokens, account IDs, webhook events y credenciales técnicas necesarias para mantener activa la integración de pagos.

No almacenamos números completos de tarjeta ni códigos de seguridad. Esa información es procesada por Stripe. Stripe puede recolectar información adicional directamente para verificación de identidad, riesgo, cumplimiento financiero, prevención de fraude, impuestos y obligaciones regulatorias.

4.1 Lanza: datos de plataformas publicitarias

Lanza (lanza.impulsapr.com) es nuestro producto de creación y publicación de anuncios con inteligencia artificial. Si usas Lanza y conectas tus cuentas publicitarias mediante OAuth, podemos recibir y procesar datos necesarios para crear, publicar, monitorear y reportar campañas.

Meta Marketing API (Facebook + Instagram Ads)

  • Identificadores de Meta Business Portfolio, ad account IDs, Facebook Pages, Instagram business profiles, pixel IDs y assets relacionados que conectes.
  • Información de campañas, ad sets y ads: nombres, objetivos, presupuestos, targeting, creatividades, fechas, estados de revisión, política de Meta y eventos de aprobación o rechazo.
  • Métricas de performance: impresiones, clicks, CTR, CPM, CPC, conversiones, ROAS, alcance, frecuencia, costo por resultado y eventos atribuibles según la configuración del pixel y CAPI.
  • Datos de Pages que autorices: nombre, foto, posts publicados por Lanza, engagement asociado, mensajes recibidos y métricas básicas necesarias para reportes.
  • Tokens OAuth de Meta (access tokens, refresh tokens cuando aplique, scopes autorizados, expiración) cifrados en reposo con AES-256.

Los permisos solicitados se limitan a los necesarios para las funciones que actives: ads_management, ads_read, business_management, pages_show_list y pages_read_engagement. No solicitamos permisos sin uso visible en el producto.

Google Ads API (cuando esté disponible)

Lanza planea integrar Google Ads en 2026 Q3. Cuando esté disponible, podremos acceder a customer IDs, campaign IDs, ad groups, keywords, presupuestos, status, métricas de performance, conversiones y reportes, siempre limitados a los permisos OAuth que aceptes y al uso visible del producto.

TikTok Marketing API (cuando esté disponible)

Lanza planea integrar TikTok Ads. Cuando esté disponible, podremos acceder a advertiser IDs, campañas, ad groups, ads, creatividades, métricas, reportes y eventos según los permisos OAuth que aceptes. Los datos de TikTok se procesan bajo las mismas reglas de Limited Use que aplicamos a Google.

Briefs y contenido que tú nos das

  • Descripción del negocio, ofertas, productos, audiencias, URLs de landing, presupuestos y objetivos de campaña que ingresas en el creador de anuncios.
  • Activos de marca: logos, imágenes de referencia, paleta de colores, voz de marca, ejemplos previos.
  • Edits, regeneraciones y feedback que envías sobre los outputs (signal usado solo para mejorar tu propia experiencia, no entrenamos modelos generales con esto).

4.2 Inteligencia artificial generativa (OpenAI, Anthropic)

Tanto Impulsa CRM como Lanza usan modelos de IA generativa de terceros para producir contenido (texto, imágenes, resúmenes, clasificaciones, respuestas a clientes). Los proveedores principales son:

  • Anthropic Claude(Sonnet 4.6 y modelos equivalentes) — genera copy de anuncios, respuestas del bot de WhatsApp, resúmenes de conversaciones y clasificaciones de leads. Política de Anthropic: anthropic.com/legal/privacy.
  • OpenAI(modelo gpt-image-1) — genera las imágenes de los anuncios de Lanza en formatos 4:5 y 1:1. Política de OpenAI: openai.com/policies/privacy-policy. OpenAI ha confirmado que los datos enviados por API no se usan para entrenar modelos.

Qué se envía a los proveedores de IA

  • El brief y los prompts que tú generas explícitamente desde el dashboard.
  • Contenido del negocio relevante para la tarea (nombre, oferta, tono de marca) cuando lo activas.
  • Mensajes entrantes del bot WhatsApp cuando autorizas respuestas automáticas con IA.

Qué NO se envía

  • Datos crudos de Google Workspace (Gmail, Drive, Calendar) — cumplimos Google Limited Use y no usamos esos datos para entrenar modelos generales.
  • Información financiera de Stripe (números de tarjeta, balances completos, payouts).
  • Tokens OAuth de ningún proveedor.
  • Información de salud, identificación gubernamental, contraseñas u otros datos sensibles que no sean estrictamente necesarios para la tarea.

Right of publicity, deepfakes y suplantación

Lanza prohíbe explícitamente la generación de imágenes que imiten la apariencia de personas reales sin consentimiento verificable. Esto incluye celebridades, figuras públicas, políticos y particulares. El usuario es responsable de los prompts que introduce y declara tener autorización (model release) cuando genera contenido basado en personas reales. La violación de esta política puede resultar en suspensión inmediata sin reembolso.

Naturaleza probabilística (“alucinaciones”)

Los modelos de IA pueden generar contenido incorrecto, inexacto o ficticio (“alucinaciones”). Es responsabilidad del usuario revisar, editar y aprobar el contenido antes de publicarlo. No garantizamos veracidad, legalidad ni efectividad comercial del contenido generado.

5. Cómo usamos tu información

  • Para crear y administrar tu cuenta, autenticar usuarios y proteger el acceso al dashboard.
  • Para operar el CRM: leads, clientes, conversaciones, pipeline, tareas, citas, reportes y actividad comercial.
  • Para ejecutar automatizaciones autorizadas, como responder mensajes, agendar citas, crear enlaces de Meet, enviar recordatorios, cobrar depósitos, actualizar pipelines o enviar notificaciones.
  • Para conectar y sincronizar Google Calendar, Gmail, Google Drive, Meta Business, WhatsApp, Stripe, email y otras integraciones que habilites.
  • Para responder a tus consultas, dar soporte, investigar errores, prevenir abuso y mantener la seguridad.
  • Para mejorar nuestro sitio web, dashboard, automatizaciones y experiencia de usuario.
  • Para enviarte comunicaciones comerciales relacionadas con servicios que solicitaste. Puedes optar por no recibirlas en cualquier momento.
  • Para cumplir con obligaciones legales, fiscales, contractuales, regulatorias o de seguridad.

6. Uso limitado de datos de Google

El uso y transferencia de información recibida desde las APIs de Google por parte de Impulsa PR cumple con la Política de Datos de Usuario de los Servicios API de Google, incluyendo los requisitos de Uso Limitado.

  • Usamos datos de Google solo para proporcionar o mejorar funciones visibles para el usuario dentro de Impulsa PR.
  • No vendemos datos de Google ni los transferimos a plataformas de publicidad, data brokers o revendedores de información.
  • No usamos datos de Google para publicidad personalizada, retargeting, scoring crediticio o decisiones de préstamos.
  • No usamos datos de Google Workspace para entrenar modelos generales de inteligencia artificial propios o de terceros.
  • Cuando usamos proveedores técnicos, incluyendo proveedores de infraestructura o IA, lo hacemos solo para prestar funciones que activaste, como resumir conversaciones, clasificar leads, generar respuestas, consultar disponibilidad o procesar documentos autorizados.
  • El acceso humano a datos de Google se limita a soporte autorizado, investigación de errores, seguridad, cumplimiento legal o cuando nos das permiso explícito.

7. Compartir información con terceros

No vendemos tu información personal. Compartimos información solo cuando es necesario para operar el servicio, cumplir la ley, proteger derechos o ejecutar integraciones que tú autorizas.

  • Vercel — hosting, infraestructura, analytics y rendimiento.
  • Supabase u otros proveedores de base de datos — almacenamiento de datos del CRM, usuarios, logs y configuraciones.
  • Google — autenticación, Calendar, Gmail, Drive, Analytics, Ads o servicios que conectes o aceptes.
  • Meta y WhatsApp Business API — comunicaciones con clientes, perfiles de negocio, plantillas, calidad de mensajería, políticas y entrega de mensajes.
  • YCloud u otros BSP/proveedores de mensajería — envío, recepción, webhooks, estado de mensajes, plantillas, errores y soporte técnico de WhatsApp Business Platform.
  • Stripe y Stripe Connect — onboarding, cuentas conectadas, suscripciones, depósitos, checkout, facturación, recibos, disputas, payouts, transferencias, fees y procesamiento de pagos.
  • Anthropic Claude — generación de copy de anuncios, respuestas del bot WhatsApp, resúmenes, clasificaciones y razonamiento. Los datos enviados por API no se usan para entrenar modelos.
  • OpenAI — generación de imágenes para anuncios (gpt-image-1) cuando usas Lanza. Los datos enviados por API no se usan para entrenar modelos.
  • Meta Marketing API — publicación de campañas, ad sets, ads, lectura de métricas y eventos del pixel cuando usas Lanza.
  • Google Ads / TikTok Marketing — cuando estén disponibles, publicación y reporte de campañas en esos canales.
  • Proveedores de email, monitoreo, seguridad y soporte — envío de correos, diagnóstico, prevención de abuso, logs y atención al cliente.

Cada proveedor opera bajo sus propios términos y políticas de privacidad. Les compartimos solo la información necesaria para prestar el servicio correspondiente.

8. Cookies y consentimiento

Cuando visitas nuestro sitio por primera vez te mostramos un banner de cookies. Tu decisión se guarda en una cookie llamada impulsapr_consent durante 12 meses. Puedes cambiar tus preferencias en cualquier momento limpiando las cookies de este sitio en tu navegador.

Usamos tres categorías de cookies:

Necesarias (siempre activas)

  • impulsapr_consent — guarda tu decisión sobre las otras categorías. Sin esto te volvemos a preguntar en cada visita.
  • Cookies de sesión y tokens CSRF si te logueas a la app — necesarios para la seguridad.
  • Preferencia de idioma (ES/EN).

Estas no te identifican individualmente y no se pueden desactivar porque el sitio dejaría de funcionar correctamente.

Analytics (opcional)

  • Google Analytics 4 — métricas anónimas de uso (páginas vistas, duración, eventos). Cookies _ga, _ga_* con expiry 24 meses. Política de Google.
  • Vercel Analytics — pageviews y Web Vitals, anonymized. Sin cookies persistentes.

Marketing (opcional)

  • Meta Pixel — atribución de campañas de Facebook/Instagram. Cookies _fbp, fr. Política de Meta.
  • Google Ads (cuando esté activo) — conversion tracking y remarketing. Usa Google Consent Mode v2 — si rechazas, las conversiones se estiman sin trackearte individualmente.

Hasta que aceptes Analytics o Marketing, esos scripts NO te trackean. Default es “denied” en Google Consent Mode v2 y “revoke” en Meta Pixel. Puedes verificarlo en las herramientas de desarrollador de tu navegador (Application → Cookies).

9. Tus derechos y controles

Tienes derecho a:

  • Solicitar acceso a la información personal que tenemos sobre ti.
  • Solicitar corrección o eliminación de tus datos.
  • Retirar consentimiento para procesamiento de datos en cualquier momento.
  • Solicitar exportación de datos de tu negocio en formato razonable cuando sea técnicamente posible.
  • Solicitar desconexión o eliminación de integraciones conectadas.
  • Solicitar que dejemos de enviar mensajes por WhatsApp, email u otros canales cuando aplique.
  • Presentar una queja ante la autoridad de protección de datos correspondiente.

Para ejercer estos derechos, escríbenos a info@impulsapr.com o por WhatsApp al 939-905-2410. Respondemos en un máximo de 30 días.

10. Cómo revocar accesos de Google

Puedes revocar los permisos de Google en cualquier momento desde tu cuenta de Google, desde el dashboard si la opción está disponible, o escribiéndonos a soporte. También puedes visitar la página de seguridad de Google para administrar apps conectadas:

https://myaccount.google.com/permissions

Si revocas el acceso, las funciones dependientes de Google pueden dejar de funcionar, incluyendo login, sincronización de calendario, creación de Meet, correo, Drive o automatizaciones conectadas.

11. Cómo desconectar Meta, WhatsApp o Stripe

Puedes solicitar la desconexión de Meta Business, WhatsApp Business, YCloud, Stripe o Stripe Connect desde el dashboard cuando la función esté disponible, desde las herramientas del proveedor correspondiente o escribiéndonos a soporte. Si desconectas una integración, las funciones asociadas pueden dejar de operar, incluyendo mensajes, plantillas, webhooks, pagos, depósitos, conciliación, citas o automatizaciones.

Algunas plataformas conservan datos en sus propios sistemas de acuerdo con sus políticas, obligaciones legales, antifraude, cumplimiento financiero, seguridad o historial operativo. También podemos conservar logs mínimos necesarios para auditoría, seguridad, facturación, defensa legal o resolución de disputas.

12. Solicitudes de eliminación de datos

12.1 Eliminación general (cualquier integración)

Puedes solicitar eliminación de datos escribiendo a info@impulsapr.com. Para proteger tu cuenta, podemos pedirte que escribas desde el correo registrado, confirmes el nombre del negocio, indiques qué cuenta o integración quieres eliminar y completes pasos razonables de verificación.

Procesamos solicitudes de eliminación dentro de un plazo razonable y, cuando aplique, en un máximo de 30 días. Podemos conservar información limitada cuando sea necesaria para seguridad, prevención de fraude, facturación, impuestos, cumplimiento legal, resolución de disputas, copias de seguridad o defensa de reclamos.

12.2 Eliminación específica para usuarios de Meta (Facebook / Instagram)

Si conectaste tu cuenta de Meta (Facebook, Instagram, Meta Business) a Lanza y quieres eliminar tus datos, tienes tres caminos:

  1. Desconexión desde Meta: ve a facebook.com/settings → Business Integrations (o, en Instagram, Configuración → Apps y sitios web). Localiza “Lanza by Impulsa PR” y quita el acceso. Meta enviará automáticamente una solicitud de eliminación a nuestro endpoint https://lanza.impulsapr.com/api/meta/data-deletion-callback, donde eliminaremos tokens OAuth, identificadores de ad accounts/pages, y cache de métricas asociado a tu cuenta en 30 días o menos.
  2. Desconexión desde Lanza: entra a lanza.impulsapr.com/connections/meta y haz clic en “Desconectar Meta”. Borramos tokens y datos asociados inmediatamente.
  3. Solicitud por correo: escribe a info@impulsapr.comcon asunto “Eliminación de datos Meta”. Incluye el correo registrado y el nombre del Business Manager.

Por cumplimiento de la Plataforma de Desarrolladores de Meta, Lanza tiene un Data Deletion Callback URL público: https://lanza.impulsapr.com/api/meta/data-deletion-callback. Meta lo invoca automáticamente cuando un usuario revoca la app, y devolvemos un confirmation_code rastreable. Esta URL está registrada en el dashboard de la app Meta de Lanza.

Qué se elimina: tokens OAuth de Meta (access + refresh tokens), identificadores de ad accounts, page IDs, pixel IDs, business manager IDs, cache de campañas, métricas almacenadas, mensajes de Page recibidos vía webhook (si aplica), historial de generaciones donde el contenido se publicó a esa cuenta de Meta.

Qué podemos conservar (limitado): logs de transacciones financieras (Stripe) requeridos por ley fiscal, registros de auditoría de seguridad anonimizados, evidencia mínima para defensa legal si hay disputa abierta. Nunca conservamos contenido generado para fines comerciales propios.

13. Retención de datos

Conservamos tus datos solo el tiempo necesario para cumplir los fines descritos, operar el servicio, resolver soporte, cumplir obligaciones legales, prevenir abuso y mantener registros razonables de negocio. Los datos de clientes activos se conservan durante la vigencia de la relación comercial y por el periodo necesario después de terminada, salvo que solicites eliminación y no exista obligación legal o técnica que requiera conservarlos.

Tokens OAuth y datos de integraciones conectadas se eliminan o desactivan cuando revocas el acceso, desconectas la integración, cancelas el servicio o solicitas eliminación, sujeto a copias de seguridad, logs de seguridad, obligaciones legales y tiempos técnicos razonables.

14. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tu información, incluyendo uso de HTTPS, controles de acceso, permisos por usuario, separación de datos por cliente, monitoreo, registros de actividad y prácticas de seguridad para credenciales e integraciones. Sin embargo, ningún sistema en internet es 100% seguro y no podemos garantizar seguridad absoluta.

15. Transferencias internacionales

Podemos procesar y almacenar información en Estados Unidos u otros países donde operen nuestros proveedores de infraestructura, pagos, mensajería, analítica, inteligencia artificial o soporte. Al usar nuestros servicios, aceptas que tu información pueda ser transferida y procesada fuera de tu jurisdicción, de acuerdo con esta política y la ley aplicable.

16. Menores de edad

Nuestros servicios están dirigidos a empresas y personas mayores de 18 años. No recolectamos a sabiendas información de menores.

17. Cambios a esta política

Podemos actualizar esta política. Cualquier cambio será publicado aquí con la fecha de actualización. Si los cambios son significativos, te notificaremos por email cuando aplique.

18. Contacto

¿Preguntas sobre esta política, solicitudes de privacidad, eliminación de datos o revocación de accesos? Escríbenos a info@impulsapr.com o WhatsApp 939-905-2410.

English version: 1. Information we collect

Information you provide

  • Name, email address, WhatsApp number, phone number, business name, and contact details when you submit a form, create an account, or contact us.
  • Messages and conversations exchanged with us through WhatsApp, email, forms, or the dashboard.
  • Business information such as services, prices, hours, policies, location, team, availability, customers, leads, tasks, products, documents, and CRM or bot settings.
  • Billing information, plan, payment history, deposits, invoices, receipts, and data needed for administrative support.

Information collected automatically

  • Navigation data such as visited pages, time on site, referrer, device, and browser through Vercel Analytics, Google Analytics 4, and Meta Pixel.
  • Approximate IP address for geographic analysis and security.
  • Technical logs, automation events, errors, webhook status, message delivery status, and activity needed for support, security, and auditing.

Information from connected services

When you connect external tools, we receive the information you expressly authorize through the relevant connection flow. This may include data from Google, Meta Business, WhatsApp Business, YCloud, Stripe, email providers, calendars, document storage, and other integrations you enable.

2. Google data we may access

If you connect your Google account, Impulsa PR requests OAuth permissions only for the product features you enable. Depending on enabled integrations, we may access:

  • Google Sign-In: name, email address, profile photo, and account identifier to sign you in and create your user profile.
  • Google Calendar: authorized calendars, events, availability, times, attendees, locations, Google Meet links, reminders, and changes needed to create, update, sync, or cancel appointments.
  • Gmail or Google email: messages, threads, metadata, recipients, subjects, attachments, and authorized content only when you enable email follow-up, CRM logging, lead replies, classification, or visible automations.
  • Google Drive: files, folders, names, metadata, permissions, and authorized content only when you enable document, knowledge base, attachment, import, or operational storage features.
  • OAuth tokens: access tokens, refresh tokens, scopes, expiration, and technical identifiers required to keep the integration active.

3. Meta and WhatsApp Business data we may access

If you connect WhatsApp Business, Meta Business, or a BSP such as YCloud, we may receive and process data needed to operate messaging, support, sales, appointments, automations, and WhatsApp Business policy compliance.

  • Meta Business Portfolio, WhatsApp Business Account, phone number, phone number ID, WABA ID, business ID, business profile, and verification status.
  • Sent and received messages, sender, recipient, timestamps, delivery status, errors, conversations, attachments, buttons, templates, and interactive replies.
  • Message templates, names, languages, categories, approval status, quality status, limits, webhooks, and messaging technical events.
  • Opt-in, opt-out, blocking, contact preferences, consent records, and unsubscribe compliance data.
  • Logs and metadata required to diagnose errors, prevent abuse, demonstrate compliance, provide support, and maintain messaging quality.

4. Stripe and Stripe Connect data we may access

If you connect Stripe or Stripe Connect, we may receive and process data needed to operate payments, deposits, subscriptions, checkout, reconciliation, support, billing, and related automations.

  • Connected account identifiers, onboarding status, capabilities, pending requirements, public business information, and payment configuration.
  • Checkout events, payment intents, sessions, receipts, invoices, subscriptions, deposits, refunds, disputes, chargebacks, transfers, balances, payouts, and application fees when applicable.
  • Limited customer and transaction data such as name, email, phone, amount, currency, payment status, description, metadata, and CRM references.
  • Tokens, account IDs, webhook events, and technical credentials required to keep the payment integration active.

We do not store full card numbers or security codes. Stripe processes card information and may collect additional data directly for identity verification, risk, financial compliance, fraud prevention, taxes, and regulatory obligations.

4.1 Lanza: advertising platform data

Lanza (lanza.impulsapr.com) is our AI-powered ad creation and publishing product. If you use Lanza and connect ad accounts via OAuth, we may receive and process data needed to create, publish, monitor, and report on campaigns.

Meta Marketing API (Facebook + Instagram Ads)

  • Meta Business Portfolio IDs, ad account IDs, Facebook Pages, Instagram business profiles, pixel IDs, and related connected assets.
  • Campaign, ad set, and ad information: names, objectives, budgets, targeting, creatives, dates, review status, Meta policy events, and approval or rejection notifications.
  • Performance metrics: impressions, clicks, CTR, CPM, CPC, conversions, ROAS, reach, frequency, cost per result, and attributable events from pixel and CAPI configuration.
  • Page data you authorize: name, photo, posts published by Lanza, related engagement, received messages, and basic metrics required for reports.
  • Meta OAuth tokens (access tokens, refresh tokens when applicable, authorized scopes, expiration) encrypted at rest with AES-256.

Requested permissions are limited to those needed for features you enable: ads_management, ads_read, business_management, pages_show_list, and pages_read_engagement. We do not request permissions without visible product use.

Google Ads API (when available)

Lanza plans to integrate Google Ads in 2026 Q3. When available, we may access customer IDs, campaign IDs, ad groups, keywords, budgets, status, performance metrics, conversions, and reports, always limited to the OAuth permissions you approve and visible product use.

TikTok Marketing API (when available)

Lanza plans to integrate TikTok Ads. When available, we may access advertiser IDs, campaigns, ad groups, ads, creatives, metrics, reports, and events according to the OAuth permissions you authorize. TikTok data is handled under the same Limited Use rules we apply to Google.

Briefs and content you provide

  • Business description, offers, products, audiences, landing URLs, budgets, and campaign objectives you enter into the ad creator.
  • Brand assets: logos, reference images, color palette, brand voice, prior examples.
  • Edits, regenerations, and feedback on outputs (used only to improve your own experience — we do not train general models with this).

4.2 Generative AI (OpenAI, Anthropic)

Both Impulsa CRM and Lanza use third-party generative AI models to produce content (text, images, summaries, classifications, customer replies). The primary providers are:

  • Anthropic Claude(Sonnet 4.6 and equivalent models) — generates ad copy, WhatsApp bot replies, conversation summaries, and lead classifications. Anthropic policy: anthropic.com/legal/privacy.
  • OpenAI(gpt-image-1 model) — generates Lanza ad images in 4:5 and 1:1 formats. OpenAI policy: openai.com/policies/privacy-policy. OpenAI confirms that data sent via API is not used to train models.

What we send to AI providers

  • The brief and prompts you explicitly generate from the dashboard.
  • Business content relevant to the task (name, offer, brand tone) when you enable it.
  • Inbound WhatsApp bot messages when you authorize AI auto-replies.

What we do NOT send

  • Raw Google Workspace data (Gmail, Drive, Calendar) — we comply with Google Limited Use and do not use that data to train general models.
  • Stripe financial information (full card numbers, full balances, payouts).
  • OAuth tokens from any provider.
  • Health information, government IDs, passwords, or other sensitive data unless strictly necessary for the task.

Right of publicity, deepfakes, and impersonation

Lanza explicitly prohibits generating images that mimic the appearance of real people without verifiable consent. This includes celebrities, public figures, politicians, and private individuals. The user is responsible for the prompts they enter and declares they have authorization (model release) when generating content based on real people. Violation may result in immediate suspension without refund.

Probabilistic nature (“hallucinations”)

AI models may generate incorrect, inaccurate, or fictional content (“hallucinations”). It is the user's responsibility to review, edit, and approve content before publishing. We do not guarantee accuracy, legality, or commercial effectiveness of generated content.

5. How we use your information

  • To create and administer your account, authenticate users, and protect dashboard access.
  • To operate CRM features: leads, customers, conversations, pipeline, tasks, appointments, reports, and business activity.
  • To run authorized automations such as replying to messages, scheduling appointments, creating Meet links, sending reminders, collecting deposits, updating pipelines, or sending notifications.
  • To connect and sync Google Calendar, Gmail, Google Drive, Meta Business, WhatsApp, Stripe, email, and other integrations you enable.
  • To provide support, investigate errors, prevent abuse, maintain security, improve the product, and comply with legal or contractual obligations.

6. Limited Use of Google user data

Impulsa PR's use and transfer of information received from Google APIs complies with the Google API Services User Data Policy, including Limited Use requirements.

  • We use Google data only to provide or improve user-facing features inside Impulsa PR.
  • We do not sell Google data or transfer it to advertising platforms, data brokers, or information resellers.
  • We do not use Google data for personalized advertising, retargeting, credit scoring, or lending decisions.
  • We do not use Google Workspace data to train general AI models owned by us or third parties.
  • Human access is limited to authorized support, troubleshooting, security, legal compliance, or explicit user permission.

7. Sharing information with third parties

We do not sell personal information. We share information only when needed to operate the service, comply with law, protect rights, or run integrations you authorize.

  • Vercel for hosting, infrastructure, analytics, and performance.
  • Supabase or database providers for CRM data, users, logs, and settings.
  • Google for authentication, Calendar, Gmail, Drive, Analytics, Ads, or connected Google services.
  • Meta and WhatsApp Business API for customer communications, business profiles, templates, messaging quality, policies, and delivery.
  • YCloud or other BSPs for sending, receiving, webhooks, message status, templates, errors, and WhatsApp Business Platform support.
  • Stripe and Stripe Connect for onboarding, connected accounts, subscriptions, deposits, checkout, billing, receipts, disputes, payouts, transfers, fees, and payment processing.
  • Anthropic Claude for ad copy generation, WhatsApp bot replies, summaries, classifications, and reasoning. Data sent via API is not used to train models.
  • OpenAI for ad image generation (gpt-image-1) when you use Lanza. Data sent via API is not used to train models.
  • Meta Marketing API for campaign publishing, ad sets, ads, metrics, and pixel events when you use Lanza.
  • Google Ads / TikTok Marketing when available, for campaign publishing and reporting on those channels.
  • Email, monitoring, security, and support providers for visible product functions and operational support.

8. Cookies and consent

We use necessary cookies, optional analytics cookies, and optional marketing cookies. Until you accept Analytics or Marketing, those optional scripts do not track you. Google Consent Mode defaults to “denied” and Meta Pixel defaults to “revoke” until consent is granted.

9. Your rights and controls

  • Request access to personal information we have about you.
  • Request correction or deletion of your data.
  • Withdraw consent at any time.
  • Request export of business data when technically reasonable.
  • Request disconnection or deletion of connected integrations.
  • Ask us to stop sending WhatsApp, email, or other messages when applicable.

To exercise these rights, contact info@impulsapr.com. We respond within a maximum of 30 days.

10. How to revoke Google access

You may revoke Google permissions at any time from your Google Account, from the dashboard when available, or by contacting support. You may also manage connected apps at https://myaccount.google.com/permissions. Revoking access may disable login, calendar sync, Meet creation, email, Drive, or connected automations.

11. How to disconnect Meta, WhatsApp, or Stripe

You may request disconnection of Meta Business, WhatsApp Business, YCloud, Stripe, or Stripe Connect from the dashboard when available, through the provider's own tools, or by contacting support. Disconnecting an integration may stop messaging, templates, webhooks, payments, deposits, reconciliation, appointments, or automations.

12. Data deletion requests

12.1 General deletion (any integration)

You may request deletion of data by emailing info@impulsapr.com. To protect your account, we may ask you to write from the registered email, confirm the business name, identify the account or integration to delete, and complete reasonable verification steps.

We process deletion requests within a reasonable period and, when applicable, within 30 days. We may keep limited information when necessary for security, fraud prevention, billing, taxes, legal compliance, dispute resolution, backups, or defense of claims.

12.2 Meta-specific deletion (Facebook / Instagram users)

If you connected your Meta account (Facebook, Instagram, Meta Business) to Lanza and want to delete your data, you have three paths:

  1. Disconnect from Meta: go to facebook.com/settings → Business Integrations (or, on Instagram, Settings → Apps and Websites). Find “Lanza by Impulsa PR” and remove access. Meta will automatically send a deletion request to our endpoint https://lanza.impulsapr.com/api/meta/data-deletion-callback, where we delete OAuth tokens, ad account/page identifiers, and associated metric cache within 30 days or less.
  2. Disconnect from Lanza: go to lanza.impulsapr.com/connections/meta and click “Disconnect Meta”. We delete tokens and associated data immediately.
  3. Email request: write to info@impulsapr.comwith subject “Meta data deletion”. Include the registered email and Business Manager name.

For compliance with Meta's Developer Platform Policy, Lanza maintains a public Data Deletion Callback URL: https://lanza.impulsapr.com/api/meta/data-deletion-callback. Meta automatically invokes it when a user revokes the app, and we return a traceable confirmation_code. This URL is registered in the Lanza Meta App dashboard.

What gets deleted: Meta OAuth tokens (access + refresh tokens), ad account identifiers, page IDs, pixel IDs, business manager IDs, campaign cache, stored metrics, Page messages received via webhook (if applicable), generation history where content was published to that Meta account.

What we may retain (limited): Stripe financial transaction logs required by tax law, anonymized security audit records, minimum evidence for legal defense if there is an open dispute. We never retain generated content for our own commercial purposes.

13. Data retention

We keep data only as long as needed to operate the service, provide support, comply with legal obligations, prevent abuse, and maintain reasonable business records. OAuth tokens and connected integration data are removed or disabled when access is revoked, an integration is disconnected, service is cancelled, or deletion is requested, subject to backups, security logs, legal obligations, and reasonable technical timelines.

14. Security

We apply reasonable technical and organizational measures, including HTTPS, access controls, user permissions, customer data separation, monitoring, activity records, and security practices for credentials and integrations. No internet system is 100% secure.

15. International transfers

We may process and store information in the United States or other countries where our infrastructure, payment, messaging, analytics, AI, or support providers operate.

16. Minors

Our services are intended for businesses and people over 18. We do not knowingly collect information from minors.

17. Changes to this policy

We may update this policy. Changes will be published here with the updated date. If changes are material, we will notify you by email when applicable.

18. Contact

Privacy requests, data deletion, or integration revocation: info@impulsapr.com or WhatsApp 939-905-2410.

Impulsa PR · San Juan, Puerto Rico