1. Responsable del Tratamiento
Merchito AI Merchandising (en adelante, “Merchito”, “la Plataforma” o “nosotros”) es una marca comercial operada y facturada por JADSA SAS, sociedad constituida en la República del Ecuador, con operaciones en Quito y Guayaquil. La Plataforma es accesible a través de merchito360.com y sus subdominios.
Esta Política de Privacidad cumple con lo establecido en la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador (Registro Oficial Suplemento No. 459, 26 de mayo de 2021) y su Reglamento General, así como con normativas internacionales aplicables (GDPR cuando corresponda a usuarios europeos, CCPA para usuarios de California y legislación equivalente).
Al usar la Plataforma, el Usuario acepta las prácticas descritas en este documento. Si no está de acuerdo con alguna disposición, deberá abstenerse de usar los servicios de Merchito.
2. Qué es Merchito y qué datos procesa
Merchito es una plataforma SaaS de merchandising premium con un stack completo de inteligencia artificial, orientada a dos segmentos:
- Empresas: marcas que necesitan merch corporativo premium para campañas de fidelización, eventos, welcome kits y regalos.
- Creadores y marcas personales: personas naturales, creadores de contenido, influencers y emprendedores que desean desarrollar, producir y escalar su propia línea de moda, accesorios o merch de autor usando la plataforma.
A través de sus módulos, la Plataforma puede recopilar y procesar datos para las siguientes funcionalidades:
- AI Studio: generación de mockups visuales de productos personalizados a partir del logo del Usuario.
- Catálogo de productos: exploración y cotización de productos premium.
- Fábrica de Contenido: generación y publicación de contenido optimizado para seis redes sociales (Instagram, TikTok, Facebook, LinkedIn, X, YouTube).
- Generación de videos: producción de reels, shorts y anuncios con locución sintética.
- Campañas de email: envío de comunicaciones transaccionales y promocionales.
- CRM integrado: gestión de leads, empresas registradas y aplicaciones de proveedores.
- Analítica interna: métricas de uso para mejorar la Plataforma.
3. Datos Personales que Recopilamos
De conformidad con el artículo 4 de la LOPDP, recopilamos las siguientes categorías de datos personales:
3.1 Datos proporcionados directamente por el Usuario
- Nombre completo del Usuario o su representante legal.
- Correo electrónico personal o corporativo.
- Número telefónico o WhatsApp.
- Razón social, RUC o cédula, dirección fiscal.
- Ciudad, provincia y país.
- Industria, cargo y tamaño estimado del negocio.
- Credenciales de acceso (cifradas mediante hashing).
3.2 Datos recopilados automáticamente
- Dirección IP, país y región aproximada de conexión.
- Tipo de navegador, sistema operativo y dispositivo.
- Páginas visitadas, tiempo de permanencia y eventos de interacción.
- Identificadores de sesión y cookies técnicas.
- Tokens de autenticación JWT.
3.3 Contenido procesado por IA
- Logos, imágenes de marca y fotografías de productos subidos al AI Studio.
- Briefs, instrucciones y conversaciones con el asistente de diseño.
- Mockups, imágenes, videos y piezas de contenido generados durante las sesiones.
- Textos, guiones y copies creados por la Fábrica de Contenido.
- Locuciones sintéticas generadas para videos y reels.
3.4 Datos de proveedores (programa B2B)
- RUC, nombre comercial, categorías de producto, años de experiencia, stock mínimo, tiempos de entrega y condiciones comerciales.
- Portafolios, catálogos y muestras enviadas para validación.
3.5 Datos de empresas clientes (programa B2B)
- Datos del representante, razón social, RUC, industria, cantidades estimadas y productos de interés.
3.6 Datos de creadores y marcas personales (programa B2C)
- Nombre artístico, handles de redes sociales, audiencia aproximada y nicho creativo.
- Briefs de colección, moodboards, referencias visuales y prototipos generados con el AI Studio.
- Datos de facturación para la producción bajo demanda de la marca personal del creador.
4. Finalidad del Tratamiento
Conforme al artículo 7 de la LOPDP, tratamos los datos personales para las siguientes finalidades:
- Prestación del servicio: crear cuentas, gestionar sesiones, procesar solicitudes de diseño, generar mockups, videos y contenido, tramitar cotizaciones y pedidos.
- Comunicación transaccional: confirmaciones de pedido, recordatorios, facturación, respuestas a consultas, alertas de estado de campañas y publicaciones.
- Publicación de contenido en redes sociales: cuando el Usuario autoriza conectar una cuenta social a través de la Fábrica de Contenido, Merchito utiliza dicha autorización exclusivamente para publicar el contenido que el Usuario apruebe, mediante el proveedor Blotato.
- Marketing por email: envío de campañas solicitadas explícitamente por el Usuario o por administradores autorizados con base en su propia lista de contactos.
- CRM y gestión comercial: seguimiento de leads provenientes de los formularios de Empresas, Proveedores y Contacto.
- Mejora del servicio: análisis de patrones de uso, depuración, pruebas A/B y desarrollo de nuevas funcionalidades.
- Seguridad y prevención de fraude: detección de abuso, rate-limiting, bloqueo de bots y prevención de accesos no autorizados.
- Cumplimiento legal: obligaciones tributarias, comerciales y regulatorias aplicables a JADSA SAS en Ecuador.
5. Base Legal del Tratamiento
Conforme a los artículos 7 y 8 de la LOPDP, las bases legales del tratamiento son:
- Consentimiento: al registrarse y usar cada módulo, el Usuario otorga consentimiento libre, específico, informado e inequívoco.
- Ejecución contractual: el tratamiento es necesario para prestar los servicios solicitados.
- Interés legítimo: mejora del producto, seguridad, prevención de fraude, analítica agregada.
- Obligación legal: cumplimiento de normativa tributaria y contable ecuatoriana.
6. Tratamiento con Inteligencia Artificial
Merchito opera una arquitectura de IA multimodal apoyada en proveedores especializados. El Usuario debe conocer y aceptar lo siguiente:
- Las imágenes, logos, briefs y textos subidos son enviados a modelos de IA de Google (Gemini) para generar mockups, contenido y descripciones.
- Los videos se generan mediante Kie.ai y Higgsfield AI a partir de las imágenes y prompts que el Usuario aprueba.
- Las locuciones sintéticas se generan con ElevenLabs usando textos provistos por el Usuario.
- Conforme a los términos API de cada proveedor, los datos enviados a estos modelos no son utilizados para entrenamiento de modelos de propósito general.
- Merchito no entrena modelos propios con los datos del Usuario.
- El Usuario comprende que los resultados generativos son aproximados, probabilísticos y pueden diferir del producto físico final.
- El Usuario es responsable de verificar que las imágenes y marcas subidas no infrinjan derechos de terceros.
7. Encargados del Tratamiento (Sub-procesadores)
Merchito utiliza los siguientes proveedores, que actúan como encargados del tratamiento bajo contrato y cumplen con estándares equivalentes a la LOPDP:
| Proveedor | Finalidad | Región |
|---|
| Supabase | Base de datos, autenticación, storage de imágenes y mockups. | EE.UU. |
| Google Gemini | Generación de texto, imágenes y mockups. | EE.UU. / Global |
| Kie.ai | Generación de videos y reels. | EE.UU. |
| Higgsfield AI | Animación image-to-video. | EE.UU. |
| ElevenLabs | Locuciones sintéticas (voiceover). | EE.UU. |
| Blotato | Publicación programada en Instagram, TikTok, Facebook, LinkedIn, X y YouTube. | EE.UU. |
| Resend | Envío de correos transaccionales y campañas. | EE.UU. |
| Vercel | Hosting, edge network y logs de servicio. | Global |
| Upstash | Rate-limiting y protección anti-abuso. | EE.UU. |
Merchito puede incorporar nuevos sub-procesadores cuando lo requieran los servicios. Los cambios sustanciales serán notificados en esta página.
8. Transferencia Internacional de Datos
Dado que los sub-procesadores listados operan mayoritariamente en los Estados Unidos, los datos del Usuario pueden ser transferidos y almacenados fuera del Ecuador. Estas transferencias se realizan conforme al artículo 39 de la LOPDP, garantizando que los destinatarios mantienen niveles adecuados de protección y están vinculados por acuerdos contractuales de tratamiento de datos (DPA).
9. Derechos del Titular de los Datos
De conformidad con los artículos 17 al 26 de la LOPDP, el Usuario tiene los siguientes derechos:
- Acceso: conocer qué datos tiene Merchito sobre él.
- Rectificación: corregir datos inexactos o incompletos.
- Eliminación: solicitar la supresión de sus datos cuando ya no sean necesarios.
- Oposición: rechazar el tratamiento para fines específicos (por ejemplo, marketing).
- Portabilidad: recibir sus datos en un formato estructurado y legible.
- Limitación: restringir el tratamiento bajo ciertas circunstancias.
- No ser objeto de decisiones automatizadas: solicitar intervención humana en decisiones basadas únicamente en procesamiento automatizado.
- Retirar el consentimiento: en cualquier momento, sin afectar la licitud del tratamiento previo.
Para ejercer estos derechos, enviar una solicitud a merchito360@gmail.com con el asunto “Ejercicio de derechos LOPDP”, indicando el derecho que desea ejercer y adjuntando copia de su documento de identidad. Merchito responderá en un plazo máximo de quince (15) días hábiles.
10. Seguridad de los Datos
Merchito aplica medidas técnicas y organizativas alineadas con mejores prácticas de la industria:
- Cifrado en tránsito (HTTPS/TLS 1.2+) y en reposo.
- Autenticación mediante tokens JWT firmados, con rotación de sesiones y políticas de expiración.
- Row-Level Security (RLS) activo en todas las tablas de la base de datos, garantizando aislamiento entre usuarios.
- Rate-limiting distribuido para proteger APIs críticas contra abuso.
- Control de acceso basado en roles para el panel administrativo y claves de servicio.
- Backups automáticos, planes de recuperación y monitoreo continuo.
- Segregación de credenciales sensibles en variables de entorno —nunca embebidas en código.
11. Cookies y tecnologías similares
La Plataforma utiliza cookies estrictamente necesarias:
- Cookies de sesión: mantienen la autenticación del Usuario.
- Cookies de preferencias: recuerdan idioma y configuraciones visuales.
- Cookies analíticas internas: métricas agregadas y anónimas sobre uso de la Plataforma.
Merchito no utiliza cookies publicitarias de terceros ni comparte datos con redes publicitarias.
12. Retención de Datos
Los datos personales se conservan durante el tiempo necesario para cumplir las finalidades descritas:
- Cuenta de usuario: mientras esté activa y hasta un (1) año después de su desactivación.
- Datos transaccionales y de facturación: siete (7) años conforme a la legislación tributaria ecuatoriana.
- Imágenes subidas al AI Studio: se eliminan al finalizar la sesión, salvo los mockups que el Usuario guarda expresamente en su historial.
- Mockups compartidos (/mockup/[id]): mientras el Usuario no solicite su eliminación.
- Contenido generado por la Fábrica de Contenido: conservado mientras el Usuario lo mantenga en estado draft, programado o publicado.
- Leads CRM y aplicaciones de proveedores: hasta tres (3) años después del último contacto, salvo obligación legal distinta.
- Logs de seguridad: noventa (90) días para auditoría.
13. Publicación en Redes Sociales y Campañas de Email
Cuando el Usuario utiliza la Fábrica de Contenido para publicar en Instagram, TikTok, Facebook, LinkedIn, X o YouTube, Merchito actúa como intermediario técnico a través de Blotato y otros proveedores. El Usuario:
- Es el responsable del contenido publicado y garantiza que cuenta con las autorizaciones necesarias.
- Acepta que cada red social tiene sus propias políticas de privacidad y uso, que prevalecen sobre el contenido una vez publicado.
- Puede revocar en cualquier momento el acceso concedido a sus cuentas sociales desde la propia plataforma social o solicitándolo a Merchito.
Las campañas de email enviadas a través de Resend requieren que el Usuario garantice el consentimiento de los destinatarios finales, conforme al artículo 22 de la LOPDP y normativa anti-spam aplicable.
14. Menores de Edad
La Plataforma no está dirigida a menores de dieciocho (18) años. No recopilamos intencionalmente datos de menores. Si detectamos el registro o procesamiento de datos de un menor sin consentimiento de su representante legal, procederemos a eliminarlos de inmediato, conforme al artículo 14 de la LOPDP y al Código de la Niñez y Adolescencia del Ecuador.
15. Autoridad de Control
El Usuario tiene derecho a presentar una reclamación ante la Superintendencia de Protección de Datos Personales del Ecuador si considera que el tratamiento de sus datos no se ajusta a la LOPDP.
16. Modificaciones a esta Política
Merchito se reserva el derecho de actualizar esta Política. Las modificaciones serán publicadas con la fecha correspondiente. Los cambios sustanciales serán notificados mediante correo electrónico o aviso destacado en la Plataforma.
17. Contacto
Para consultas, reclamos o solicitudes relacionadas con la protección de datos personales:
- Empresa responsable: JADSA SAS
- Marca comercial: Merchito AI Merchandising
- Correo: merchito360@gmail.com
- WhatsApp: +593 99 988 8141
- Web: merchito360.com
- Operaciones: Quito y Guayaquil, Ecuador.