Privacy Policy
Last updated: June 9, 2026
Related documents:
Terms of Service ·
Acceptable Use Policy ·
Data Processing Agreement ·
Service Level Agreement ·
Data Deletion
1. Operator
GoSendAPI Cloud is operated by Gestic OR SA, a company incorporated in the Argentine Republic
("we", "the Operator"). This policy describes how we collect, use, store, and protect personal information
in connection with our messaging service over the WhatsApp Business Cloud API of Meta Platforms, Inc.
2. Our role under data protection law
Under data protection regulations including Argentine Personal Data Protection Law 25.326,
the EU General Data Protection Regulation (GDPR), the UK GDPR, the California Consumer Privacy Act (CCPA),
the Brazilian LGPD, and equivalent regulations, GoSendAPI Cloud acts in two distinct roles:
- As Data Controller: with respect to personal data of our integrating customers (account owners, billing contacts) that we collect directly to provide our service.
- As Data Processor: with respect to personal data of end users (message recipients) that we process on behalf of our integrating customers. The integrating customer acts as the Data Controller of that end user data and decides which messages to send, for what purpose, and on what legal basis. We process such data only following the customer's documented instructions.
This distinction defines the responsibilities of each party regarding lawful basis, consent collection,
data subject requests, retention, and incident response. For customers requiring a formal contractual
document, see our Data Processing Agreement.
3. Data we collect
Depending on the user's role, we may process:
- From integrating customers (businesses): company name, contact details, WhatsApp Business Account identifiers (WABA ID, Phone Number ID), API credentials, and encrypted tokens.
- From end users (message recipients): phone number, content and metadata of exchanged messages (timestamp, delivery status), name if shared by the platform.
- Technical data: API activity logs, IP addresses, session identifiers, errors, and operational metrics required to deliver the service.
4. Purposes of processing
- Provision of message sending and receiving services through the WhatsApp Cloud API.
- Maintaining traceability and operational auditing required by our integrating customers.
- Compliance with Meta's policies and applicable law.
- Service improvement, abuse prevention, and technical support.
5. End user opt-in (customer obligation)
Our integrating customers are obligated to obtain explicit opt-in from each end user before any message is sent.
Opt-in must be collected through the customer's own channels — website forms, checkout flows, in-store collection,
mobile app prompts — and must comply with applicable law and
Meta's WhatsApp Business Messaging Policy.
We do not collect opt-in on the customer's behalf, do not message individuals who have not opted in, and rely on the
customer's representation that valid, current opt-in exists for every recipient. Customers must retain records of
such opt-in and make them available to us or to Meta upon reasonable request. This obligation is also reflected
in Section 8 of the Terms of Service and in the
Acceptable Use Policy.
6. Sharing with third parties
We do not sell personal data. We may share information with:
- Meta Platforms, Inc.: as intermediaries of the WhatsApp Cloud API, messages transit through Meta's infrastructure. The WhatsApp Privacy Policy applies.
- Our integrating customers: messages and associated data are returned to the customer that originated the operation (for example, a healthcare provider using the platform).
- Infrastructure providers: hosting, monitoring, and database services, under confidentiality agreements.
- Authorities: when required by court order or legal demand.
7. Data retention
Messages and metadata are kept while the integrating customer's account is active, plus a period of up to 12 months
for auditing and dispute resolution purposes. Technical logs rotate every 90 days. Customer account data is deleted
30 days after service cancellation, except where retention is legally required.
8. Security
We apply reasonable technical measures including encryption in transit (TLS), encryption at rest of sensitive
credentials (AES-256-GCM), role-based access control, and anomalous activity monitoring. However, no system is 100% inviolable.
In the event of a personal data breach that is likely to result in a risk to the rights and freedoms of data subjects,
we will notify the affected integrating customers and, where applicable, the competent supervisory authority within 72 hours
of becoming aware of the breach, in accordance with Article 33 of the GDPR and equivalent provisions of other jurisdictions.
Service availability commitments (uptime, incident response timing) are documented in our
Service Level Agreement.
9. Data subject rights
Under Argentine Personal Data Protection Law 25.326, the EU General Data Protection Regulation (GDPR),
the UK GDPR, the California Consumer Privacy Act (CCPA), the Brazilian LGPD, and equivalent regulations,
data subjects have the right to:
- Access: request a copy of the data we hold about the subject.
- Rectification: correct inaccurate or incomplete data.
- Deletion / erasure: request data deletion. See Data Deletion.
- Restriction of processing: limit how we use the data.
- Data portability: receive data in a machine-readable format (where applicable).
- Objection: object to processing on legitimate grounds.
- Withdraw consent: where processing is based on consent.
When we act as Data Processor on behalf of an integrating customer, requests from end users should
first be directed to that customer; we will assist the customer in responding to such requests as required.
Requests directed to us must be sent to contacto@gosendapi.com.
We respond within a maximum of 30 days.
10. Cookies and similar technologies
This site (gosendapi.com) does not use tracking cookies. The operational platform may use strictly necessary
technical cookies to maintain integrating customer sessions.
11. International transfers
Data may be processed on servers located outside Argentina, including Meta Platforms, Inc.'s infrastructure,
in jurisdictions with data protection regulations deemed adequate. Where required by GDPR, transfers outside the EU
are protected by Standard Contractual Clauses (SCCs) or equivalent safeguards.
12. Minors
The service is directed to businesses and professionals. We do not knowingly collect data from individuals under 18.
13. Changes to this policy
We may update this policy. Changes will be published on this page with the last-updated date.
Substantial changes will be notified by email to active customers.
14. Contact
For any inquiry about this policy or about personal data processing:
Gestic OR SA
Email: contacto@gosendapi.com
Argentine Republic
Política de Privacidad
Última actualización: 9 de junio de 2026
Documentos relacionados:
Términos de Servicio ·
Política de Uso Aceptable ·
Acuerdo de Procesamiento de Datos ·
Acuerdo de Nivel de Servicio ·
Eliminación de Datos
1. Operador
GoSendAPI Cloud es operado por Gestic OR SA, sociedad constituida en la República Argentina ("nosotros", "el Operador").
Esta política describe cómo recolectamos, usamos, almacenamos y protegemos información personal en relación con nuestro servicio
de mensajería sobre la WhatsApp Business Cloud API de Meta Platforms, Inc.
2. Nuestro rol bajo la normativa de protección de datos
Conforme a las normas de protección de datos personales — Ley argentina 25.326, Reglamento General de Protección de Datos (RGPD) de la UE,
UK GDPR, California Consumer Privacy Act (CCPA), Lei Geral de Proteção de Dados de Brasil (LGPD) y equivalentes —,
GoSendAPI Cloud actúa en dos roles diferenciados:
- Como Responsable del Tratamiento: respecto de los datos personales de nuestros clientes integradores (titulares de cuenta, contactos de facturación) que recolectamos directamente para prestar nuestro servicio.
- Como Encargado del Tratamiento: respecto de los datos personales de usuarios finales (destinatarios de mensajes) que procesamos por cuenta de nuestros clientes integradores. El cliente integrador actúa como Responsable de esos datos y decide qué mensajes se envían, con qué finalidad y bajo qué base legal. Procesamos esos datos únicamente siguiendo las instrucciones documentadas del cliente.
Esta distinción define las responsabilidades de cada parte en materia de base legal, recolección de consentimiento,
solicitudes de titulares, retención y respuesta ante incidentes. Para clientes que requieran un documento contractual
formal, ver nuestro Acuerdo de Procesamiento de Datos.
3. Datos que recolectamos
Dependiendo del rol del usuario, podemos procesar:
- De clientes integradores (empresas): nombre de la empresa, datos de contacto, identificadores de la cuenta de WhatsApp Business (WABA ID, Phone Number ID), credenciales API y tokens encriptados.
- De usuarios finales (destinatarios de mensajes): número de teléfono, contenido y metadata de los mensajes intercambiados (timestamp, estado de entrega), nombre si fuera compartido por la plataforma.
- Datos técnicos: logs de actividad de la API, direcciones IP, identificadores de sesión, errores y métricas operativas necesarias para la prestación del servicio.
4. Finalidades del tratamiento
- Prestación del servicio de envío y recepción de mensajes a través de la WhatsApp Cloud API.
- Mantenimiento de la trazabilidad y auditoría operativa requerida por nuestros clientes integradores.
- Cumplimiento de las políticas de uso de Meta y de la legislación aplicable.
- Mejora del servicio, prevención de abuso y soporte técnico.
5. Opt-in del usuario final (obligación del cliente)
Nuestros clientes integradores están obligados a obtener consentimiento explícito (opt-in) de cada usuario final antes
de que se envíe cualquier mensaje. El opt-in debe recolectarse a través de los canales propios del cliente — formularios web,
checkout, captación presencial, mobile app — y cumplir con la legislación aplicable y la
Política de Mensajería de WhatsApp Business de Meta.
No recolectamos opt-in en nombre del cliente, no enviamos mensajes a personas que no hayan otorgado consentimiento, y confiamos
en la declaración del cliente de que existe opt-in válido y vigente para cada destinatario. El cliente debe conservar registros
de tales opt-in y ponerlos a disposición nuestra o de Meta cuando se solicite razonablemente. Esta obligación
también se refleja en la Sección 8 de los Términos de Servicio
y en la Política de Uso Aceptable.
6. Compartir con terceros
No vendemos datos personales. Podemos compartir información con:
- Meta Platforms, Inc.: al ser intermediarios de la WhatsApp Cloud API, los mensajes transitan por infraestructura de Meta. Aplica la Política de Privacidad de WhatsApp.
- Nuestros clientes integradores: los mensajes y datos asociados son devueltos al cliente que originó la operación (por ejemplo, un centro médico utilizando la plataforma).
- Proveedores de infraestructura: servicios de hosting, monitoreo y bases de datos, bajo acuerdos de confidencialidad.
- Autoridades: cuando sea requerido por orden judicial o exigencia legal.
7. Retención de datos
Los mensajes y metadata se conservan mientras la cuenta del cliente integrador esté activa, más un período de hasta 12 meses
a fines de auditoría y resolución de disputas. Los logs técnicos rotan cada 90 días. Los datos de cuenta del cliente se eliminan
a los 30 días de cancelado el servicio, salvo obligación legal de conservación.
8. Seguridad
Aplicamos medidas técnicas razonables incluyendo cifrado en tránsito (TLS), cifrado en reposo de credenciales sensibles (AES-256-GCM),
controles de acceso por roles, y monitoreo de actividad anómala. Sin embargo, ningún sistema es 100% inviolable.
Ante un incidente que pueda implicar un riesgo para los derechos y libertades de los titulares, notificaremos a los clientes
integradores afectados y, cuando corresponda, a la autoridad de control competente dentro de las 72 horas de tomado conocimiento,
conforme al artículo 33 del RGPD y disposiciones equivalentes de otras jurisdicciones. Los compromisos de disponibilidad del
Servicio (uptime, tiempos de respuesta a incidentes) están documentados en nuestro
Acuerdo de Nivel de Servicio.
9. Derechos del titular
Conforme a la Ley argentina 25.326, el RGPD de la UE, UK GDPR, CCPA de California, LGPD de Brasil y normativas equivalentes,
el titular tiene derecho a:
- Acceso: solicitar copia de los datos que tenemos sobre el titular.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión / eliminación: solicitar la eliminación de los datos. Ver Eliminación de Datos.
- Limitación del tratamiento: restringir cómo usamos los datos.
- Portabilidad: recibir los datos en un formato legible por máquina (donde aplique).
- Oposición: oponerse al tratamiento por motivos legítimos.
- Retirar el consentimiento: cuando el tratamiento se basa en consentimiento.
Cuando actuamos como Encargado del Tratamiento por cuenta de un cliente integrador, las solicitudes de usuarios finales
deben dirigirse primero a ese cliente; le asistiremos en responder a tales solicitudes según corresponda.
Las solicitudes dirigidas a nosotros deben enviarse a contacto@gosendapi.com.
Respondemos en un plazo máximo de 30 días.
10. Cookies y tecnologías similares
Este sitio (gosendapi.com) no utiliza cookies de seguimiento. La plataforma operativa puede utilizar cookies técnicas
estrictamente necesarias para mantener la sesión de los clientes integradores.
11. Transferencias internacionales
Los datos pueden ser procesados en servidores ubicados fuera de Argentina, incluyendo infraestructura de Meta Platforms, Inc.
en jurisdicciones con regulaciones de protección de datos consideradas adecuadas. Cuando lo requiere el RGPD, las transferencias
fuera de la UE se protegen mediante Cláusulas Contractuales Tipo (SCC) o salvaguardas equivalentes.
12. Menores de edad
El servicio está dirigido a empresas y profesionales. No recolectamos intencionalmente datos de menores de 18 años.
13. Cambios a esta política
Podemos actualizar esta política. Los cambios se publicarán en esta página con la fecha de última actualización.
Cambios sustanciales serán notificados por email a los clientes activos.
14. Contacto
Para cualquier consulta sobre esta política o sobre el tratamiento de datos personales:
Gestic OR SA
Email: contacto@gosendapi.com
República Argentina