Volver
NewLeadNewLead AI

Política de Privacidad

Última actualización: 29 de abril de 2026

En NewLead AI, SL (en adelante, "NewLead", "nosotros" o "nuestro") nos comprometemos a proteger la privacidad de nuestros usuarios. Esta Política de Privacidad explica cómo recopilamos, utilizamos, compartimos y protegemos la información personal de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD).

1. Responsable del tratamiento

  • Denominación: NewLead AI, SL
  • CIF: ESB75699652
  • Domicilio social: Carrer de Cima 17, 2ºC, 07011 Palma, Islas Baleares, España
  • Registro Mercantil: Registro Mercantil de Palma de Mallorca, Tomo 2923, Folio 88, Sección 8ª, Hoja PM92384, Inscripción 1ª
  • Email de contacto: [email protected]
  • Email para cuestiones de privacidad: [email protected]

2. Ámbito de aplicación

Esta Política se aplica a las siguientes categorías de personas:

  • Visitantes del sitio web: Personas que visitan newlead.ai y sus subdominios.
  • Clientes: Agencias y empresas que contratan los servicios de NewLead AI.
  • Usuarios administrativos: Personas con credenciales de acceso a la plataforma que gestionan los servicios.

Esta Política no se aplica a los leads o contactos finales de nuestros clientes. NewLead actúa como encargado del tratamiento (procesador) respecto a esos datos. El tratamiento de dichos datos se rige por el Acuerdo de Tratamiento de Datos (DPA) suscrito con cada cliente. Nuestros clientes son los responsables del tratamiento de los datos de sus leads.

3. Datos que recopilamos

3.1. Visitantes del sitio web

  • Datos de navegación: dirección IP, tipo de navegador, páginas visitadas, tiempo de permanencia, URL de referencia.
  • Cookies y tecnologías similares (ver nuestra Política de Cookies).
  • Datos de contacto proporcionados voluntariamente a través de formularios o chat.

3.2. Clientes y usuarios administrativos

  • Datos de registro: nombre, email, contraseña (hasheada), nombre de empresa.
  • Datos de facturación: dirección fiscal, CIF/NIF, datos de la tarjeta de pago (procesados por nuestro proveedor de pagos Stripe; NewLead no almacena datos completos de tarjetas).
  • Datos de uso: configuración de la cuenta, agentes creados, canales conectados, actividad en la plataforma, registros de acceso.
  • Comunicaciones: mensajes de soporte, emails intercambiados con nuestro equipo.

4. Finalidades y base legal del tratamiento

FinalidadBase legal (RGPD)
Prestación del servicio contratadoEjecución del contrato (Art. 6.1.b)
Gestión de facturación y pagosEjecución del contrato (Art. 6.1.b)
Comunicaciones transaccionales (avisos de cuenta, soporte)Ejecución del contrato (Art. 6.1.b)
Comunicaciones comerciales y newslettersConsentimiento (Art. 6.1.a)
Mejora del servicio y análisis de usoInterés legítimo (Art. 6.1.f)
Cumplimiento de obligaciones legales y fiscalesObligación legal (Art. 6.1.c)
Prevención de fraude y seguridadInterés legítimo (Art. 6.1.f)

5. Destinatarios de los datos

NewLead puede compartir datos personales con las siguientes categorías de destinatarios, exclusivamente para las finalidades descritas:

  • Proveedores de servicios (sub-encargados): empresas que nos prestan servicios esenciales para la operación de la Plataforma. Todos están sujetos a acuerdos de confidencialidad y tratamiento de datos conformes al RGPD.
  • Proveedores de pago: Stripe, Inc. para el procesamiento de pagos.
  • Proveedores de IA: OpenAI, Inc. para el procesamiento de conversaciones de los agentes de IA (detalles en la sección 13).
  • Plataformas de mensajería: Meta Platforms, Inc. y Meta Platforms Ireland Ltd. (WhatsApp Business API, Instagram, Messenger) como canal de comunicación (detalles en la sección 11).
  • Proveedores de correo y calendario: Google LLC (Gmail, Google Calendar) y Microsoft Corporation (Outlook, Microsoft 365) cuando el cliente conecta sus cuentas (detalles en las secciones 10 y 12).
  • Servicios de infraestructura: proveedores de hosting y servicios cloud para el almacenamiento y procesamiento de datos.
  • Autoridades públicas: cuando sea requerido por ley o resolución judicial.

NewLead no vende ni alquila datos personales a terceros.

6. Transferencias internacionales de datos

Algunos de nuestros proveedores están ubicados fuera del Espacio Económico Europeo (EEE), en particular en Estados Unidos (OpenAI, Stripe, Meta). En estos casos, las transferencias se realizan con las siguientes garantías:

  • Decisiones de adecuación: Cuando exista una decisión de adecuación de la Comisión Europea (como el EU-U.S. Data Privacy Framework).
  • Cláusulas contractuales tipo (SCCs): Contratos estándar aprobados por la Comisión Europea para garantizar un nivel adecuado de protección.

7. Conservación de datos

  • Datos de cuenta y subcuentas: Se conservan de forma indefinida tras la cancelación o eliminación de la cuenta/subcuenta, permitiendo al titular reactivarla o registrarse de forma independiente. Solo se eliminan mediante solicitud expresa del usuario.
  • Datos de facturación: Se conservan durante un mínimo de 5 años conforme a la legislación fiscal española, incluso si el usuario solicita la eliminación de su cuenta.
  • Datos de navegación: 13 meses como máximo.
  • Comunicaciones comerciales: Hasta la retirada del consentimiento.

Para la eliminación definitiva de los datos de una cuenta o subcuenta, el usuario debe enviar una solicitud expresa a [email protected], indicando su nombre, email asociado y el alcance de la eliminación solicitada. NewLead procesará la solicitud en un plazo máximo de 30 días conforme al derecho de supresión establecido en el artículo 17 del RGPD. Los datos de facturación se conservarán conforme a las obligaciones legales aplicables aunque se ejecute la eliminación de la cuenta.

8. Derechos de los interesados

Conforme al RGPD, tienes derecho a:

  • Acceso: Obtener confirmación de si tratamos tus datos y acceder a ellos.
  • Rectificación: Solicitar la corrección de datos inexactos o incompletos.
  • Supresión: Solicitar la eliminación de tus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
  • Limitación: Solicitar la limitación del tratamiento en determinadas circunstancias.
  • Portabilidad: Recibir tus datos en un formato estructurado y de uso común.
  • Oposición: Oponerte al tratamiento de tus datos basado en interés legítimo.
  • No ser objeto de decisiones automatizadas: Derecho a no ser sometido a decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o te afecten significativamente.

Para ejercer cualquiera de estos derechos, puedes contactarnos en [email protected]. Responderemos a tu solicitud en un plazo máximo de 30 días.

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

9. NewLead como encargado del tratamiento

Cuando nuestros clientes utilizan la Plataforma para gestionar leads, NewLead actúa como encargado del tratamiento (procesador) conforme al artículo 28 del RGPD. En este caso:

  • El cliente es el responsable del tratamiento de los datos de sus leads.
  • NewLead procesa dichos datos únicamente siguiendo las instrucciones documentadas del cliente.
  • Los detalles se regulan en un Acuerdo de Tratamiento de Datos (DPA) que se pone a disposición del cliente durante el proceso de contratación.
  • Los sub-encargados (OpenAI, Meta, etc.) están listados en el DPA y sujetos a obligaciones equivalentes.

Si eres un lead o contacto de uno de nuestros clientes y deseas ejercer tus derechos sobre tus datos personales, debes dirigirte directamente al cliente (la agencia o empresa) que gestiona tu información, ya que es el responsable del tratamiento.

10. Integraciones con servicios de Google

La Plataforma permite a los clientes conectar sus cuentas de Google (Gmail y Google Calendar) para que los agentes de IA puedan gestionar correos y eventos de calendario en su nombre. Esta sección describe con detalle cómo NewLead accede, utiliza, comparte, almacena, conserva y elimina los datos obtenidos a través de las APIs de Google.

Política de Uso Limitado (Limited Use): El uso y la transferencia por parte de NewLead de la información recibida de las APIs de Google cumplirá con la Google API Services User Data Policy, incluidos los requisitos de Uso Limitado (Limited Use Requirements).

10.1. Datos a los que accedemos (Data Accessed)

Los permisos (scopes) solicitados al autorizar la conexión son exclusivamente los mínimos necesarios para ofrecer la funcionalidad contratada:

Scope de GoogleDatos accesiblesFinalidad
.../auth/userinfo.emailDirección de correo principal de la cuenta de Google conectada.Identificar la cuenta conectada en el panel del cliente.
.../auth/userinfo.profileNombre y foto de perfil de la cuenta de Google.Mostrar la cuenta conectada en la interfaz del cliente.
.../auth/gmail.readonlyLectura del listado y contenido de correos del buzón del cliente, así como de las etiquetas configuradas. No se utiliza ningún scope de escritura: NewLead no envía, modifica, etiqueta ni elimina correos del usuario.Detectar correos no leídos de nuevos leads (por ejemplo, provenientes de portales inmobiliarios o formularios web), extraer los datos de contacto del lead mediante IA y crear el lead en la Plataforma para iniciar el flujo de cualificación por WhatsApp u otros canales configurados. El cliente define qué etiqueta/bandeja consulta el agente.
.../auth/calendar.readonlyLectura de la lista de calendarios del cliente y consulta de bloques libres/ocupados (FreeBusy). NewLead no modifica calendarios, ni metadatos, ni permisos de compartición ni suscripciones.Mostrar la lista de calendarios al cliente al configurar la integración para que elija dónde agendar, y determinar qué slots de tiempo están libres antes de proponer opciones de cita al lead, respetando los horarios ya ocupados del cliente.
.../auth/calendar.eventsCreación, actualización (events.patch) y cancelación (events.delete) de eventos de calendario, exclusivamente en el calendario seleccionado por el cliente para NewLead.Agendar en el calendario del cliente la cita confirmada por el lead, reprogramarla si el lead propone otro horario, o cancelarla si el lead lo solicita. Estas acciones solo se ejecutan a petición explícita del flujo conversacional con el lead.

10.2. Uso de los datos (Data Usage)

Los datos de Google obtenidos a través de las APIs se utilizan exclusivamente para las siguientes finalidades funcionales, todas ellas solicitadas por el cliente al configurar su agente de IA:

  • Gmail — detección y extracción de leads: el agente lee periódicamente correos no leídos del buzón o etiqueta configurada por el cliente (por ejemplo, notificaciones de portales inmobiliarios) y utiliza IA para extraer nombre, teléfono, email y contexto del lead. El correo no se modifica en Gmail: NewLead registra internamente qué mensajes ya fueron procesados para no duplicar leads. Los correos no leídos del cliente siguen visibles como no leídos en su interfaz de Gmail.
  • Google Calendar — agendado con leads: cuando el lead confirma por el canal conversacional (WhatsApp, Instagram, etc.) que desea una cita, el agente consulta la disponibilidad del calendario del cliente mediante la API FreeBusy, propone horarios libres y, con la confirmación del lead, crea, actualiza o cancela el evento correspondiente en el calendario.
  • Panel de integración: mostrar al cliente, en su panel de NewLead, la dirección de correo y el nombre de la cuenta de Google conectada, para que pueda identificar y gestionar (desconectar, reconectar) la integración.

NewLead no utiliza los datos de Google para ningún otro fin.En particular, y de forma consistente con los requisitos de Uso Limitado de Google:

  • No utilizamos los datos de Google para mostrar publicidad ni con fines publicitarios de ningún tipo.
  • No vendemos, alquilamos ni cedemos datos de Google a terceros.
  • No utilizamos los datos de Google para entrenar, ajustar (fine-tune) ni mejorar modelos de inteligencia artificial generalizados, propios o de terceros.
  • El personal de NewLead no lee el contenido de correos ni eventos, salvo cuando sea estrictamente necesario para (i) operar o reparar el servicio previo consentimiento del usuario afectado, (ii) cumplir la ley aplicable o (iii) aplicar medidas de seguridad contra abuso o amenazas, conforme a lo permitido por la Política de Uso Limitado de Google.

10.3. Compartición de datos (Data Sharing)

NewLead no comparte datos obtenidos de las APIs de Google con terceros, con las siguientes excepciones estrictamente necesarias para prestar el servicio contratado:

  • OpenAI, Inc.: el contenido de los mensajes intercambiados con leads y los datos mínimos necesarios se envían a la API de OpenAI exclusivamente para que el modelo genere la respuesta del agente o estructure la información de agendado. OpenAI actúa como sub-encargado y, conforme a sus condiciones de API, no utiliza estos datos para entrenar sus modelos.
  • Proveedores de infraestructura cloud: utilizados para alojar la plataforma y almacenar de forma cifrada los tokens y registros operativos asociados a la integración.
  • Autoridades públicas: únicamente cuando sea requerido por ley o resolución judicial vinculante.

Todos los sub-encargados están sujetos a acuerdos de confidencialidad y tratamiento de datos que los obligan a un nivel de protección equivalente al descrito en esta Política.

10.4. Almacenamiento y protección (Data Storage & Protection)

  • Los tokens de acceso y de actualización (access tokens y refresh tokens) emitidos por Google se almacenan cifrados en reposo en nuestra base de datos, mediante cifrado simétrico con claves gestionadas por NewLead y rotadas periódicamente.
  • Todas las comunicaciones con las APIs de Google se realizan exclusivamente sobre canales cifrados (TLS/HTTPS).
  • El acceso a los tokens y a cualquier contenido derivado de las APIs de Google está restringido mediante control de acceso basado en roles (RBAC), autenticación multifactor para el personal autorizado y registros de auditoría.
  • El contenido de correos y eventos se procesa principalmente en memoria para generar la respuesta del agente o programar el evento. Cuando es imprescindible persistir información derivada (por ejemplo, un resumen de la conversación o el registro de la reunión agendada), se almacena únicamente la información mínima necesaria para el funcionamiento del servicio y sujeta a las mismas medidas de cifrado descritas.
  • Se aplican los controles adicionales de seguridad descritos en la sección 11 (copias de seguridad cifradas, monitorización continua y revisiones periódicas de seguridad).

10.5. Conservación y eliminación (Data Retention & Deletion)

  • Los tokens de Google y los datos derivados se conservan mientras la integración permanezca activa y el cliente desee utilizar la funcionalidad.
  • El cliente puede desconectar la integración en cualquier momento desde el panel de NewLead. Al desconectar, NewLead revoca inmediatamente los tokens en Google y elimina las credenciales almacenadas en nuestros sistemas.
  • El cliente también puede revocar el acceso directamente desde su cuenta de Google en myaccount.google.com/permissions. NewLead detectará la revocación en el siguiente uso y marcará la integración como desconectada.
  • Para solicitar la eliminación completa de todos los datos asociados a tu cuenta, incluidos los derivados de las integraciones con Google, envía un email a [email protected]. La solicitud se procesará en un plazo máximo de 30 días conforme al derecho de supresión del artículo 17 del RGPD.

11. Integraciones con plataformas de Meta (WhatsApp, Instagram, Messenger)

La Plataforma se integra con los servicios de mensajería de Meta Platforms Ireland Ltd. y Meta Platforms, Inc. (en adelante, "Meta") para permitir a los clientes gestionar conversaciones con sus leads a través de WhatsApp Business, Instagram Direct Messages y Messenger. El tratamiento cumple con las Plataformas de Meta y con las Meta Platform Terms y la Meta Developer Data Use Policy.

11.1. Datos a los que accedemos

Los permisos (scopes) solicitados por NewLead al conectar la cuenta de Meta Business del cliente son:

  • business_management — gestionar los activos del Meta Business Manager del cliente (páginas, WABAs) necesarios para habilitar la integración.
  • whatsapp_business_management — configurar la cuenta de WhatsApp Business (WABA), números de teléfono y plantillas.
  • whatsapp_business_messaging — enviar y recibir mensajes de WhatsApp con los leads del cliente.
  • pages_messaging — enviar y recibir mensajes de Messenger e Instagram Direct en nombre de las páginas/cuentas conectadas.
  • pages_read_engagement — leer métricas de interacción y mensajes entrantes de las páginas.
  • pages_show_list — listar las páginas que el cliente administra para que pueda seleccionar cuál conectar.

Los datos tratados a través de estas APIs incluyen, de forma no exhaustiva: identificadores de páginas/WABAs, números de teléfono de los leads y del cliente, nombres y perfiles públicos, contenido de los mensajes intercambiados, archivos multimedia enviados en la conversación, plantillas de mensaje, y metadatos de entrega y lectura.

11.2. Uso de los datos

  • Enviar y recibir mensajes entre el agente de IA del cliente y sus leads por WhatsApp, Instagram DM y Messenger.
  • Mostrar el historial de conversación en el panel del cliente y permitir la intervención humana si el cliente desea tomar el control de la conversación.
  • Enviar plantillas de WhatsApp aprobadas por Meta cuando la ventana de servicio al cliente (24h) ha expirado, conforme a las políticas de WhatsApp Business.
  • Procesar webhooks de estado (entregado, leído, fallido) para que el cliente pueda hacer seguimiento de la comunicación.

NewLead no utiliza los datos obtenidos de Meta para publicidad, venta a terceros, ni entrenamiento de modelos de IA propios o generales.

11.3. Compartición de datos

Los datos de Meta se comparten únicamente con:

  • OpenAI, Inc.: contenido mínimo necesario de las conversaciones para que el modelo genere la respuesta del agente (ver sección 13).
  • Proveedores de infraestructura cloud: para alojar la plataforma y almacenar las conversaciones de forma cifrada.
  • Autoridades públicas: cuando sea requerido por ley.

11.4. Almacenamiento, conservación y eliminación

  • Los tokens de acceso de Meta se almacenan cifrados en reposo y se utilizan únicamente sobre canales TLS/HTTPS.
  • El contenido de las conversaciones con leads se conserva mientras la cuenta del cliente esté activa, de acuerdo con la política de conservación descrita en la sección 7.
  • El cliente puede desconectar la integración con Meta en cualquier momento desde el panel de NewLead; también puede revocar el acceso directamente desde su Meta Business Manager en business.facebook.com/settings.
  • Para solicitar la eliminación completa de los datos derivados de la integración con Meta, escribe a [email protected].

12. Integraciones con servicios de Microsoft (Outlook / Microsoft 365)

La Plataforma permite a los clientes conectar sus cuentas de Outlook o Microsoft 365 para que el agente de IA detecte correos entrantes de leads y los procese, de forma análoga a la integración con Gmail. El tratamiento cumple con los Microsoft APIs Terms of Use.

12.1. Datos a los que accedemos

Los permisos (scopes) solicitados en el flujo OAuth de Microsoft Identity son:

  • openid, email, offline_access — identificación del usuario y obtención del token de actualización.
  • User.Read y User.ReadBasic.All — lectura del perfil básico (nombre, email, foto) para identificar la cuenta conectada.
  • Mail.Read y Mail.ReadWrite — lectura del contenido de los correos para la extracción de leads, y marcado como leído de aquellos ya procesados por el agente.
  • MailboxSettings.Read — lectura de la configuración del buzón (zona horaria, firmas) para contextualizar el procesamiento.

12.2. Uso de los datos

  • Detectar correos no leídos, extraer mediante IA los datos del lead y crear el registro en la Plataforma.
  • Marcar como leídos los correos ya procesados por el agente, para evitar duplicación y dar visibilidad al cliente del estado de procesamiento.
  • Mostrar al cliente la cuenta de Microsoft conectada en su panel de NewLead.

NewLead no envía correos desde la cuenta del cliente, no elimina correos, no utiliza los datos para publicidad ni los cede a terceros más allá de los sub-encargados descritos en la sección 5.

12.3. Almacenamiento, conservación y eliminación

  • Los tokens de acceso y actualización de Microsoft se almacenan cifrados en reposo; las comunicaciones con la Microsoft Graph API se realizan exclusivamente sobre TLS/HTTPS.
  • El cliente puede desconectar la integración en cualquier momento desde el panel de NewLead, o revocarla directamente desde myaccount.microsoft.com/consent.
  • La eliminación completa de los datos sigue el procedimiento descrito en la sección 7.

13. Uso de OpenAI para el procesamiento con IA

NewLead utiliza la API de OpenAI, Inc. como motor de IA que impulsa a los agentes conversacionales. OpenAI actúa como sub-encargado del tratamiento respecto a los datos que NewLead le envía para procesar.

13.1. Qué datos se envían a OpenAI

  • Contenido de los mensajes intercambiados entre el lead y el agente (WhatsApp, Instagram, Messenger, email).
  • Contexto de la conversación necesario para que el modelo genere la respuesta: nombre del lead (si está disponible), estado de cualificación, instrucciones configuradas por el cliente para el agente.
  • Fragmentos de correos entrantes cuando el agente realiza extracción de datos de lead desde Gmail u Outlook.

NewLead aplica el principio de minimización de datos: solo se envía la información estrictamente necesaria para la tarea.

13.2. Cómo utiliza OpenAI esos datos

  • OpenAI procesa la solicitud a través de su API y devuelve la respuesta generada por el modelo.
  • Conforme a los términos de uso de datos de la API de OpenAI, los datos enviados a través de la API no se utilizan para entrenar modelos de OpenAI.
  • OpenAI puede retener los datos enviados por un periodo limitado (típicamente hasta 30 días) con fines de monitorización de abuso y seguridad, tras el cual se eliminan automáticamente.

13.3. Transferencias internacionales y garantías

OpenAI está ubicada en Estados Unidos. Las transferencias internacionales se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (SCCs) firmadas con OpenAI como sub-encargado, y en el Data Processing Addendum (DPA) publicado por OpenAI. NewLead revisa periódicamente estas garantías para asegurar su vigencia.

13.4. Controles adicionales

  • Todas las llamadas a la API de OpenAI se realizan sobre canales cifrados (TLS/HTTPS).
  • NewLead no envía a OpenAI datos de facturación, contraseñas, tokens de acceso de terceros (Google, Meta, Microsoft) ni información que no sea estrictamente necesaria para generar la respuesta del agente.
  • El cliente puede, en cualquier momento, desactivar las funcionalidades de IA de un agente desde el panel de NewLead, con lo cual se dejará de enviar contenido de sus conversaciones a OpenAI.

14. Seguridad

NewLead implementa medidas técnicas y organizativas apropiadas para proteger los datos personales, incluyendo:

  • Cifrado de datos en tránsito (TLS/HTTPS) y en reposo.
  • Control de acceso basado en roles con autenticación segura.
  • Copias de seguridad periódicas y cifradas.
  • Monitorización continua de la infraestructura.
  • Revisiones periódicas de seguridad.

15. Menores

NewLead AI no está dirigido a menores de 18 años. No recopilamos conscientemente datos personales de menores. Si tenemos conocimiento de que hemos recopilado datos de un menor, los eliminaremos de inmediato.

16. Modificaciones

NewLead se reserva el derecho de modificar esta Política de Privacidad. Cualquier cambio material será comunicado a los usuarios registrados por email y/o mediante aviso en la Plataforma con un preaviso razonable. La fecha de última actualización se indica al inicio de este documento.

17. Contacto

Para cualquier cuestión relacionada con esta Política de Privacidad o con el tratamiento de tus datos personales, puedes contactarnos en:

  • Email: [email protected]
  • Teléfono: +34 628 090 922
  • Dirección: Carrer de Cima 17, 2ºC, 07011 Palma, Islas Baleares, España