Este Acuerdo de Procesamiento de Datos (en adelante, el "DPA") regula el tratamiento de datos personales que Diana Isabel Mezquiti Garza (persona física con actividad empresarial), con domicilio fiscal en Pedregal de Abrevadero 6926, Col. Pedregal, Monterrey, Nuevo León, C.P. 64898, México (en adelante, "DianaBot"), realiza por cuenta del Usuario en el marco de la prestación del servicio descrito en los Términos y Condiciones. Forma parte integral de dichos Términos.
Para Usuarios B2B que requieran un DPA suscrito bilateralmente, pueden solicitarlo a info@dianasbot.com.
1. Definiciones
A los efectos de este DPA:
- "Responsable" o "Controlador": el Usuario (Cliente B2B) que determina los fines y medios del tratamiento de los datos personales de sus Clientes Finales.
- "Encargado" o "Procesador": DianaBot, que trata los datos personales por instrucción del Responsable.
- "Datos Personales": cualquier información sobre una persona física identificada o identificable, conforme a la legislación de protección de datos aplicable.
- "Titular": la persona física a quien corresponden los Datos Personales (el Cliente Final del Usuario).
- "Tratamiento": cualquier operación realizada sobre Datos Personales, incluyendo recolección, almacenamiento, consulta, uso, transmisión, modificación y eliminación.
- "Subprocesador": tercero contratado por DianaBot para tratar Datos Personales en cumplimiento de este DPA.
- "Brecha de Seguridad": violación de seguridad que cause destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a Datos Personales.
- "Instrucciones Documentadas": las instrucciones del Responsable expresadas en los Términos y Condiciones, este DPA y las configuraciones activas del Usuario en la Plataforma.
2. Objeto
Este DPA regula el tratamiento de Datos Personales que DianaBot lleva a cabo en calidad de Encargado, por cuenta y bajo instrucción del Responsable, en el marco de la prestación del servicio de agente conversacional de inteligencia artificial descrito en los Términos y Condiciones.
3. Roles y responsabilidades
El Responsable determina los fines, alcance, tipos de datos, categorías de Titulares, duración y demás condiciones del tratamiento. DianaBot, como Encargado, trata los Datos Personales exclusivamente conforme las Instrucciones Documentadas del Responsable.
DianaBot no usa los Datos Personales del Responsable para fines propios distintos de: (i) operar, mantener y mejorar el servicio contratado; (ii) cumplir obligaciones legales propias; (iii) proteger la integridad y seguridad de la Plataforma.
Si DianaBot estima que una instrucción del Responsable infringe la legislación aplicable, lo notificará de inmediato por escrito. Hasta resolver la discrepancia, DianaBot puede suspender el tratamiento objeto de la instrucción cuestionada.
4. Naturaleza, finalidad y duración del tratamiento
| Elemento | Detalle |
|---|---|
| Naturaleza | Recepción, transcripción, análisis y respuesta a comunicaciones de voz y WhatsApp; gestión de citas; almacenamiento de historial conversacional; generación de analítica. |
| Finalidad | Prestar el servicio de agente de IA conversacional al Responsable, conforme su configuración. |
| Duración | Mientras el Responsable mantenga cuenta activa en la Plataforma, más los plazos de retención establecidos en la Política de Privacidad. |
5. Categorías de datos personales y de Titulares
5.1 Categorías de Datos Personales tratados
- Datos de contacto: número de teléfono, identificador de WhatsApp.
- Datos de identificación voluntarios: nombre, apellidos, correo electrónico, empresa u otros datos que el Titular comparta en la conversación.
- Contenido conversacional: mensajes de texto, audio, imágenes y archivos multimedia.
- Grabaciones de voz: audio completo de cada llamada atendida por el agente Diana.
- Transcripciones: texto generado automáticamente a partir de las grabaciones de voz.
- Datos operacionales: citas agendadas, pedidos, cotizaciones, notas y registros de CRM.
- Metadatos: fecha, hora, duración, identificador de la interacción, canal utilizado.
5.2 Categorías de Titulares
Clientes Finales del Responsable: personas físicas que se comunican con el negocio del Responsable a través de los canales de voz o WhatsApp operados mediante la Plataforma.
5.3 Datos sensibles
En ciertos sectores (salud, bienestar, servicios médicos) el contenido conversacional puede incluir datos relativos a la salud de los Titulares, que constituyen datos personales sensibles bajo la mayoría de las legislaciones aplicables. El Responsable asume la obligación de:
- Informar a los Titulares de manera previa y expresa sobre el tratamiento de sus datos sensibles.
- Obtener el consentimiento expreso del Titular cuando la legislación lo exija.
- Cumplir la normativa sectorial específica (en México: NOM-004-SSA3-2012 y normativa concordante; equivalentes en otros países).
- Configurar el agente conforme a las restricciones impuestas por dicha normativa.
6. Obligaciones del Encargado (DianaBot)
DianaBot se obliga a:
-
Instrucciones documentadas. Tratar los Datos Personales únicamente conforme las Instrucciones Documentadas del Responsable, salvo obligación legal en contrario. En ese último caso, notificará al Responsable antes de proceder, salvo que la ley lo prohíba.
-
Confidencialidad del personal. Garantizar que todo el personal con acceso a los Datos Personales esté sujeto a obligaciones de confidencialidad, ya sea de naturaleza contractual o legal.
-
Seguridad. Implementar y mantener las medidas técnicas y organizativas descritas en la sección 9.
-
Asistencia al Responsable. Asistir al Responsable, en la medida razonablemente posible dada la naturaleza del tratamiento, para: (i) responder solicitudes de ejercicio de derechos de los Titulares; (ii) cumplir sus obligaciones de seguridad y notificación de brechas; (iii) realizar evaluaciones de impacto en protección de datos.
-
Subprocesadores. Cumplir las obligaciones establecidas en la sección 7 respecto de los Subprocesadores que contrate.
-
Devolución o eliminación. Devolver o eliminar los Datos Personales al término de la relación conforme la sección 11.
-
Información y auditoría. Poner a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de este DPA, y cooperar con auditorías conforme la sección 13.
7. Subprocesadores
7.1 Autorización general
El Responsable autoriza a DianaBot a contratar los Subprocesadores necesarios para prestar el servicio. La lista actualizada está disponible en /subprocesadores.
7.2 Notificación de cambios
DianaBot notificará al Responsable la incorporación o sustitución de Subprocesadores con al menos 15 días de antelación. La notificación se realizará mediante actualización de la página /subprocesadores y aviso por correo al Responsable.
El Responsable puede objetar el cambio dentro del plazo de notificación por motivos razonables y fundados en legislación de protección de datos. Si DianaBot no puede acomodar la objeción, el Responsable puede terminar el servicio conforme los Términos y Condiciones.
7.3 Obligaciones contractuales con Subprocesadores
DianaBot impone a sus Subprocesadores, mediante contrato escrito, obligaciones de protección de datos sustancialmente equivalentes a las establecidas en este DPA, incluyendo compromisos de no utilizar los Datos Personales para entrenar modelos de IA fundacionales.
7.4 Responsabilidad por Subprocesadores
DianaBot responde frente al Responsable por el cumplimiento de las obligaciones de sus Subprocesadores, en la misma medida que si DianaBot las ejecutara directamente, y sujeto siempre a las limitaciones de responsabilidad establecidas en los Términos y Condiciones.
8. Transferencias internacionales
Los Subprocesadores de DianaBot están ubicados principalmente en Estados Unidos e Irlanda, y operan sobre infraestructura distribuida globalmente (Cloudflare). Las transferencias internacionales de Datos Personales se realizan bajo las siguientes salvaguardas:
- Cláusulas contractuales tipo aprobadas por las autoridades de protección de datos competentes.
- Marcos de adecuación cuando estén vigentes entre los países involucrados.
- Certificaciones de seguridad de los Subprocesadores: SOC 2 Type II, ISO 27001, PCI-DSS Nivel 1 (según aplique).
- Compromisos contractuales de no entrenamiento de modelos de IA con Datos Personales de Usuarios y Clientes Finales.
La lista de Subprocesadores en /subprocesadores indica la ubicación y las salvaguardas específicas de cada uno.
9. Medidas de seguridad técnicas y organizativas
DianaBot implementa y mantiene las siguientes medidas, proporcionales al riesgo del tratamiento:
Técnicas:
- Cifrado de Datos Personales en tránsito mediante TLS 1.2 o superior.
- Cifrado de Datos Personales en reposo en bases de datos y almacenamiento.
- Autenticación multifactor obligatoria para el personal con acceso a sistemas productivos.
- Control de acceso por roles bajo principio de mínimo privilegio.
- Segregación de entornos productivos y de pruebas o desarrollo.
- Registro de auditoría de accesos a sistemas que contienen Datos Personales.
- Procedimientos de respaldo periódico y verificación de restauración.
- Análisis y pruebas de seguridad periódicas (revisión de dependencias, gestión de vulnerabilidades).
Organizativas:
- Capacitación del personal en protección de datos y gestión de incidentes.
- Procedimientos documentados de respuesta a Brechas de Seguridad.
- Acuerdos de confidencialidad con el personal y contratistas.
- Revisión periódica de la lista de Subprocesadores y sus garantías de seguridad.
10. Notificación de Brechas de Seguridad
DianaBot notificará al Responsable cualquier Brecha de Seguridad que afecte sus Datos Personales sin demora indebida tras tomar conocimiento de ella, y en cualquier caso dentro de las 72 horas siguientes. La notificación se realizará a info@dianasbot.com del Responsable o al medio de contacto registrado en la cuenta.
La notificación incluirá, en la medida en que la información esté disponible en ese momento:
- Descripción de la naturaleza de la Brecha.
- Categorías y número aproximado de Titulares afectados.
- Categorías y volumen aproximado de registros de Datos Personales comprometidos.
- Posibles consecuencias de la Brecha.
- Medidas adoptadas o propuestas para mitigar sus efectos.
- Nombre y datos de contacto del responsable de gestión del incidente en DianaBot.
Si la información completa no está disponible en las primeras 72 horas, DianaBot enviará una notificación inicial con los datos disponibles y completará la información en notificaciones sucesivas.
El Responsable es quien notifica, cuando corresponda, a la autoridad de protección de datos competente y a los Titulares afectados, conforme la legislación local aplicable.
11. Devolución o eliminación al término de la relación
Al terminar la relación contractual entre DianaBot y el Responsable, ya sea por cancelación, terminación o cualquier otra causa, DianaBot — a elección del Responsable — procederá dentro de los 90 días posteriores a la fecha de terminación a:
a) Devolver los Datos Personales del Responsable en formato estructurado, de uso común y lectura mecánica (JSON o CSV según el tipo de dato); o
b) Eliminar de manera segura los Datos Personales, incluyendo copias en sistemas de respaldo, conforme procedimientos de destrucción de datos razonables en la industria.
Si la legislación obliga a DianaBot a conservar determinados Datos Personales más allá de ese plazo, lo notificará al Responsable indicando la base legal y el plazo de conservación, y mantendrá la confidencialidad y la prohibición de uso para fines distintos del cumplimiento legal.
El Responsable debe ejercer su elección notificando a info@dianasbot.com dentro de los primeros 30 días tras la terminación. Si no ejerce la elección dentro de ese plazo, DianaBot procederá a la eliminación.
12. Asistencia al Responsable
DianaBot asiste al Responsable, en la medida razonablemente posible dada la naturaleza automatizada del tratamiento y la información disponible para DianaBot:
-
Derechos de los Titulares: cuando DianaBot reciba directamente una solicitud de ejercicio de derechos (acceso, rectificación, cancelación, oposición, portabilidad) de un Titular, la redirigirá al Responsable e informará al Titular que debe dirigirse al Responsable como Controlador.
-
Evaluaciones de impacto (EIPD/PIA): proporcionará al Responsable la información técnica razonablemente disponible sobre el tratamiento que sea necesaria para realizar una evaluación de impacto, en un plazo de 15 días hábiles desde la solicitud.
-
Autoridades de protección de datos: cooperará razonablemente con el Responsable ante consultas, investigaciones o procedimientos iniciados por autoridades de protección de datos en relación con el tratamiento cubierto por este DPA.
13. Derecho de auditoría
El Responsable puede verificar el cumplimiento de este DPA mediante:
a) Informes de auditoría: solicitar a DianaBot copias de informes de auditoría de seguridad externos vigentes (SOC 2 Type II, ISO 27001 o equivalentes) y cuestionarios de seguridad estandarizados.
b) Auditoría en sitio: realizar auditorías en las instalaciones de DianaBot con las siguientes condiciones:
- Preaviso escrito de al menos 30 días.
- Máximo una auditoría por año calendario, salvo que una Brecha de Seguridad justifique una adicional.
- Ejecución en días y horarios hábiles, sin interferir con la operación normal.
- A cargo del Responsable (costos de auditores externos y gastos asociados).
- Bajo acuerdo de confidencialidad previo.
Las auditorías iniciadas por autoridades de protección de datos no están sujetas a las limitaciones de preaviso o frecuencia anteriores.
14. Responsabilidad
La responsabilidad de DianaBot bajo este DPA está sujeta a las limitaciones y exclusiones establecidas en los Términos y Condiciones, en particular la limitación al monto pagado por el Responsable en los 12 meses anteriores al hecho que origine la reclamación.
15. Relación con los Términos y Condiciones
En caso de conflicto entre este DPA y los Términos y Condiciones en materia de protección de datos personales, prevalecerá este DPA. En todo lo demás, se aplican los Términos y Condiciones.
16. Vigencia y terminación
Este DPA entra en vigor desde su aceptación (vía Términos y Condiciones o firma bilateral) y termina con la relación contractual entre las partes. Subsisten tras la terminación: las secciones de confidencialidad, devolución o eliminación de datos (hasta su cumplimiento), limitación de responsabilidad, y ley aplicable.
17. Modificaciones
DianaBot puede modificar este DPA con un aviso previo de 15 días, conforme el procedimiento de modificaciones de los Términos y Condiciones. Para DPAs bilateralmente suscritos, las modificaciones requieren acuerdo escrito de ambas partes.
18. Ley aplicable
Este DPA se rige por las leyes de los Estados Unidos Mexicanos, sin perjuicio de la legislación de protección de datos aplicable en la jurisdicción del Responsable y de sus Clientes Finales.
19. Anexos
- Anexo I — Detalle del tratamiento: ver sección 4 y 5 de este DPA.
- Anexo II — Medidas de seguridad: ver sección 9 de este DPA.
- Anexo III — Lista de Subprocesadores: dianasbot.com/subprocesadores (documento vivo, actualizado conforme sección 7).
20. Aceptación
Para Usuarios estándar: la aceptación de los Términos y Condiciones implica la aceptación de este DPA en su versión vigente.
Para clientes B2B que requieran DPA bilateral suscrito: solicitar el documento a info@dianasbot.com con asunto "Solicitud DPA bilateral".
21. Contacto
- Correo: info@dianasbot.com (asunto: "DPA")
- Dirección postal: Pedregal de Abrevadero 6926, Col. Pedregal, Monterrey, Nuevo León, C.P. 64898, México
Historial de versiones
| Versión | Fecha | Cambios |
|---|---|---|
| 1.0 | 22 de mayo de 2026 | Versión inicial. |
| 2.0 | 27 de mayo de 2026 | Corrección de entidad legal (persona física con actividad empresarial: Diana Isabel Mezquiti Garza). Sin cambios materiales en obligaciones, derechos, retenciones, SLA ni subprocesadores. |
Otros documentos legales
Este documento forma parte del marco legal de DianaBot, operado por Diana Isabel Mezquiti Garza (persona física con actividad empresarial), con domicilio fiscal en Pedregal de Abrevadero 6926, Col. Pedregal, Monterrey, Nuevo León, C.P. 64898, México.