(Aviso de Privacidad Integral)
1. ¿Quiénes somos?
Diana Isabel Mezquiti Garza (persona física con actividad empresarial), con domicilio fiscal en Pedregal de Abrevadero 6926, Col. Pedregal, Monterrey, Nuevo León, C.P. 64898, México (en adelante, "DianaBot", "nosotros" o "la Plataforma"), es el Responsable del tratamiento de los datos personales que se recaban a través del sitio dianasbot.com y de los servicios que prestamos bajo el nombre comercial DianaBot.
Operamos la plataforma DianaBot, un servicio de agente de inteligencia artificial que atiende llamadas telefónicas y mensajes de WhatsApp para negocios locales en Latinoamérica.
Contacto único para temas de privacidad:
- Correo: info@dianasbot.com
- Dirección postal: Pedregal de Abrevadero 6926, Col. Pedregal, Monterrey, Nuevo León, C.P. 64898, México
No tenemos designado formalmente un Encargado de Protección de Datos (DPO). Cualquier solicitud relacionada con datos personales se atiende a través de info@dianasbot.com en los plazos establecidos en esta Política.
2. ¿A quién aplica esta Política?
Esta Política aplica a tres categorías de personas, con roles distintos:
A. Usuarios. Personas físicas o morales que contratan los servicios de DianaBot creando una cuenta para su negocio. Respecto de los Usuarios, DianaBot actúa como Responsable del Tratamiento.
B. Visitantes. Personas que navegan el sitio dianasbot.com sin crear una cuenta. Respecto de los Visitantes, DianaBot actúa como Responsable del Tratamiento.
C. Clientes Finales. Personas que llaman, escriben por WhatsApp, o interactúan con un agente Diana operado por un negocio Usuario. Respecto de los Clientes Finales, el Usuario es el Responsable del Tratamiento y DianaBot actúa como Encargado del Tratamiento.
El Usuario es responsable de mantener su propio Aviso de Privacidad accesible para sus Clientes Finales y de cumplir las obligaciones legales aplicables a su sector.
3. ¿Qué datos personales recopilamos?
3.1 Datos de Usuarios
- Identificación y contacto: nombre, correo electrónico, número de teléfono.
- Cuenta: nombre de usuario, contraseña almacenada como hash criptográfico, preferencias, rol.
- Información del negocio: nombre comercial, rubro, dirección, datos fiscales para facturación.
- Pago: información tokenizada por el procesador externo (Stripe). DianaBot no almacena ni tiene acceso a números completos de tarjeta ni CVV.
- Uso de la Plataforma: dirección IP, navegador, dispositivo, sistema operativo, fechas y horas de acceso, páginas visitadas, acciones realizadas.
- Configuración del agente Diana: instrucciones, FAQs, catálogo de productos/servicios, horarios, plantillas y demás contenido que el Usuario cargue para operar su agente.
- Comunicaciones de soporte: contenido de tickets, correos y mensajes intercambiados con nuestro equipo.
3.2 Datos de Visitantes
- Dirección IP, identificador de dispositivo, navegador, sistema operativo.
- Páginas visitadas, tiempo de permanencia, origen del tráfico (referrer, parámetros UTM).
- Datos voluntariamente ingresados en formularios (contacto, demo, suscripción).
3.3 Datos de Clientes Finales (procesados como Encargados)
- Número de teléfono o identificador de WhatsApp.
- Nombre y demás datos que el Cliente Final comparta voluntariamente en la conversación.
- Contenido de mensajes de texto, audio, voz y multimedia.
- Grabaciones de voz de las llamadas atendidas por el agente Diana.
- Transcripciones automáticas de las conversaciones de voz.
- Citas, pedidos, cotizaciones y demás registros generados en el CRM del Usuario.
- Metadatos asociados: fecha, hora, duración de la interacción, identificador del agente.
3.4 Datos sensibles
Algunos sectores (clínicas, consultorios médicos, servicios de bienestar) pueden implicar el tratamiento de datos personales sensibles relativos a la salud del Titular. Estos datos reciben medidas de protección reforzadas, y los Usuarios de esos sectores son responsables de cumplir la normativa sectorial aplicable, obtener consentimiento expreso del Titular cuando proceda, y configurar el agente conforme a esas obligaciones.
4. ¿Para qué usamos los datos? (Finalidades)
4.1 Finalidades primarias (necesarias para el servicio)
- Crear, mantener y operar la cuenta del Usuario.
- Configurar y operar el agente Diana conforme las instrucciones del Usuario.
- Procesar pagos, emitir comprobantes fiscales y administrar el saldo prepagado.
- Brindar soporte técnico y atender solicitudes relacionadas con el servicio.
- Proteger la integridad de la Plataforma frente a fraude, abuso y uso indebido.
- Cumplir obligaciones legales, requerimientos de autoridad y disposiciones contables y fiscales.
4.2 Finalidades secundarias (con derecho a oposición)
- Enviar comunicaciones promocionales sobre nuevas funcionalidades o productos.
- Realizar encuestas de satisfacción y estudios de uso.
- Generar analítica agregada y anónima para mejora del producto.
- Mejora del servicio mediante análisis de patrones de uso.
El Titular puede oponerse al tratamiento para finalidades secundarias en cualquier momento por los medios indicados en la sección 10, sin que esto afecte la prestación del servicio.
5. Bases legales del tratamiento
DianaBot trata los datos personales bajo las siguientes bases:
- Ejecución del contrato entre DianaBot y el Usuario (Términos y Condiciones).
- Consentimiento expreso del Titular para finalidades secundarias y para el tratamiento de datos sensibles.
- Cumplimiento de obligaciones legales aplicables en México y en cada país donde se presta el servicio.
- Interés legítimo para seguridad de la Plataforma, prevención de fraude, y mejora del servicio, equilibrado con los derechos del Titular.
6. Inteligencia Artificial y procesamiento de voz
DianaBot opera mediante un agente conversacional de inteligencia artificial. Es importante que tanto Usuarios como Clientes Finales conozcan lo siguiente:
- Diana es un agente de IA, no un ser humano. El Usuario es responsable de informarlo a sus Clientes Finales cuando lo exija la legislación local, y siempre que un Cliente Final lo pregunte directamente.
- Las llamadas y mensajes pueden ser grabados, transcritos y procesados mediante proveedores especializados de voz, transcripción y modelos de lenguaje, con el único fin de responder a la conversación, brindar soporte y mejorar el servicio.
- El procesamiento se apoya en proveedores externos detallados en la sección 7 y en la página /subprocesadores.
- No usamos las grabaciones, transcripciones ni el contenido de las conversaciones para entrenar modelos de IA fundacionales de terceros. Los proveedores están contractualmente obligados a no hacerlo.
- Retención de grabaciones de voz: 30 días desde la fecha de la llamada, salvo configuración distinta aceptada por el Usuario.
- Retención de transcripciones: 12 meses desde la fecha de la conversación, salvo configuración distinta aceptada por el Usuario.
- El Usuario puede ajustar los plazos de retención y políticas específicas desde el panel de configuración de su cuenta.
7. ¿Con quién compartimos datos? (Subprocesadores)
DianaBot comparte datos personales únicamente con proveedores tecnológicos necesarios para operar el servicio. Cada uno actúa bajo contrato escrito que impone obligaciones de protección de datos equivalentes a las de esta Política.
| Categoría | Proveedor | Finalidad | Ubicación |
|---|---|---|---|
| Mensajería WhatsApp | Meta Platforms, Inc. | API de WhatsApp Business Cloud | EE.UU. / Irlanda |
| Telefonía y SIP | Twilio Inc. | Conexión de llamadas y números telefónicos | EE.UU. |
| Orquestación de voz IA | Vapi Labs, Inc. | Reconocimiento de voz, gestión de llamada en tiempo real | EE.UU. |
| Síntesis de voz | ElevenLabs Inc. | Generación de voz del agente | EE.UU. |
| Modelo de lenguaje | OpenRouter, Inc. | Procesamiento de lenguaje natural (enruta a Anthropic, OpenAI u otros modelos según configuración) | EE.UU. |
| Procesamiento de pagos | Stripe, Inc. | Cobros tokenizados | EE.UU. y país del Usuario |
| Base de datos y autenticación | Supabase Inc. | Almacenamiento y acceso a datos del producto | EE.UU. |
| Hosting y CDN | Cloudflare, Inc. | Infraestructura de servidores y distribución de contenido | Red global |
| Correo transaccional | Resend, Inc. | Envío de correos del servicio | EE.UU. |
| Analítica de producto | PostHog, Inc. | Métricas de uso agregadas | EE.UU. |
| Analítica web y de campañas | Google LLC (Google Analytics 4) | Medición de tráfico y conversiones del sitio (solo con consentimiento) | EE.UU. |
| Medición publicitaria | Meta Platforms, Inc. (Meta Pixel + Conversions API) | Atribución y medición de conversiones de campañas; el correo se transmite cifrado (hash SHA-256). Solo con consentimiento. | EE.UU. / Irlanda |
| Medición publicitaria | TikTok Technology Ltd. (TikTok Pixel + Events API) | Atribución y medición de conversiones de campañas; el correo se transmite cifrado (hash SHA-256). Solo con consentimiento. | EE.UU. / Irlanda / Singapur |
| Monitoreo de errores | Functional Software, Inc. (Sentry) | Diagnóstico técnico | EE.UU. |
| Orquestación de tareas | Inngest, Inc. | Procesamiento de trabajos en background | EE.UU. |
| Calendario (opcional) | Google LLC | Sincronización con Google Calendar, sólo si el Usuario conecta su cuenta | EE.UU. |
La lista completa y actualizada está disponible en /subprocesadores. Cualquier alta, baja o sustitución de subprocesador se notifica a los Usuarios con al menos 15 días de antelación.
7.1 Uso de datos de Google APIs — Cumplimiento de Limited Use
El uso de la información recibida de las APIs de Google por parte de DianaBot se adhiere a la Google API Services User Data Policy, incluidos los requisitos de Uso Limitado (Limited Use).
Alcance: DianaBot accede exclusivamente al scope calendar.events de Google Calendar para ofrecer funcionalidades de agendamiento de citas al usuario final (consultar disponibilidad, crear, modificar y cancelar eventos).
Restricciones que aplicamos:
- Los datos de Google Calendar no se transfieren a servicios de inteligencia artificial ni a modelos de lenguaje (LLM). La funcionalidad de agendamiento opera en un flujo determinista separado del servicio de IA.
- Los datos de Google Calendar no se comparten con terceros, excepto lo estrictamente necesario para operar el servicio (la propia API de Google Calendar).
- Los datos de Google Calendar no se utilizan para publicidad, entrenamiento de modelos de IA, ni para elaborar perfiles de los usuarios.
- Los datos de Google Calendar se retienen únicamente mientras la cuenta del usuario esté activa y se eliminan conforme a los plazos de la sección 9.
- El usuario puede desconectar su cuenta de Google Calendar en cualquier momento desde su panel de configuración, lo que revoca inmediatamente el acceso de DianaBot a sus datos de calendario.
8. Transferencias internacionales
Los subprocesadores listados en la sección 7 están ubicados principalmente en Estados Unidos, Irlanda y la red global de Cloudflare. Las transferencias internacionales de datos se realizan bajo las siguientes salvaguardas:
- Cláusulas contractuales tipo aprobadas por las autoridades correspondientes.
- Certificaciones de seguridad de los proveedores (SOC 2 Type II, ISO 27001, PCI-DSS Nivel 1 cuando aplica).
- Marcos de adecuación cuando estén vigentes entre los países involucrados.
Para Titulares en jurisdicciones específicas, las transferencias se ejecutan conforme a los requisitos de su legislación local de protección de datos.
Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México, las transferencias a los proveedores de medición publicitaria (Meta, TikTok, Google Analytics) constituyen una transferencia internacional para fines de mercadotecnia y solo se realizan cuando el Titular ha otorgado su consentimiento mediante el banner de cookies ("Aceptar todas"). El dato de contacto (correo electrónico) se transmite cifrado mediante hash SHA-256. Si el Titular no otorga consentimiento, no se envía ningún dato a estos proveedores.
9. Plazos de conservación
| Tipo de dato | Plazo de conservación |
|---|---|
| Datos de cuenta activa | Mientras dure la relación con el Usuario |
| Datos tras cancelación de cuenta | 90 días para recuperación, luego eliminación o anonimización |
| Datos contables y fiscales | Plazos exigidos por legislación fiscal aplicable (5 a 10 años) |
| Logs de seguridad | 12 meses |
| Grabaciones de voz | 30 días, salvo configuración distinta del Usuario |
| Transcripciones de voz | 12 meses, salvo configuración distinta del Usuario |
| Cookies y analítica de Visitantes | 24 meses |
| Comunicaciones de soporte | 24 meses |
| Cuentas inactivas | 12 meses de inactividad → archivo o eliminación previo aviso |
10. Derechos de los Titulares (ARCO y derechos relacionados)
Como Titular de datos personales, tienes derecho a:
- Acceso: conocer qué datos personales tenemos sobre ti y cómo los tratamos.
- Rectificación: solicitar la corrección de datos inexactos o incompletos.
- Cancelación: solicitar la eliminación de tus datos personales cuando ya no sean necesarios.
- Oposición: oponerte al tratamiento para finalidades específicas, en particular las secundarias.
- Portabilidad: recibir tus datos en formato estructurado y de uso común para transmitirlos a otro responsable.
- Limitación del tratamiento: restringir temporalmente el tratamiento mientras se resuelve una controversia.
- No ser objeto de decisiones automatizadas con efectos jurídicos relevantes sin intervención humana.
- Revocar el consentimiento otorgado previamente, sin efectos retroactivos.
Para ejercer cualquiera de estos derechos, envía una solicitud a info@dianasbot.com indicando:
- Tu nombre completo y datos de contacto.
- Documento que acredite tu identidad o, en su caso, la representación legal.
- Descripción clara del derecho que deseas ejercer.
- Información adicional que permita localizar tus datos personales (por ejemplo, número de teléfono asociado a la cuenta).
- Domicilio o medio para recibir la respuesta.
Respondemos en un plazo máximo de 20 días hábiles desde la recepción de la solicitud completa. Si la respuesta es afirmativa, la haremos efectiva dentro de los 15 días siguientes.
Si consideras que tu solicitud no ha sido atendida correctamente, puedes acudir a la autoridad de protección de datos competente de tu país (ver sección 15).
11. Cookies y tecnologías similares
El sitio dianasbot.com utiliza cookies estrictamente necesarias, de rendimiento, analíticas y, sujeto a tu consentimiento, de marketing. El detalle granular del inventario, su finalidad, duración y proveedor, así como las opciones para gestionarlas, están disponibles en la Política de Cookies.
12. Seguridad
Implementamos medidas técnicas, físicas y administrativas razonables para proteger los datos personales, incluyendo:
- Cifrado en tránsito mediante TLS 1.2 o superior.
- Cifrado en reposo de bases de datos y almacenamiento.
- Control de acceso por roles bajo principio de mínimo privilegio.
- Autenticación multifactor obligatoria para el personal con acceso a datos.
- Segregación de entornos productivos y de pruebas.
- Registros de auditoría de accesos a datos sensibles.
- Pruebas de seguridad periódicas.
- Procedimientos documentados de respuesta a incidentes.
Notificación de brechas. En caso de un incidente de seguridad que afecte de manera significativa los derechos de los Titulares, notificaremos a las autoridades competentes y a los Titulares afectados en los plazos exigidos por la ley aplicable, y en cualquier caso dentro de las 72 horas siguientes a la toma de conocimiento, conforme el estándar establecido en nuestro Acuerdo de Procesamiento de Datos (/dpa).
13. Datos de menores de edad
El servicio DianaBot está dirigido exclusivamente a personas mayores de 18 años. No recopilamos intencionalmente datos personales de menores. Si tomamos conocimiento de que hemos recibido datos de un menor sin el consentimiento del titular de la patria potestad o tutela, los eliminaremos en el menor tiempo posible.
14. Cambios a esta Política
Podemos actualizar esta Política para reflejar cambios legales, técnicos o de negocio. Cuando los cambios sean materiales, notificaremos con al menos 15 días de antelación mediante:
- Publicación de la versión actualizada en dianasbot.com con la nueva fecha y número de versión.
- Correo electrónico al Usuario en la dirección registrada.
- Aviso visible al ingresar a la Plataforma.
El historial de cambios se mantiene al final de este documento.
15. Disposiciones por jurisdicción
DianaBot opera en los siguientes países y se compromete a cumplir la legislación de protección de datos aplicable en cada uno:
| País | Ley principal | Autoridad |
|---|---|---|
| México | LFPDPPP y su Reglamento | INAI — home.inai.org.mx |
| Colombia | Ley 1581 de 2012 y Decreto 1377 de 2013 | SIC (Superintendencia de Industria y Comercio) |
| Argentina | Ley 25.326 de Protección de Datos Personales | AAIP (Agencia de Acceso a la Información Pública) |
| Chile | Ley 19.628 y Ley 21.719 | Agencia de Protección de Datos Personales |
| Perú | Ley 29733 y su Reglamento | ANPD (Autoridad Nacional de Protección de Datos) |
| Ecuador | Ley Orgánica de Protección de Datos Personales (2021) | Superintendencia de Protección de Datos Personales |
| Costa Rica | Ley 8968 | PRODHAB |
| Panamá | Ley 81 de 2019 | ANTAI |
| República Dominicana | Ley 172-13 | INDOTEL (parcial) |
| Guatemala | Marco constitucional y disposiciones sectoriales | — |
| Uruguay | Ley 18.331 | URCDP |
| Bolivia | Marco constitucional y disposiciones sectoriales | — |
DianaBot no presta servicios en Brasil. La LGPD brasileña no es aplicable al servicio.
Las disposiciones de esta Política se interpretan en armonía con la jurisdicción más protectora aplicable al Titular cuando la legislación local así lo exija.
16. Contacto
Para cualquier consulta, solicitud o reclamación relacionada con tus datos personales:
- Correo: info@dianasbot.com
- Dirección postal: Pedregal de Abrevadero 6926, Col. Pedregal, Monterrey, Nuevo León, C.P. 64898, México
Historial de versiones
| Versión | Fecha | Cambios |
|---|---|---|
| 1.0 | 22 de mayo de 2026 | Versión inicial. |
| 2.0 | 27 de mayo de 2026 | Corrección de entidad legal (persona física con actividad empresarial: Diana Isabel Mezquiti Garza). Sin cambios materiales en obligaciones, derechos, retenciones, SLA ni subprocesadores. |
Otros documentos legales
Este documento forma parte del marco legal de DianaBot, operado por Diana Isabel Mezquiti Garza (persona física con actividad empresarial), con domicilio fiscal en Pedregal de Abrevadero 6926, Col. Pedregal, Monterrey, Nuevo León, C.P. 64898, México.