Acuerdo de Tratamiento de Datos (DPA) — XELIA
ALTHAGIZ SERVICES NAT, S.A.P.I. DE C.V.
Versión 1.0 — Conforme a RGPD (Art. 28), LFPDPPP México, Ley 1581 Colombia y equivalentes
Preámbulo. Este Acuerdo de Tratamiento de Datos ("DPA") forma parte integral de los Términos y Condiciones y del Aviso de Privacidad entre ALTHAGIZ SERVICES NAT, S.A.P.I. DE C.V. ("XELIA" o "Encargado"), con domicilio en Avenida División del Norte, Colonia Lomas de Memetla, CP 05330, Alcaldía Cuajimalpa de Morelos, Ciudad de México, México; y el Cliente registrado en la plataforma ("Responsable" o "Controlador"), cuya razón social, domicilio y representante legal constan en el registro del dashboard de XELIA. Las partes acuerdan regir el tratamiento de datos personales realizados por XELIA en nombre del Cliente bajo las siguientes cláusulas.
1. Definiciones
- Datos Personales: cualquier información sobre una persona física identificada o identificable tratada por XELIA en nombre del Cliente.
- Responsable o Controlador: el Cliente, quien determina los fines y medios del tratamiento.
- Encargado o Procesador: XELIA, quien trata los datos en nombre del Responsable.
- Sub-Encargado o Sub-Procesador: tercero autorizado por XELIA para apoyar el tratamiento (Anthropic, OpenAI, Google, Perplexity, Deepgram, Stripe, Twilio, AWS, Hetzner, Cloudflare, Meta).
- Titular: la persona física a quien pertenecen los datos.
- RGPD: Reglamento General de Protección de Datos (UE) 2016/679.
- LFPDPPP: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México) 2025.
- Brecha de seguridad: cualquier incidente que comprometa la confidencialidad, integridad o disponibilidad de los Datos Personales.
2. Objeto y alcance
2.1 Objeto del tratamiento
El Responsable confía a XELIA el tratamiento de Datos Personales para prestarle los servicios contratados según el plan activo (IMPULSO, PRO, MAX o ENTERPRISE).
2.2 Naturaleza y finalidad del tratamiento
- Almacenamiento y gestión de leads, prospectos y contactos.
- Ejecución de llamadas de voz con IA (inbound y outbound).
- Envío de mensajes WhatsApp, SMS y email en nombre del Responsable.
- Análisis automatizado de conversaciones y generación de insights.
- Generación de contenido para redes sociales del Responsable.
- Reportes, dashboards y métricas de rendimiento.
- Cualquier otra funcionalidad incluida en el plan contratado.
2.3 Tipo de datos tratados
- Datos de identificación (nombres, razones sociales).
- Datos de contacto (teléfonos, emails, direcciones).
- Datos comerciales (historial de compras, preferencias).
- Datos de conversaciones (voz, texto, transcripciones).
- Datos biométricos de voz (con consentimiento separado del Titular).
- Datos generados automáticamente (lead scores, análisis de sentimiento).
- Metadatos técnicos (duración de llamadas, canales, timestamps).
2.4 Categorías de Titulares
- Prospectos y clientes potenciales del Responsable.
- Clientes activos del Responsable.
- Empleados del Responsable (si utilizan la plataforma).
- Usuarios finales de los servicios del Responsable.
2.5 Duración
El tratamiento se realizará mientras el Responsable mantenga un contrato activo con XELIA. Al terminar la relación contractual, aplican los plazos de retención establecidos en la sección 7 del Aviso de Privacidad de XELIA.
3. Obligaciones de XELIA como Encargado
3.1 Tratar los datos solo conforme a instrucciones documentadas
XELIA tratará los Datos Personales únicamente conforme a las instrucciones documentadas del Responsable, incluyendo los Términos y Condiciones, configuraciones del dashboard, prompts y parámetros de campaña. Las instrucciones generales se documentan en este DPA; instrucciones específicas adicionales pueden darse por escrito a privacidad@xelia.ai.
3.2 Garantizar confidencialidad
XELIA garantiza que todo su personal autorizado para tratar los Datos Personales:
- Está sujeto a obligaciones contractuales de confidencialidad.
- Recibió formación en protección de datos.
- Accede a los datos bajo el principio de "necesidad de conocer".
3.3 Implementar medidas técnicas y organizativas
XELIA implementa y mantiene medidas de seguridad apropiadas, que incluyen:
- Cifrado TLS/SSL en tránsito para toda comunicación.
- Cifrado AES-256 en reposo para datos sensibles.
- Hashing bcrypt + salt para contraseñas.
- Autenticación de dos factores disponible.
- Control de accesos granular RBAC multi-tenant.
- Firewall y WAF mediante Cloudflare.
- Registros de auditoría persistentes.
- Backups cifrados con retención de 30 días.
- Pruebas de seguridad periódicas.
- Sanitización automática de datos sensibles (CURP, RFC, tarjetas, CLABE, emails, teléfonos) antes de enviar a proveedores externos de IA.
3.4 Asistir al Responsable
XELIA asistirá razonablemente al Responsable en:
- Atender solicitudes de ejercicio de derechos de los Titulares (ARCO, GDPR, Habeas Data, ARSOPOL).
- Realizar evaluaciones de impacto en la protección de datos (EIPD/DPIA) cuando apliquen.
- Notificar brechas de seguridad según sección 5.
- Cumplir obligaciones de consulta previa con autoridades.
3.5 Eliminar o devolver los datos al finalizar
Al terminar la prestación del servicio, a elección del Responsable, XELIA:
- Devolverá los Datos Personales en formato estructurado y comúnmente usado (JSON/CSV), O
- Eliminará los Datos Personales, salvo obligación legal de conservarlos.
Los backups se eliminan automáticamente tras 30 días. Los datos fiscales y contables se conservan hasta 10 años conforme al Código Fiscal de la Federación (México).
3.6 Demostrar cumplimiento
XELIA pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de este DPA, incluyendo permitir y contribuir a auditorías razonables (máximo una al año) con aviso previo de 30 días, a costo del Responsable.
4. Sub-procesadores
4.1 Autorización general
El Responsable autoriza, mediante la aceptación de este DPA, la contratación por parte de XELIA de los siguientes sub-procesadores:
| Sub-procesador | País | Finalidad | Garantías |
|---|---|---|---|
| Anthropic, PBC | EE.UU. | Análisis IA con Claude | Contrato comercial + no entrenamiento |
| OpenAI, L.L.C. | EE.UU. | Voz, transcripción, moderación | Business Terms + no entrenamiento |
| Google LLC (Gemini) | EE.UU. | Contexto largo, resúmenes | Gemini API Paid Tier (no training) |
| Perplexity AI | EE.UU. | Búsqueda en tiempo real | API commercial terms |
| Deepgram, Inc. | EE.UU. | STT y TTS producción | Enterprise terms + no training |
| Stripe, Inc. | EE.UU. | Procesamiento de pagos | DPA Stripe + SCCs |
| Twilio, Inc. | EE.UU. | Telefonía y WhatsApp | DPA Twilio + SCCs |
| Amazon Web Services | EE.UU. (us-east-1) | Email (SES), respaldos | AWS DPA + SCCs |
| Hetzner Online GmbH | Alemania | Alojamiento principal | Jurisdicción UE (adecuación) |
| Cloudflare, Inc. | Global | CDN y seguridad | Cloudflare DPA + SCCs |
| Meta Platforms, Inc. | EE.UU. | WhatsApp Business Platform | Meta Business DPA |
4.2 Cambio de sub-procesadores
XELIA notificará al Responsable cualquier cambio o adición de sub-procesadores con al menos 30 días de antelación mediante email y banner en el dashboard. El Responsable puede objetar fundadamente dentro de los 14 días siguientes. Si se objeta, XELIA intentará una solución razonable o, si no es posible, el Responsable puede cancelar el servicio sin penalidad.
4.3 Responsabilidad
XELIA es responsable del cumplimiento de obligaciones de protección de datos por parte de sus sub-procesadores. XELIA celebra contratos con cada sub-procesador que imponen obligaciones equivalentes a las de este DPA.
5. Notificación de brechas de seguridad
5.1 Obligación de notificar
XELIA notificará al Responsable sin dilación indebida, y en todo caso dentro de las 72 horas siguientes a tener conocimiento, de cualquier brecha de seguridad que afecte los Datos Personales del Responsable.
5.2 Contenido de la notificación
La notificación incluirá, en la medida en que sea conocido al momento:
- Naturaleza de la brecha y categorías y número aproximado de Titulares afectados.
- Consecuencias probables de la brecha.
- Medidas adoptadas o propuestas para gestionar la brecha.
- Punto de contacto para obtener más información.
5.3 Cooperación con autoridades
XELIA cooperará razonablemente con el Responsable para que este pueda cumplir sus obligaciones de notificación ante autoridades de protección de datos y Titulares afectados, cuando la ley aplicable así lo requiera.
6. Transferencias internacionales
6.1 Ubicación principal
Los datos se almacenan principalmente en servidores de Hetzner Online GmbH (Alemania). Ciertos procesamientos se realizan en Estados Unidos por los sub-procesadores listados en la sección 4.
6.2 Mecanismos de transferencia
- Desde la UE/EEE: XELIA se basa en Standard Contractual Clauses (SCCs) actualizadas y, cuando aplique, el EU-US Data Privacy Framework.
- Desde México: cumplimiento del Capítulo V de LFPDPPP.
- Desde Colombia: cumplimiento del Capítulo VII de Ley 1581.
- Desde Argentina: cumplimiento de Art. 12 Ley 25.326.
- Desde Chile: cumplimiento de Título V Ley 21.719.
7. Derechos del Responsable
El Responsable tiene derecho a:
- Recibir copia de este DPA firmado.
- Recibir información sobre sub-procesadores utilizados.
- Objetar cambios de sub-procesadores con base fundada.
- Solicitar asistencia razonable para atender derechos de Titulares.
- Realizar auditorías conforme a la cláusula 3.6.
- Terminar el servicio en caso de incumplimiento material del DPA.
- Solicitar devolución o eliminación de datos al término de la relación.
8. Vigencia y terminación
Este DPA entra en vigor al momento de la aceptación del Cliente en el onboarding (checkbox específico) y permanece vigente mientras exista relación contractual entre las partes.
Las obligaciones que por su naturaleza deban sobrevivir (confidencialidad, devolución de datos, limitaciones de responsabilidad) continúan aplicando tras la terminación.
9. Responsabilidad
La responsabilidad de las partes respecto del tratamiento de Datos Personales se determinará conforme a las leyes aplicables de protección de datos. Ninguna cláusula de este DPA limita las responsabilidades que por ley sean irrenunciables.
La limitación de responsabilidad general establecida en los Términos y Condiciones aplica también a este DPA, salvo en los casos donde la ley lo prohíba.
10. Ley aplicable y jurisdicción
Este DPA se rige por las leyes de los Estados Unidos Mexicanos. Cualquier controversia se someterá a los tribunales competentes de la Ciudad de México, sin perjuicio de los derechos del Titular ante autoridades de protección de datos de su jurisdicción.
11. Aceptación
Este DPA se considera aceptado por el Responsable al marcar el checkbox correspondiente en el onboarding de XELIA:
[ ] He leído y acepto el Acuerdo de Tratamiento de Datos (DPA) de XELIA en su versión 1.0
La aceptación se registra en audit_log con timestamp, versión del DPA, identidad del Cliente y firma digital equivalente.
12. Contacto
Para cuestiones relacionadas con este DPA:
- Oficial de Protección de Datos: Leonardo Abad Galán
- Email oficial: privacidad@xelia.ai
- Backup DPO: cibscyc@proton.me
ALTHAGIZ SERVICES NAT, S.A.P.I. DE C.V. — CDMX, México
Fecha de vigencia: 30 de abril de 2026 · Versión: 1.0 (Plantilla Estándar)
© 2026 ALTHAGIZ SERVICES NAT, S.A.P.I. DE C.V. — XELIA® marca registrada.