Legal · Privacidad

Contrato de Aceptación de Tratamiento de Datos

DPA entre BotIvA y el Cliente: obligaciones, derechos y garantías en protección de datos personales.

Versión 1.0Vigente desde el 18 de mayo de 2026~12 min de lectura

72 horas

Notificación de incidentes

30 días

Supresión tras baja

AES-256

Cifrado en reposo

LFPDPPP

Marco legal

Este Contrato de Tratamiento de Datos (“CTD” o “Contrato”) regula la relación entre BotIvA (“Encargado del Tratamiento” o “BotIvA”) y el Cliente (“Responsable del Tratamiento”), respecto de los datos personales que el Cliente transmite, almacena o procesa a través de la plataforma BotIvA, sus widgets de chat, APIs y servicios asociados.

Al crear una cuenta, instalar un widget o utilizar cualquier servicio de BotIvA, el Cliente declara haber leído, comprendido y aceptado este Contrato en su totalidad. Si actúa en nombre de una organización, declara tener las facultades necesarias para vincularla contractualmente.

1Definiciones

Datos Personales
Toda información que identifique o permita identificar a una persona física, incluyendo —sin limitación— nombre, correo electrónico, identificador de sesión, dirección IP, historial de conversaciones y cualquier otro dato proporcionado por los usuarios finales del Cliente a través de los widgets o APIs de BotIvA.
Tratamiento
Cualquier operación realizada sobre los Datos Personales: recopilación, almacenamiento, consulta, uso, transmisión, anonimización, bloqueo o supresión.
Usuario Final
La persona física que interactúa con los widgets de chat u otras interfaces del Cliente que utilizan la plataforma BotIvA.
Sub-encargado
Tercero contratado por BotIvA para ejecutar parte del Tratamiento en nombre del Cliente, sujeto a obligaciones equivalentes a las de este Contrato.
Incidente de Seguridad
Acceso no autorizado, destrucción, pérdida, alteración o divulgación accidental de Datos Personales.

2Objeto y alcance del tratamiento

BotIvA actuará como Encargado del Tratamiento exclusivamente para prestar los servicios contratados por el Cliente y bajo sus instrucciones documentadas. El Tratamiento abarca:

  • Almacenamiento temporal y permanente del historial de conversaciones del widget.
  • Procesamiento de consultas contra modelos de lenguaje (LLMs) de terceros para generar respuestas.
  • Indexación de documentos cargados por el Cliente para funcionalidad de almacenamiento (Retrieval-Augmented Generation).
  • Registro de métricas de uso anonimizadas para facturación y mejora del servicio.
  • Autenticación e identificación de los usuarios finales cuando el Cliente habilite dicha función.

BotIvA no realizará ningún Tratamiento adicional sin instrucción previa y documentada del Cliente, salvo obligación legal expresa.

3Obligaciones del Encargado del Tratamiento (BotIvA)

BotIvA se compromete a:

  1. Confidencialidad. Garantizar que las personas autorizadas para tratar los Datos Personales estén sujetas a obligaciones de confidencialidad legales o contractuales.
  2. Seguridad técnica y organizativa. Implementar y mantener medidas adecuadas al riesgo, incluyendo cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), control de acceso basado en roles, registros de auditoría y revisiones periódicas de seguridad.
  3. Asistencia al Responsable. Colaborar razonablemente para que el Cliente pueda atender solicitudes de ejercicio de derechos de los Usuarios Finales (acceso, rectificación, supresión, oposición, portabilidad), sin coste adicional salvo que el volumen supere lo razonable.
  4. Notificación de Incidentes. Informar al Cliente sin dilación indebida —y en todo caso dentro de las 72 horas siguientes al conocimiento del hecho— sobre cualquier Incidente de Seguridad que afecte a los Datos Personales del Cliente.
  5. Supresión o devolución. Al término del Contrato, y a elección del Cliente, suprimir o devolver todos los Datos Personales en un plazo máximo de 30 días calendario, salvo obligación legal de conservación.
  6. Auditoría. Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de este Contrato y permitir, con preaviso razonable, auditorías o inspecciones realizadas por el Cliente o un auditor designado por él.

4Obligaciones del Responsable del Tratamiento (Cliente)

El Cliente se compromete a:

  1. Contar con una base legal válida para el Tratamiento de los Datos Personales de sus Usuarios Finales (consentimiento, contrato, interés legítimo u otra aplicable bajo la legislación local).
  2. Informar a sus Usuarios Finales sobre el uso de BotIvA como herramienta de procesamiento, conforme a su propia política de privacidad.
  3. No transmitir a BotIvA datos de categorías especiales (salud, opiniones políticas, datos biométricos, creencias religiosas, orientación sexual u otros datos sensibles) sin suscribir un addendum específico.
  4. Notificar a BotIvA de forma inmediata si toma conocimiento de cualquier acción legal, demanda regulatoria o reclamación relacionada con los Datos Personales tratados a través de la plataforma.
  5. Impartir instrucciones de Tratamiento por escrito (correo electrónico o formulario en el panel de administración) y asumir responsabilidad por las instrucciones que contradigan la normativa aplicable.

5Sub-encargados autorizados

El Cliente autoriza de forma general a BotIvA a contratar Sub-encargados para la prestación del servicio. BotIvA publicará y mantendrá actualizada la lista de Sub-encargados en BotIvA.app/sub-encargados. Ante cualquier incorporación o sustitución, BotIvA notificará al Cliente con al menos 15 días de antelación, período durante el cual el Cliente podrá oponerse con causa justificada. Los Sub-encargados estarán sujetos a obligaciones equivalentes a las de este Contrato.

Sub-encargados actuales

Google Cloud / Firebase

Infraestructura de cómputo y bases de datos

MongoDB Atlas

Almacenamiento de conversaciones y configuración

Anthropic / OpenAI / Google DeepMind

Modelos de lenguaje para respuestas

Stripe

Procesamiento de pagos (sin acceso a datos de usuarios finales)

Vercel

Entrega de la aplicación web (edge network)

6Transferencias internacionales de datos

Algunos Sub-encargados pueden procesar datos fuera del país de residencia del Cliente o de sus Usuarios Finales. BotIvA garantiza que toda transferencia internacional se realiza bajo un mecanismo legal adecuado, que puede incluir:

  • Cláusulas Contractuales Tipo (CCT) aprobadas por la autoridad competente.
  • Certificaciones o marcos de adecuación reconocidos (p. ej., EU-US Data Privacy Framework).
  • Reglas Corporativas Vinculantes (BCR) cuando aplique.

El Cliente podrá solicitar documentación sobre los mecanismos aplicables a través del canal de soporte.

7Derechos de los Usuarios Finales

BotIvA provee al Cliente los mecanismos técnicos necesarios para que este pueda atender las solicitudes de derechos de sus Usuarios Finales. Dichos derechos incluyen, según la legislación aplicable:

Acceso

Obtener copia de los Datos Personales tratados.

Rectificación

Corregir datos inexactos o incompletos.

Supresión

Eliminar los datos cuando ya no sean necesarios o se retire el consentimiento.

Oposición

Oponerse al Tratamiento basado en interés legítimo.

Portabilidad

Recibir los datos en formato estructurado y legible por máquina.

Limitación

Restringir el Tratamiento mientras se resuelve una disputa sobre exactitud o licitud.

Las solicitudes deben dirigirse al Cliente, quien es el Responsable del Tratamiento. BotIvA asistirá al Cliente en la ejecución técnica dentro de los plazos acordados.

8Medidas de seguridad

BotIvA aplica un programa de seguridad de la información que incluye, entre otras, las siguientes medidas:

  • Cifrado en tránsito con TLS 1.2 o superior en todos los endpoints.
  • Cifrado en reposo (AES-256) para bases de datos y almacenamiento de archivos.
  • Autenticación multifactor (MFA) obligatoria para el acceso administrativo a la infraestructura.
  • Control de acceso basado en el principio de mínimo privilegio.
  • Revisiones de seguridad periódicas y pruebas de penetración anuales realizadas por terceros.
  • Registro y monitoreo de eventos de acceso y modificación de datos.
  • Plan de respuesta a incidentes con procedimientos documentados de notificación.

9Retención y supresión de datos

Los Datos Personales se conservarán durante el tiempo estrictamente necesario para la prestación del servicio contratado, con los siguientes plazos orientativos:

  • Historial de conversaciones activas: Mientras la cuenta del Cliente esté activa o hasta que el Cliente solicite su eliminación.
  • Registros de auditoría y seguridad: Hasta 12 meses desde su generación.
  • Datos de facturación: El tiempo requerido por la legislación fiscal aplicable (generalmente 5 años).
  • Tras la baja del servicio: Supresión o devolución en un máximo de 30 días calendario, salvo retención legal obligatoria.

10Responsabilidad y limitación de daños

Cada parte será responsable ante la otra por los daños directos causados por el incumplimiento de sus obligaciones bajo este Contrato. La responsabilidad total acumulada de BotIvA frente al Cliente en relación con el Tratamiento de Datos no excederá el importe total abonado por el Cliente en los 12 meses anteriores al evento que da lugar a la reclamación.

BotIvA no será responsable de daños indirectos, lucro cesante o pérdida de datos atribuibles a instrucciones erróneas del Cliente, incumplimiento de sus propias obligaciones de seguridad o actuaciones de terceros ajenos a la relación contractual.

11Modificaciones al Contrato

BotIvA podrá actualizar este Contrato para reflejar cambios normativos, tecnológicos o en su modelo de negocio. Cualquier modificación sustancial será notificada al Cliente con al menos 30 días de antelación mediante correo electrónico o aviso prominente en el panel de administración. El uso continuado del servicio tras la fecha de entrada en vigor de la modificación constituirá aceptación de los nuevos términos.

12Legislación aplicable y resolución de conflictos

Este Contrato se rige por las leyes de la República de México, incluyendo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento, sin perjuicio de la normativa de protección de datos aplicable en la jurisdicción de residencia del Cliente.

Ante cualquier controversia, las partes intentarán resolverla de forma amistosa en un plazo de 30 días. Si no se alcanza acuerdo, la disputa se someterá a la jurisdicción de los tribunales competentes de la Ciudad de México.

13Contacto del Responsable de Privacidad

Para ejercer derechos, reportar incidentes o formular preguntas sobre este Contrato, el Cliente puede contactar al Responsable de Privacidad de BotIvA a través de:

BotIvA — Responsable de Privacidad

privacidad@BotIvA.app

Tiempo de respuesta: máximo 5 días hábiles.

Aceptación del Contrato

Al utilizar los servicios de BotIvA (crear una cuenta, instalar un widget o realizar una llamada a la API), el Cliente declara haber leído y aceptado íntegramente este Contrato de Tratamiento de Datos. Esta aceptación tiene el mismo valor legal que una firma manuscrita bajo la legislación aplicable en materia de contratos electrónicos.

La fecha de aceptación queda registrada en los sistemas de BotIvA junto con el identificador de cuenta, la dirección IP y la marca de tiempo UTC correspondiente.

Documentos relacionados

Política de PrivacidadTérminos y CondicionesPolítica de Cookies