Documento LegalVersión 2.1Mayo de 2026

Política de Privacidad

Xambee S.A.S. de C.V. — Plataforma de Asistentes Digitales con Inteligencia Artificial

Responsable del tratamiento
Xambee S.A.S. de C.V. (en proceso de constitución ante el SAT)
Representante legal
David Guerrero Varela
RFC
En trámite ante el SAT
Domicilio fiscal
Celaya, Guanajuato, México
Correo de privacidad
privacy@xambee.com
Correo de soporte técnico
support@xambee.com
Sitio web
xambee.com
Jurisdicción principal
México — LFPDPPP
Marco legal
LFPDPPP, Reglamento, Lineamientos del INAI
Última actualización
Mayo de 2026
✓ Este documento fue redactado conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, los Lineamientos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), las Políticas para Desarrolladores de Meta Platforms, Inc. y los requisitos de la Google API Services User Data Policy incluyendo los requisitos de Limited Use.
Índice de Contenido
1.Quiénes Somos
2.Definiciones
3.Ámbito de Aplicación
4.Datos Personales que Recopilamos
5.Google API Services — Uso Limitado
6.Fundamento Legal para el Tratamiento
7.Finalidades del Tratamiento
8.Proveedores Terceros y Subencargados
9.Transferencias Internacionales de Datos
10.Solicitud de Eliminación (Meta)
11.Plazos de Retención y Eliminación
12.Medidas de Seguridad
13.Derechos ARCO
14.Cookies y Tecnologías de Rastreo
15.Menores de Edad
16.Integraciones con Meta Platforms
17.Obligación del Negocio Cliente sobre IA
18.Modificaciones a esta Política
19.Contacto y Autoridad Competente
1

Quiénes Somos

Xambee es una plataforma de Software como Servicio (SaaS) con sede en Celaya, Guanajuato, México, que desarrolla, opera y comercializa asistentes digitales con inteligencia artificial diseñados para automatizar la atención al cliente de negocios de todos los tamaños, tanto en México como a nivel global.

A través de la plataforma, los negocios configuran un agente de IA personalizado que atiende automáticamente a sus clientes finales por WhatsApp Business, Instagram Direct Messages, Facebook Messenger y llamadas telefónicas, sin necesidad de conocimientos técnicos, de manera disponible las 24 horas del día los 7 días de la semana.

Xambee actúa como responsable del tratamiento de datos personales conforme a la LFPDPPP respecto a los datos de sus negocios clientes. En relación con los datos de los usuarios finales de dichos negocios, Xambee actúa como encargado del tratamiento en nombre de cada negocio cliente, quien es el responsable frente a sus propios clientes.

La empresa se encuentra en proceso de constitución formal como Xambee S.A.S. de C.V. ante el Servicio de Administración Tributaria (SAT). El representante legal es David Guerrero Varela, mayor de edad con plena capacidad legal. Esta condición no limita la capacidad legal para celebrar contratos ni la exigibilidad de las obligaciones aquí establecidas.

Nombre comercial
Xambee
Razón social
Xambee S.A.S. de C.V. (en proceso de constitución)
RFC
En trámite ante el SAT
Domicilio fiscal
Celaya, Guanajuato, México
Representante legal
David Guerrero Varela
Correo de privacidad y ARCO
privacy@xambee.com
Correo de soporte técnico
support@xambee.com
Sitio web oficial
xambee.com
Panel de administración
app.xambee.com
Marco legal principal
LFPDPPP, Reglamento y Lineamientos del INAI
Leyes complementarias
Código Civil Federal, LFPC, Código Fiscal de la Federación (art. 30)
2

Definiciones

Para efectos de la correcta interpretación y aplicación de este documento, los términos siguientes tendrán el significado que a continuación se indica, independientemente de si se usan en singular o plural:

Dato personal
Cualquier información concerniente a una persona física identificada o identificable, incluyendo nombre, correo electrónico, número de teléfono, identificadores digitales, entre otros.
Dato sensible
Aquel dato personal que afecta la esfera más íntima del titular o cuya utilización indebida puede originar discriminación: estado de salud, información genética, creencias religiosas o filosóficas, afiliación sindical, opiniones políticas, preferencia u orientación sexual.
Responsable
Xambee S.A.S. de C.V., persona moral que sola o conjuntamente con otras decide sobre el tratamiento de datos personales.
Encargado
Persona física o moral, pública o privada, que sola o conjuntamente con otras trate datos personales por cuenta del Responsable.
Titular
La persona física a quien corresponden los datos personales objeto de tratamiento.
Cliente (negocio)
Persona física mayor de 18 años o persona moral legalmente constituida que contrata los servicios de Xambee para automatizar su atención al cliente.
Usuario Final
El cliente del negocio cliente que interactúa con el agente de IA configurado en Xambee a través de WhatsApp, Instagram, Messenger o llamada telefónica.
Tratamiento
La obtención, uso, divulgación o almacenamiento de datos personales por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Transferencia
Toda comunicación de datos realizada a persona distinta del Responsable o Encargado, dentro o fuera del territorio nacional.
Remisión
Toda comunicación de datos personales entre el Responsable y el Encargado dentro o fuera del territorio nacional.
ARCO
Derechos de Acceso, Rectificación, Cancelación y Oposición reconocidos por los artículos 22 al 36 de la LFPDPPP.
INAI
Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. Autoridad de control en materia de protección de datos personales en México.
LFPDPPP
Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en el DOF el 5 de julio de 2010.
Agente de IA
Sistema de inteligencia artificial configurado en Xambee por el negocio cliente para responder automáticamente mensajes de sus clientes finales.
Crédito
Unidad de consumo de inteligencia artificial dentro de la plataforma Xambee. 1 crédito = $0.30 MXN.
Webhook
Mecanismo técnico mediante el cual plataformas externas notifican a Xambee sobre eventos en tiempo real a través de solicitudes HTTP autenticadas.
Google OAuth
Sistema de autenticación de Google que permite al usuario iniciar sesión en Xambee usando su cuenta de Google sin compartir su contraseña directamente.
HMAC-SHA256
Algoritmo criptográfico de firma de mensajes utilizado para verificar la autenticidad e integridad de los webhooks recibidos de Meta y otras plataformas.
RLS
Row Level Security. Control de acceso a nivel de fila en PostgreSQL/Supabase que garantiza que cada cliente solo acceda a sus propios datos.
TLS
Transport Layer Security. Protocolo criptográfico que proporciona comunicaciones seguras cifradas a través de internet. Xambee utiliza TLS 1.2 o superior.
AES-256
Advanced Encryption Standard con clave de 256 bits. Estándar de cifrado en reposo utilizado por Supabase (AWS) para proteger los datos almacenados.
SaaS
Software as a Service. Modelo de distribución de software en la nube ofrecido como servicio por suscripción.
CFDI
Comprobante Fiscal Digital por Internet. Factura electrónica oficial en México conforme al SAT.
STT
Speech-to-Text. Tecnología de conversión de voz a texto utilizada en llamadas telefónicas con IA (Deepgram nova-2).
TTS
Text-to-Speech. Tecnología de síntesis de voz a partir de texto utilizada en llamadas telefónicas con IA (Deepgram aura-2-diana-es).
3

Ámbito de Aplicación

Esta Política de Privacidad aplica a todas las actividades de tratamiento de datos personales realizadas por Xambee en el contexto de la operación de su plataforma SaaS. Esto incluye, de manera enunciativa mas no limitativa:

Esta Política no aplica a los sitios web, aplicaciones o servicios de terceros a los que se pueda acceder desde la plataforma de Xambee. Cada proveedor integrado mantiene sus propias políticas de privacidad (ver Sección 8). Los negocios clientes son independientemente responsables de sus propias políticas y avisos de privacidad frente a sus usuarios finales.

Clientes internacionales: Aunque Xambee opera principalmente bajo legislación mexicana (LFPDPPP), los clientes ubicados fuera de México pueden estar sujetos adicionalmente a las leyes de protección de datos de su país de residencia (GDPR en la Unión Europea, CCPA/CPRA en California, LGPD en Brasil, etc.). Xambee hace sus mejores esfuerzos por cumplir con los estándares internacionales de privacidad aplicables y cooperará razonablemente con los clientes para facilitar dicho cumplimiento.
4

Datos Personales que Recopilamos

Xambee recopila únicamente los datos personales estrictamente necesarios para prestar el servicio contratado, conforme al principio de minimización de datos establecido en la LFPDPPP. A continuación se detallan todos los tipos de datos recopilados, clasificados por categoría:

4.1 Datos de Negocios Clientes

Datos recopilados de las personas físicas o morales que contratan los servicios de Xambee:

  • Datos identificativos del negocio: nombre comercial, razón social, giro o industria, tamaño aproximado del negocio.
  • Datos del representante o usuario administrador: nombre completo, cargo dentro de la organización.
  • Datos de contacto: correo electrónico corporativo (principal para comunicaciones del servicio), número de teléfono.
  • Credenciales de acceso: contraseña almacenada con hash bcrypt (función de hash + salt único), nunca en texto plano. Xambee no puede ver ni recuperar contraseñas.
  • Datos de Google OAuth (solo si el usuario elige iniciar sesión con Google): nombre completo, dirección de correo electrónico de Google y foto de perfil. Xambee los usa exclusivamente para autenticación; no se comparten con terceros para ningún otro fin.
  • Tokens de integración de canales: access tokens de Meta Graph API (vigencia máxima 60 días con rotación automática), credenciales de Evolution API para WhatsApp Business, credenciales de Twilio para la función de voz.
  • Configuración del agente de IA: nombre del agente, avatar, personalidad (tono y estilo), instrucciones del sistema (system prompt), base de conocimientos (textos y archivos subidos), habilidades activadas.
  • Datos de facturación: RFC, razón social y datos fiscales completos para emisión de CFDI cuando el cliente lo solicita expresamente.
  • Datos de uso y consumo: número de conversaciones atendidas, mensajes procesados, tiempos de respuesta del agente, consumo de créditos por canal, historial de recargas, costo estimado por conversación.
  • Datos de suscripción: plan contratado (mensual o anual), fecha de inicio, fecha de próxima renovación, estado de la suscripción.
  • Historial de transacciones: recargas de créditos, pagos de suscripción, confirmaciones de pago recibidas de Mercado Pago.

4.2 Datos de Usuarios Finales

Datos recopilados de las personas que interactúan con el agente de IA a través de los canales disponibles. Estos datos son tratados en nombre y por cuenta del negocio cliente, quien es el responsable primario frente a sus propios clientes:

  • Identificadores de plataforma: número de teléfono con código de país (WhatsApp Business), Page-Scoped ID asignado por Facebook (Messenger), Instagram-Scoped ID asignado por Instagram (Instagram DM). Estos identificadores son pseudónimos asignados por las plataformas respectivas.
  • Contenido completo de los mensajes de texto enviados al agente de IA, incluyendo consultas, solicitudes y cualquier información que el usuario proporcione voluntariamente en la conversación.
  • Historial completo de la conversación con el agente de IA, almacenado para mantener contexto y coherencia durante toda la interacción.
  • Metadatos de la conversación: canal de comunicación utilizado, fecha y hora exacta de cada mensaje, estado de la conversación (activa, resuelta, escalada, abandonada), tiempo de respuesta del agente.
  • Datos derivados del análisis conversacional con IA: intenciones detectadas, nivel de satisfacción estimado, sentimiento predominante (positivo, neutro, negativo), resumen de la conversación, oportunidades de venta identificadas, tasa de resolución.
  • Datos de llamadas telefónicas: número de teléfono de origen, número de destino (Twilio del negocio), fecha y hora, duración total en minutos, estado de la llamada, transcripción completa de voz a texto generada por Deepgram (modelo nova-2 en español).
  • Datos de citas agendadas (cuando la habilidad de agenda está activada): nombre del cliente, fecha y hora solicitada, tipo de servicio, observaciones adicionales.
Importante: Los usuarios finales no se registran directamente en la plataforma de Xambee ni tienen cuenta propia en el sistema. Sus datos son procesados en nombre del negocio cliente que contrató el servicio. El negocio cliente es el responsable primario del tratamiento de los datos de sus propios clientes y está legalmente obligado a informarles que están interactuando con un asistente de inteligencia artificial.

4.3 Datos Técnicos y de Operación del Sistema

  • Logs de sistema: registros de todas las solicitudes entrantes al webhook (origen, timestamp, payload cifrado), errores técnicos del servidor, tiempos de respuesta y códigos de estado HTTP.
  • Firmas criptográficas HMAC-SHA256: calculadas y verificadas en cada webhook entrante de Meta Platforms y Evolution API para garantizar autenticidad e integridad.
  • Metadatos de consumo de IA: número de tokens de entrada y salida procesados por el modelo de IA, costo estimado por conversación, modelo específico utilizado, latencia de respuesta.
  • Información básica de sesión del navegador: dirección IP aproximada y tipo de navegador/sistema operativo, usados únicamente para propósitos de seguridad y detección de accesos no autorizados.
  • Variables de entorno cifradas: credenciales API de todos los servicios terceros, almacenadas exclusivamente en la infraestructura de Vercel, nunca en código fuente ni en la base de datos.
  • Registros de acceso al panel de administración: fecha, hora e IP aproximada de cada inicio de sesión exitoso o fallido.

4.4 Datos que Xambee Expresamente NO Recopila

✓ Xambee NO recopila intencionalmente ninguno de los siguientes datos. Si detecta recopilación accidental de cualquiera de ellos, procederá a su eliminación inmediata e irrecuperable:
  • Datos personales sensibles: estado de salud, historial médico, información genética, creencias religiosas o filosóficas, afiliación sindical, opiniones políticas, preferencia u orientación sexual.
  • Documentos de identidad oficiales: INE, pasaporte, acta de nacimiento, CURP, o cualquier documento oficial de identificación.
  • Información financiera directa: números de tarjeta de crédito o débito, números de cuenta bancaria, claves CLABE interbancarias. Todos los datos de pago son manejados exclusivamente por Mercado Pago.
  • Geolocalización en tiempo real o histórica de usuarios finales.
  • Datos de menores de 18 años de manera intencional (ver Sección 15 para detalles completos).
  • Imágenes del rostro, huellas dactilares u otros datos biométricos.
  • Contenido de conversaciones en canales distintos a los integrados en la plataforma.
  • Datos de contactos, galería de fotos, micrófono o cámara del dispositivo del usuario final fuera del contexto de la llamada activa.
5

Google API Services — Declaración de Uso Limitado

Xambee utiliza Google OAuth 2.0 como uno de los métodos opcionales de autenticación para que los negocios clientes accedan a su panel de administración. El uso por parte de Xambee de la información recibida de las APIs de Google cumple íntegramente con la Google API Services User Data Policy, incluyendo todos los requisitos de Limited Use.

5.1 Datos Recibidos de Google

Cuando un usuario elige iniciar sesión con Google, Xambee recibe del servicio de autenticación de Google exclusivamente los siguientes datos, con el consentimiento explícito del usuario:

  • Nombre completo del titular de la cuenta de Google.
  • Dirección de correo electrónico asociada a la cuenta de Google.
  • Foto de perfil de Google (URL de imagen pública).
  • Token de acceso OAuth 2.0 válido para verificar la identidad del usuario en sesiones futuras.

5.2 Compromisos de Uso Limitado (Google)

  • Los datos recibidos de Google (nombre, correo, foto de perfil) se usan ÚNICAMENTE para autenticar al usuario en la plataforma Xambee y para mostrar su nombre y foto en el panel de administración.
  • Xambee NO usa datos de Google para publicidad de ningún tipo, para perfilado conductual, para análisis estadísticos propios, ni para ningún fin distinto al de autenticación del usuario.
  • Xambee NO transfiere datos de Google a terceros, excepto cuando sea estrictamente necesario para proporcionar el servicio (almacenamiento seguro del perfil del usuario en Supabase).
  • Xambee NO vende datos de Google bajo ninguna circunstancia, sin excepción alguna.
  • Xambee NO usa datos de Google para desarrollar, mejorar o entrenar modelos de inteligencia artificial.
  • Xambee NO permite que personas físicas lean datos de Google de los usuarios, salvo en casos de soporte técnico con consentimiento expreso o cuando sea requerido por autoridad competente.
  • El usuario puede revocar el acceso de Xambee a su cuenta de Google en cualquier momento desde myaccount.google.com > Seguridad > Aplicaciones de terceros. La revocación cerrará la sesión activa y el usuario deberá usar correo y contraseña para acceder.
  • Xambee solicitará nuevo consentimiento explícito si en el futuro cambia la forma en que usa los datos de Google.
✓ El uso de Xambee de la información recibida de las APIs de Google se adhiere estrictamente a la Google API Services User Data Policy, incluyendo los requisitos de Limited Use. Esta declaración es requerida por el proceso de verificación de aplicaciones de Google.
6

Fundamento Legal para el Tratamiento

Conforme al artículo 8 de la LFPDPPP, todo tratamiento de datos personales requiere el consentimiento de su titular, salvo las excepciones establecidas en el artículo 10. Xambee fundamenta sus actividades de tratamiento en las siguientes bases legales:

Ejecución del contrato de servicio
El tratamiento es necesario para la prestación de los servicios de Xambee conforme a los Términos y Condiciones aceptados por el cliente. Sin estos datos es técnicamente imposible operar los agentes de IA. Base: art. 10 fracc. III LFPDPPP.
Consentimiento explícito del titular
Los negocios clientes otorgan consentimiento al aceptar esta Política y los Términos al registrarse. Los usuarios finales otorgan consentimiento al iniciar voluntariamente una conversación con el agente de IA. Base: art. 8 LFPDPPP.
Interés legítimo de Xambee
Para análisis de rendimiento, detección y prevención de fraudes, mejora continua de la seguridad y funcionalidades, siempre que dichos intereses no prevalezcan sobre los derechos fundamentales del titular. Base: art. 10 fracc. VI LFPDPPP.
Cumplimiento de obligación legal
Datos de facturación conservados 5 años conforme al artículo 30 del Código Fiscal de la Federación. Registros ARCO conservados 3 años para acreditar cumplimiento ante el INAI. Base: art. 10 fracc. IV LFPDPPP.
Salvaguarda de un interés vital
En casos excepcionales, para proteger la vida, seguridad o integridad física de una persona. Este supuesto se aplica de manera excepcional con notificación posterior al titular. Base: art. 10 fracc. V LFPDPPP.
7

Finalidades del Tratamiento

Los datos personales recopilados por Xambee son tratados única y exclusivamente para las finalidades que se describen a continuación:

7.1 Finalidades Primarias — Necesarias para la Prestación del Servicio

Estas finalidades son indispensables para que Xambee pueda cumplir con el contrato de servicio. Sin el tratamiento de datos para estas finalidades, no es posible operar la plataforma:

  • Autenticación, verificación de identidad y gestión segura del acceso al panel de administración (app.xambee.com).
  • Creación, configuración, personalización, despliegue y operación continua de agentes de IA en todos los canales contratados.
  • Recepción, validación criptográfica, procesamiento y enrutamiento de mensajes entrantes vía webhooks de Meta Platforms, Evolution API y Twilio.
  • Generación de respuestas de inteligencia artificial personalizadas (Claude Sonnet de Anthropic) basadas en la configuración, tono, instrucciones y base de conocimientos del negocio cliente.
  • Almacenamiento del historial de conversaciones para mantener contexto, coherencia y continuidad en las interacciones.
  • Procesamiento de llamadas telefónicas: recepción de audio via Twilio, conversión STT (Deepgram nova-2), procesamiento semántico y generación de respuestas TTS (Deepgram aura-2-diana-es) con OpenAI GPT-4o Realtime.
  • Generación automática de análisis conversacional: detección de intenciones, análisis de sentimiento, oportunidades de venta, resúmenes y métricas de rendimiento del agente.
  • Presentación de métricas, reportes y análisis de rendimiento en el dashboard del negocio cliente.
  • Gestión integral del sistema de créditos prepagados: cálculo de consumo, descuento de créditos, alerta de saldo bajo, historial de transacciones.
  • Procesamiento de pagos de suscripciones y recargas de créditos a través de Mercado Pago.
  • Provisión y gestión de números de teléfono virtuales Twilio dedicados por negocio para la función de llamadas.
  • Almacenamiento y procesamiento de archivos cargados por el negocio cliente como base de conocimiento (PDF, Word, Excel, TXT, CSV).
  • Envío de notificaciones del sistema: alertas de saldo bajo, confirmaciones de pago, avisos de mantenimiento, actualizaciones de la plataforma.
  • Soporte técnico: diagnóstico, análisis y resolución de incidencias reportadas por el cliente.
  • Emisión de CFDI (facturas electrónicas) cuando el cliente lo solicite con sus datos fiscales.
  • Cumplimiento de requerimientos legales de autoridades mexicanas competentes cuando así lo ordene la ley.

7.2 Finalidades Secundarias — Opcionales, con Posibilidad de Oposición

Estas finalidades no son necesarias para el servicio principal. El cliente puede oponerse enviando solicitud a privacy@xambee.com sin que ello afecte la prestación del servicio:

  • Envío de comunicaciones comerciales sobre nuevas funcionalidades, mejoras del servicio, nuevos canales disponibles y promociones de Xambee.
  • Uso de datos estadísticos anonimizados y agregados (no identificables) para análisis de tendencias y mejora de la plataforma.
  • Elaboración de casos de estudio o testimonios de éxito (únicamente con autorización expresa, por escrito y firmada por el representante legal del cliente).
  • Invitaciones a participar en encuestas de satisfacción, programas beta de nuevas funcionalidades o estudios de usuario.

7.3 Usos Expresamente Prohibidos — Compromisos Irrevocables de Xambee

Xambee se compromete expresamente y de manera irrevocable a NUNCA realizar ninguna de las siguientes acciones con los datos personales de sus clientes y usuarios finales:
  • Vender, alquilar, ceder, intercambiar o transferir datos personales a terceros con fines comerciales propios o ajenos.
  • Usar datos personales para publicidad dirigida, retargeting o cualquier forma de marketing no solicitado.
  • Compartir el contenido de las conversaciones del negocio cliente con otras empresas, competidores o socios comerciales sin consentimiento expreso y por escrito.
  • Entrenar modelos de inteligencia artificial propios de Xambee utilizando datos identificables de los clientes sin consentimiento explícito e informado.
  • Crear perfiles de comportamiento de usuarios finales para targeting publicitario o cualquier otro fin distinto a la mejora del servicio para ese mismo negocio cliente.
  • Revelar, compartir o publicar información confidencial del negocio cliente: base de conocimientos, estrategias comerciales, precios, catálogos, historial de conversaciones.
  • Proporcionar acceso a los datos de un negocio cliente a otro negocio cliente o a terceros no autorizados.
  • Utilizar datos de menores de edad para ninguna finalidad una vez detectados.
8

Proveedores Terceros y Subencargados del Tratamiento

Para la prestación del servicio, Xambee integra y comparte datos con los siguientes proveedores tecnológicos, quienes actúan como subencargados del tratamiento conforme al artículo 50 del Reglamento de la LFPDPPP:

Anthropic, Inc.Claude Sonnet 4.5 — Motor de IA para Chat
EUA
Finalidad: Es el motor de inteligencia artificial principal para generar las respuestas automáticas del agente en los canales de chat: WhatsApp Business, Instagram Direct Messages y Facebook Messenger. Cada mensaje del usuario final, junto con el historial de conversación y la configuración del agente, se envía a la API de Anthropic para generar una respuesta contextualizada.
Datos tratados: Historial de conversación del usuario final (últimos mensajes para contexto), instrucciones del sistema (system prompt) configuradas por el negocio cliente, base de conocimientos del negocio, configuración del tono y personalidad del agente.
Retención: Anthropic procesa los datos en tiempo real conforme a su política de datos empresariales.
Política: https://www.anthropic.com/privacy
OpenAI, LLCGPT-4o Realtime Preview — Motor de Voz para Llamadas
EUA
Finalidad: Procesamiento de voz en tiempo real (speech-to-speech) para las llamadas telefónicas con IA. Recibe el audio de la llamada y genera respuestas con latencia sub-800ms, habilitando conversaciones telefónicas fluidas y naturales.
Datos tratados: Audio de la llamada telefónica en tiempo real, contexto de la conversación en curso, configuración del agente de voz.
Retención: OpenAI procesa el audio en tiempo real. La transcripción resultante es almacenada por Xambee durante 90 días.
Política: https://openai.com/policies/privacy-policy
DeepgramNova-2 STT + Aura-2-Diana-ES TTS
EUA
Finalidad: Speech-to-Text (STT): transcripción de voz a texto en español usando el modelo nova-2 para el español mexicano. Text-to-Speech (TTS): síntesis de voz natural en español mexicano usando la voz femenina aura-2-diana-es.
Datos tratados: Audio de llamadas para transcripción STT, texto generado por la IA para síntesis TTS.
Retención: Deepgram procesa el audio en tiempo real. Las transcripciones son almacenadas por Xambee durante 90 días.
Política: https://deepgram.com/privacy
Meta Platforms, Inc.Meta Graph API — Instagram DM y Facebook Messenger
EUA
Finalidad: Plataforma de comunicación para Instagram Direct Messages y Facebook Messenger. Meta entrega los mensajes al webhook de Xambee y recibe las respuestas para enviarlas de vuelta al usuario.
Datos tratados: Page-Scoped ID del usuario (Messenger), Instagram-Scoped ID (Instagram DM), contenido completo del mensaje, access tokens de página de Facebook (vigencia 60 días con rotación automática).
Retención: Los tokens de Meta se almacenan mientras la integración esté activa. Los mensajes durante la vigencia del contrato + 90 días.
Política: https://www.facebook.com/privacy/explanation
Evolution API (VPS Hostinger)Evolution API v2.3.7 — Integración WhatsApp Business
Brasil / México (IP 72.60.117.132)
Finalidad: API de código abierto que actúa como puente técnico entre WhatsApp Business y la plataforma de Xambee. Xambee opera su propia instancia en VPS dedicado, lo que le da mayor control sobre los datos de WhatsApp.
Datos tratados: Número de teléfono del usuario final (con código de país), contenido completo de los mensajes de WhatsApp enviados y recibidos, metadatos del mensaje (timestamp, estado de entrega).
Retención: Datos de WhatsApp procesados y almacenados en Supabase. Se conservan durante la vigencia del contrato + 90 días.
Política: Xambee opera la instancia como operador. Aplican las políticas de uso de WhatsApp Business API y políticas de Hostinger.
Twilio, Inc.Twilio Voice — Números Virtuales y Llamadas Telefónicas
EUA
Finalidad: Provisión de números de teléfono virtuales dedicados (uno por negocio cliente), enrutamiento de llamadas entrantes y salientes, transmisión bidireccional de audio en tiempo real entre el usuario final y el sistema de IA mediante WebSocket.
Datos tratados: Número de teléfono de origen (usuario final), número de destino (Twilio del negocio), fecha y hora, duración total, estado de la llamada, audio.
Retención: Twilio retiene metadatos conforme a su política. El audio es procesado en tiempo real; transcripciones almacenadas por Xambee 90 días.
Política: https://www.twilio.com/en-us/legal/privacy
Supabase, Inc. (sobre AWS)Base de Datos PostgreSQL + Storage
EUA (infraestructura AWS)
Finalidad: Base de datos principal de toda la plataforma Xambee. Almacena de forma estructurada y cifrada toda la información operativa: cuentas, configuraciones, conversaciones, métricas, créditos, tokens cifrados y archivos.
Datos tratados: Todos los datos estructurados de la plataforma: cuentas de negocios, configuraciones de agentes, conversaciones completas, métricas de uso, balance de créditos, historial de transacciones, tokens de integración cifrados, archivos subidos.
Retención: Supabase almacena los datos conforme a los plazos de retención definidos en la Sección 11.
Política: https://supabase.com/privacy
Vercel, Inc.Hosting, Deployment y CDN — Next.js App
EUA
Finalidad: Hospedaje, compilación, despliegue y distribución global (CDN) de la aplicación web Next.js de Xambee (app.xambee.com y xambee.com). Gestiona de forma segura todas las variables de entorno y credenciales.
Datos tratados: Metadatos de solicitudes HTTP (método, ruta, IP anonimizada, User-Agent, timestamp), logs de acceso, variables de entorno cifradas con todas las credenciales de servicios terceros.
Retención: Logs de acceso retenidos por 30 días conforme a la política de Vercel.
Política: https://vercel.com/legal/privacy-policy
Mercado Pago (Mercado Libre S. de R.L. de C.V.)Pasarela de Pagos
México
Finalidad: Procesamiento seguro de todos los pagos de la plataforma: suscripciones mensuales y anuales, y recargas de paquetes de créditos. Xambee solo recibe la confirmación del resultado de la transacción.
Datos tratados: Xambee NO tiene acceso a los datos de tarjeta del cliente. Solo recibe: confirmación de pago exitoso/fallido, monto de la transacción, referencia de pago, plan o paquete adquirido.
Retención: Datos de confirmación de pago retenidos 5 años conforme al artículo 30 del Código Fiscal de la Federación.
Política: https://www.mercadopago.com.mx/privacidad
Google LLCGoogle OAuth 2.0 — Autenticación
EUA
Finalidad: Proveedor de autenticación opcional. Permite a los usuarios iniciar sesión en Xambee usando su cuenta de Google. Ver Sección 5 para el detalle completo del uso limitado de datos de Google.
Datos tratados: Nombre del titular, dirección de correo electrónico de Google, URL de foto de perfil de Google. Solo cuando el usuario elige este método.
Retención: Datos de Google OAuth retenidos mientras la cuenta de Xambee esté activa. Se eliminan al cancelar la cuenta o al revocar el acceso desde Google.
Política: https://policies.google.com/privacy
Hostinger International Ltd.VPS KVM4 — Servidor de Infraestructura
Lituania
Finalidad: Proveedor del servidor privado virtual (VPS KVM4, IP 72.60.117.132, Ubuntu 24.04, 4 cores, 16GB RAM) donde Xambee hospeda: la instancia de Evolution API para WhatsApp, el servidor de voz, el proxy Traefik con SSL automático y el sistema Dokploy.
Datos tratados: Logs de acceso al servidor, configuración de red y firewall, datos de los servicios en Docker alojados.
Retención: Logs del servidor retenidos 30 días. Datos operativos mientras el VPS esté activo.
Política: https://www.hostinger.mx/politica-de-privacidad
9

Transferencias Internacionales de Datos

Dado que la mayoría de proveedores tecnológicos de Xambee tienen sede en los Estados Unidos de América, los datos personales tratados en la plataforma son transferidos a ese país como parte inherente de la prestación del servicio.

Conforme al artículo 37 fracción I de la LFPDPPP, estas transferencias internacionales se realizan sin requerir consentimiento adicional del titular cuando son necesarias para la ejecución del contrato de servicios suscrito entre Xambee y el negocio cliente, celebrado en interés del titular.

Xambee garantiza que todos sus subencargados internacionales cumplen con los siguientes estándares mínimos de protección:

Para clientes de la UE, Reino Unido, California u otras jurisdicciones con requisitos adicionales: Si el Cliente o sus usuarios finales se encuentran en jurisdicciones con leyes de protección de datos más estrictas (GDPR, UK-GDPR, CCPA/CPRA, LGPD de Brasil, etc.), el Cliente es el responsable de verificar y garantizar el cumplimiento con las leyes de su jurisdicción. Xambee cooperará razonablemente para facilitar dicho cumplimiento, incluyendo la firma de cláusulas contractuales estándar u otros mecanismos cuando sea requerido. Escribir a privacy@xambee.com.
10

Solicitud de Eliminación de Datos — Requisito Meta Platforms

Conforme a los requisitos obligatorios de Meta Platforms, Inc. para desarrolladores que utilizan Messenger e Instagram, Xambee ha implementado un mecanismo completo de eliminación de datos para los usuarios finales que hayan interactuado a través de dichos canales.

10.1 Alcance del Derecho de Eliminación

Cualquier usuario final que haya interactuado con un agente de IA de Xambee a través de Facebook Messenger o Instagram Direct tiene derecho a solicitar la eliminación de los datos que Meta haya compartido con Xambee en el contexto de esa interacción, incluyendo: el Page-Scoped ID o Instagram-Scoped ID, el contenido de todos los mensajes intercambiados, el historial de conversación, los análisis conversacionales derivados y cualquier dato de contexto almacenado.

10.2 Procedimiento para Solicitar Eliminación

  • Método 1 — Solicitud directa por correo: Enviar correo a privacy@xambee.com con asunto exacto 'Eliminación de Datos Meta', indicando el nombre de la empresa cuyo agente atendió al usuario y el número de teléfono o identificador de Instagram desde el que se realizó la interacción.
  • Método 2 — Callback automático de Meta: Xambee ha configurado en su Meta App Dashboard el mecanismo técnico de Data Deletion Request Callback, que permite a Meta enviar solicitudes de eliminación automatizadas directamente al sistema de Xambee cuando el usuario revoca los permisos de la aplicación desde su configuración de Facebook o Instagram.

10.3 Plazos, Confirmación e Irreversibilidad

Plazo máximo de procesamiento
30 días hábiles desde la recepción de la solicitud completa.
Confirmación al solicitante
Xambee enviará confirmación de eliminación por correo con un código único de confirmación como comprobante.
Irreversibilidad
Una vez procesada la eliminación, los datos no podrán ser recuperados bajo ninguna circunstancia.
Excepción legal
Datos de facturación y registros fiscales que deban conservarse por obligación legal (art. 30 CFF) no serán eliminados, pero se anonimizarán en la medida de lo posible.
11

Plazos de Retención y Eliminación de Datos

Xambee conserva los datos personales únicamente durante el tiempo necesario para las finalidades que justificaron su obtención, o durante los plazos legalmente obligatorios, lo que sea mayor. Una vez vencido el plazo aplicable, los datos son eliminados de forma segura e irrecuperable.

Historial de conversaciones y mensajes
Vigencia del contrato + 90 días adicionales para resolución de disputas, reclamaciones y soporte.
Transcripciones de llamadas telefónicas
90 días desde la fecha de la llamada, salvo solicitud anticipada de eliminación por el titular.
Tokens de integración (Meta, WhatsApp, Twilio)
Mientras la integración esté activa. Se eliminan automáticamente al desconectar el canal o cancelar la cuenta.
Datos de Google OAuth (nombre, correo, foto)
Mientras la cuenta de Xambee esté activa. Se eliminan al cancelar la cuenta o revocar acceso desde Google.
Configuración del agente y base de conocimientos
Vigencia del contrato + 30 días para posible recuperación ante reactivación. Eliminación definitiva pasado este plazo.
Archivos subidos como base de conocimiento
Vigencia del contrato + 30 días. El cliente puede eliminarlos en cualquier momento desde el panel.
Logs técnicos del sistema y webhooks
30 días para fines de diagnóstico y depuración de errores técnicos.
Logs de seguridad y acceso
6 meses para detección de incidentes de seguridad y análisis forense.
Datos de facturación y registros fiscales (CFDI)
5 años conforme al artículo 30 del Código Fiscal de la Federación. Obligación legal no sujeta a reducción.
Registros de solicitudes ARCO ejercidas
3 años para acreditar cumplimiento ante el INAI en caso de queja o auditoría.
Metadatos de uso de IA y consumo de créditos
12 meses para análisis de rendimiento, facturación interna y resolución de disputas.
Saldo de créditos prepagados
Sin fecha de expiración. Permanecen activos hasta agotarse o hasta cancelación definitiva de la cuenta.
Datos de sesión del navegador
Duración de la sesión activa, o máximo 12 meses si el usuario elige 'mantener sesión iniciada'.
Datos de cuentas suspendidas (sin pago)
30 días adicionales desde la suspensión para posible reactivación, luego eliminación definitiva.
Datos de cuentas canceladas definitivamente
30 días desde la cancelación para posible recuperación, luego eliminación definitiva de todo dato no sujeto a retención legal.

El cliente puede solicitar la eliminación anticipada de sus datos en cualquier momento, sujeto a los plazos legales de conservación obligatoria. Para ello debe enviar solicitud a privacy@xambee.com conforme al procedimiento de derechos ARCO descrito en la Sección 13.

12

Medidas de Seguridad Técnica y Organizativa

Xambee ha implementado un conjunto integral de medidas de seguridad para proteger los datos personales contra acceso no autorizado, pérdida, alteración, divulgación o destrucción accidental o ilícita, conforme a los artículos 19 y 20 de la LFPDPPP:

12.1 Medidas de Seguridad Técnica

  • Validación criptográfica de autenticidad e integridad de todos los webhooks entrantes mediante verificación de firma HMAC-SHA256, rechazando cualquier solicitud no autenticada.
  • Transmisión de datos cifrada mediante HTTPS/TLS 1.2 o superior en absolutamente todas las comunicaciones de la plataforma, tanto internas como externas.
  • Todos los tokens de acceso y credenciales de servicios terceros almacenados exclusivamente en variables de entorno cifradas gestionadas por Vercel, nunca en código fuente ni en la base de datos.
  • Base de datos Supabase con cifrado en reposo AES-256 sobre infraestructura AWS, con backups automáticos cifrados.
  • Control de acceso granular mediante Row Level Security (RLS) en PostgreSQL: cada negocio cliente solo puede acceder a sus propios datos; es técnicamente imposible que un cliente acceda a datos de otro cliente.
  • Contraseñas de usuarios almacenadas exclusivamente como hash bcrypt con salt único por contraseña, nunca en texto plano ni en formato reversible.
  • Rotación automática de access tokens de Meta Graph API cada 60 días para minimizar el riesgo de uso no autorizado.
  • Separación estricta de entornos de desarrollo, staging y producción con credenciales completamente independientes y sin posibilidad de cruce de datos.
  • Autenticación de doble factor (2FA) disponible para cuentas de administración del panel de Xambee.
  • Protecciones DNS configuradas para el dominio xambee.com: registros SPF y DKIM para prevenir suplantación de correo electrónico.
  • Firewall de servidor y reglas de seguridad de red configuradas en el VPS de Hostinger para restringir el acceso a puertos y servicios no necesarios.
  • Proxy inverso Traefik con SSL automático (Let's Encrypt) para todos los subdominios del servidor (voice.xambee.com, api.xambee.com).
  • Contenedores Docker con aislamiento de procesos para cada servicio en el VPS, minimizando el impacto de una brecha en un servicio individual.

12.2 Medidas de Seguridad Organizativa

  • Acceso a datos de producción restringido al personal técnico estrictamente necesario, con principio de mínimo privilegio: cada persona accede solo a lo indispensable para su función.
  • Revisión periódica (al menos trimestral) de permisos y accesos otorgados a colaboradores internos y proveedores terceros.
  • Procedimiento documentado de respuesta a incidentes de seguridad: protocolo de detección, contención, notificación y recuperación.
  • Evaluación de seguridad obligatoria de todo nuevo proveedor tecnológico antes de incorporarlo como subencargado del tratamiento.
  • Revisión anual de esta Política de Privacidad y actualización cuando se produzcan cambios relevantes en el servicio, tecnología o legislación.
  • Confidencialidad obligatoria para todos los colaboradores que tengan acceso a datos de producción, con cláusulas específicas en sus acuerdos de trabajo.

12.3 Notificación de Brechas de Seguridad

Ningún sistema de transmisión de datos por internet garantiza seguridad absoluta al 100%. En caso de que Xambee detecte o sea notificado de una brecha de seguridad que afecte datos personales, se compromete a:
  • Contener y mitigar la brecha en el menor tiempo posible desde su detección.
  • Notificar a los titulares de datos afectados de manera directa y comprensible, describiendo la naturaleza de la brecha, los datos comprometidos, las medidas tomadas y las acciones recomendadas.
  • Notificar al INAI conforme a los plazos y procedimientos establecidos en los artículos 20 de la LFPDPPP y 40 de su Reglamento.
  • Documentar la brecha, su origen, impacto y las medidas correctivas implementadas para prevenir su recurrencia.
13

Derechos ARCO y Cómo Ejercerlos

Conforme a los artículos 22 al 36 de la LFPDPPP, todo titular de datos personales tiene los siguientes derechos respecto a sus datos tratados por Xambee, los cuales puede ejercer de manera gratuita:

A — Derecho de Acceso
Conocer qué datos personales de usted tiene Xambee, para qué finalidades los usa, cuál es su origen, con quién los ha compartido o transferido y cómo fueron obtenidos. Xambee proporcionará una copia de los datos en formato comprensible.
R — Derecho de Rectificación
Solicitar la corrección de sus datos personales cuando estén desactualizados, sean inexactos, estén incompletos o sean incorrectos. Debe proporcionar la documentación que acredite la información correcta.
C — Derecho de Cancelación
Solicitar la eliminación de sus datos personales cuando ya no sean necesarios para las finalidades que justificaron su obtención, hayan vencido los plazos de conservación, o cuando haya revocado su consentimiento.
O — Derecho de Oposición
Oponerse al tratamiento de sus datos personales para finalidades específicas cuando exista causa legítima y fundada relacionada con su situación particular, o cuando el tratamiento sea para finalidades secundarias. En ciertos casos la oposición puede implicar la imposibilidad de continuar prestando el servicio.

13.1 Procedimiento para Ejercer Derechos ARCO

Para ejercer cualquiera de los derechos anteriores, el titular o su representante legal debe enviar solicitud escrita al correo privacy@xambee.com con el asunto "Ejercicio de Derechos ARCO", incluyendo obligatoriamente:

  • Nombre completo del titular de los datos.
  • Correo electrónico y/o número de teléfono registrado en la plataforma Xambee para verificar la identidad.
  • Descripción clara y específica del derecho ARCO que desea ejercer y sobre qué datos recae la solicitud.
  • Copia escaneada de documento de identificación oficial vigente del titular (INE, pasaporte u equivalente).
  • En caso de actuar a través de representante legal: documentación que acredite la representación más identificación del representante.
  • Cualquier documentación de soporte que facilite la localización de los datos y la atención de la solicitud.
Acuse de recibo
Máximo 3 días hábiles desde la recepción de la solicitud. Se informará si está completa o si falta documentación.
Completar solicitud incompleta
El titular tendrá 10 días hábiles para completar la solicitud desde que se le notifique la falta de documentación.
Plazo de respuesta
Máximo 20 días hábiles desde la recepción de la solicitud completa.
Plazo de ejecución
Máximo 15 días hábiles adicionales desde la comunicación de la resolución favorable.
Prórroga posible
Xambee puede prorrogar los plazos hasta por 20 días hábiles adicionales, notificando al titular la razón antes del vencimiento del plazo original.
Costo
Completamente gratuito. Solo en casos excepcionales debidamente justificados se podrán cobrar gastos de reproducción de información.
Recurso ante el INAI
Si el titular considera que su solicitud fue incorrectamente atendida, puede interponer recurso de revisión ante el INAI dentro de los 15 días hábiles siguientes a la notificación de Xambee.

13.2 Revocación del Consentimiento

El titular puede revocar su consentimiento para el tratamiento de sus datos personales en cualquier momento, de manera gratuita, enviando solicitud a privacy@xambee.com.

Xambee informará al titular, antes de procesar la revocación, sobre las consecuencias de la misma, que podrían incluir la imposibilidad técnica de continuar prestando los servicios contratados. La revocación del consentimiento no tiene efectos retroactivos sobre el tratamiento ya realizado de forma lícita.

13.3 Limitaciones al Ejercicio de Derechos ARCO

Conforme a los artículos 26 y 34 de la LFPDPPP, el ejercicio de los derechos ARCO puede estar limitado cuando el tratamiento sea necesario para:

  • Cumplir con una obligación legal, como la conservación de datos fiscales durante 5 años (art. 30 CFF).
  • Proteger derechos e intereses legítimos del responsable o de terceros en procedimientos judiciales o administrativos en curso.
  • Salvaguardar un interés público preponderante, como seguridad nacional o salud pública.
14

Cookies y Tecnologías de Rastreo

La plataforma Xambee (app.xambee.com y xambee.com) utiliza únicamente las siguientes tecnologías de almacenamiento local, todas con finalidades estrictamente funcionales:

Cookie de sesión HTTP
Mantiene la sesión autenticada del usuario en el panel de administración. Es una cookie de sesión que se elimina automáticamente al cerrar el navegador. No contiene datos personales identificativos, solo un token de sesión cifrado.
Duración de la sesión del navegador
Cookie de preferencias de interfaz
Almacena configuraciones visuales del panel (tema claro/oscuro, vista compacta/grande). No contiene datos personales. Puede eliminarse limpiando las cookies del navegador.
12 meses
Token JWT en localStorage
Token de autenticación JSON Web Token firmado criptográficamente que mantiene la sesión activa entre visitas. Tiene fecha de expiración configurable.
Configurable: sesión única o hasta 30 días

Xambee no utiliza bajo ninguna circunstancia: cookies de rastreo publicitario, cookies de análisis de comportamiento de terceros (Google Analytics, Hotjar, Mixpanel, etc.), píxeles de seguimiento publicitario (Facebook Pixel, Google Ads, etc.), fingerprinting de dispositivos, ni comparte datos de navegación con redes publicitarias o plataformas de data brokerage.

Al utilizar la plataforma Xambee, el usuario acepta el uso de las cookies funcionales descritas, que son estrictamente necesarias para el funcionamiento del servicio. El usuario puede gestionar o eliminar estas cookies desde la configuración de su navegador, aunque esto podría afectar la funcionalidad de la plataforma.

15

Menores de Edad

La plataforma Xambee está diseñada y dirigida exclusivamente a negocios y personas mayores de 18 años con capacidad legal plena para celebrar contratos. En México, la mayoría de edad se alcanza a los 18 años conforme al artículo 646 del Código Civil Federal.

Xambee no recopila, procesa, almacena ni utiliza intencionalmente datos personales de personas menores de 18 años para ninguna finalidad. Al aceptar los Términos y Condiciones y esta Política durante el registro, el usuario declara ser mayor de 18 años.

Si Xambee detecta, por cualquier medio, que ha recopilado accidentalmente datos de un menor de 18 años, procederá de inmediato a la eliminación completa, segura e irrecuperable de dichos datos, y notificará al negocio cliente correspondiente para que tome las medidas pertinentes. Para reportar este caso: privacy@xambee.com.

Los negocios clientes que operen en sectores que atienden habitualmente a menores de edad son exclusiva y completamente responsables de:

16

Integraciones con Meta Platforms (Facebook e Instagram)

La integración de Xambee con Meta Platforms, Inc. está sujeta a requisitos específicos de las Políticas para Desarrolladores de Meta, incluyendo los requisitos de Meta App Review. Esta sección detalla el alcance exacto de dicha integración:

16.1 Datos que Xambee Recibe de Meta y Cómo los Recibe

  • Xambee recibe datos de Meta Platforms EXCLUSIVAMENTE a través de webhooks HTTPS autenticados. Cada solicitud es verificada mediante la firma HMAC-SHA256 incluida en el encabezado 'X-Hub-Signature-256', calculada usando el App Secret de la aplicación de Meta. Cualquier solicitud que no supere esta verificación criptográfica es rechazada inmediatamente.
  • Datos recibidos para Messenger: Page-Scoped ID (PSID) del remitente (identificador único por usuario por página, no es el ID de perfil público ni el nombre), identificador de la página de Facebook, timestamp del mensaje y contenido del texto.
  • Datos recibidos para Instagram DM: Instagram-Scoped ID del remitente (identificador único por usuario por cuenta de Instagram Business, no es el nombre de usuario ni el perfil público), timestamp del mensaje y contenido del texto.
  • Xambee NO tiene acceso a: contraseñas, datos bancarios o financieros, historial de actividad fuera de las conversaciones con el agente, perfil completo del usuario (nombre, foto, amigos, publicaciones, likes, etc.), lista de contactos, datos de anuncios, localización del dispositivo.

16.2 Cómo Xambee Usa los Datos Recibidos de Meta

  • Los datos de Meta se usan EXCLUSIVAMENTE para generar respuestas automáticas del agente de IA en nombre del negocio cliente, dentro del contexto estrictamente conversacional.
  • Xambee NO usa los datos de Meta para publicidad, perfilado de usuarios finales, análisis de comportamiento agregado, ni para ningún fin distinto a la generación de respuestas.
  • Los access tokens de páginas de Facebook son almacenados en variables de entorno cifradas y son usados únicamente para enviar las respuestas a través de la API de Meta.
  • Xambee NUNCA envía mensajes proactivos a usuarios que no hayan iniciado previamente la conversación, ni mensajes masivos no solicitados, ni campañas de marketing no autorizadas.
  • Xambee cumple estrictamente la política de ventana de mensajería de Meta: solo responde dentro de las 24 horas siguientes al último mensaje del usuario.

16.3 Permisos de Meta Utilizados por Xambee

pages_messaging
Permite leer mensajes entrantes en páginas de Facebook y enviar respuestas vía API de Messenger. Uso exclusivo: leer el mensaje del usuario y enviar la respuesta del agente de IA dentro de la ventana de 24 horas.
instagram_business_manage_messages
Permite leer mensajes entrantes en cuentas de Instagram Business y enviar respuestas. Uso exclusivo: leer el mensaje del usuario y enviar la respuesta del agente de IA dentro de la ventana de 24 horas.

Xambee no solicita ni utiliza ningún otro permiso de Meta más allá de los listados. Cualquier cambio en los permisos solicitados será comunicado con al menos 15 días de anticipación.

17

Obligación del Negocio Cliente de Informar sobre IA a sus Usuarios Finales

El negocio cliente que utiliza Xambee tiene las siguientes obligaciones irrenunciables e intransferibles respecto a sus usuarios finales:

El incumplimiento de cualquiera de las obligaciones anteriores por parte del negocio cliente es responsabilidad exclusiva del negocio cliente, no de Xambee. El incumplimiento reiterado puede resultar en la suspensión o cancelación de la cuenta conforme a la Sección 6.3 de los Términos y Condiciones.
18

Modificaciones a esta Política de Privacidad

Xambee se reserva el derecho de actualizar y modificar esta Política cuando sea necesario para reflejar cambios en el servicio, tecnologías utilizadas, legislación aplicable o prácticas internas de tratamiento de datos.

Cambios sustanciales al tratamiento de datos
Notificación por correo electrónico al correo registrado del negocio cliente con al menos 15 días naturales de anticipación. Los cambios sustanciales incluyen: nuevas finalidades, nuevos tipos de datos, nuevos subencargados con transferencia de datos sensibles, cambios en derechos del titular.
Cambios en subencargados o proveedores
Notificación por correo con al menos 10 días naturales de anticipación cuando se incorporen nuevos subencargados o se modifiquen significativamente los existentes.
Actualización de datos de contacto
Notificación directa por correo con al menos 5 días naturales de anticipación.
Cambios menores o de forma
Publicación directa en xambee.com con actualización del número de versión y fecha del documento, sin notificación individual.
Aceptación de cambios
El uso continuado de la plataforma después de la fecha de vigencia implica la aceptación íntegra de la Política actualizada.
Rechazo de cambios
Si el titular no acepta los cambios, puede cancelar su cuenta y solicitar eliminación de datos conforme a la Sección 13, antes de la fecha de vigencia.

Xambee mantendrá un historial de versiones anteriores de esta Política disponible para consulta. Para acceder a versiones anteriores, escribir a privacy@xambee.com indicando la versión específica requerida.

19

Contacto y Autoridad Competente

Para cualquier consulta, duda, solicitud o reclamación relacionada con el tratamiento de datos personales por parte de Xambee, los titulares pueden comunicarse a través de los siguientes medios:

Correo de privacidad, ARCO y consultas legales
privacy@xambee.com — Respuesta máxima: 5 días hábiles para consultas generales, 3 días hábiles para acuse de recibo de solicitudes ARCO.
Correo de soporte técnico
support@xambee.com — Respuesta máxima: 2 días hábiles.
Sitio web oficial
xambee.com
Panel de administración
app.xambee.com
Representante legal
David Guerrero Varela
Domicilio
Celaya, Guanajuato, México (en proceso de registro ante el SAT)
Respuesta solicitudes ARCO
Acuse de recibo: máximo 3 días hábiles. Resolución: máximo 20 días hábiles.
Respuesta consultas generales de privacidad
Máximo 5 días hábiles desde la recepción.
INAI — Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
Si usted considera que Xambee ha incumplido alguna disposición de la LFPDPPP en el tratamiento de sus datos personales, o que su solicitud de derechos ARCO no fue atendida correctamente, tiene derecho a presentar una queja o recurso de revisión ante el INAI:

🌐 www.inai.org.mx · home.inai.org.mx
📞 800-835-4324 (INAI) — Gratuito desde México
PROFECO — Procuraduría Federal del Consumidor.
Si usted considera que sus derechos como consumidor han sido vulnerados en el marco de la relación comercial con Xambee:

🌐 www.profeco.gob.mx
📞 800-468-8722 (PROFECO) — Gratuito desde México
Declaración de Cumplimiento — Meta Platforms, Inc.

Xambee cumple plenamente con todas las Políticas para Desarrolladores de Meta Platforms, Inc., incluyendo las Políticas de Uso de Datos, las Políticas de Mensajería de Messenger y las Políticas de Mensajería de Instagram. Utilizamos los permisos instagram_business_manage_messages y pages_messaging únicamente para leer mensajes entrantes de usuarios que han iniciado voluntariamente una conversación con el agente de IA de un negocio cliente, y para enviar respuestas automáticas en nombre de dicho negocio, siempre dentro de la ventana de mensajería de 24 horas establecida por Meta. Xambee nunca envía mensajes proactivos no solicitados, campañas de marketing masivo, spam ni ningún tipo de comunicación que viole las políticas de mensajería de Meta a través de Instagram Direct Messages o Facebook Messenger.

Xambee S.A.S. de C.V.

Política de Privacidad Versión 2.1 · Vigente desde mayo de 2026
Elaborada conforme a la LFPDPPP, Reglamento y Lineamientos del INAI
Políticas para Desarrolladores de Meta Platforms, Inc. · Google API Services User Data Policy
Jurisdicción: Celaya, Guanajuato, México · Representante legal: David Guerrero Varela
privacy@xambee.com · xambee.com