Aviso de Privacidad

AVISO DE PRIVACIDAD

Aerosync Corporate Services SAPI de CV

Última actualización: Abril de 2026

1. RESPONSABLE Y DATOS DE CONTACTO

1.1 Responsable

Aerosync Corporate Services, SOCIEDAD ANÓNIMA PROMOTORA DE INVERSIÓN DE CAPITAL VARIABLE (que opera comercialmente bajo la marca "XELIA") (en adelante "XELIA", el "Responsable" o "nosotros"), con domicilio en Avenida División del Norte, Colonia Lomas de Memetla, Código Postal 05330, Alcaldía Cuajimalpa de Morelos, Ciudad de México, México, es responsable del tratamiento de los datos personales recabados a través de nuestro sitio web, plataforma y demás canales asociados al dominio https://xelia.ai.

Registro Federal de Contribuyentes (RFC): En trámite ante el Servicio de Administración Tributaria (SAT). Se actualizará en este documento una vez obtenido.

1.2 Contacto de privacidad / DPO

Para cualquier duda o solicitud relacionada con la protección de datos personales, puedes contactar a:

Responsable de privacidad: Leonardo Abad Galán

Email: privacidad@xelia.ai

Email alternativo: info@xelia.ai

Cuando aplique la normativa de la Unión Europea (Reglamento (UE) 2016/679, "GDPR"), XELIA actuará como responsable del tratamiento frente a los usuarios ubicados en la UE. Si en el futuro designamos un representante en la UE (art. 27 GDPR), sus datos se incluirán en la versión actualizada de este Aviso.

2. DATOS PERSONALES QUE TRATAMOS

Dependiendo de cómo interactúas con XELIA, podemos tratar las siguientes categorías de datos:

2.1 Durante la navegación en el sitio (antes del registro)

• Dirección IP
• Identificadores en línea (cookies, IDs de sesión)
• Tipo de navegador, sistema operativo, dispositivo, idioma
• URL de referencia, páginas visitadas, timestamps
• Eventos técnicos (logs de errores, performance)

Finalidades:

• Mantener la seguridad de la plataforma (detección de abuso y fraude)
• Permitir el funcionamiento técnico del sitio
• Analítica de uso y mejora del servicio (cuando la ley lo permita y, en su caso, con tu consentimiento para cookies no esenciales)

2.2 Durante el demo gratuito (sin pago)

Datos de voz:

• Audio capturado por tu micrófono durante el demo
• Transcripciones de voz a texto
• Metadatos: duración aproximada, idioma, timestamps

Nota importante: Los datos de voz constituyen datos biométricos y son considerados datos personales sensibles conforme a la legislación mexicana. Su tratamiento requiere consentimiento expreso del titular.

Datos de interacción:

• Mensajes de texto enviados al asistente
• Respuestas generadas por el sistema
• Configuración básica del demo (p.ej. idioma, tipo de asistente de prueba)

Regla de oro que XELIA implementa:

Por defecto, el audio y sus transcripciones durante el demo se tratan de forma temporal y se eliminan al terminar la sesión de demo. Sin embargo, si otorgas tu consentimiento expreso mediante checkbox específico, XELIA podrá conservar estos datos para mejorar sus modelos de inteligencia artificial y entender mejor las necesidades del consumidor.

Finalidad principal:

Proporcionar la experiencia de demostración de XELIA.

2.3 Durante el registro y contratación de un plan

Datos de identificación y contacto:

• Nombre completo
• Correo electrónico
• Empresa y rol (si lo proporcionas)
• País
• Teléfono (opcional)

Datos de la cuenta y suscripción:

• Nombre de usuario, credenciales (contraseña hasheada)
• Plan contratado (Impulso, Pro, MAX)
• Fecha de alta, renovación, estado de la suscripción
• Configuraciones de facturación (moneda, RFC si aplica)

Datos de pago:

Procesamos pagos a través de Stripe, Inc.

Stripe recibe y trata los datos de la tarjeta (número, fecha de expiración, CVC, nombre del titular) como responsable o procesador independiente, de acuerdo con sus propios avisos de privacidad disponibles en https://stripe.com/privacy.

XELIA no almacena el número de tarjeta ni el CVC.

XELIA almacena únicamente:

• ID de cliente en Stripe (customer_id)
• IDs de pago y suscripción (payment_intent_id, subscription_id)
• Monto, fecha y estatus del pago
• Historial de facturación y comprobantes fiscales (cuando aplique)

Finalidades:

• Crear y administrar tu cuenta
• Gestionar pagos y facturación recurrente
• Brindar soporte técnico y atención al cliente
• Cumplir obligaciones legales, contables y fiscales (p. ej., conservación de comprobantes)

2.4 Durante el uso del servicio (post-compra)

Interacciones con XELIA:

• Conversaciones de texto
• Grabaciones de voz (cuando la función esté activa)
• Transcripciones y respuestas generadas
• Archivos o datos que tú o tu organización integren a través de la plataforma (según plan)

Datos de configuración del asistente:

• Nombre del asistente, prompts, flujos y reglas de negocio
• Preferencias de idioma
• Integraciones activadas (CRM, helpdesk, etc.)
• Parámetros de personalización y entrenamiento (cuando aplique)

Datos de uso y métricas:

• Frecuencia y volumen de interacciones
• Estadísticas de rendimiento (tiempo de respuesta, tasa de éxito, etc.)
• Logs técnicos y de errores

Finalidades:

• Prestar el servicio contratado (ejecución de contrato)
• Mejorar la calidad del asistente y de la plataforma
• Personalizar la experiencia y los resultados (en la medida que tú así lo configures)
• Desarrollar nuevas características y modelos estadísticos agregados o anonimizados
• Mantener la seguridad, integridad y disponibilidad del servicio

2.5 Datos de marketing y comunicación (opcional)

• Preferencias de comunicación (anuncios importantes de producto, novedades)
• Interacciones con correos (aperturas, clics)
• Redes sociales y formularios de contacto (cuando correspondan)

Finalidades:

• Enviar comunicaciones comerciales sobre XELIA cuando lo permita la ley o cuentes con tu consentimiento
• Analizar el desempeño de campañas (de forma agregada)

3. BASE JURÍDICA DEL TRATAMIENTO (GDPR Y ESTÁNDARES INTERNACIONALES)

Cuando aplican las normas de la UE o de otros países con esquemas similares, tratamos los datos personales sobre la base de:

Ejecución de un contrato

• Para crear y administrar tu cuenta
• Para prestar los servicios de XELIA conforme al plan contratado
• Para gestionar pagos y soporte al cliente

Cumplimiento de obligaciones legales

• Conservación de información contable y fiscal
• Atención de requerimientos de autoridades

Interés legítimo

• Seguridad de la plataforma y prevención del fraude
• Analítica básica de uso para mejorar el servicio (sin perfilarte desproporcionadamente)
• Comunicación con usuarios administrativos de las cuentas B2B

Cuando usamos interés legítimo, documentamos un Legitimate Interest Assessment (LIA) para equilibrar nuestro interés con tus derechos y libertades.

Consentimiento

• Para cookies no esenciales (analítica, marketing) conforme a GDPR y leyes de ePrivacy
• Para marketing directo cuando sea requerido (p.ej. en la UE y algunos estados de EE. UU.)
• Para el uso de datos de voz y contenidos para entrenar modelos de IA más allá de lo estrictamente necesario para prestarte el servicio
• Para finalidades adicionales a las descritas en este aviso

Puedes retirar tu consentimiento en cualquier momento, sin efecto retroactivo.

En México, el tratamiento se realiza conforme a los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad establecidos en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) promulgada el 20 de marzo de 2025, incluyendo:

• La obligación de identificar las finalidades que requieren consentimiento expreso.
• Los requisitos reforzados de consentimiento para datos personales sensibles (incluyendo datos biométricos de voz).
• La obligación de informar sobre el uso de decisiones automatizadas que afecten a los titulares (ver sección 15).
• Las reglas aplicables a transferencias internacionales de datos personales.
• Las obligaciones de notificación en caso de vulneraciones de seguridad.

Cuando el titular de los datos se encuentre en alguno de los siguientes países donde XELIA opera, el tratamiento se regirá adicionalmente por la legislación local aplicable:

• Colombia — Ley Estatutaria 1581 de 2012 y Decreto Reglamentario 1377 de 2013. El titular tiene derecho a conocer, actualizar, rectificar y suprimir sus datos personales, así como a revocar la autorización otorgada. Autoridad competente: Superintendencia de Industria y Comercio (SIC).
• Argentina — Ley 25.326 de Protección de Datos Personales y su Decreto Reglamentario 1558/2001. El titular puede ejercer derechos de acceso, rectificación, supresión y confidencialidad. Autoridad competente: Agencia de Acceso a la Información Pública (AAIP).
• Chile — Ley 19.628 sobre Protección de la Vida Privada, complementada por la Ley 21.719 (2024) que moderniza el marco de protección de datos personales e introduce la Agencia de Protección de Datos Personales como autoridad de control.
• Ecuador — Ley Orgánica de Protección de Datos Personales (LOPDP, 2021). El titular tiene derecho de acceso, rectificación, eliminación, oposición, portabilidad y a no ser objeto de decisiones automatizadas. Autoridad competente: Superintendencia de Protección de Datos Personales.
• España — Reglamento General de Protección de Datos (RGPD/GDPR, UE 2016/679) y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). El interesado puede ejercer los derechos detallados en la sección 7.2. Autoridad competente: Agencia Española de Protección de Datos (AEPD).

4. TRATAMIENTO DE DATOS DE VOZ E IA

4.1 Demo gratuito

Durante el demo, procesamos tu voz en el navegador mediante Web Speech API/Web Speech Synthesis (cuando esté disponible).

El audio y las transcripciones se utilizan solo para generar las respuestas del demo en tiempo real.

Por defecto, no conservamos estos datos después de terminado el demo.

Si durante el registro del demo te solicitamos autorización expresa mediante checkbox independiente para conservar las grabaciones y transcripciones con finalidad de mejora de modelos y para entender mejor al consumidor, solo entonces conservaremos dichos datos. Entiendes que puedes revocar este consentimiento en cualquier momento escribiendo a privacidad@xelia.ai.

4.2 Cuentas pagadas

Según la configuración de tu organización, podemos conservar:

• Audios
• Transcripciones
• Respuestas generadas

Estos datos se usan para:

• Proporcionar el historial de conversaciones
• Mejorar la personalización del asistente
• Analítica de rendimiento (estadísticas, dashboards, etc.)
• Análisis automatizado de conversaciones mediante inteligencia artificial (ver sección 15)
• Evaluación automatizada de prospectos y leads (lead scoring) mediante inteligencia artificial (ver sección 15)
• Generación de resúmenes, reportes y recomendaciones de acción

4.3 Uso de servicios de IA de terceros (Orquestación Multi-IA)

XELIA utiliza un sistema de orquestación inteligente que dirige las solicitudes al proveedor de inteligencia artificial más adecuado según el tipo de tarea, con el objetivo de ofrecerte el mejor resultado posible. Esto significa que tus datos de texto, voz o contenido pueden ser procesados por uno o más de los siguientes proveedores, dependiendo de la naturaleza de la solicitud:

a) Anthropic, PBC (Claude): Procesamiento en Estados Unidos de América. Se utiliza para análisis de conversaciones, evaluación de leads, razonamiento complejo y generación de respuestas estructuradas. Política de privacidad: https://www.anthropic.com/privacy

b) OpenAI, L.L.C. (GPT, Whisper, Moderation API): Procesamiento en Estados Unidos de América. Se utiliza para procesamiento de voz en tiempo real, transcripción de audio, moderación de contenido, y generación de embeddings. Política de privacidad: https://openai.com/privacy

c) Google LLC (Gemini): Procesamiento en Estados Unidos de América. Se utiliza para análisis de documentos extensos, resúmenes, traducciones y extracción masiva de datos. XELIA utiliza exclusivamente el tier pagado de Gemini API con Cloud Billing habilitado, lo cual garantiza que Google no utiliza los datos enviados para entrenar sus modelos. Política de privacidad: https://policies.google.com/privacy

d) Perplexity AI, Inc. (Sonar): Procesamiento en Estados Unidos de América. Se utiliza para búsquedas de información en tiempo real, verificación de hechos y análisis de mercado. Los resultados de búsqueda pueden contener información de fuentes públicas de internet que podría ser inexacta. Política de privacidad: https://www.perplexity.ai/hub/legal/privacy-policy

e) Deepgram, Inc.: Procesamiento en Estados Unidos de América. Se utiliza para reconocimiento de voz (speech-to-text) y síntesis de voz (text-to-speech) en tiempo real durante las llamadas telefónicas. Política de privacidad: https://deepgram.com/privacy

f) Twilio, Inc.: Procesamiento en Estados Unidos de América. Se utiliza para telefonía programable, provisión de números telefónicos, envío de SMS y mensajes de WhatsApp. Política de privacidad: https://www.twilio.com/legal/privacy

Todos estos proveedores actúan como encargados del tratamiento (processors) y solo procesan los datos conforme a nuestras instrucciones contractuales y de acuerdo con las garantías establecidas en este Aviso. XELIA mantiene contratos con cada proveedor que garantizan un nivel adecuado de protección de datos.

El sistema de orquestación de XELIA incluye las siguientes medidas de protección:

• Sanitización automática de datos personales sensibles (CURP, RFC, números de tarjetas de crédito, CLABE, correos electrónicos y números telefónicos) antes de enviar información a cualquier proveedor externo.
• Filtrado de contenido prohibido mediante la API de moderación de OpenAI (sin costo adicional) y un sistema de validación interno.
• Registro de auditoría (audit log) de cada interacción con proveedores de IA, incluyendo el proveedor utilizado, tipo de tarea, y si se procesaron datos personales.

Ningún proveedor de IA utiliza los datos enviados a través de sus APIs comerciales para entrenar o mejorar sus modelos, conforme a los términos comerciales vigentes de cada proveedor (Anthropic Commercial Terms, OpenAI Business Terms, Google Gemini API Paid Terms, Perplexity API Terms).

Si XELIA integra proveedores de servicios de IA adicionales en el futuro, se actualizará esta sección y se te notificará conforme a lo establecido en el artículo 12 de este Aviso.

4.4 Consentimiento para llamadas salientes con IA

España: De conformidad con la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI) y el RGPD, XELIA solicita consentimiento explícito previo antes de realizar llamadas salientes con inteligencia artificial. Este consentimiento se obtiene por SMS o WhatsApp, se almacena con evidencia digital (identificador de mensaje, fecha y hora), y puede revocarse en cualquier momento respondiendo STOP al mismo número o contactando a privacidad@xelia.ai. Antes de realizar llamadas en España, XELIA verifica que el número no se encuentre en la Lista Robinson de exclusión publicitaria. Las llamadas son grabadas y al inicio se informa que la comunicación utiliza inteligencia artificial, conforme al Reglamento (UE) 2024/1689 (AI Act).

Estados Unidos: De conformidad con la Telephone Consumer Protection Act (TCPA) y las resoluciones de la Federal Communications Commission (FCC) de 2024, XELIA requiere consentimiento previo expreso por escrito ("prior express written consent") antes de realizar cualquier llamada saliente con voz generada por inteligencia artificial. Dicho consentimiento se obtiene por SMS, y la respuesta afirmativa del destinatario se almacena como evidencia digital. El destinatario puede revocar su consentimiento en cualquier momento por cualquier medio razonable, incluyendo las palabras "stop", "quit", "end", "revoke", "opt out", "cancel" o "unsubscribe". XELIA verifica el National Do Not Call Registry de la FTC antes de realizar llamadas y no realiza llamadas fuera del horario de 8:00 a.m. a 9:00 p.m. hora local del destinatario. Todas las llamadas incluyen disclosure de uso de inteligencia artificial al inicio de la comunicación.

4.5 Fuentes de datos para prospección comercial

Para ofrecer el servicio de búsqueda y contacto de prospectos, XELIA consulta exclusivamente fuentes públicas y oficiales de información empresarial, incluyendo:

• México: Directorio Estadístico Nacional de Unidades Económicas (DENUE) del Instituto Nacional de Estadística y Geografía (INEGI).
• Colombia: Registro Único Empresarial y Social (RUES) administrado por las Cámaras de Comercio.
• Argentina, Chile, Ecuador, España, Estados Unidos: Google Places API y directorios empresariales públicos oficiales.

XELIA no adquiere bases de datos de terceros ni realiza extracción automatizada de sitios web privados. Toda la información utilizada para prospección es de carácter público, disponible sin restricciones de acceso, y se utiliza exclusivamente para conectar a nuestros Usuarios con prospectos comerciales relevantes.

Los datos de prospectos obtenidos se almacenan en la cuenta del Usuario y no se comparten entre Usuarios ni con terceros. El Usuario es responsable de cumplir con la legislación aplicable en materia de comunicaciones comerciales no solicitadas al contactar a los prospectos proporcionados por XELIA.

5. TRANSFERENCIAS Y ALMACENAMIENTO INTERNACIONAL DE DATOS

5.1 Infraestructura

XELIA utiliza servidores en Hetzner Online GmbH, región Ashburn, Virginia (Estados Unidos de América) para alojar la plataforma y las bases de datos.

Adicionalmente, XELIA transfiere datos a los siguientes proveedores de servicios ubicados fuera de México:

Antes de enviar datos a proveedores de IA, XELIA aplica automáticamente un proceso de sanitización que elimina o enmascara datos personales sensibles como CURP, RFC, números de tarjetas bancarias, CLABE interbancaria, correos electrónicos y números telefónicos.

Los datos pueden replicarse o respaldarse en otras regiones con fines de continuidad del negocio, pero siempre sujetos a este Aviso y a contratos de protección de datos.

5.2 Transferencias desde México a otros países

Como responsable establecido en México que almacena datos en Estados Unidos, realizamos transferencias internacionales de datos personales.

Nos aseguramos de que dichas transferencias cumplan con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, incluyendo:

• La celebración de contratos con cláusulas que garanticen un nivel adecuado de protección
• La información al titular de las transferencias y finalidades en este Aviso
• La obtención del consentimiento cuando sea requerido por la ley (especialmente tratándose de datos sensibles)

5.3 Transferencias desde la UE al exterior (GDPR)

Cuando tratamos datos de titulares ubicados en la UE/EEE:

• Firmamos Cláusulas Contractuales Tipo (Standard Contractual Clauses, SCCs) y, en su caso, implementamos medidas complementarias (p. ej. cifrado robusto, seudonimización, limitaciones contractuales) con proveedores ubicados fuera del EEE, como AWS, Stripe, OpenAI u otros.
• Cuando un proveedor esté cubierto por un mecanismo de adecuación (como el EU–US Data Privacy Framework, si aplica al proveedor), nos basamos en ese mecanismo.

6. PLAZOS DE CONSERVACIÓN

Aplicamos el principio de limitación de conservación (solo por el tiempo necesario).

Datos de navegación:

• Logs de seguridad: 12–24 meses, salvo incidentes de seguridad.
• Cookies: ver sección 10 de este Aviso ("Cookies y tecnologías similares").

Datos de demo (voz y texto):

• Por defecto, se eliminan al terminar la sesión.
• Si otorgaste consentimiento para conservarlos con fines de mejora de modelos: máximo 24 meses.

Cuenta y suscripción:

• Mientras tu cuenta esté activa.

Resultados de análisis de IA:

• Lead scores, análisis de conversaciones y reportes generados: mientras la cuenta esté activa.
• Registros de auditoría de uso de IA (audit log): 24 meses desde su generación, o el tiempo requerido por la legislación aplicable.
• Registros de decisiones automatizadas: 36 meses desde su generación, para cumplir con obligaciones de transparencia y rendición de cuentas.
• Después de la cancelación de la cuenta: los registros de auditoría se conservan por el periodo indicado y luego se eliminan.

Después de la cancelación:

• Datos de facturación y comprobantes: hasta 10 años por obligaciones fiscales y contables mexicanas establecidas en el Código Fiscal de la Federación.
• Conversaciones y configuraciones: en principio 90 días tras la cancelación, salvo que solicites eliminación inmediata o exista una obligación legal de conservarlos.
• Registros en backups: hasta 30 días adicionales, con acceso restringido y eliminación mediante rotación de respaldos. La eliminación completa en respaldos puede tardar hasta 30 días adicionales, durante los cuales los datos permanecerán cifrados y sin posibilidad de restauración selectiva.

7. DERECHOS DE LOS TITULARES (ARCO, GDPR, CCPA/CPRA)

7.1 México – Derechos ARCO y otros

Conforme a la legislación mexicana vigente, puedes:

• Acceso: Saber qué datos tenemos de ti y cómo los tratamos.
• Rectificación: Solicitar la corrección de datos inexactos o incompletos.
• Cancelación: Solicitar, cuando proceda, la eliminación de tus datos.
• Oposición: Oponerte a determinados tratamientos (por ejemplo, marketing).

Además, podrás solicitar la limitación del uso o divulgación de tus datos y revocar el consentimiento otorgado, cuando sea procedente.

7.2 Unión Europea / GDPR

Si te encuentras en la UE/EEE, además de lo anterior, tienes derecho a:

• Portabilidad de datos
• Limitación del tratamiento
• Oposición al tratamiento, incluyendo marketing directo y decisiones automatizadas
• No ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o te afecten significativamente, salvo ciertas excepciones.

Tienes también derecho a presentar una reclamación ante una autoridad de control en la UE. Indicaremos la autoridad principal correspondiente cuando designemos un representante en la UE.

7.3 California y otras leyes de privacidad de EE. UU.

Si eres residente de California, la California Consumer Privacy Act (CCPA) y la California Privacy Rights Act (CPRA) te reconocen, entre otros, los siguientes derechos respecto de tu "información personal":

• Derecho a saber qué datos se recopilan, usan, divulgan o venden
• Derecho a solicitar acceso y eliminación
• Derecho a solicitar la corrección de información inexacta
• Derecho a optar por no vender ni compartir información personal ("Do Not Sell or Share My Personal Information"), cuando la empresa realiza dichas actividades
• Derecho a limitar el uso de información personal sensible
• Derecho a no ser discriminado por ejercer estos derechos

Actualmente, XELIA no vende ni comparte información personal en el sentido que la CCPA/CPRA da a esos términos. Si esto cambiara, actualizaremos este Aviso y habilitaremos los mecanismos de opt-out correspondientes.

7.4 Colombia, Argentina, Chile, Ecuador y España

Si te encuentras en alguno de estos países donde XELIA opera, además de los derechos descritos en la sección 7.1, puedes ejercer los siguientes derechos conforme a tu legislación local:

• Colombia (Ley 1581/2012): Derecho a conocer, actualizar, rectificar y suprimir tus datos; revocar la autorización; presentar quejas ante la SIC.
• Argentina (Ley 25.326): Derecho de acceso gratuito cada 6 meses, rectificación, supresión y confidencialidad; reclamar ante la AAIP.
• Chile (Ley 19.628 + Ley 21.719): Derecho de acceso, rectificación, cancelación y oposición; derecho a la portabilidad de datos; reclamar ante la Agencia de Protección de Datos Personales.
• Ecuador (LOPDP 2021): Derecho de acceso, rectificación, eliminación, oposición, portabilidad; derecho a no ser objeto de decisiones exclusivamente automatizadas; reclamar ante la Superintendencia de Protección de Datos Personales.
• España (RGPD + LOPDGDD): Todos los derechos de la sección 7.2, más el derecho al testamento digital y los derechos digitales reconocidos en el Título X de la LOPDGDD; reclamar ante la AEPD.

Para ejercer cualquiera de estos derechos, envía un correo a privacidad@xelia.ai indicando tu país de residencia y el derecho que deseas ejercer.

8. EJERCICIO DE DERECHOS

Para ejercer tus derechos (ARCO, GDPR, CCPA/CPRA u otros):

Envía un correo a: privacidad@xelia.ai

O bien utiliza el correo alternativo: info@xelia.ai

Tu solicitud deberá incluir, al menos:

• Nombre completo y medio para comunicarte la respuesta
• Documentos que acrediten tu identidad o representación
• Descripción clara de los datos respecto de los que deseas ejercer el derecho
• Derecho(s) que deseas ejercer

Plazos de respuesta orientativos:

• México: hasta 20 días hábiles para responder y, en su caso, hasta 15 días hábiles adicionales para ejecutar la acción solicitada (conforme a Ley y criterios del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, INAI).
• GDPR: hasta 1 mes, prorrogable en casos complejos (art. 12.3 GDPR).
• CCPA/CPRA: generalmente hasta 45 días para responder.

Cuando no podamos atender completamente tu solicitud por motivos legales o técnicos, te lo explicaremos con detalle.

9. MEDIDAS DE SEGURIDAD

Adoptamos medidas técnicas y organizativas apropiadas para proteger los datos personales, que incluyen:

• Cifrado TLS/SSL en tránsito (HTTPS)
• Control de accesos y autenticación
• Almacenamiento en infraestructuras seguras de AWS con protección mediante firewall
• Gestión de contraseñas mediante algoritmos de hash robustos (cuando implementemos autenticación completa)
• Registros de eventos relevantes de seguridad
• Procedimientos internos de gestión de incidentes

Medidas adicionales ya implementadas:

• Cifrado en reposo a nivel de base de datos mediante pgcrypto (AES-256)
• Autenticación multifactor disponible vía proveedores OAuth (Google, Apple)
• Backups automáticos con retención de 30 días
• Fail2ban para protección contra ataques de fuerza bruta
• Hardening SSH (sin contraseñas, solo llaves)
• Rate limiting en endpoints de autenticación
• Validación de firmas HMAC en webhooks (Stripe, Twilio)
• Rotación periódica de claves API
• Monitoreo automatizado cada 5 minutos con auto-healing

Si detectamos una vulneración de seguridad que afecte de forma significativa tus datos, te notificaremos en los términos establecidos por la normativa aplicable.

10. COOKIES Y TECNOLOGÍAS SIMILARES

Utilizamos cookies y tecnologías similares para:

• Permitir el funcionamiento del sitio y el login (cookies esenciales)
• Recordar tus preferencias (p. ej. idioma)
• Realizar analítica de uso (cuando implementemos Google Analytics u otras herramientas)
• En su caso, marketing y remarketing (Meta Pixel, Google Ads)

Estado actual de implementación:

XELIA aún no utiliza herramientas de analítica de terceros ni cookies de marketing. Sin embargo, con el fin de mejorar el servicio y la experiencia del usuario, XELIA planea implementar en el futuro:

• Google Analytics
• Meta Pixel (Facebook)
• Google Ads
• Otras herramientas de analítica y marketing digital

Cuando lo requiera la ley (por ejemplo, en la UE/EEE o Reino Unido), te mostraremos un banner de consentimiento de cookies que te permitirá:

• Aceptar todas
• Rechazar todas no esenciales
• Configurar categorías (analítica, marketing, etc.)

Para más detalles sobre cookies específicas, tipos, finalidades y cómo gestionarlas, consulta nuestra Política de Cookies (sección siguiente de este Aviso).

11. MENORES DE EDAD

XELIA no está dirigida a menores de 18 años y no recabamos intencionalmente datos de menores.

Si detectamos que hemos tratado datos de un menor sin la autorización requerida, los eliminaremos con la mayor prontitud posible y, si es necesario, adoptaremos medidas para bloquear el acceso.

12. ACTUALIZACIONES DEL AVISO DE PRIVACIDAD

Podemos modificar este Aviso de vez en cuando para reflejar cambios en nuestras prácticas de tratamiento de datos, nuevas funcionalidades de la plataforma, o actualizaciones en la legislación aplicable.

Publicaremos la versión actualizada en https://xelia.ai, indicando la fecha de última actualización al inicio de este documento.

Cuando los cambios sean sustanciales (por ejemplo, nuevas finalidades, nuevas categorías de datos, nuevos destinatarios), te lo notificaremos a través del correo electrónico registrado en tu cuenta o mediante avisos destacados en la plataforma.

En los casos en que la normativa lo exija, te solicitaremos nuevamente tu consentimiento.

13. POLÍTICA DE COOKIES

13.1 ¿Qué son las cookies?

Las cookies son pequeños archivos de texto que se almacenan en tu navegador o dispositivo cuando visitas un sitio web. Las cookies permiten que el sitio web reconozca tu dispositivo y recuerde información sobre tu visita, como tus preferencias de idioma o tus credenciales de inicio de sesión.

13.2 ¿Qué cookies utilizamos?

XELIA utiliza o planea utilizar las siguientes categorías de cookies:

Cookies esenciales (necesarias)

Finalidad: login, mantenimiento de sesión, seguridad, funcionamiento básico del sitio.

Base jurídica: interés legítimo / ejecución del contrato.

Ejemplos:

• Cookies de sesión para mantener tu login activo
• Cookies de seguridad para prevenir ataques CSRF
• Cookies técnicas para balanceo de carga

Estas cookies son estrictamente necesarias para que el sitio funcione y no requieren tu consentimiento.

Cookies de preferencias

Finalidad: Idioma, opciones de interfaz, configuraciones personalizadas.

Base jurídica: interés legítimo o consentimiento según jurisdicción.

Ejemplos:

• Cookie de idioma seleccionado
• Cookie de tema visual (claro/oscuro)

Cookies de análisis (cuando se implementen)

Finalidad: Analítica de uso, estadísticas de tráfico, optimización de la experiencia del usuario.

Herramienta: Google Analytics (planificada)

Datos recopilados: páginas visitadas, tiempo de permanencia, eventos de interacción, datos demográficos agregados.

Base jurídica: consentimiento (UE/EEE); interés legítimo donde la ley lo permita.

Tercero: Google LLC. Política de privacidad: https://policies.google.com/privacy

Cookies de marketing (cuando se implementen)

Finalidad: Remarketing, seguimiento de conversiones, publicidad personalizada.

Herramientas planificadas:

• Meta Pixel (Facebook)
• Google Ads
• Otras plataformas publicitarias

Base jurídica: consentimiento.

Terceros:

• Meta Platforms, Inc. Política de privacidad: https://www.facebook.com/privacy/policy
• Google LLC. Política de privacidad: https://policies.google.com/privacy

13.3 Cómo gestionar cookies

Banner de consentimiento:

Cuando implementemos cookies no esenciales, XELIA mostrará un banner de consentimiento de cookies al acceder al sitio por primera vez. Desde este banner podrás:

• Aceptar todas las cookies
• Rechazar cookies no esenciales
• Configurar tus preferencias por categorías

Configuración del navegador:

También puedes configurar tu navegador para bloquear o eliminar cookies:

• Chrome: Configuración > Privacidad y seguridad > Cookies y otros datos de sitios
• Firefox: Opciones > Privacidad y seguridad > Cookies y datos del sitio
• Safari: Preferencias > Privacidad > Gestionar datos de sitios web
• Edge: Configuración > Privacidad, búsqueda y servicios > Cookies

Ten en cuenta que bloquear todas las cookies puede afectar el funcionamiento del sitio.

13.4 Cookies de terceros

XELIA puede utilizar servicios de terceros que establecen sus propias cookies en tu dispositivo:

Actuales:

• Stripe (para procesamiento de pagos y prevención de fraude)
• Cloudflare (para CDN y seguridad)

Futuros:

• Google (Analytics, Ads)
• Meta (Pixel)

Te recomendamos consultar las políticas de privacidad de estos terceros para más información sobre cómo utilizan las cookies.

13.5 Actualizaciones de la Política de Cookies

Esta Política de Cookies forma parte integral del Aviso de Privacidad y se actualizará conforme a lo establecido en el artículo 12 del mismo.

14. TRANSFERENCIAS A TERCEROS

XELIA comparte datos personales únicamente en las siguientes circunstancias:

Con proveedores de servicios (encargados del tratamiento / sub-procesadores):

• a) Stripe, Inc.: Procesamiento de pagos y gestión de suscripciones. País: Estados Unidos.
• b) Amazon Web Services (AWS): Alojamiento de servidores y bases de datos. País: Estados Unidos.
• c) Cloudflare, Inc.: Gestión de DNS, CDN y seguridad web. País: Estados Unidos.
• d) Anthropic, PBC: Análisis de conversaciones, lead scoring, razonamiento con IA. País: Estados Unidos.
• e) OpenAI, L.L.C.: Procesamiento de voz en tiempo real, transcripción de audio, moderación de contenido. País: Estados Unidos.
• f) Google LLC: Análisis de documentos extensos, resúmenes, traducciones. País: Estados Unidos.
• g) Perplexity AI, Inc.: Búsqueda de información en tiempo real, verificación de hechos. País: Estados Unidos.
• h) Deepgram, Inc.: Reconocimiento y síntesis de voz en tiempo real. País: Estados Unidos.
• i) Twilio, Inc.: Telefonía programable, provisión de números, SMS y WhatsApp. País: Estados Unidos.

Estos proveedores actúan como encargados del tratamiento y solo procesan los datos conforme a nuestras instrucciones y contratos que garantizan un nivel adecuado de protección. Ningún proveedor de IA utiliza los datos enviados a través de sus APIs comerciales para entrenar modelos de inteligencia artificial.

XELIA te notificará sobre cambios significativos en la lista de sub-procesadores conforme a lo establecido en el artículo 12 de este Aviso.

Por obligación legal:

Podemos divulgar datos personales cuando sea requerido por ley, orden judicial, o solicitud de autoridades gubernamentales competentes.

Con tu consentimiento:

En cualquier otro caso, solicitaremos tu consentimiento expreso antes de compartir tus datos personales con terceros.

XELIA NO vende, alquila, ni comercializa datos personales a terceros con fines de marketing.

15. DECISIONES AUTOMATIZADAS Y PERFILAMIENTO

15.1 Uso de inteligencia artificial en decisiones y evaluaciones

XELIA utiliza sistemas de inteligencia artificial para realizar las siguientes actividades que pueden involucrar procesamiento automatizado de datos personales:

a) Lead scoring (evaluación automatizada de prospectos): El sistema de IA analiza conversaciones, datos proporcionados por el prospecto y contexto de la interacción para generar una puntuación numérica (score) que indica la probabilidad de conversión o el nivel de interés del prospecto. Esta puntuación se genera como herramienta de apoyo para el equipo comercial del cliente de XELIA.

b) Análisis de conversaciones: El sistema de IA analiza las conversaciones de voz y texto para extraer información relevante como señales de compra, objeciones, sentimiento general, datos de contacto mencionados, y recomendaciones de próximos pasos.

c) Generación de recomendaciones automatizadas: Con base en el análisis, el sistema puede sugerir acciones como agendar un seguimiento, enviar un correo electrónico, o ajustar la estrategia de comunicación.

d) Moderación automatizada de contenido: El sistema filtra automáticamente contenido que viole las políticas de uso aceptable de XELIA y de sus proveedores de IA.

15.2 Naturaleza de las decisiones automatizadas

Las evaluaciones y recomendaciones generadas por los sistemas de IA de XELIA son herramientas de apoyo a la toma de decisiones humana. En ningún caso estas evaluaciones producen efectos jurídicos por sí solas ni sustituyen el juicio humano en decisiones que afecten significativamente a las personas evaluadas.

Los resultados del lead scoring y del análisis de conversaciones deben ser revisados por un ser humano antes de tomar cualquier decisión comercial, contractual o laboral basada en ellos. XELIA incluye automáticamente avisos de esta naturaleza en todos los reportes generados por inteligencia artificial.

15.3 Tus derechos respecto de decisiones automatizadas

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP 2025) vigente en México, al Reglamento General de Protección de Datos de la Unión Europea (GDPR), y a las mejores prácticas internacionales, tienes derecho a:

• Ser informado cuando una evaluación o recomendación sobre ti haya sido generada por un sistema de inteligencia artificial.
• Solicitar intervención humana en cualquier decisión que te afecte y que haya sido asistida por inteligencia artificial.
• Expresar tu punto de vista respecto de cualquier evaluación automatizada.
• Impugnar una decisión y solicitar que sea revisada por una persona.
• Obtener una explicación de la lógica general utilizada por el sistema de IA para generar la evaluación.

Para ejercer cualquiera de estos derechos, contacta a privacidad@xelia.ai.

15.4 Registro de decisiones automatizadas

XELIA mantiene un registro de auditoría de todas las evaluaciones y decisiones asistidas por inteligencia artificial, que incluye: el proveedor de IA utilizado, el tipo de decisión, la fecha, y si se requiere revisión humana. Este registro está disponible para autoridades regulatorias en caso de que sea requerido conforme a la legislación aplicable.

15.5 Salvaguardas implementadas

Para proteger tus derechos en relación con el procesamiento automatizado, XELIA implementa las siguientes salvaguardas:

• Sanitización automática de datos personales sensibles antes de enviar información a proveedores de IA.
• Inclusión obligatoria de disclaimers en todos los reportes generados por IA indicando que requieren validación humana.
• Registro de auditoría persistente de toda actividad de IA con datos personales.
• Filtrado de contenido mediante sistemas de moderación para evitar procesamiento de contenido prohibido.
• Revisión periódica de los modelos y proveedores de IA para verificar el cumplimiento de estándares de calidad y no discriminación.

17. CONTACTO Y CONSULTAS

Para cualquier duda, comentario o solicitud relacionada con este Aviso de Privacidad o con el tratamiento de tus datos personales, puedes contactarnos en:

Aerosync Corporate Services SAPI de CV

Domicilio: Avenida División del Norte, Colonia Lomas de Memetla, Código Postal 05330, Alcaldía Cuajimalpa de Morelos, Ciudad de México, México

Responsable de privacidad: Leonardo Abad Galán

Email de privacidad: privacidad@xelia.ai

Email general: info@xelia.ai

Teléfono: +52 56 2915 2081

Sitio web: https://xelia.ai

Estamos comprometidos con la protección de tus datos personales y con brindarte transparencia total sobre cómo los tratamos.

Fecha de última actualización: Abril de 2026

Versión: 2.2