Dılebot← Volver al inicio

Acuerdo de Procesamiento de Datos (DPA)

ACUERDO DE PROCESAMIENTO DE DATOS PERSONALES (DPA)

DILEBOT — Plataforma de Automatización con Inteligencia Artificial para WhatsApp

Responsable del tratamiento: WEBLAB MARKET CORP
Versión: 1.0
Fecha de entrada en vigor: 1 de junio de 2026
Última actualización: 1 de junio de 2026

URL canónica: dilebot.com/dpa

ÍNDICE

  1. Partes del Acuerdo
  2. Definiciones
  3. Objeto del Acuerdo
  4. Naturaleza y propósito del tratamiento
  5. Obligaciones de Dilebot como Encargado del tratamiento
  6. Obligaciones del Cliente como Responsable del tratamiento
  7. Subencargados autorizados (sub-procesadores)
  8. Transferencias internacionales de datos
  9. Medidas de seguridad técnicas y organizativas
  10. Notificación de incidentes de seguridad
  11. Derechos de los titulares de datos
  12. Retención y eliminación de datos
  13. Auditorías y cumplimiento
  14. Responsabilidad y limitaciones
  15. Vigencia y terminación
  16. Modificaciones al Acuerdo
  17. Ley aplicable y jurisdicción
  18. Contacto

1. PARTES DEL ACUERDO

Este Acuerdo de Procesamiento de Datos («DPA» o «Acuerdo») se celebra entre:

ENCARGADO DEL TRATAMIENTO:
WEBLAB MARKET CORP, sociedad constituida bajo las leyes del Estado de Florida, Estados Unidos de América, con Tax ID P23000063356, con domicilio en Miami Beach, FL 33141, operando la plataforma Dilebot (en adelante «Dilebot» o «Encargado»).

RESPONSABLE DEL TRATAMIENTO:
La persona física o moral que contrata los servicios de Dilebot y acepta los presentes Términos (en adelante «Cliente» o «Responsable»), identificada mediante los datos proporcionados al momento del registro y pago.

Ambas partes acuerdan que este DPA forma parte integral de los Términos y Condiciones de Dilebot y entra en vigor en la fecha en que el Cliente activa su cuenta.

2. DEFINICIONES

Para efectos de este Acuerdo, los términos siguientes tendrán el significado que se les asigna:

  • Datos Personales: Cualquier información concerniente a una persona física identificada o identificable, incluyendo nombre, número de teléfono, correo electrónico, mensajes de WhatsApp y cualquier otro dato proporcionado por los usuarios finales del Cliente al bot de WhatsApp.
  • Titular: La persona física a quien corresponden los Datos Personales (clientes finales del Cliente).
  • Responsable del Tratamiento (Cliente): Quien decide sobre el tratamiento de los Datos Personales de sus propios clientes finales.
  • Encargado del Tratamiento (Dilebot): Quien trata los Datos Personales por cuenta e instrucción del Responsable.
  • Tratamiento: Cualquier operación sobre Datos Personales: recolección, almacenamiento, uso, transferencia, eliminación.
  • Subencargado: Tercero contratado por Dilebot que trata Datos Personales en nombre del Responsable.
  • Incidente de Seguridad: Acceso, uso, divulgación, alteración o destrucción no autorizada de Datos Personales.
  • LFPDPPP: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México, DOF 20 de marzo de 2025 y reformas aplicables).

3. OBJETO DEL ACUERDO

Este DPA regula las condiciones bajo las cuales Dilebot, en su calidad de Encargado del tratamiento, trata Datos Personales de los clientes finales del Cliente (Responsable), en el contexto de la prestación de servicios de automatización de WhatsApp con inteligencia artificial.

Dilebot trata los Datos Personales únicamente para prestar los servicios contratados y conforme a las instrucciones documentadas del Cliente.

4. NATURALEZA Y PROPÓSITO DEL TRATAMIENTO

  • Naturaleza: Procesamiento automatizado de mensajes, generación de respuestas con IA, almacenamiento en base de datos, búsqueda vectorial (RAG).
  • Propósito: Operar el bot de WhatsApp del Cliente: atención al cliente, captura de leads, agendamiento de citas, envío de links de pago, escalamiento a humano.
  • Tipos de datos: Número de teléfono WhatsApp, nombre (si proporcionado), contenido de conversaciones, datos de lead (nombre, interés, estatus), fecha y hora de interacciones.
  • Categorías de titulares: Clientes finales del Cliente (usuarios que contactan al bot del Cliente por WhatsApp).
  • Duración: Durante la vigencia del contrato y hasta 90 días después de su terminación, salvo instrucción de eliminación anticipada.

5. OBLIGACIONES DE DILEBOT COMO ENCARGADO

Dilebot se compromete a:

5.1 Instrucciones documentadas

Tratar los Datos Personales únicamente conforme a las instrucciones del Cliente contenidas en este Acuerdo y en los Términos y Condiciones. Notificar al Cliente si considera que alguna instrucción infringe la LFPDPPP u otra normativa aplicable.

5.2 Confidencialidad

Garantizar que el personal autorizado para tratar los Datos Personales esté sujeto a obligaciones de confidencialidad, ya sea por contrato o por disposición legal.

5.3 Seguridad

Implementar y mantener medidas de seguridad técnicas y organizativas adecuadas conforme a la sección 9 de este Acuerdo.

5.4 Subencargados

No contratar subencargados adicionales a los listados en la sección 7 sin notificación previa al Cliente con al menos 15 días de anticipación. Garantizar que los subencargados cumplan obligaciones equivalentes a las de este DPA.

5.5 Asistencia al Responsable

Asistir al Cliente, en la medida de lo posible, para:

– Dar respuesta a solicitudes de ejercicio de derechos ARCO de los Titulares.
– Cumplir con obligaciones de seguridad, notificación de incidentes y evaluaciones de impacto conforme a la LFPDPPP.

5.6 Eliminación o devolución de datos

A elección del Cliente, al término del contrato: eliminar o devolver todos los Datos Personales, salvo que la ley exija su conservación.

5.7 Evidencia de cumplimiento

Poner a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de este Acuerdo, incluyendo responder cuestionarios de auditoría escritos.

6. OBLIGACIONES DEL CLIENTE COMO RESPONSABLE

El Cliente se compromete a:

6.1 Contar con base legal válida para el tratamiento de los Datos Personales de sus clientes finales antes de conectarlos al bot de Dilebot (consentimiento, contrato, interés legítimo, según corresponda bajo la LFPDPPP).

6.2 Publicar y mantener vigente un Aviso de Privacidad propio que informe a sus clientes finales sobre el uso de herramientas de automatización con IA y la transferencia de datos a Dilebot.

6.3 No instruir a Dilebot para tratar Datos Personales de categorías especiales (salud, origen étnico, biometría, etc.) sin haber pactado condiciones adicionales por escrito.

6.4 Notificar a Dilebot de inmediato si tiene conocimiento de alguna vulneración de seguridad que involucre los Datos Personales tratados en la plataforma.

6.5 Mantener actualizados sus datos de contacto en la plataforma para recibir notificaciones relacionadas con este DPA.

7. SUBENCARGADOS AUTORIZADOS (SUB-PROCESADORES)

El Cliente autoriza a Dilebot a utilizar los siguientes subencargados para la prestación del servicio:

  • OpenAI, L.L.C. — País/Región: Estados Unidos. Función: Generación de respuestas con IA (gpt-4o-mini, gpt-4.1) y creación de embeddings (text-embedding-3-small). Política de Privacidad: openai.com/policies/privacy.
  • Supabase, Inc. — País/Región: Estados Unidos (us-east-2). Función: Base de datos principal: almacenamiento de conversaciones, leads, documentos de conocimiento, vectores. Política de Privacidad: supabase.com/privacy.
  • Gupshup Technology India Pvt. Ltd. — País/Región: India / Global. Función: Proveedor BSP (Business Solution Provider) de WhatsApp: envío y recepción de mensajes. Política de Privacidad: gupshup.io/privacy-policy.
  • Vercel, Inc. — País/Región: Estados Unidos. Función: Hosting de la aplicación de onboarding del cliente (app.dilebot.com). Política de Privacidad: vercel.com/legal/privacy-policy.
  • Resend, Inc. — País/Región: Estados Unidos. Función: Envío de correos electrónicos transaccionales (magic links, notificaciones). Política de Privacidad: resend.com/legal/privacy-policy.

Dilebot notificará al Cliente con al menos 15 días de anticipación antes de añadir o sustituir cualquier subencargado de esta lista. El Cliente podrá objetar por escrito dentro de ese plazo.

8. TRANSFERENCIAS INTERNACIONALES DE DATOS

Dado que los subencargados listados en la sección 7 operan en jurisdicciones fuera de México (principalmente Estados Unidos), se realizan transferencias internacionales de Datos Personales.

Estas transferencias se amparan en:

8.1 Cláusulas contractuales estándar y DPAs vigentes entre Dilebot y cada subencargado, que garantizan un nivel de protección adecuado.

8.2 Certificaciones de los subencargados: OpenAI y Vercel cuentan con certificación ISO 27001 y/o SOC 2 Type II. Supabase cuenta con SOC 2 Type II.

8.3 Necesidad contractual: las transferencias son necesarias para la ejecución del contrato de servicios entre Dilebot y el Cliente.

El Cliente, al aceptar este DPA, consiente expresamente las transferencias internacionales descritas en este apartado, conforme al artículo 36 de la LFPDPPP.

9. MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS

Dilebot implementa las siguientes medidas para proteger los Datos Personales:

Técnicas

  • Cifrado en tránsito: HTTPS/TLS 1.2+ en todas las comunicaciones
  • Cifrado en reposo: proporcionado por Supabase (AES-256)
  • Control de acceso: Row Level Security (RLS) por tenant en base de datos. Las Edge Functions usan service_role key con acceso restringido
  • Autenticación: JWT con claim de tenant_id para aplicaciones cliente
  • Idempotencia: tabla processed_messages para prevenir duplicados
  • Logs de auditoría: tabla tenant_changes_audit con registro automático de cambios críticos
  • Retención automática: limpieza programada de tablas de depuración (pg_cron diario)

Organizativas

  • Acceso a producción restringido a personal autorizado de WEBLAB MARKET CORP
  • Revisión periódica de permisos y accesos
  • Sin almacenamiento de datos de pago (procesados exclusivamente por Stripe)

10. NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD

10.1 Dilebot notificará al Cliente dentro de las 72 horas siguientes al conocimiento de un Incidente de Seguridad que afecte sus Datos Personales, al correo registrado en la cuenta.

10.2 La notificación incluirá:

– Naturaleza del incidente
– Categorías y volumen aproximado de datos afectados
– Medidas adoptadas para mitigar el daño
– Contacto del responsable de seguridad de Dilebot

10.3 El Cliente es responsable de notificar a sus propios clientes finales (Titulares) y, si aplica, a la autoridad competente, conforme a la LFPDPPP.

11. DERECHOS DE LOS TITULARES DE DATOS

11.1 Si un Titular ejerce sus derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) ante el Cliente, Dilebot asistirá al Cliente para dar respuesta, siempre que:

– El Cliente envíe la solicitud a privacidad@dilebot.com dentro de los 5 días hábiles siguientes a recibirla.
– La solicitud identifique claramente el número de teléfono o identificador del Titular.

11.2 Dilebot dará respuesta técnica (exportar, corregir o eliminar datos) dentro de los 10 días hábiles siguientes a recibir la solicitud del Cliente.

11.3 El derecho de cancelación sobre conversaciones activas puede implicar la interrupción del servicio de bot para ese número de teléfono.

12. RETENCIÓN Y ELIMINACIÓN DE DATOS

  • Mensajes de conversación: 90 días desde el último mensaje, o hasta cancelación de cuenta.
  • Leads: Mientras la cuenta esté activa + 90 días.
  • Logs de debug (webhook_debug): 7 días (eliminación automática).
  • Logs del bot (bot_handler_logs): 30 días (info), 90 días (warn/error).
  • Auditoría de cambios (tenant_changes_audit): 180 días.
  • Datos de pago: No almacenados por Dilebot (gestionados por Stripe).

Al término del contrato, Dilebot eliminará todos los Datos Personales del Cliente dentro de los 90 días siguientes, salvo obligación legal de conservación.

El Cliente puede solicitar eliminación anticipada a privacidad@dilebot.com.

13. AUDITORÍAS Y CUMPLIMIENTO

13.1 Dilebot responderá cuestionarios de auditoría escritos enviados a privacidad@dilebot.com con un plazo de respuesta de 20 días hábiles.

13.2 Auditorías in situ podrán solicitarse con 30 días de anticipación y estarán sujetas a acuerdo de confidencialidad previo. Los costos asociados correrán a cargo del Cliente, salvo que la auditoría revele un incumplimiento material de este DPA.

13.3 Dilebot podrá cumplir con la obligación de auditoría proporcionando certificaciones de terceros vigentes (SOC 2, ISO 27001) de sus subencargados principales.

14. RESPONSABILIDAD Y LIMITACIONES

14.1 Cada parte es responsable del cumplimiento de sus propias obligaciones bajo la LFPDPPP y este DPA.

14.2 La responsabilidad total de Dilebot derivada de este DPA no excederá el monto pagado por el Cliente en los 3 meses anteriores al evento que originó la reclamación.

14.3 Dilebot no es responsable por tratamientos de datos que el Cliente realice fuera de la plataforma Dilebot, ni por la falta de Aviso de Privacidad propio del Cliente hacia sus clientes finales.

14.4 Las limitaciones de responsabilidad no aplican en casos de dolo o negligencia grave de Dilebot.

15. VIGENCIA Y TERMINACIÓN

15.1 Este DPA entra en vigor en la fecha de activación de la cuenta del Cliente y permanece vigente mientras exista una relación contractual entre las partes.

15.2 Este DPA termina automáticamente al término del contrato de servicios.

15.3 Las obligaciones de confidencialidad y las relativas a la eliminación de datos sobreviven a la terminación del DPA por un período de 2 años.

16. MODIFICACIONES AL ACUERDO

Dilebot podrá modificar este DPA con 30 días de anticipación mediante notificación al correo registrado del Cliente y publicación en dilebot.com/dpa.

Si el Cliente no está de acuerdo con las modificaciones, podrá terminar el contrato antes de la fecha de entrada en vigor de los cambios sin penalidad. El uso continuado del servicio después de la fecha de entrada en vigor constituye aceptación de las modificaciones.

17. LEY APLICABLE Y JURISDICCIÓN

Este DPA se rige e interpreta conforme a:

– La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México y su Reglamento.
– Las leyes del Estado de Florida, Estados Unidos, para aspectos no cubiertos por la LFPDPPP.

Para cualquier controversia derivada de este DPA, las partes se someten a la jurisdicción de los tribunales competentes de la Ciudad de México, renunciando a cualquier otro fuero que pudiere corresponderles.

18. CONTACTO

Para ejercer derechos, reportar incidentes o cualquier comunicación relacionada con este DPA:

WEBLAB MARKET CORP — Dilebot
Correo: privacidad@dilebot.com
Sitio web: dilebot.com
Dirección: Miami Beach, FL 33141, Estados Unidos

Este documento fue redactado con base en la LFPDPPP (México, DOF 20 de marzo de 2025), las mejores prácticas del GDPR para sub-procesadores, y los contratos estándar de los subencargados listados en la sección 7.

WEBLAB MARKET CORP — Todos los derechos reservados.