Aviso de Privacidad Integral
Última actualización: 24 de abril de 2026
1. Identidad del responsable
Eloia (en adelante "Eloia", "nosotros" o "el Responsable"), con domicilio de contacto en Ciudad de México, México, es responsable del tratamiento de tus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
Contacto del Oficial de Protección de Datos: admin@eloia.ai
2. Datos personales que recopilamos
Recopilamos las siguientes categorías de datos personales:
| Categoría | Datos específicos | Fuente |
|---|---|---|
| Datos de cuenta | Nombre, correo electrónico, contraseña (hash bcrypt) | Registro directo |
| Datos de Google Calendar | Eventos del calendario (título, fecha, hora, participantes), disponibilidad | Google Calendar API (OAuth) |
| Contactos | Nombre, teléfono, correo electrónico, notas | Ingreso manual del usuario |
| Conversaciones | Mensajes intercambiados con el asistente de IA a través de WhatsApp | Canal de mensajería |
| Perfil de negocio | Nombre del negocio, categoría, horarios, políticas, ubicaciones, RFC | Configuración por el usuario |
| Datos de WhatsApp Business | Información de la cuenta de WhatsApp Business (WABA), números de teléfono, contenido de mensajes recibidos | WhatsApp Business API |
| Datos fiscales y de facturación | RFC, razón social, régimen fiscal, certificados de sello digital (CSD), facturas CFDI emitidas | Configuración por el usuario |
| Documentos subidos por el usuario | Estados de cuenta bancarios (PDF) para conciliación de cobros; logos y fotos del catálogo de servicios; archivos adjuntos en perfil de negocio | Subida manual del usuario |
| Tokens de autenticación | Tokens de acceso de Google OAuth y WhatsApp Business (cifrados con Fernet AES-128-CBC) | Flujo OAuth / WhatsApp Embedded Signup |
No recopilamos datos personales sensibles (origen étnico, salud, biométricos, orientación sexual, creencias religiosas o políticas).
3. Finalidades del tratamiento
Usamos tus datos personales para:
- Gestión de calendario: crear, modificar y cancelar eventos en Google Calendar según tus instrucciones.
- Asistente de IA: procesar tus mensajes mediante inteligencia artificial (Google Gemini) para responder solicitudes de agendamiento y atención al cliente.
- Comunicación con clientes: enviar mensajes a tus clientes en tu nombre a través de WhatsApp cuando lo autorizas.
- Recordatorios y notificaciones: enviarte alertas de próximas citas y recordatorios configurados.
- Cobranza y conciliación: gestionar cargos, programas de cobro y conciliar pagos con estados de cuenta bancarios subidos por el usuario.
- Cotizaciones: generar, enviar y hacer seguimiento de cotizaciones comerciales a tus clientes.
- Atención al cliente con escalaciones: gestionar conversaciones con clientes y notificar al propietario del negocio cuando se requiere intervención humana.
- Base de conocimiento (FAQs): almacenar y utilizar información del negocio para responder preguntas frecuentes de clientes de forma automatizada.
- Mejora del servicio: diagnosticar errores y mejorar la funcionalidad de la plataforma.
4. Procesamiento con inteligencia artificial y toma automatizada de decisiones
Eloia utiliza Google Gemini como motor de inteligencia artificial para procesar tus mensajes (modelos Gemini 3.1 Pro, Gemini 3 Flash y Gemini 2.5 Flash-Lite según el contexto). Al interactuar con el asistente:
- Tus mensajes y el contexto reciente de la conversación (últimos 20 mensajes) se envían a la API de Google Gemini para generar respuestas.
- El asistente toma decisiones automatizadas como clasificar solicitudes, consultar disponibilidad, agendar citas y enviar respuestas a tus clientes.
- Las solicitudes que requieren aprobación especial (por ejemplo, citas fuera de horario) se escalan al propietario del negocio para revisión humana.
Tu derecho a revisión humana
Tienes derecho a solicitar revisión humana de cualquier decision tomada por el asistente de IA. Para ejercer este derecho, contacta a admin@eloia.ai indicando la decision que deseas que sea revisada.
5. Uso de datos de Google APIs
Cuando conectas tu cuenta de Google Calendar, accedemos a tus datos de calendario exclusivamente para gestionar tus eventos segun tus instrucciones. Específicamente:
- Accedemos a tus eventos (título, fecha, hora, participantes) y disponibilidad en tiempo real.
- Los datos de calendario se consultan en tiempo real y no se almacenan de forma persistente en nuestros servidores.
- Los tokens de acceso a Google se cifran en reposo con cifrado Fernet (AES-128-CBC).
- Puedes revocar el acceso a Google Calendar en cualquier momento desde la sección de Configuración de tu panel.
Cumplimiento de Google Limited Use
El uso que Eloia hace de la información recibida de las APIs de Google se adhiere a la Política de Datos de Usuario de los Servicios de API de Google, incluyendo los requisitos de Uso Limitado (Limited Use). En particular:
- Solo utilizamos los datos de Google para proporcionar y mejorar las funcionalidades de gestión de calendario que el usuario solicita.
- No transferimos datos de Google a terceros, excepto segun sea necesario para proporcionar el servicio, cumplir con leyes aplicables, o con tu consentimiento explicito.
- No usamos datos de Google para publicidad, segmentacion de anuncios, ni para la elaboracion de perfiles con fines no relacionados al servicio.
- Los humanos solo acceden a datos de Google con tu consentimiento, por necesidad de seguridad, para cumplimiento legal, o de forma agregada y anonimizada para operaciones internas.
6. Datos de WhatsApp Business
Cuando utilizas Eloia a través de WhatsApp, accedemos a datos de la WhatsApp Business API, incluyendo:
- Información de tu cuenta de WhatsApp Business (WABA), incluyendo números de teléfono asociados.
- Contenido de mensajes recibidos de tus clientes para procesarlos con el asistente de IA.
Respecto a los datos obtenidos a través de WhatsApp Business:
- No revendemos ni comercializamos datos de WhatsApp Business a terceros.
- No creamos perfiles de comportamiento de tus clientes más allá de lo estrictamente necesario para el servicio de agendamiento y atención.
- No utilizamos los datos de WhatsApp Business Solution Data para entrenar modelos de inteligencia artificial propios o de terceros.
7. Sub-procesadores y servicios de terceros
Compartimos tus datos con los siguientes sub-procesadores, quienes actúan bajo nuestras instrucciones y obligaciones contractuales de proteccion de datos:
| Sub-procesador | Función | Datos procesados | Ubicación |
|---|---|---|---|
| Google Cloud Platform | Alojamiento de aplicacion y base de datos | Todos los datos de la plataforma | EE.UU. |
| Google Gemini API | Procesamiento de lenguaje natural (IA) | Mensajes del usuario y contexto de conversación | EE.UU. |
| Google Calendar API | Gestión de calendario | Eventos, disponibilidad, tokens OAuth | EE.UU. |
| Meta / WhatsApp Business API | Canal de mensajería | Mensajes, números de teléfono, info de WABA | EE.UU. |
| Facturapi | Emisión de facturas CFDI 4.0 | RFC, razón social, régimen fiscal, conceptos de factura, CSD | México |
| Stripe, Inc. | Procesamiento de pagos y suscripciones | Identificadores de cliente y suscripción, método de pago (gestionado por Stripe), historial de facturación | EE.UU. |
No vendemos, alquilamos ni comercializamos tus datos personales con anunciantes, intermediarios de datos ni terceros no relacionados con la prestacion del servicio.
8. Transferencias internacionales de datos
Tus datos personales se almacenan y procesan en servidores de Google Cloud Platform ubicados en Estados Unidos. Al utilizar Eloia, consientes la transferencia internacional de tus datos a dichos servidores. Garantizamos que todos nuestros sub-procesadores cumplen con estándares de protección de datos equivalentes o superiores a los requeridos por la LFPDPPP, mediante acuerdos contractuales de procesamiento de datos.
9. Retención y eliminación de datos
Conservamos tus datos de acuerdo con el siguiente calendario:
| Tipo de dato | Período de retención |
|---|---|
| Datos de cuenta | Mientras la cuenta esté activa + 30 días tras eliminación |
| Mensajes de conversación | Mientras la cuenta esté activa |
| Datos de calendario | Sincronización en tiempo real (no se almacenan persistentemente) |
| Tokens de autenticación (Google OAuth) | Mientras la cuenta esté activa (cifrados con Fernet) |
| Facturas CFDI y datos fiscales | 5 años (obligación fiscal conforme al CFF) |
| Documentos subidos (PDFs bancarios, imágenes) | Los PDFs de estados de cuenta se procesan en memoria y no se almacenan. Las imágenes (logos, catálogo) se conservan mientras la cuenta esté activa. |
| Identificadores de Stripe (customer_id, subscription_id) | Mientras la cuenta esté activa. Se eliminan con el resto de tus datos al cerrar la cuenta (ver sección 14 de los Términos). |
| Registros del sistema (logs) | 90 días |
Puedes solicitar la eliminación de tu cuenta y todos los datos asociados desde la sección de Configuración en tu panel de control, o enviando un correo a admin@eloia.ai. Procesaremos tu solicitud en un plazo máximo de 15 días hábiles.
10. Seguridad de los datos
Implementamos medidas tecnicas y organizativas para proteger tus datos personales:
- Cifrado de tokens: los tokens de acceso a Google Calendar se cifran en reposo usando cifrado Fernet (AES-128-CBC).
- Contrasenas: almacenadas con hash bcrypt (nunca en texto plano).
- Comunicaciones: todas las conexiones se realizan sobre HTTPS/TLS.
- Base de datos: alojada en Google Cloud SQL con acceso restringido mediante red privada y autenticación.
- Autenticación: JWT con expiración de 8 horas y firma HS256.
11. Tus derechos (ARCO)
De acuerdo con la LFPDPPP, tienes los siguientes derechos respecto a tus datos personales:
- Acceso: conocer qué datos personales tenemos sobre ti y cómo los utilizamos.
- Rectificación: solicitar la corrección de datos personales inexactos o incompletos.
- Cancelación: solicitar la eliminación de tus datos personales cuando consideres que no están siendo utilizados conforme a los principios y deberes de la LFPDPPP.
- Oposición: oponerte al tratamiento de tus datos personales para fines específicos.
Procedimiento para ejercer derechos ARCO
- Envia tu solicitud a admin@eloia.ai con el asunto "Solicitud ARCO".
- Incluye tu nombre completo, correo electrónico asociado a tu cuenta, una descripción clara del derecho que deseas ejercer, y una copia de identificación oficial para verificar tu identidad.
- Responderemos tu solicitud en un plazo máximo de 20 días hábiles a partir de la recepción de la solicitud completa.
- Si tu solicitud es procedente, las medidas se harán efectivas dentro de los 15 días hábiles siguientes a la comunicación de la respuesta.
Además, tienes derecho a:
- Revocar el acceso a Google Calendar en cualquier momento desde la sección de Configuración.
- Desconectar tu cuenta de WhatsApp.
- Solicitar revisión humana de decisiones automatizadas tomadas por el asistente de IA (ver sección 4).
- Limitar el uso o divulgación de tus datos personales.
12. Notificación de violaciones de seguridad
En caso de una violación de seguridad que afecte de forma significativa tus derechos patrimoniales o morales, te notificaremos sin dilación indebida a través del correo electrónico asociado a tu cuenta. La notificación incluirá: la naturaleza del incidente, los datos personales comprometidos, las acciones correctivas implementadas, y las medidas que puedes tomar para proteger tus intereses. También notificaremos al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) cuando así lo requiera la ley.
13. Cookies
Eloia utiliza únicamente cookies de sesión estrictamente necesarias para la autenticación y el funcionamiento del servicio. No utilizamos cookies de rastreo, publicidad, ni analíticas de terceros.
14. Compromisos sobre el uso de datos
Nos comprometemos a que tus datos:
- No se venderan a anunciantes, intermediarios de datos ni terceros.
- No se usaran para publicidad ni segmentacion de anuncios.
- No se usaran para decisiones crediticias ni evaluaciones financieras.
- No se usaran para entrenar modelos de IA. Ni Eloia ni sus sub-procesadores utilizan tus datos personales, mensajes o conversaciones para entrenar o mejorar modelos de inteligencia artificial.
- No se crearan perfiles de comportamiento de tus clientes más allá de lo necesario para la prestacion del servicio.
15. Cambios a este aviso de privacidad
Podemos actualizar este aviso de privacidad ocasionalmente. Te notificaremos de cambios sustanciales por correo electrónico y/o mediante aviso en la plataforma con al menos 15 días de anticipación antes de que los cambios entren en vigor. La fecha de última actualización siempre estará visible al inicio de este documento.
16. Datos de pago
El procesamiento de pagos de suscripciones es gestionado por Stripe, Inc. (510 Townsend St, San Francisco, CA), un procesador de pagos autorizado. Al agregar un método de pago aceptas los Términos de servicio de Stripe. Respecto al manejo de datos de pago:
- Los datos de tu tarjeta (número, CVV, fecha de vencimiento) se capturan directamente en la infraestructura de Stripe y nunca pasan por ni se almacenan en los servidores de EloIA.
- Solo almacenamos identificadores de cliente y suscripción de Stripe para gestionar tu acceso a los módulos del servicio.
- El historial de facturación (fechas de pago, montos, plan contratado) es accesible desde el portal de Stripe y dentro de tu configuración en Eloia.
- Para conocer cómo Stripe maneja tus datos de pago, consulta su Política de Privacidad.
17. Contacto
Si tienes preguntas sobre este aviso de privacidad, deseas ejercer tus derechos ARCO, o tienes una queja sobre el tratamiento de tus datos, contactanos a:
- Correo: admin@eloia.ai
- Sitio web: https://eloia.ai
Si consideras que tu derecho a la protección de datos personales ha sido vulnerado, puedes presentar una denuncia ante el INAI (https://home.inai.org.mx).