Aviso de Privacidad Integral - Yolani | Protección de Datos

Documento legal que regula el tratamiento de datos personales realizado por Yolani.Co en cumplimiento de la legislación mexicana (LFPDPPP) y de los principales marcos internacionales de protección de datos. Lectura recomendada en su totalidad.

1. Introducción y Propósito del Aviso de Privacidad

El presente Aviso de Privacidad Integral (en adelante, el “Aviso”) regula el tratamiento de los datos personales que Yolani.Co (en adelante, “Yolani”, “la Plataforma”, “nosotros” o “el Responsable”) recopila, utiliza, almacena, transfiere y, en su caso, suprime, en relación con los servicios de software como servicio (SaaS) de automatización conversacional, agentes de inteligencia artificial, gestión de relaciones con clientes (CRM), atención multicanal y herramientas afines que la Plataforma pone a disposición de personas físicas y morales (en adelante, los “Titulares”, “Usuarios” o “Clientes”).

Este Aviso ha sido redactado conforme a la legislación mexicana, en cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares vigente (en adelante, “LFPDPPP”), publicada en el Diario Oficial de la Federación el 20 de marzo de 2025 y en vigor a partir del 21 de marzo de 2025, ordenamiento que abrogó la ley del mismo nombre publicada en 2010. Conforme a este nuevo marco, la autoridad encargada de vigilar su cumplimiento es la Secretaría Anticorrupción y Buen Gobierno (en adelante, la “Secretaría”), dependencia del Poder Ejecutivo Federal que asumió las funciones en materia de protección de datos personales que anteriormente correspondían al extinto Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”).

Este Aviso atiende igualmente el Reglamento de la LFPDPPP y los Lineamientos del Aviso de Privacidad que continúen vigentes en lo que no se opongan a la nueva Ley, así como, de manera complementaria y únicamente cuando resulten aplicables por la ubicación del Titular o el carácter transfronterizo del tratamiento, los estándares y obligaciones derivadas del Reglamento General de Protección de Datos de la Unión Europea (“GDPR”), la California Consumer Privacy Act y la California Privacy Rights Act (“CCPA/CPRA”), la Lei Geral de Proteção de Dados de Brasil (“LGPD”), la Personal Information Protection and Electronic Documents Act de Canadá (“PIPEDA”), la Act on the Protection of Personal Information de Japón (“APPI”), la Protection of Personal Information Act de Sudáfrica (“POPIA”) y la Personal Data Protection Act de Singapur (“PDPA”), entre otras normativas que puedan resultar aplicables.

El Titular acepta y reconoce que el simple acceso, registro, contratación o uso de la Plataforma constituye consentimiento expreso e informado respecto al tratamiento de sus datos personales en los términos descritos en este Aviso. La omisión de oposición al presente documento se entenderá como manifestación tácita del consentimiento, sin perjuicio del derecho del Titular a ejercer en cualquier momento los derechos que se describen más adelante.

2. Identidad y Datos del Responsable

El responsable del tratamiento de los datos personales recolectados a través de la Plataforma es Yolani.Co, con domicilio para oír y recibir notificaciones en Av. De la Juventud #100, Col. Potrero Anáhuac, San Nicolás de los Garza, Nuevo León, C.P. 66456, México.

Yolani ha designado un Departamento de Protección de Datos Personales que actúa, según corresponda, como Oficial de Protección de Datos (“DPO”) o como punto de contacto para cualquier solicitud, queja, requerimiento de autoridad o inquietud relacionada con la privacidad y el tratamiento de datos personales. Cualquier comunicación deberá dirigirse a:

Correo electrónico de contacto general: [email protected]
Correo electrónico para asuntos de privacidad: [email protected]
Dirección postal: la indicada en el párrafo anterior.

3. Definiciones

Para efectos del presente Aviso, los términos en mayúscula tendrán el significado que se les atribuye a continuación, sin perjuicio de aquellos previstos en la normativa aplicable:

Datos Personales: Cualquier información concerniente a una persona física identificada o identificable.
Datos Personales Sensibles: Aquellos que afecten la esfera más íntima del Titular o cuyo uso indebido pueda dar origen a discriminación o conlleve un riesgo grave.
Tratamiento: Obtención, uso, divulgación, almacenamiento, acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.
Titular: La persona física a quien corresponden los datos personales.
Responsable: Persona física o moral que decide sobre el tratamiento de los datos personales (en este caso, Yolani).
Encargado: Persona física o moral que trata datos personales por cuenta del Responsable.
Sub-encargado: Tercero contratado por un Encargado para ejecutar parte del tratamiento.
Transferencia: Toda comunicación de datos realizada a persona distinta del Responsable o Encargado.
Remisión: Toda comunicación de datos realizada entre el Responsable y un Encargado.
Plataforma o Servicio: Conjunto de aplicaciones, dashboards, APIs, agentes de IA, integraciones y herramientas operadas bajo la marca Yolani o cualquier marca blanca derivada.
Cliente Empresarial: Persona moral o física con actividad empresarial que contrata el Servicio para uso propio o de sus colaboradores.
Usuario Final: Cualquier persona física que interactúe con un agente, chatbot, formulario, flujo o canal operado a través de Yolani por un Cliente Empresarial.
Sub-cuenta o Tenant: Espacio aislado dentro de la Plataforma asignado a una empresa específica, dentro del modelo multi-tenant.
Marca Blanca: Despliegue de la Plataforma bajo una identidad comercial distinta a Yolani por parte de socios autorizados (agencias, integradores, partners).
Vulneración de Seguridad: Pérdida, destrucción accidental o ilícita, alteración, divulgación o acceso no autorizado a datos personales.
Cookies: Pequeños archivos almacenados en el dispositivo del Titular para identificar sesiones, preferencias o comportamiento de navegación.
Modelos de IA: Sistemas algorítmicos, modelos de lenguaje, redes neuronales y técnicas de aprendizaje automático utilizados por la Plataforma.

4. Marco Normativo Aplicable

El tratamiento de los datos personales que se realiza a través de la Plataforma se rige primordialmente por la legislación mexicana. No obstante, en función del lugar de residencia del Titular, del lugar desde el cual se accede al Servicio o del giro de negocio del Cliente Empresarial, podrán resultar adicionalmente aplicables, de manera supletoria o complementaria, las siguientes normas:

Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México), publicada en el Diario Oficial de la Federación el 20 de marzo de 2025, y su Reglamento.
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (México), cuando corresponda.
Disposiciones, lineamientos y criterios emitidos por la Secretaría Anticorrupción y Buen Gobierno, así como los Lineamientos del Aviso de Privacidad que continúen vigentes en términos transitorios.
Reglamento (UE) 2016/679 (GDPR), así como las leyes nacionales europeas de implementación.
UK GDPR y Data Protection Act 2018 (Reino Unido).
California Consumer Privacy Act y California Privacy Rights Act (CCPA/CPRA).
Lei Geral de Proteção de Dados Pessoais (LGPD, Brasil).
Personal Information Protection and Electronic Documents Act (PIPEDA, Canadá).
Act on the Protection of Personal Information (APPI, Japón).
Protection of Personal Information Act (POPIA, Sudáfrica).
Personal Data Protection Act (PDPA, Singapur).
Personal Data Protection Act (PDPA, Tailandia) y normativas equivalentes en otras jurisdicciones del Sudeste Asiático.
Lineamientos de Meta Platforms, Inc. respecto al uso de WhatsApp Business API, Instagram Graph API y Facebook Messenger Platform.
Estándares aplicables en materia de Pago Electrónico (PCI DSS) cuando se procesan datos de tarjeta a través de procesadores autorizados.

En caso de conflicto entre normas, prevalecerá aquella que otorgue mayor protección al Titular, sin perjuicio de las reglas de jurisdicción y ley aplicable que se establecen al final del presente Aviso.

5. Ámbito de Aplicación del Aviso

Este Aviso aplica a todas las personas que interactúen con la Plataforma, incluyendo de forma enunciativa pero no limitativa:

Personas que visiten el sitio web público de Yolani o cualquier subdominio asociado.
Clientes Empresariales que contraten el Servicio mediante registro, suscripción o contratación corporativa.
Colaboradores, agentes humanos o usuarios internos del Cliente Empresarial dados de alta dentro de su sub-cuenta.
Usuarios Finales que se comuniquen con un Cliente Empresarial a través de canales gestionados por Yolani (WhatsApp, Instagram, Messenger, web chat, correo electrónico, etc.).
Visitantes que utilicen formularios públicos, calculadoras, demos interactivas o cualquier herramienta de contacto disponible en el sitio web.
Socios comerciales, partners, agencias y operadores de marca blanca que distribuyan o resuban la Plataforma a sus propios clientes.

Cuando Yolani actúa como Encargado del Tratamiento respecto a datos personales que pertenecen a Usuarios Finales del Cliente Empresarial, las obligaciones del Responsable original recaen en dicho Cliente. En esos supuestos, Yolani únicamente trata los datos de conformidad con las instrucciones documentadas del Cliente Empresarial, conforme a lo dispuesto en la sección de Marca Blanca y Procesamiento como Encargado.

6. Categorías de Datos Personales que Recopilamos

Para operar la Plataforma y prestar nuestros servicios, Yolani recopila las siguientes categorías de datos personales, sin que la enumeración sea limitativa, ya que las mismas podrán ampliarse cuando el Titular voluntariamente proporcione información adicional o cuando ello sea requerido para nuevas funcionalidades:

6.1 Datos de Identificación y Contacto

Nombre completo, alias, nombre comercial o nombre artístico.
Número telefónico fijo o celular, incluyendo identificadores de WhatsApp.
Correo electrónico personal o corporativo.
Dirección postal, fiscal o de envío.
Identificadores internos de usuario, ID de tenant, ID de empresa.
Claves, contraseñas hasheadas, tokens de sesión, claves API y credenciales OAuth.
Imágenes de perfil o avatares cargados voluntariamente por el Titular.

6.2 Datos Profesionales y Comerciales

Razón social, nombre comercial y RFC.
Régimen fiscal y datos de facturación electrónica.
Sector económico, industria, giro de negocio y subsector.
Información sobre procesos internos, equipos, número de empleados, plantilla operativa.
Preferencias de uso, configuraciones, tono de voz, lineamientos de marca y reglas de negocio capturadas en la Plataforma.
Estructuras organizacionales, jerarquías, listas de contactos profesionales.

6.3 Datos de Comunicación y Conversaciones

Mensajes enviados y recibidos por WhatsApp Business, WhatsApp Web, Instagram Direct, Facebook Messenger, web chat, correo electrónico u otros canales conectados.
Contenido de plantillas, secuencias de mensajes, drips, automatizaciones y respuestas configuradas por el Cliente Empresarial.
Archivos multimedia (imágenes, videos, audios, documentos PDF, ubicaciones, contactos vCard) intercambiados a través de los canales conectados.
Notas internas, etiquetas, asignaciones y comentarios entre colaboradores sobre conversaciones específicas.
Transcripciones, resúmenes y traducciones automáticas generadas por modelos de IA sobre las conversaciones.
Información sobre intenciones, sentimientos o categorías inferidas algorítmicamente respecto al contenido de las comunicaciones.

6.4 Datos Sensibles

Yolani no requiere intencionalmente datos personales sensibles para la prestación del Servicio. Sin embargo, en virtud de la naturaleza abierta de las comunicaciones, podrían incidentalmente recopilarse datos considerados sensibles cuando el Titular o Usuario Final voluntariamente los comparte en una conversación, tales como:

Información operativa interna considerada confidencial por la empresa.
Información comercial estratégica, márgenes, costos o información competitivamente sensible.
Preferencias personales o información derivada de diálogos automatizados.
Información sobre estado civil, hábitos de consumo, gustos, preferencias.

Yolani no recopila intencionalmente datos biométricos, de salud, religiosos, ideológicos, de origen racial o étnico, de orientación sexual o de afiliación sindical. En caso de que el Titular o un tercero los comparta en una conversación, el Cliente Empresarial es el responsable de su tratamiento posterior y deberá implementar las medidas adicionales de protección que la legislación aplicable demande para datos sensibles.

6.5 Datos Tecnológicos, de Uso y Diagnóstico

Dirección IP, identificadores de red, ubicación aproximada inferida por IP.
Información de dispositivo: tipo, modelo, sistema operativo, versión.
Tipo y versión de navegador, idioma, zona horaria, resolución de pantalla.
Registros de servidor, logs de aplicación, trazas de error, métricas de rendimiento.
Datos de comportamiento de navegación dentro de la Plataforma: páginas visitadas, módulos abiertos, clics, tiempos de sesión, embudos de conversión.
Cookies propias y de terceros, identificadores publicitarios, fingerprints técnicos no invasivos.
Información sobre acciones realizadas: creación de registros, edición, eliminación, exportación, integraciones activadas.
Datos de telemetría agregada utilizada con fines de seguridad y operación de la Plataforma.

6.6 Datos provenientes de Terceros

Información proveniente de WhatsApp Business API, WhatsApp Cloud API y otros productos de Meta.
Sincronizaciones con Google Calendar, Google Workspace, Notion, HubSpot, Stripe, Mercado Pago u otras integraciones autorizadas por el Titular.
Datos de proveedores de pago, procesadores de cobranza, plataformas de facturación electrónica.
Información generada mediante APIs autorizadas por el Cliente Empresarial.
Datos públicos disponibles en directorios profesionales o redes sociales cuando el Cliente Empresarial los importa de manera lícita.

6.7 Datos Multimedia y de Voz

Notas de voz, grabaciones de audio enviadas a través de los canales conectados.
Transcripciones generadas a partir de audios para fines de operación o análisis.
Imágenes y videos compartidos por el Usuario Final.
Información derivada del análisis automático de contenido visual o auditivo, exclusivamente cuando el Cliente Empresarial active esa funcionalidad.

6.8 Datos Financieros y de Facturación

Datos fiscales del Cliente Empresarial (RFC, régimen, dirección fiscal).
Datos de medios de pago tokenizados a través de procesadores autorizados (Stripe, etc.). Yolani no almacena directamente números de tarjeta completos ni códigos de seguridad.
Historial de suscripciones, pagos, intentos de pago, devoluciones, disputas.
Información de facturas emitidas y, en su caso, comprobantes fiscales digitales.

6.9 Datos de Comportamiento, Analítica e IA

Métricas de uso del producto, tasas de adopción de funcionalidades, embudos de activación.
Resultados de evaluaciones internas de calidad de las respuestas de los agentes de IA.
Información agregada y/o anonimizada sobre patrones de uso.
Datos derivados del entrenamiento, evaluación y depuración de los modelos de IA exclusivamente cuando ello sea legalmente permitido y haya base de legitimación válida.

6.10 Datos de Salud y Protected Health Information (PHI)

Los Clientes Empresariales que activen módulos del vertical clínico o veterinario (incluyendo de manera enunciativa patient_medical_records,prescriptions, medical_lab_orders, vet_visits,pet_records, clinic_treatments) podrán capturar a través de la Plataforma datos personales sensibles relacionados con la salud, tales como:

Datos demográficos del paciente, fecha de nacimiento, género, tipo de sangre.
Antecedentes patológicos, quirúrgicos, familiares y heredofamiliares.
Alergias documentadas, severidad y reacciones.
Medicamentos actuales, dosis, frecuencia y duración del tratamiento.
Recetas médicas, incluyendo recetas de sustancias controladas (Grupos I-V) y tratamientos magistrales.
Resultados de laboratorio, estudios diagnósticos y notas clínicas.
Aseguradora, número de póliza, contacto de emergencia.

Cumplimiento aplicable: el tratamiento de PHI estará sujeto al marco regulatorio aplicable al Cliente Empresarial. En México, esto implica el cumplimiento de la LFPDPPP, la NOM-024-SSA3 y la NOM-035-SSA3 en lo conducente. En Estados Unidos, podría ser aplicable la Health Insurance Portability and Accountability Act (HIPAA) y, en su caso, la suscripción de un Acuerdo de Asociado de Negocio (BAA). En la Unión Europea aplica el Artículo 9 del GDPR.Yolani actúa como Encargado del tratamiento respecto a los datos PHI ingresados por el Cliente Empresarial, y trata dichos datos exclusivamente conforme a las instrucciones documentadas del Cliente.

6.11 Datos de Recursos Humanos y de Empleados

Los Clientes Empresariales que activen módulos de gestión de personal (incluyendohr_employees, hr_recruitment, hr_onboarding,hr_performance, hr_engagement_surveys, hr_vacations,hr_time_off, finance_payroll_lite, employee_attendance,time_tracking, shift_schedules, employee_certifications) podrán tratar a través de la Plataforma datos personales relativos a sus colaboradores, incluyendo de manera enunciativa:

Nombre completo, CURP, RFC, NSS y demás identificadores oficiales.
Domicilio, datos de contacto y datos de emergencia.
Información laboral, puesto, salario, esquema de compensación, beneficios.
Asistencia, jornadas, tiempos de checada, ubicaciones de checadas en campo.
Vacaciones, permisos, incapacidades y licencias.
Evaluaciones de desempeño, OKRs, KPIs individuales.
Resultados de encuestas de clima organizacional o pulse surveys.
Certificaciones y capacitaciones.
Información de candidatos en procesos de reclutamiento (CVs, entrevistas, evaluaciones).

El Cliente Empresarial es el Responsable principal de los datos de sus empleados y deberá cumplir con la legislación laboral aplicable, incluyendo, en su caso, la Ley Federal del Trabajo de México, las disposiciones del IMSS y SAT en materia de nómina, así como las regulaciones europeas sobre monitoreo de empleados (incluyendo las recomendaciones del European Data Protection Board sobre vigilancia laboral).

6.12 Datos de Geolocalización y Operaciones de Campo

Los módulos de servicios de campo y logística (incluyendofield_checkins, fleet_vehicles, vehicle_inspections,vehicle_fuel_log, delivery_routes, operations_jobs_calendar,operations_qr_monitoring, vertical_field_services,vertical_fumigacion, property_visits) podrán recopilar:

Coordenadas GPS (latitud, longitud) de empleados, vehículos o ubicaciones de servicio.
Rutas de entrega, paradas y tiempos de tránsito.
Lecturas de QR en estaciones de servicio (por ejemplo, monitoreo NOM-256 de fumigación).
Marcas de tiempo geolocalizadas para evidencia de cumplimiento.
Fotografías y videos georreferenciados como evidencia operativa.

La geolocalización se considera un dato sensible bajo varias jurisdicciones. El Cliente Empresarial debe obtener el consentimiento informado del Titular y configurar el módulo conforme a las restricciones legales aplicables. Yolani únicamente almacena estos datos según las instrucciones del Cliente.

6.13 Datos Fiscales, SAT y Sustancias Reguladas

Los módulos fiscales (finance_invoices_sat_mx, tax_filings,finance_chart_of_accounts, vendor_invoices) generan, almacenan y transmiten información ante el Servicio de Administración Tributaria (SAT) de México u homólogos extranjeros, incluyendo CFDIs versión 4.0, complementos, retenciones y declaraciones.

El módulo chemicals_msds almacena Hojas de Datos de Seguridad (Material Safety Data Sheets) sobre sustancias químicas reguladas, lo cual puede incluir información ocupacional y de exposición laboral.

6.14 Datos Educativos y de Menores

Los módulos educativos (student_enrollments, student_grades,training_courses, class_sessions) podrán incluir datos de alumnos, calificaciones, asistencia y avance académico. Cuando estos datos correspondan a menores de edad, el Cliente Empresarial deberá:

Obtener el consentimiento del padre, madre o tutor legal.
Cumplir con regulaciones aplicables como FERPA en Estados Unidos, COPPA cuando se traten datos de menores de 13 años, y normativas educativas locales.
Limitar el uso de los datos a fines estrictamente educativos.

6.15 Datos para Pixeles de Marketing y Publicidad

Cuando el Titular interactúa con el sitio web público de Yolani (yolani.co) o con páginas de marca blanca, podrán dispararse eventos hacia plataformas publicitarias (incluyendo Meta Pixel, Google Ads, Google Analytics, LinkedIn Insight Tag) con fines de medición y remarketing. El Titular puede oponerse a este tratamiento mediante:

Configuración del navegador (modo “Do Not Track”, bloqueo de cookies de terceros).
Inscripción en mecanismos sectoriales como YourAdChoices, NAI, EDAA.
Banner de consentimiento de cookies cuando esté disponible.

7. Fuentes de los Datos

Los datos personales pueden obtenerse a través de las siguientes fuentes:

Información proporcionada directamente por el Titular o Cliente Empresarial mediante formularios de registro, dashboards, configuraciones o conversaciones con nuestro equipo.
Información obtenida automáticamente al utilizar la Plataforma (navegación, telemetría, registros de aplicación).
Información comunicada por Usuarios Finales cuando interactúan con un canal operado a través de Yolani.
Información de fuentes de acceso público o lícitamente accesibles.
Información compartida por terceros autorizados (integraciones, partners, procesadores de pago).

8. Finalidades Primarias del Tratamiento

Las finalidades primarias son aquellas necesarias e indispensables para que Yolani cumpla con la prestación del Servicio y con sus obligaciones legales. Sin estas finalidades, Yolani no podría operar la Plataforma. Estas comprenden:

Operación del servicio: creación, administración y operación de cuentas; envío y recepción de mensajes a través de los canales conectados; ejecución de chatbots y agentes IA; sincronización de integraciones; generación de reportes; ejecución de flujos automatizados; almacenamiento operativo de la información del Cliente Empresarial.
Autenticación y seguridad: verificación de identidad; control de accesos; detección y mitigación de fraude, abuso y comportamiento anómalo; aplicación de mecanismos de cifrado, anti-bot y protección perimetral.
Cumplimiento contractual: ejecución de las obligaciones derivadas del contrato de prestación de servicios o de los Términos y Condiciones aceptados por el Titular.
Cumplimiento legal y regulatorio: atención de requerimientos de autoridades, conservación de evidencia, emisión de comprobantes fiscales, prevención de operaciones con recursos de procedencia ilícita.
Soporte técnico y atención al cliente: investigación de incidencias, monitoreo de calidad del servicio, atención de consultas y reportes.
Comunicaciones transaccionales: envío de notificaciones críticas relacionadas con el Servicio (cambios de planes, alertas de seguridad, avisos de mantenimiento, notificaciones de actividad).
Cobro y facturación: emisión y cobro de cargos por el uso del Servicio, conciliaciones, gestión de cobranza, prevención de chargebacks y disputas.

9. Finalidades Secundarias del Tratamiento

Las finalidades secundarias son aquellas que, sin ser indispensables para la relación jurídica con el Titular, permiten a Yolani mejorar el Servicio. El Titular puede oponerse a estas finalidades en cualquier momento sin que ello afecte la continuidad del Servicio:

Envío de comunicaciones promocionales, boletines informativos, novedades y campañas de marketing relacionadas con productos o funcionalidades de Yolani.
Estudios internos de analítica, segmentación, perfilamiento de uso y optimización de la experiencia.
Entrenamiento, evaluación y mejora de modelos de IA, sujeto a las restricciones legales de cada jurisdicción y a las salvaguardas descritas en este Aviso.
Creación de perfiles agregados o anónimos sobre el comportamiento de uso.
Encuestas de satisfacción, entrevistas con clientes y estudios de experiencia de usuario.
Promoción de eventos, webinars y contenido educativo.

Para oponerse al tratamiento con fines secundarios, el Titular podrá enviar una solicitud al correo [email protected] indicando “Oposición a finalidades secundarias” en el asunto.

10. Base de Legitimación del Tratamiento

De conformidad con la legislación aplicable, el tratamiento de los datos personales por parte de Yolani se ampara en una o más de las siguientes bases de legitimación:

Consentimiento del Titular: manifestación libre, específica, informada e inequívoca, obtenida al aceptar este Aviso o al activar funcionalidades específicas.
Ejecución de un contrato: tratamiento necesario para la prestación del Servicio o para tomar medidas precontractuales solicitadas por el Titular.
Cumplimiento de una obligación legal: tratamiento requerido por leyes fiscales, mercantiles, de protección de datos, regulatorias o por requerimientos de autoridades competentes.
Interés legítimo: cuando los intereses de Yolani o de terceros en operar, mejorar y proteger la Plataforma no se vean superados por los derechos y libertades fundamentales del Titular. Aplicable, entre otros, a fines de seguridad, prevención de fraude, métricas operativas y mejora de producto.
Interés vital: de manera excepcional, cuando el tratamiento sea necesario para proteger intereses esenciales del Titular o de otra persona física.
Interés público: cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público ejercida por el Responsable.

Para tratamientos basados en consentimiento, el Titular puede revocarlo en cualquier momento conforme a los procedimientos descritos más adelante, sin que ello afecte la licitud del tratamiento previo a la revocación.

11. Procesamiento Automatizado, Inteligencia Artificial y Modelos de Lenguaje

La Plataforma utiliza modelos de inteligencia artificial, incluyendo modelos de lenguaje a gran escala, para ejecutar funcionalidades como:

Procesamiento de lenguaje natural y comprensión de intenciones.
Generación automática de respuestas conversacionales.
Clasificación y etiquetado de mensajes.
Detección de oportunidades comerciales, sentimiento o urgencia.
Resúmenes automáticos de conversaciones.
Sugerencias para colaboradores humanos.
Automatización de tareas operativas.

Yolani no toma decisiones automatizadas con efectos jurídicos vinculantes ni significativamente similares para el Titular sin que exista la posibilidad de intervención humana, revisión o impugnación. El Cliente Empresarial conserva en todo momento la responsabilidad última sobre las decisiones que adopte respecto a sus Usuarios Finales.

Cuando los modelos de IA sean operados por proveedores tecnológicos externos, Yolani adopta salvaguardas contractuales y técnicas razonables para garantizar la confidencialidad, no retención prolongada y uso limitado a la finalidad estrictamente operativa, dentro de los términos negociados con cada proveedor.

11.1 Proveedores de Modelos y Servicios de IA

Yolani utiliza, entre otros, los siguientes proveedores de modelos de IA y servicios cognitivos, cuyas políticas de privacidad y términos de uso resultan adicionalmente aplicables:

OpenAI: modelos de la familia GPT para generación, comprensión y agentes conversacionales.
Anthropic: modelos de la familia Claude.
Google: modelos Gemini y servicios cognitivos de Google Cloud.
ElevenLabs: síntesis de voz (text-to-speech) y agentes de voz.
Otros proveedores de modelos especializados, transcripción y embeddings vectoriales.

11.2 Política de Entrenamiento de Modelos

Yolani NO entrena ni reentrena modelos de IA propios o de terceros con el contenido de las conversaciones ni con datos personales identificables de los Clientes Empresariales o Usuarios Finales, salvo que medie consentimiento expreso y explícito del Titular. Yolani contrata los servicios de los proveedores referenciados bajo modalidades comerciales que excluyen el uso de los datos del Cliente para entrenamiento de modelos comerciales del proveedor (por ejemplo, contratos enterprise o equivalentes que ofrecen no-training).

Yolani podrá utilizar datos agregados, anonimizados o disociados (sin posibilidad razonable de reidentificación) para fines de mejora del producto, evaluación de calidad de respuestas o investigación interna, conforme a las bases de legitimación aplicables.

12. Plazos de Conservación de los Datos

Yolani conserva los datos personales únicamente por el tiempo necesario para cumplir con las finalidades descritas en este Aviso, atender obligaciones legales y, en su caso, deslindar posibles responsabilidades. A continuación se describen los plazos generales aplicables, los cuales podrán ajustarse según la naturaleza del dato y la legislación aplicable:

Datos de cuenta y perfil del Cliente Empresarial: mientras la cuenta permanezca activa y hasta cinco (5) años posteriores a la cancelación, salvo obligación legal de mayor plazo.
Conversaciones y mensajes: conforme al plan contratado y las configuraciones del Cliente Empresarial. En ausencia de configuración específica, las conversaciones podrán conservarse durante toda la vigencia de la cuenta y hasta veinticuatro (24) meses posteriores a su cierre.
Registros de auditoría, logs y telemetría: hasta veinticuatro (24) meses, ampliables si existe investigación de seguridad o requerimiento legal.
Datos fiscales y de facturación: hasta el plazo establecido por la legislación fiscal aplicable, que en México es de cinco (5) años posteriores a la generación del comprobante.
Datos de marketing: hasta que el Titular se oponga al tratamiento o solicite su eliminación.
Backups y copias de respaldo: los datos pueden permanecer en backups cifrados por hasta noventa (90) días después de su eliminación lógica del entorno productivo, debido a los ciclos de rotación de respaldos.
Datos sujetos a litigio o investigación: hasta la resolución firme del procedimiento.

Una vez vencidos los plazos aplicables, los datos personales serán suprimidos, anonimizados o disociados de manera que ya no permitan la identificación del Titular.

13. Transferencias, Remisiones y Sub-encargados

Yolani realiza el tratamiento de los datos personales primordialmente en infraestructura ubicada en territorio mexicano. No obstante, para la operación de ciertas funcionalidades específicas (incluyendo, sin limitar, modelos de IA, servicios de mensajería de Meta, procesadores de pago y proveedores de infraestructura), pueden producirse remisiones y/o transferencias internacionales a sub-encargados ubicados en otros países.

13.1 Remisiones Necesarias

Yolani podrá comunicar datos personales a Encargados que actúen por su cuenta y siguiendo sus instrucciones documentadas, tales como:

Proveedores de infraestructura en la nube y servicios de cómputo.
Proveedores de servicios de mensajería transaccional, SMS, voz o correo electrónico.
Procesadores de pago, plataformas de facturación electrónica y de cobranza.
Proveedores de modelos de IA, transcripción y análisis de lenguaje.
Proveedores de servicios de monitoreo, observabilidad y soporte técnico.
Plataformas externas conectadas voluntariamente por el Cliente Empresarial.

En todos los casos, Yolani exige a sus Encargados y sub-encargados garantías contractuales de confidencialidad, seguridad y respeto a los principios de protección de datos. Dichos terceros se obligan a tratar los datos exclusivamente conforme a las instrucciones de Yolani y para las finalidades autorizadas.

13.2 Transferencias a Terceros

Yolani podrá transferir datos personales a terceros únicamente en los siguientes supuestos:

Cuando exista autorización expresa del Titular o del Cliente Empresarial.
Cuando la transferencia sea necesaria para cumplir una obligación legal o un mandato judicial.
A autoridades competentes que lo soliciten en ejercicio de sus atribuciones.
A entidades del mismo grupo corporativo o filiales para fines administrativos compatibles con el presente Aviso.
En el contexto de operaciones corporativas (fusiones, adquisiciones, escisiones, reestructuras), garantizando que el cesionario asuma las mismas obligaciones de protección.

Tratándose de transferencias internacionales, Yolani implementará las salvaguardas adecuadas para asegurar un nivel de protección equivalente al exigido por la legislación mexicana, incluyendo cláusulas contractuales tipo, certificaciones, códigos de conducta o cualquier otro mecanismo reconocido por la legislación aplicable.

13.3 Listado de Sub-encargados

Yolani mantiene un registro interno actualizado de sus Encargados y sub-encargados principales. El Cliente Empresarial podrá solicitar información sobre dichos terceros mediante solicitud escrita al correo de contacto. Yolani notificará con razonable anticipación la incorporación de nuevos sub-encargados que impliquen tratamiento sustancial de datos personales del Cliente, conforme a lo previsto en los Términos y Condiciones aplicables.

13.4 Categorías de Sub-procesadores Activos

A continuación se presenta el listado no exhaustivo de las categorías de sub-procesadores y proveedores tecnológicos que pueden intervenir en la prestación del Servicio, con su finalidad y región predominante de procesamiento:

Mensajería conversacional: Meta Platforms (WhatsApp Business API, WhatsApp Cloud API, Instagram Graph, Facebook Messenger). Procesamiento principal en Estados Unidos / Irlanda.
WhatsApp Web no oficial: librería Baileys ejecutándose en infraestructura propia de Yolani; las credenciales de sesión se almacenan cifradas por empresa.
Modelos de IA generativa: OpenAI, Anthropic, Google. Procesamiento principal en Estados Unidos.
Voz y síntesis: ElevenLabs y proveedores equivalentes para TTS y voice agents.
Procesador de pagos: Stripe Inc. (cumplimiento PCI-DSS Nivel 1). Procesamiento principal en Estados Unidos.
Infraestructura cloud: proveedores de cómputo, almacenamiento y red de clase enterprise con certificaciones ISO/IEC 27001 o equivalentes.
Correo transaccional: proveedores especializados de email transaccional (envío y entrega).
Observabilidad y monitoreo: Proveedores de logging, observabilidad y APM contratados bajo cláusulas de confidencialidad.
Calendario: Google Calendar y servicios equivalentes cuando el Cliente conecte la integración.
Documentación y herramientas operativas: Notion, Make.com (webhooks), Stripe Connect (cuando aplique a partners).
Inmobiliaria: EasyBroker para integraciones con MLS de bienes raíces (cuando aplique).
Analítica y publicidad: Meta Pixel, Google Ads, Google Analytics y plataformas equivalentes en sitios públicos.

La incorporación, sustitución o terminación de un sub-procesador no requerirá modificación al presente Aviso, sin perjuicio de las obligaciones de notificación razonable previstas en los Términos y Condiciones del Servicio o en acuerdos enterprise específicos.

13.5 Tokenización de Datos de Pago (PCI-DSS)

Yolani no almacena directamente el número de tarjeta completo, fecha de expiración, ni el código de seguridad (CVV/CVC) de instrumentos de pago. Estos datos se transmiten directamente desde el dispositivo del Titular a los procesadores de pago certificados PCI-DSS (Stripe, etc.), quienes regresan a la Plataforma únicamente un identificador tokenizado que carece de utilidad fuera del procesador. Yolani conserva metadatos no sensibles (últimos cuatro dígitos, marca, fecha de expiración) con fines exclusivos de soporte, cobranza y prevención de fraude.

14. Cookies, Pixeles y Tecnologías Similares

La Plataforma utiliza cookies y tecnologías similares (web beacons, pixels, local storage, identificadores de dispositivo, fingerprints técnicos) para los siguientes fines:

Mantener sesiones activas y autenticación segura.
Recordar preferencias y configuraciones del usuario (idioma, vista, tema).
Realizar análisis estadísticos sobre el uso de la Plataforma.
Medir el rendimiento de campañas de marketing y atribución de conversiones.
Detectar y prevenir actividad fraudulenta, ataques automatizados y abuso del Servicio.
Personalizar la experiencia y mostrar contenido relevante.

El Titular podrá deshabilitar las cookies desde la configuración de su navegador. Sin embargo, ciertas funcionalidades podrían dejar de operar correctamente. Para más detalles, consultar la Política de Cookies.

15. Derechos ARCO bajo la LFPDPPP (México)

Conforme a la LFPDPPP, todo Titular ubicado en México o cuyos datos sean tratados por Yolani como Responsable mexicano, tendrá derecho a ejercer en cualquier momento sus derechos ARCO:

Acceso: conocer qué datos personales tenemos, para qué los utilizamos y las condiciones de su tratamiento.
Rectificación: solicitar la corrección de datos inexactos, incompletos o desactualizados.
Cancelación: solicitar la eliminación de datos personales cuando no estemos cumpliendo con las disposiciones aplicables o cuando hayan dejado de ser necesarios.
Oposición: oponerse al uso de datos para fines específicos cuando exista causa legítima.

Yolani comunicará al Titular la determinación adoptada dentro de un plazo máximo de veinte (20) días, contados a partir de la fecha en que se reciba la solicitud, y, de resultar procedente, la hará efectiva dentro de los quince (15) días siguientes a la fecha en que se comunique la respuesta, conforme al artículo 31 de la LFPDPPP. Dichos plazos podrán ampliarse en los supuestos que prevea el Reglamento de la Ley. El ejercicio de los derechos ARCO es gratuito; únicamente podrán cobrarse los costos justificados de reproducción, certificación o envío en soportes distintos al electrónico.

17. Derechos bajo CCPA y CPRA (California, EE.UU.)

Los Titulares residentes en el estado de California, Estados Unidos de América, gozarán de los siguientes derechos:

Derecho a saber: conocer las categorías de datos personales recolectados, las fuentes, los fines y los terceros con quienes se comparten.
Derecho a eliminar: solicitar la eliminación de datos personales sujeto a las excepciones aplicables.
Derecho a corregir: rectificar datos personales inexactos.
Derecho a optar por no participar (“Opt-Out”): oponerse a la “venta” o “compartición” de datos personales conforme a la definición que la CCPA/CPRA otorga a estos términos.
Derecho a limitar el uso de datos personales sensibles.
Derecho a no recibir trato discriminatorio por ejercer sus derechos.
Derecho a designar un agente autorizado para presentar solicitudes en su nombre.

Yolani no “vende” datos personales en el sentido definido por la CCPA. La compartición de datos con sub-encargados se realiza únicamente para la prestación del Servicio bajo cláusulas contractuales que excluyen el uso de los datos con fines comerciales propios de los sub-encargados.

18. Derechos bajo la LGPD (Brasil)

Los Titulares ubicados en Brasil podrán ejercer los derechos previstos en la Lei Geral de Proteção de Dados, en particular:

Confirmación de la existencia del tratamiento.
Acceso a los datos.
Corrección de datos incompletos, inexactos o desactualizados.
Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en desacuerdo con la LGPD.
Portabilidad de datos a otro proveedor de servicios.
Eliminación de datos tratados con consentimiento, salvo las excepciones legales.
Información sobre las entidades públicas o privadas con las que se comparten los datos.
Información sobre la posibilidad de no proporcionar consentimiento y las consecuencias.
Revocación del consentimiento.
Revisión de decisiones automatizadas.

Las solicitudes podrán dirigirse al Encargado de Protección de Datos (“Encarregado”) al correo de contacto indicado en este Aviso.

19. Otros Marcos Internacionales (PIPEDA, APPI, POPIA, PDPA y Demás)

Cuando los Titulares se encuentren en jurisdicciones distintas a las anteriormente mencionadas, Yolani reconocerá y atenderá los derechos sustancialmente equivalentes previstos en la legislación local aplicable, en la medida en que dicha legislación le resulte vinculante. Esto incluye, sin limitar:

Canadá (PIPEDA): acceso, corrección, retiro de consentimiento, presentación de quejas ante la Office of the Privacy Commissioner of Canada.
Japón (APPI): solicitudes de divulgación, corrección, suspensión y eliminación.
Sudáfrica (POPIA): derechos previstos para data subjects ante el Information Regulator.
Singapur (PDPA): solicitudes de acceso y corrección ante la Personal Data Protection Commission.
Australia (Privacy Act 1988 y Australian Privacy Principles): derechos ante la Office of the Australian Information Commissioner.
Argentina (Ley 25.326): derechos de acceso, rectificación, supresión y oposición ante la Agencia de Acceso a la Información Pública.
Colombia (Ley 1581): derechos del titular ante la Superintendencia de Industria y Comercio.
Chile (Ley 19.628): derechos ante la autoridad correspondiente conforme su legislación local.

20. Procedimiento para el Ejercicio de Derechos

Para ejercer cualquiera de los derechos descritos, el Titular deberá enviar una solicitud por escrito al correo electrónico [email protected], acompañada de la siguiente información:

Nombre completo y domicilio o medio para recibir notificaciones.
Identificación oficial vigente que acredite la identidad (cuando proceda) o, en su caso, los datos del representante legal junto con la documentación que acredite su personalidad.
Descripción clara y precisa de los datos personales respecto de los cuales se ejerce el derecho y el derecho concreto que se desea ejercitar.
Cualquier otro elemento que facilite la localización de los datos personales.

Yolani podrá solicitar información complementaria razonablemente necesaria para atender la solicitud o para verificar la identidad del solicitante. La respuesta será comunicada por el mismo medio en el que se recibió la solicitud, salvo que el Titular indique un canal distinto. Cuando proceda la entrega de copias o reproducciones, las mismas se entregarán en formato electrónico, sin costo, salvo aquellos gastos justificados de envío o reproducción en soportes distintos al electrónico.

La negativa al ejercicio de un derecho será fundada y motivada e informada al Titular. En México, si el Titular considera que su solicitud no fue debidamente atendida, podrá presentar una solicitud de protección de datos ante la Secretaría Anticorrupción y Buen Gobierno dentro de los quince (15) días siguientes a la respuesta del Responsable y, en su caso, promover juicio de amparo ante los juzgados y tribunales especializados, conforme a los artículos 40 y 51 de la LFPDPPP. Los Titulares ubicados en otras jurisdicciones podrán acudir ante la autoridad de control que les corresponda.

21. Revocación del Consentimiento

El Titular podrá revocar su consentimiento para el tratamiento de datos personales en cualquier momento, sin que se le atribuyan efectos retroactivos respecto al tratamiento previo lícitamente realizado. La revocación deberá manifestarse por los mismos medios establecidos para el ejercicio de derechos ARCO.

La revocación del consentimiento puede afectar la prestación del Servicio, ya que ciertos tratamientos son indispensables para la operación de la Plataforma. En esos supuestos, Yolani notificará al Titular las consecuencias de la revocación y podrá dar por terminada la relación contractual cuando ya no exista base legal para continuar el tratamiento.

22. Limitación al Uso y Divulgación

El Titular tendrá derecho, conforme a la LFPDPPP, a solicitar su inscripción en un listado de exclusión interno gestionado por Yolani, con el objetivo de limitar el uso o divulgación de sus datos personales para fines secundarios, comerciales o de marketing. Asimismo, el Titular podrá inscribirse en el Registro Público para Evitar Publicidad operado por la Procuraduría Federal del Consumidor (“PROFECO”), o en registros similares aplicables en su jurisdicción.

Para inscribirse en el listado de exclusión interno de Yolani, el Titular deberá enviar su solicitud al correo de contacto de privacidad indicando “Listado de exclusión” en el asunto.

23. Medidas de Seguridad

Yolani implementa y mantiene medidas administrativas, físicas y técnicas razonables y adecuadas para proteger los datos personales contra daño, pérdida, alteración, destrucción, uso, acceso o tratamiento no autorizado, considerando los riesgos existentes, las consecuencias potenciales para los Titulares, la sensibilidad de los datos y el desarrollo tecnológico.

23.1 Medidas Técnicas

Cifrado en tránsito mediante TLS 1.2 o superior para todas las comunicaciones entre el cliente y los servidores de Yolani.
Cifrado en reposo de bases de datos, sistemas de archivos y respaldos críticos.
Aislamiento lógico (multi-tenancy) entre los datos de distintos Clientes Empresariales.
Autenticación robusta mediante hash con salting de contraseñas, bloqueo por intentos fallidos y soporte para autenticación multifactor.
Control granular de accesos basado en roles y principios de mínimo privilegio.
Monitoreo continuo de seguridad, registros de auditoría y detección de anomalías.
Protección perimetral mediante firewalls aplicativos, mitigación de DDoS, detección de intrusiones y reglas anti-bot.
Pruebas de vulnerabilidades, escaneos automatizados y auditorías periódicas.
Gestión de parches y actualizaciones de seguridad para sistemas operativos, frameworks y dependencias.
Segregación de ambientes (producción, staging, desarrollo) y prohibición de uso de datos productivos en entornos no productivos sin previa anonimización.

23.2 Medidas Administrativas

Políticas internas de seguridad de la información, privacidad, gestión de incidentes y continuidad del negocio.
Procesos formales de alta, baja y modificación de privilegios para personal y proveedores.
Cláusulas de confidencialidad y compromiso de protección de datos en contratos laborales y con terceros.
Capacitación periódica y obligatoria al personal sobre protección de datos personales y ciberseguridad.
Procedimientos formales de respuesta a incidentes de seguridad.
Evaluaciones de impacto de privacidad para nuevos tratamientos relevantes.
Selección y evaluación de Encargados conforme a estándares razonables de seguridad y privacidad.

23.3 Medidas Físicas

Uso de centros de datos operados por proveedores reconocidos, con certificaciones de seguridad reconocidas internacionalmente (por ejemplo ISO/IEC 27001, SOC 2, PCI DSS según aplique).
Controles de acceso físico, video-vigilancia, monitoreo permanente y planes de respuesta a desastres en las instalaciones de los proveedores de infraestructura.
Para las oficinas administrativas de Yolani, controles razonables de acceso, custodia de equipo y políticas de escritorio limpio.

23.4 Continuidad del Negocio y Respaldo

Estrategia de respaldos cifrados con redundancia geográfica razonable.
Procedimientos de recuperación ante desastres con objetivos de tiempo (“RTO”) y punto (“RPO”) definidos internamente.
Pruebas periódicas de restauración de respaldos.
Planes de comunicación interna y externa ante eventos críticos.

Reconocimiento del Titular: el Titular reconoce que ningún sistema de información, sin importar el grado de inversión o sofisticación, es absolutamente inmune a vulnerabilidades, ataques cibernéticos, acciones de terceros, errores humanos o eventos de fuerza mayor. En consecuencia, Yolani no garantiza un nivel absoluto de seguridad ni la inviolabilidad de los sistemas, sino el cumplimiento de medidas razonables conforme al estado del arte y a la naturaleza de los datos tratados.

24. Notificación de Vulneraciones de Seguridad

Yolani cuenta con un protocolo formal de gestión de incidentes que contempla la identificación, contención, erradicación, recuperación y comunicación de eventos que afecten la confidencialidad, integridad o disponibilidad de los datos personales.

En caso de que se materialice una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los Titulares, Yolani la informará a éstos sin dilación indebida, una vez verificada la naturaleza, alcance y consecuencias del evento. La comunicación se realizará por los medios razonables disponibles, incluyendo correo electrónico, notificaciones dentro de la Plataforma o, cuando ello no sea posible, mediante avisos públicos en el sitio web.

El aviso incluirá, en la medida en que la información esté razonablemente disponible:

Naturaleza del incidente y categorías de datos involucrados.
Medidas adoptadas para contenerlo, remediarlo y mitigar sus consecuencias.
Recomendaciones al Titular para proteger sus intereses.
Datos de contacto para obtener mayor información.

Cuando la legislación aplicable lo exija, Yolani notificará el incidente a las autoridades competentes y a los Titulares afectados en los plazos correspondientes. En México, conforme a la LFPDPPP, las vulneraciones de seguridad que afecten de forma significativa los derechos patrimoniales o morales de los Titulares se comunican a éstos sin dilación, a fin de que puedan tomar las medidas pertinentes para la defensa de sus derechos; en el ámbito del GDPR, la notificación a la autoridad de control se realiza, por regla general, dentro de las 72 horas. Lo anterior, sin que ello implique aceptación de responsabilidad.

Limitaciones: Yolani no estará obligado a notificar incidentes que (i) no comporten un riesgo material para los derechos del Titular, (ii) afecten exclusivamente datos disociados o anonimizados, o (iii) hayan sido totalmente contenidos sin acceso efectivo de terceros no autorizados a la información.

25. Disponibilidad del Servicio y Eventos de Fuerza Mayor

Yolani realizará esfuerzos razonables para mantener disponible la Plataforma de manera continua. No obstante, el Titular reconoce que la prestación del Servicio puede sufrir interrupciones, fallas o degradaciones derivadas de mantenimiento programado o de circunstancias ajenas al control razonable de Yolani, incluyendo de forma enunciativa pero no limitativa:

Fallas de proveedores de infraestructura, red, energía o telecomunicaciones.
Indisponibilidad de las APIs de terceros, incluyendo Meta, Google, Stripe, OpenAI u otros proveedores tecnológicos.
Cambios unilaterales en términos, políticas o disponibilidad de servicios de terceros.
Caídas regionales, fallos de DNS o eventos en la red global de Internet.
Ataques cibernéticos, denegaciones de servicio, intrusiones o malware.
Decisiones de autoridad, órdenes regulatorias, sanciones o bloqueos.
Caso fortuito y fuerza mayor, incluyendo sismos, inundaciones, incendios, pandemias, conflictos armados, manifestaciones, huelgas u otros eventos extraordinarios.

Yolani no será responsable por la indisponibilidad temporal del Servicio cuando la misma derive de los eventos descritos. En todo caso, Yolani realizará esfuerzos razonables para restablecer el Servicio en el menor tiempo posible y comunicará oportunamente al Cliente cualquier afectación significativa.

26. Limitación de Responsabilidad en Materia de Privacidad

En la máxima medida permitida por la legislación aplicable, y sin perjuicio de las obligaciones que la ley impone como responsabilidades inderogables, el Titular y el Cliente Empresarial reconocen y aceptan que:

El Servicio se proporciona “tal como está” y “según disponibilidad”, sin garantías implícitas distintas a las exigidas por ley.
Yolani no será responsable por daños indirectos, incidentales, especiales, consecuentes, punitivos, lucro cesante, pérdida de oportunidad o pérdida de información derivados del uso o imposibilidad de uso del Servicio, incluso cuando se hubiere advertido sobre la posibilidad de dichos daños.
La responsabilidad agregada de Yolani por cualquier reclamación relacionada con el tratamiento de datos personales se encontrará limitada, en cada anualidad, al monto efectivamente pagado por el Cliente Empresarial a Yolani durante los doce (12) meses inmediatamente anteriores al evento que dio origen a la reclamación, con un mínimo equivalente a tres (3) mensualidades del plan vigente.
Lo anterior no aplica a casos de dolo, fraude, negligencia grave imputable directamente a Yolani o a aquellos supuestos en que la legislación local prohíba la limitación de responsabilidad.

El Cliente Empresarial reconoce que es el Responsable principal del cumplimiento de sus obligaciones de privacidad frente a sus propios Usuarios Finales, incluyendo la obtención de consentimientos válidos, la atención de derechos y la respuesta ante autoridades. Yolani actúa, en esos supuestos, como Encargado y no asumirá responsabilidades que correspondan al Responsable conforme a la legislación aplicable.

27. Indemnización

El Cliente Empresarial se obliga a sacar en paz y a salvo a Yolani, sus accionistas, consejeros, directivos, empleados, representantes y agentes (en adelante, las “Personas Indemnizadas”) frente a cualquier reclamación, demanda, sanción, multa, gasto razonable de defensa o daño que se origine como consecuencia de:

Uso indebido de la Plataforma por parte del Cliente o sus colaboradores.
Tratamiento de datos personales de Usuarios Finales en contravención a la legislación aplicable o sin contar con base legal suficiente.
Falta de aviso de privacidad propio del Cliente Empresarial respecto a sus Usuarios Finales.
Información falsa, ilícita o que infrinja derechos de terceros, ingresada o transmitida a través de la Plataforma.
Reclamaciones derivadas del incumplimiento por parte del Cliente Empresarial de los Términos y Condiciones, del presente Aviso o de la legislación aplicable.

Yolani notificará oportunamente al Cliente Empresarial cualquier reclamación cubierta por esta cláusula y podrá colaborar razonablemente en la defensa, sin perjuicio del derecho de Yolani a participar con asesoría propia.

28. Privacidad de Menores de Edad

La Plataforma no está dirigida a menores de dieciocho (18) años de edad. Yolani no recopila ni trata intencionalmente datos personales de menores. En caso de tener conocimiento de que se han recolectado datos personales de un menor sin el consentimiento del padre, madre o tutor, Yolani procederá a su eliminación inmediata de sus sistemas, salvo obligación legal de conservación.

Cuando un Cliente Empresarial requiera tratar datos personales de menores en su operación, será responsabilidad exclusiva de dicho Cliente obtener los consentimientos necesarios y cumplir con las obligaciones legales adicionales aplicables (incluyendo la COPPA en Estados Unidos cuando proceda).

29. Marca Blanca, Agencias y Procesamiento como Encargado

Yolani opera un modelo de marca blanca que permite a agencias, integradores y partners autorizados (en adelante, los “Partners”) ofrecer la Plataforma a sus propios clientes bajo una identidad comercial distinta. En este esquema, los Partners administran sub-cuentas (tenants) de sus clientes finales y conservan ciertas atribuciones administrativas.

29.1 Cadena de Responsabilidades

La cadena de responsabilidades en el esquema de marca blanca es la siguiente:

Cliente Final: Responsable principal frente a sus Usuarios Finales.
Partner / Agencia: Encargado del tratamiento respecto al Cliente Final, y publica su propio aviso de privacidad y términos.
Yolani: Sub-encargado técnico bajo instrucciones del Partner.

29.2 Obligaciones del Partner

El Partner se obliga a:

Publicar su propio aviso de privacidad, términos de servicio y política de cookies frente a sus Clientes Finales en su dominio de marca blanca.
Atender directamente el ejercicio de derechos por parte de los Titulares de sus Clientes.
Cumplir con las obligaciones de notificación de incidentes hacia sus Clientes Finales y, en su caso, hacia las autoridades.
Implementar medidas de seguridad razonables en sus propios sistemas y procesos.
Asumir frente a sus Clientes Finales la responsabilidad por uso indebido o por configuraciones realizadas por su personal.

29.3 Datos Aislados por Sub-cuenta

La Plataforma implementa segregación lógica multi-tenant. Los datos personales tratados dentro de una sub-cuenta no son accesibles desde otras sub-cuentas. Los Partners pueden tener acceso limitado, según los permisos configurados, a metadatos agregados de sus Clientes para fines de soporte, facturación y administración.

29.4 Pagos a Partners

Cuando los Partners utilicen mecanismos como Stripe Connect para recibir pagos directamente de sus Clientes Finales, los datos financieros relativos a dichos pagos serán tratados por Stripe bajo sus propias políticas, y no constituyen ingresos de Yolani salvo en lo correspondiente a comisiones o tarifas de la Plataforma. Yolani no es responsable de las obligaciones fiscales, tributarias o comerciales del Partner frente a sus Clientes Finales.

El presente Aviso resulta aplicable de manera supletoria, en lo conducente, para los aspectos no cubiertos por el aviso del Partner. En todo caso, Yolani conserva el deber general de diligencia respecto a la infraestructura y la operación técnica del Servicio.

30. Datos de Mensajería y Canales de Terceros

La Plataforma se integra con servicios provistos por Meta Platforms, Inc. (“Meta”), incluyendo WhatsApp Business API, WhatsApp Cloud API, Instagram Graph API y Facebook Messenger Platform, así como con Google, Stripe, OpenAI y otros proveedores tecnológicos. Al utilizar dichas integraciones:

El Titular y el Cliente Empresarial reconocen que los términos de uso, políticas comerciales y avisos de privacidad de tales terceros aplican adicionalmente al tratamiento.
Yolani no controla las políticas, decisiones unilaterales, suspensiones o interrupciones implementadas por dichos proveedores.
El Titular debe informarse y aceptar de manera independiente los términos del proveedor correspondiente.

Yolani no se hace responsable por la indisponibilidad, modificación o eliminación de funcionalidades de terceros, ni por las consecuencias derivadas de incumplimientos atribuibles al Cliente o al Usuario Final ante dichos proveedores.

30.1 WhatsApp Web (No-Oficial) y Credenciales de Sesión

Cuando el Cliente Empresarial active la integración de WhatsApp Web (vinculación mediante código QR), Yolani almacenará en infraestructura propia las credenciales de sesión necesarias para mantener la conexión activa, las cuales se cifran a nivel de aplicación y se segregan por empresa. Estas credenciales constituyen un mecanismo técnico de autenticación frente a los servidores de Meta y no deben compartirse con terceros. La integración de WhatsApp Web mediante código QR no forma parte de WhatsApp Business API oficial; su uso está sujeto a las condiciones impuestas por Meta y puede ser interrumpido unilateralmente por dicho proveedor sin previo aviso, sin que ello implique responsabilidad de Yolani.

30.2 Integraciones Conectadas Voluntariamente

La Plataforma permite al Cliente Empresarial conectar voluntariamente integraciones adicionales mediante OAuth, API Keys u otros mecanismos. Las principales incluyen, sin limitar:

Google Workspace y Google Calendar para sincronización de agenda.
Notion para sincronización de bases de conocimiento.
Make.com para envío y recepción de webhooks.
EasyBroker u otros MLS para inmobiliarias.
Stripe Connect para pagos directos a sub-cuentas de partners.
Otros proveedores publicados en el catálogo de integraciones.

Al activar una integración, el Cliente autoriza expresamente la transmisión de datos entre la Plataforma y el proveedor correspondiente para el fin de la integración. La revocación de la integración no garantiza la eliminación automática de datos previamente sincronizados al sistema externo, lo cual deberá gestionarse directamente con dicho proveedor.

30.3 Webhooks Salientes y Datos Transmitidos

La Plataforma puede enviar eventos hacia URLs configuradas por el Cliente Empresarial (webhooks salientes). El contenido de dichos webhooks puede incluir datos personales (mensajes, contactos, metadatos de conversaciones). El Cliente Empresarial es plenamente responsable de garantizar la seguridad del endpoint receptor (HTTPS, autenticación, validación de firma) y del tratamiento posterior de los datos recibidos.

31. Solicitudes de Autoridades y Conservación Ampliada

Yolani podrá divulgar datos personales cuando exista mandato judicial, requerimiento de autoridad competente, orden ministerial o cuando ello sea necesario para cumplir obligaciones legales. En tales casos, Yolani:

Verificará la legitimidad y alcance de la solicitud.
Limitará la divulgación a la información estrictamente necesaria.
Cuando esté legalmente permitido, notificará al Titular o al Cliente Empresarial sobre la solicitud.
Documentará el evento en sus registros de auditoría.

Yolani podrá conservar datos por períodos extendidos cuando ello sea necesario para atender investigaciones, litigios, auditorías regulatorias o requerimientos de autoridades, incluso después de que el Titular haya solicitado su eliminación, siempre que la conservación se encuentre legalmente justificada.

32. Auditorías, Certificaciones y Cumplimiento Continuo

Yolani busca mejorar continuamente sus prácticas de privacidad y seguridad. Para ello, implementa programas internos de cumplimiento, realiza revisiones periódicas de sus controles, ejecuta pruebas de seguridad y, cuando resulte aplicable, somete ciertos componentes a auditorías independientes y certificaciones de la industria.

Los Clientes Empresariales con planes corporativos o enterprise podrán solicitar información adicional sobre las medidas de cumplimiento, certificaciones vigentes y reportes de auditoría disponibles, sujeto a la suscripción de acuerdos de confidencialidad razonables.

33. Cambios al Aviso de Privacidad

Yolani se reserva el derecho a modificar el presente Aviso en cualquier momento para reflejar cambios legislativos, operativos, comerciales o tecnológicos. Las modificaciones serán publicadas en yolani.co/privacidad, indicando la fecha de la última actualización.

Cuando los cambios sean sustanciales, Yolani notificará al Titular por correo electrónico, mediante aviso destacado dentro de la Plataforma o por cualquier otro medio razonable, con la antelación que la legislación aplicable exija.

El uso continuado de la Plataforma con posterioridad a la entrada en vigor de las modificaciones constituirá aceptación tácita de las mismas, salvo que el Titular ejerza su derecho de oposición o cancelación.

34. Resolución de Disputas, Ley Aplicable y Jurisdicción

El presente Aviso, así como cualquier controversia relacionada con la interpretación o ejecución del mismo, se rige por las leyes federales aplicables en México (Estados Unidos Mexicanos). Las partes se someten expresamente a la jurisdicción de los tribunales competentes en Monterrey, Nuevo León, México, renunciando a cualquier otro fuero que pudiera corresponderles por razón de su domicilio presente o futuro.

Lo anterior, sin perjuicio de los derechos imperativos que correspondan al Titular conforme a la legislación de protección de datos personales del país donde tenga su residencia habitual, así como del derecho del Titular a presentar reclamaciones ante las autoridades de protección de datos competentes (la Secretaría Anticorrupción y Buen Gobierno en México, AEPD en España, ICO en Reino Unido, ANPD en Brasil, o la autoridad equivalente en su jurisdicción).

35. Idioma, Versiones y Conflictos de Traducción

La versión oficial del presente Aviso es la redactada en idioma español. Cualquier traducción a otro idioma se proporciona únicamente como cortesía. En caso de conflicto entre versiones, prevalecerá la versión en español, salvo que la legislación local del Titular exija lo contrario.

36. Divisibilidad e Integridad del Documento

Si alguna disposición del presente Aviso fuere declarada inválida, ilegal o inaplicable por una autoridad competente, las disposiciones restantes mantendrán su plena validez y eficacia. La invalidez de una cláusula no afectará la validez del Aviso en su conjunto.

El presente Aviso constituye, junto con los Términos y Condiciones del Servicio y la Política de Cookies, el acuerdo integral entre Yolani y el Titular respecto al tratamiento de datos personales y deja sin efecto cualquier acuerdo previo en lo que se contraponga.

37. Aceptación del Aviso de Privacidad

Al registrarse, contratar el Servicio, navegar por el sitio web o utilizar la Plataforma de cualquier manera, el Titular reconoce que ha leído, comprendido y aceptado los términos del presente Aviso de Privacidad y otorga su consentimiento para el tratamiento de sus datos personales en los términos aquí descritos. Si el Titular no está de acuerdo con cualquier disposición, deberá abstenerse de utilizar la Plataforma.

38. Contacto del Oficial de Protección de Datos

Para cualquier asunto relacionado con la privacidad, ejercicio de derechos, aclaraciones o consultas sobre el presente Aviso, el Titular podrá contactar al Departamento de Protección de Datos Personales de Yolani:

Correo electrónico: [email protected]
Teléfono: (81) 1069-7932
Domicilio: Av. De la Juventud #100, Col. Potrero Anáhuac, San Nicolás de los Garza, Nuevo León, C.P. 66456, México.

Yolani agradece la confianza depositada en la Plataforma y reitera su compromiso con la protección de los datos personales de los Titulares conforme a los más altos estándares aplicables.