Política de Privacidad y Protección de Datos

Última actualización: 6 de junio de 2026 · Epic Agents — Versión 1.1

Aviso importante: Este documento cumple con los principios de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México. Está pendiente de revisión por un abogado especialista. Si tienes dudas, escríbenos a privacidad@epicagents.io

1. Identidad y datos del responsable

El responsable del tratamiento de tus datos personales es Epic Agents (en adelante "Epic Agents", "nosotros" o "la Plataforma"), con correo de contacto privacidad@epicagents.io.

Esta Política aplica a la plataforma disponible en epicagents.io y todos sus subdominios.

2. Categorías de usuarios y datos tratados

Epic Agents opera con dos tipos distintos de interesados cuyos datos trata:

2.1 Clientes de la Plataforma (Usuarios registrados)

Son las personas o empresas que crean una cuenta para usar Epic Agents.

Dato	Finalidad	Base legal
Correo electrónico	Autenticación, notificaciones de cuenta y transaccionales	Ejecución de contrato
Contraseña (hash bcrypt)	Autenticación segura. Nunca se almacena en texto plano	Ejecución de contrato
Nombre completo / nombre del negocio	Personalización de la cuenta y del panel de administración	Ejecución de contrato
Avatar / foto de perfil	Identificación visual en el panel	Consentimiento (opcional)
Identificador de cliente Stripe	Gestión de suscripción y facturación	Ejecución de contrato
Plan y estado de suscripción	Control de acceso a funcionalidades según plan contratado	Ejecución de contrato
Fecha de solicitud de eliminación	Gestión del proceso de baja (periodo de gracia de 30 días)	Obligación legal / interés legítimo
Dirección IP (solo demos)	Prevención de abuso en demos públicas	Interés legítimo

2.2 Usuarios finales (Clientes del negocio)

Son las personas que interactúan con los agentes de IA desplegados por nuestros Clientes. Sus datos son tratados por Epic Agents en calidad de encargado del tratamiento por instrucción del Cliente.

Dato	Cómo se obtiene	Finalidad
Transcripciones de conversación	Interacción directa con el agente	Prestar el servicio de IA; acceso del Cliente al historial
Nombre, correo, teléfono (leads)	Extraído por IA de la conversación o formulario	Entrega al Cliente para seguimiento comercial
Datos de pedido (artículos, total, info cliente)	Flujo de ventas del agente	Gestión de órdenes del negocio del Cliente
Datos de cita (fecha, hora, info cliente)	Flujo de agendamiento del agente	Gestión de citas del negocio del Cliente
Número de WhatsApp	Integración de WhatsApp Business	Continuación de la conversación por WhatsApp
Calificación de satisfacción (1–5)	Encuesta al final de la conversación	Métricas de calidad del agente para el Cliente

El Cliente, al desplegar su agente, asume la responsabilidad de informar a sus usuarios finales sobre el tratamiento de sus datos mediante su propio aviso de privacidad.

3. Cookies y almacenamiento local

Epic Agents utiliza los siguientes mecanismos de almacenamiento en el navegador:

sb-access-token / sb-refresh-token (cookies de sesión de Supabase) — autenticación del Usuario registrado.
ea_lang (localStorage) — preferencia de idioma del chat.
ea-theme (localStorage) — preferencia de tema visual (claro/oscuro).
rated_[sessionId] (localStorage) — registro de que el usuario ya calificó la conversación para evitar duplicados.
Google Ads (_gcl_*, _gac_*) (cookies de terceros) — medición de conversiones publicitarias.

Al usar la Plataforma, el Usuario consiente el uso de estas cookies. Las cookies de sesión son estrictamente necesarias para el funcionamiento del servicio; las demás son funcionales o analíticas.

4. Transferencias a terceros encargados

Para prestar el Servicio, Epic Agents comparte datos con los siguientes subencargados del tratamiento bajo contratos que garantizan confidencialidad y seguridad:

Tercero	País	Datos compartidos	Finalidad
Supabase, Inc.	EE.UU.	Todos los datos de la plataforma	Infraestructura de base de datos y autenticación
OpenAI, LLC	EE.UU.	Mensajes de conversación	Procesamiento de lenguaje natural (IA)
Anthropic, PBC	EE.UU.	Mensajes de conversación	Procesamiento de lenguaje natural (IA)
DeepSeek	China	Mensajes de conversación	Procesamiento de lenguaje natural (IA)
Stripe, Inc.	EE.UU.	Correo, datos de pago	Procesamiento de pagos y suscripciones
Twilio / Evolution API	EE.UU.	Número WhatsApp, mensajes	Envío y recepción de mensajes WhatsApp
Resend	EE.UU.	Correo del Cliente, datos de lead/pedido/cita	Notificaciones por correo electrónico
Google LLC	EE.UU.	Eventos de página, conversiones	Medición de campañas publicitarias

Estas transferencias internacionales se realizan bajo las salvaguardas apropiadas conforme a la LFPDPPP (cláusulas contractuales tipo o decisiones de adecuación). El proveedor de IA utilizado puede variar según la configuración del Servicio. Las políticas de tratamiento y de entrenamiento de cada proveedor pueden diferir: OpenAI y Anthropic, por política de su API, no utilizan los datos enviados para entrenar sus modelos; otros proveedores pueden tener políticas distintas. Las transferencias a proveedores ubicados fuera de México o de jurisdicciones con nivel de protección equivalente se realizan únicamente para prestar el Servicio y bajo medidas de confidencialidad.

5. Plazos de conservación

Cuenta activa: Los datos se conservan mientras la cuenta esté activa.
Cancelación de cuenta: Se inicia un período de gracia de 30 días durante el cual el Usuario puede reactivar su cuenta. Transcurrido dicho plazo, los datos se eliminan de forma permanente de los sistemas de producción.
Backups: Pueden mantenerse hasta 90 días adicionales en copias de seguridad cifradas antes de ser purgados.
Datos de facturación: Se conservan durante el tiempo exigido por la legislación fiscal mexicana (5 años).
Dirección IP (demos): Se conserva por un máximo de 30 días para prevención de abuso.
Conversaciones de usuarios finales: Se conservan mientras el agente del Cliente esté activo. Si el Cliente elimina el agente o su cuenta, los datos de conversaciones se eliminan junto con el período de gracia aplicable.

6. Derechos ARCO y otros derechos

De conformidad con la LFPDPPP, el Usuario tiene los siguientes derechos respecto a sus datos personales:

Acceso: Conocer qué datos personales tenemos sobre ti.
Rectificación: Solicitar la corrección de datos inexactos o incompletos.
Cancelación: Solicitar la eliminación de tus datos cuando ya no sean necesarios o retires el consentimiento.
Oposición: Oponerte al tratamiento de tus datos para finalidades específicas.
Portabilidad: Recibir tus datos en un formato estructurado y legible por máquina.
Revocación del consentimiento: Retirar el consentimiento otorgado en cualquier momento.

Para ejercer cualquiera de estos derechos, envía una solicitud a privacidad@epicagents.io indicando: nombre completo, correo de la cuenta, derecho que deseas ejercer y descripción de tu solicitud. Responderemos en un plazo máximo de 20 días hábiles.

Si consideras que tu solicitud no fue atendida adecuadamente, puedes interponer una queja ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en inai.org.mx.

7. Seguridad de los datos

Epic Agents implementa las siguientes medidas técnicas y organizativas para proteger tus datos:

Transmisión cifrada mediante TLS 1.2+ en todas las comunicaciones.
Contraseñas almacenadas con hash bcrypt; nunca en texto plano.
Acceso a la base de datos controlado mediante Row Level Security (RLS) de Supabase, garantizando que cada Usuario solo acceda a sus propios datos.
Claves de API y secretos almacenados en variables de entorno del servidor, nunca en el código fuente.
Acceso administrativo limitado al equipo de Epic Agents con autenticación de dos factores.
Copias de seguridad cifradas con retención de 90 días.

En caso de brecha de seguridad que afecte tus datos personales, notificaremos a los afectados y, en su caso, a las autoridades competentes, en los plazos establecidos por la regulación aplicable.

8. Menores de edad

El Servicio no está dirigido a personas menores de 18 años. No recopilamos intencionalmente datos personales de menores. Si tomamos conocimiento de que hemos recopilado datos de un menor sin consentimiento parental, los eliminaremos de inmediato. Si eres padre o tutor y crees que tu hijo ha proporcionado datos personales, contáctanos en privacidad@epicagents.io.

9. Uso de datos para mejorar el servicio

Epic Agents puede usar datos anonimizados y agregados (sin identificación personal) sobre el uso de la Plataforma para mejorar funcionalidades, detectar errores y desarrollar nuevos servicios. Estos datos no permiten identificar a ningún usuario específico.

Epic Agents no vende datos personales a terceros para fines comerciales propios de esos terceros.

10. Responsabilidad del Cliente sobre usuarios finales

El Cliente de Epic Agents, al desplegar agentes que interactúan con sus propios usuarios finales, actúa como Responsable del Tratamiento de los datos de esos usuarios finales. Epic Agents actúa únicamente como encargado del tratamiento y proveedor de la herramienta tecnológica, y no determina las finalidades ni el contenido de los datos que el Cliente decide recabar a través de sus agentes. Por tanto, el Cliente debe:

Publicar su propio Aviso de Privacidad que informe a sus usuarios sobre el tratamiento de datos por parte del agente, incluyendo las finalidades específicas de su negocio.
Obtener las bases legales necesarias para tratar datos de sus usuarios finales (consentimiento u otras), de forma previa a la recolección.
Informar a sus usuarios que sus conversaciones pueden ser procesadas por sistemas de inteligencia artificial de terceros (proveedores de modelos de lenguaje).
Cumplir con cualquier solicitud de ejercicio de derechos ARCO que sus propios usuarios finales presenten respecto a los datos almacenados en Epic Agents, coordinando con Epic Agents cuando sea necesario.

10.1 Tratamiento de datos personales sensibles

Algunos giros de negocio (por ejemplo, seguros de gastos médicos, servicios de salud, atención psicológica u otros) pueden requerir el tratamiento de datos personales sensibles —en particular datos relativos a la salud— conforme a la LFPDPPP. Epic Agents pone a disposición del Cliente herramientas configurables (formularios, flujos y plantillas) que el Cliente puede usar para estos fines bajo su exclusiva responsabilidad y decisión.

Cuando un Cliente configure un agente para recabar datos personales sensibles, el Cliente es el único responsable de:

Obtener el consentimiento expreso del usuario final para el tratamiento de dichos datos sensibles, en los términos del artículo 9 de la LFPDPPP, de forma previa a su recolección.
Adoptar y mantener las medidas de seguridad reforzadas que la ley exige para datos sensibles, así como las finalidades lícitas, específicas y proporcionales de su tratamiento.
Limitar la recolección a los datos estrictamente necesarios para la finalidad declarada (principio de minimización).

Epic Agents, en su calidad de encargado, aplica las medidas técnicas de seguridad descritas en la Sección 7 a todos los datos alojados en la Plataforma, pero no es responsable de la decisión del Cliente de recabar datos sensibles, ni de la obtención del consentimiento de los usuarios finales, ni de la licitud de las finalidades definidas por el Cliente. El Cliente mantiene indemne a Epic Agents frente a cualquier reclamación derivada del incumplimiento de estas obligaciones.

11. Modificaciones a esta política

Podemos actualizar esta Política periódicamente para reflejar cambios en nuestras prácticas o en la legislación aplicable. Notificaremos los cambios materiales por correo electrónico o mediante aviso destacado en la Plataforma. La fecha de "Última actualización" al inicio del documento indica cuándo se realizó la última revisión.

12. Contacto

Para cualquier consulta, duda o ejercicio de derechos relacionados con tu privacidad:

Correo de privacidad: privacidad@epicagents.io
Soporte general: hola@epicagents.io