Politica de Privacidad

Ultima actualizacion: 18 de abril de 2026

English version below

1. Introduccion

Xemo es una plataforma de gestion de relaciones con clientes (CRM) disenada para equipos inmobiliarios en Mexico. La plataforma es operada por Altara Desarrollos S.A. de C.V. (en adelante, “Altara”, “nosotros” o “la Empresa”).

Esta politica de privacidad describe como recopilamos, usamos, almacenamos y protegemos la informacion personal de los usuarios de Xemo y de los contactos gestionados a traves de la plataforma.

2. Responsable del Tratamiento de Datos

Altara Desarrollos S.A. de C.V. es el responsable del tratamiento de los datos personales recopilados a traves de Xemo.

Xemo actua como responsable del tratamiento respecto a los datos de las cuentas de usuario, y como encargado del tratamiento respecto a los datos de contactos y leads que las organizaciones gestionan dentro de la plataforma.

3. Datos que Recopilamos

CategoriaDatos especificosProposito
Cuenta de usuarioNumero de telefono, nombre, correo electronico, foto de perfilAutenticacion e identificacion del usuario
Contactos y leadsNombre, telefono, correo, notas, fuente de captacion, parametros UTM, puntuacion y temperatura del lead, resumen generado por IAGestion de prospectos y seguimiento comercial
Mensajeria WhatsAppContenido de mensajes, direccion (entrante/saliente), estado de entrega, archivos multimedia adjuntosComunicacion entre asesores y contactos
ActividadesLlamadas, notas, citas, visitas programadas, duracion y resultadoSeguimiento de actividad comercial
Pipeline de ventasOportunidades de negocio, etapas del pipeline, asociacion con contactosGestion del proceso de venta
Datos tecnicosDireccion IP, informacion del navegador, suscripciones a notificaciones pushSeguridad, notificaciones y mejora del servicio

4. Proposito del Procesamiento

Utilizamos los datos personales para los siguientes fines:

  • Proveer los servicios de CRM a organizaciones inmobiliarias
  • Habilitar la comunicacion por WhatsApp Business entre asesores y contactos
  • Generar resumenes automaticos de contactos mediante inteligencia artificial
  • Enviar notificaciones push sobre nuevos mensajes y actividades
  • Analisis, puntuacion y clasificacion de leads
  • Mejora continua de la plataforma

5. Base Legal del Procesamiento

  • Consentimiento: Al registrarse y aceptar esta politica al iniciar sesion
  • Necesidad contractual: Para proveer el servicio de CRM contratado
  • Interes legitimo: Medidas de seguridad y prevencion de fraude
  • Obligacion legal: Cumplimiento de regulaciones fiscales y normativas aplicables

6. Integraciones con Terceros

Xemo utiliza los siguientes servicios de terceros para operar la plataforma. Cada servicio recibe unicamente los datos minimos necesarios para su funcion:

7. Uso de WhatsApp Business API

Xemo utiliza la WhatsApp Business API a traves de Twilio para habilitar la comunicacion entre las organizaciones y sus contactos. En relacion con este servicio:

  • Consentimiento (Opt-in): Los contactos inician la conversacion enviando un mensaje de WhatsApp, o la organizacion cuenta con el consentimiento explicito del contacto para enviarle mensajes.
  • Ventana de 24 horas: Los mensajes de formato libre solo pueden enviarse dentro de las 24 horas posteriores al ultimo mensaje del contacto. Fuera de esta ventana, solo se envian plantillas previamente aprobadas por Meta.
  • Los mensajes se almacenan exclusivamente para la funcionalidad del CRM y no se utilizan con fines publicitarios.
  • Xemo no vende, comparte ni utiliza los datos de WhatsApp para propositos distintos al servicio de CRM.
  • Cada organizacion es responsable del tratamiento de los datos de sus contactos en las comunicaciones de WhatsApp.

7b. Herramientas de Soporte y Mejora Continua

Para poder darte soporte tecnico oportuno y mejorar la plataforma de forma continua, Xemo utiliza PostHog — una herramienta de analisis de producto que nos permite entender como se usa la aplicacion y detectar problemas antes de que afecten tu trabajo.

  • Proposito: Soporte tecnico, diagnostico de errores y mejora de la experiencia. No utilizamos estos datos para fines publicitarios ni los compartimos con terceros fuera de los proveedores listados en esta politica.
  • Que se recopila: Navegacion entre secciones, uso de funcionalidades (contactos, pipeline, mensajes) y grabaciones de sesion que nos permiten reproducir los pasos ante un reporte de error. Los campos de texto y formularios se enmascaran automaticamente antes de enviarse.
  • Que NO se recopila con fines de analisis: el contenido de los mensajes de WhatsApp, las notas privadas de los contactos, ni informacion financiera del negocio.
  • Base legal (LFPDPPP): El tratamiento se realiza bajo la figura de consentimiento tacito prevista en el Art. 8 de la LFPDPPP — al utilizar la plataforma con este aviso de privacidad a tu disposicion, consientes el analisis como parte integral del servicio de CRM.
  • Derecho de oposicion: Puedes oponerte al analisis en cualquier momento escribiendo a privacidad@xemo.com. Tambien puedes declinar la captura desde el aviso que aparece al entrar a la aplicacion.
  • Datos anonimos: Las visitas a la pagina publica (xemo.com) se registran de forma anonima, sin cookies ni datos personales asociados.
  • Almacenamiento: Servidores de PostHog Inc. en Estados Unidos, bajo sus controles de seguridad y privacidad.

8. Consentimiento del Usuario

  • La creacion de una cuenta implica la aceptacion de esta politica de privacidad, conforme al aviso mostrado en la pantalla de inicio de sesion.
  • Los contactos de WhatsApp consienten al iniciar conversaciones o a traves de los procesos de opt-in de cada organizacion.
  • Las notificaciones push requieren permiso explicito a traves del dialogo del navegador.

9. Retencion de Datos

  • Datos de cuenta: Mientras la cuenta este activa, mas 30 dias despues de una solicitud de eliminacion.
  • Mensajes, contactos y actividades: Mientras la cuenta de la organizacion este activa.
  • Credenciales de integracion: Cifradas en la base de datos; se eliminan inmediatamente al desconectar la integracion o eliminar la cuenta.
  • Suscripciones push: Se eliminan cuando el usuario cancela la suscripcion o elimina su cuenta.

10. Derechos del Usuario

Ley Federal de Proteccion de Datos Personales (LFPDPPP) — Mexico

Como titular de datos en Mexico, tienes los derechos ARCO:

  • Acceso: Conocer que datos personales tenemos sobre ti
  • Rectificacion: Corregir datos inexactos o incompletos
  • Cancelacion: Solicitar la eliminacion de tus datos
  • Oposicion: Oponerte al tratamiento de tus datos para fines especificos
  • Revocacion del consentimiento: Retirar tu consentimiento en cualquier momento

Reglamento General de Proteccion de Datos (RGPD) — Union Europea

Si te encuentras en la Union Europea, cuentas con los siguientes derechos:

  • Derecho de acceso (Art. 15)
  • Derecho de rectificacion (Art. 16)
  • Derecho de supresion / “derecho al olvido” (Art. 17)
  • Derecho a la limitacion del tratamiento (Art. 18)
  • Derecho a la portabilidad de datos (Art. 20)
  • Derecho de oposicion (Art. 21)

Ley de Privacidad del Consumidor de California (CCPA)

  • Derecho a saber que datos se recopilan
  • Derecho a eliminar informacion personal
  • Derecho a optar por no participar en la venta de datos (Xemo no vende datos personales)
  • Derecho a la no discriminacion

Para ejercer cualquiera de estos derechos, contactanos en privacidad@xemo.com. Responderemos dentro de los 15 dias habiles establecidos por la LFPDPPP.

11. Eliminacion de Datos

  • Los usuarios pueden solicitar la eliminacion de su cuenta enviando un correo a privacidad@xemo.com.
  • Las organizaciones pueden eliminar contactos, conversaciones y oportunidades directamente desde la interfaz del CRM.
  • Los usuarios de Meta/Facebook pueden solicitar la eliminacion de sus datos a traves del mecanismo de eliminacion de datos de Meta. Xemo cuenta con un endpoint dedicado para procesar estas solicitudes automaticamente.
  • Las solicitudes de eliminacion se procesan dentro de un plazo maximo de 30 dias.

12. Seguridad de los Datos

Implementamos las siguientes medidas para proteger la informacion personal:

  • Politicas de seguridad a nivel de fila (RLS) en todas las tablas de la base de datos, garantizando que cada organizacion solo acceda a sus propios datos
  • Validacion de firmas en los webhooks de entrada (HMAC-SHA1) para prevenir solicitudes fraudulentas
  • Tokens JWT para la gestion segura de sesiones
  • Credenciales de integracion cifradas en la base de datos
  • Conexiones HTTPS en toda la plataforma
  • Aislamiento de datos multi-tenant mediante consultas limitadas por organizacion

13. Transferencias Internacionales de Datos

Los datos pueden almacenarse y procesarse en los Estados Unidos a traves de la infraestructura de nuestros proveedores de servicios (Supabase, Twilio, Vercel, Anthropic). Estas transferencias se realizan conforme a las politicas de proteccion de datos de cada proveedor y a las clausulas contractuales aplicables.

14. Menores de Edad

Xemo no esta dirigido a personas menores de 18 anos. No recopilamos intencionalmente datos de menores. Si detectamos que se han recopilado datos de un menor, procederemos a eliminarlos de inmediato.

15. Cambios a esta Politica

Podemos actualizar esta politica periodicamente. La fecha de “Ultima actualizacion” al inicio del documento refleja la revision mas reciente. El uso continuado de Xemo despues de cualquier modificacion constituye la aceptacion de la politica actualizada.

16. Contacto

Para preguntas, solicitudes o quejas relacionadas con esta politica de privacidad, contactanos en:

Privacy Policy

Last updated: April 18, 2026

1. Introduction

Xemo is a customer relationship management (CRM) platform designed for real estate teams in Mexico. The platform is operated by Altara Desarrollos S.A. de C.V. (hereinafter, “Altara”, “we”, or “the Company”).

This privacy policy describes how we collect, use, store, and protect the personal information of Xemo users and the contacts managed through the platform.

2. Data Controller

Altara Desarrollos S.A. de C.V. is the data controller for personal data collected through Xemo.

Xemo acts as data controller for user account data, and as data processor for contact and lead data that organizations manage within the platform.

3. Data We Collect

CategorySpecific dataPurpose
User accountPhone number, name, email, profile pictureAuthentication and user identification
Contacts & leadsName, phone, email, notes, acquisition source, UTM parameters, lead score and temperature, AI-generated summaryProspect management and sales follow-up
WhatsApp messagingMessage content, direction (inbound/outbound), delivery status, attached media filesCommunication between agents and contacts
ActivitiesCalls, notes, appointments, scheduled visits, duration and outcomeSales activity tracking
Sales pipelineDeals, pipeline stages, contact associationsSales process management
Technical dataIP address, browser information, push notification subscriptionsSecurity, notifications, and service improvement

4. Purpose of Processing

We use personal data for the following purposes:

  • Providing CRM services to real estate organizations
  • Enabling WhatsApp Business communication between agents and contacts
  • Generating automated contact summaries using artificial intelligence
  • Sending push notifications about new messages and activities
  • Lead scoring, analysis, and classification
  • Continuous platform improvement

5. Legal Basis for Processing

  • Consent: By registering and accepting this policy at login
  • Contractual necessity: To provide the contracted CRM service
  • Legitimate interest: Security measures and fraud prevention
  • Legal obligation: Compliance with applicable tax and regulatory requirements

6. Third-Party Services

Xemo uses the following third-party services to operate the platform. Each service receives only the minimum data necessary for its function:

7. WhatsApp Business API Usage

Xemo uses the WhatsApp Business API through Twilio to enable communication between organizations and their contacts. Regarding this service:

  • Opt-in: Contacts initiate conversations by sending a WhatsApp message, or the organization has the contact's explicit consent to send messages.
  • 24-hour window: Free-form messages can only be sent within 24 hours of the contact's last message. Outside this window, only Meta-approved templates are sent.
  • Messages are stored solely for CRM functionality and are not used for advertising purposes.
  • Xemo does not sell, share, or use WhatsApp data for purposes other than the CRM service.
  • Each organization is the data controller for their contacts' WhatsApp communications.

7b. Support and Continuous Improvement Tools

To provide timely technical support and continuously improve the platform, Xemo uses PostHog — a product analytics tool that helps us understand how the app is used and detect issues before they disrupt your work.

  • Purpose: Technical support, error diagnosis, and user experience improvement. We do not use this data for advertising or share it with third parties outside the providers listed in this policy.
  • What is collected: Navigation between sections, feature usage (contacts, pipeline, messages), and session recordings that let us reproduce the steps reported in a bug report. Text fields and form inputs are automatically masked before being sent.
  • What is NOT collected for analytics: WhatsApp message content, private contact notes, and financial business information.
  • Legal basis (LFPDPPP): Processing is carried out under the tacit consent figure provided in Article 8 of the LFPDPPP — by using the platform with this privacy notice available to you, you consent to analytics as an integral part of the CRM service.
  • Right to object: You may object to analytics at any time by writing to privacidad@xemo.com. You may also decline capture via the notice displayed on app entry.
  • Anonymous data: Visits to the public page (xemo.com) are logged anonymously, without cookies or associated personal data.
  • Storage: PostHog Inc. servers in the United States, under their security and privacy controls.

8. User Consent

  • Account creation requires acceptance of this privacy policy, as displayed on the login screen.
  • WhatsApp contacts consent by initiating conversations or through each organization's opt-in processes.
  • Push notifications require explicit permission through the browser dialog.

9. Data Retention

  • Account data: Retained while the account is active, plus 30 days after a deletion request.
  • Messages, contacts, and activities: Retained while the organization's account is active.
  • Integration credentials: Encrypted in the database; deleted immediately upon disconnection or account deletion.
  • Push subscriptions: Deleted when the user unsubscribes or deletes their account.

10. User Rights

Mexican Federal Law on Personal Data Protection (LFPDPPP)

As a data subject in Mexico, you have ARCO rights:

  • Access: Know what personal data we hold about you
  • Rectification: Correct inaccurate or incomplete data
  • Cancellation: Request deletion of your data
  • Opposition: Object to data processing for specific purposes
  • Consent revocation: Withdraw your consent at any time

General Data Protection Regulation (GDPR) — European Union

If you are in the European Union, you have the following rights:

  • Right of access (Art. 15)
  • Right to rectification (Art. 16)
  • Right to erasure / “right to be forgotten” (Art. 17)
  • Right to restriction of processing (Art. 18)
  • Right to data portability (Art. 20)
  • Right to object (Art. 21)

California Consumer Privacy Act (CCPA)

  • Right to know what data is collected
  • Right to delete personal information
  • Right to opt-out of data sales (Xemo does not sell personal data)
  • Right to non-discrimination

To exercise any of these rights, contact us at privacidad@xemo.com. We will respond within the 15 business days established by the LFPDPPP.

11. Data Deletion

  • Users may request account deletion by emailing privacidad@xemo.com.
  • Organizations can delete contacts, conversations, and deals directly from the CRM interface.
  • Meta/Facebook users can request data deletion through Meta's data deletion mechanism. Xemo provides a dedicated endpoint to process these requests automatically.
  • Deletion requests are processed within a maximum of 30 days.

12. Data Security

We implement the following measures to protect personal information:

  • Row Level Security (RLS) policies on all database tables, ensuring each organization can only access its own data
  • Webhook signature validation (HMAC-SHA1) to prevent fraudulent requests
  • JWT tokens for secure session management
  • Integration credentials encrypted at rest in the database
  • HTTPS enforced across the entire platform
  • Multi-tenant data isolation through organization-scoped queries

13. International Data Transfers

Data may be stored and processed in the United States through our service providers' infrastructure (Supabase, Twilio, Vercel, Anthropic). These transfers are carried out in accordance with each provider's data protection policies and applicable contractual clauses.

14. Children's Privacy

Xemo is not intended for persons under the age of 18. We do not knowingly collect data from minors. If we discover that data from a minor has been collected, we will promptly delete it.

15. Changes to This Policy

We may update this policy from time to time. The “Last updated” date at the top reflects the most recent revision. Continued use of Xemo after any changes constitutes acceptance of the updated policy.

16. Contact

For questions, requests, or complaints regarding this privacy policy, contact us at: