Última actualización: 27 de junio de 2026 · Conforme a la LFPDPPP, su Reglamento y los Lineamientos del INAI
Este aviso explica cómo Hubbdi LLC (entidad controladora, EE.UU.) y Navesp Marketing Creativo S.A. de C.V. (entidad operadora, México), en adelante conjuntamente "Grundy", recaban, usa, almacena y comparte tus datos personales. Aplica a tres tipos de personas: asesores que contratan la plataforma, prospectos (leads) que llenan los artefactos, y personas recomendadas por un prospecto.
Entidad controladora (EE.UU.):
Razón social: Hubbdi LLC
Domicilio: 30 N Gould St, Sheridan, WY 82801, Estados Unidos
Entidad operadora (México):
Razón social: Navesp Marketing Creativo S.A. de C.V.
RFC: [POR LLENAR]
Domicilio fiscal: [POR LLENAR], Ciudad de México, México.
Marca comercial: Grundy ®
Contacto de privacidad: soporte@grundy.app
Responsable de protección de datos: [POR LLENAR]
Cuando un asesor activa el add-on Cobranza Inteligente y sube documentos de póliza, Grundy procesa información que puede incluir:
En este escenario, el asesor actúa como responsable de los datos de sus clientes; Grundy actúa como encargado del tratamiento bajo instrucciones documentadas del asesor.
El sistema viral de invitados permite que un lead invite a otra persona compartiendo su nombre y WhatsApp. La persona invitada puede solicitar la eliminación inmediata respondiendo "STOP" al primer mensaje recibido o escribiendo a soporte@grundy.app.
Los datos financieros declarados por los leads en los artefactos no se consideran "datos personales sensibles" bajo el artículo 3 fracción VI de la LFPDPPP. No obstante, los tratamos con el mismo nivel de cuidado que los sensibles.
En el módulo Cobranza, si un asesor sube una póliza de Gastos Médicos Mayores que contiene información del historial médico del asegurado, esos sí son datos sensibles de salud. Se requiere consentimiento expreso del titular (gestionado por el asesor como responsable) y se les aplica el régimen reforzado del Capítulo II del Reglamento de la LFPDPPP.
Si no deseas que tus datos se traten para finalidades secundarias, escribe a soporte@grundy.appo usa el link de cancelación en los correos de marketing. Cada mensaje de WhatsApp de marketing incluye instrucción para responder "STOP".
Cuando un lead completa un artefacto, Grundy comparte con el asesor que lo invitó: nombre, email, WhatsApp, respuestas detalladas del diagnóstico, score, urgencias detectadas, etapa del pipeline y notas. El asesor actúa como responsable independiente de esos datos a partir de ese momento, y su tratamiento ulterior se rige por el aviso de privacidad propio del asesor.
Grundy contrata a los siguientes proveedores tecnológicos como encargados, bajo contratos con obligaciones de confidencialidad, seguridad y limitación de uso:
| Proveedor | País | Finalidad | Aviso |
|---|---|---|---|
| Supabase Inc. | EE.UU. | Base de datos y autenticación | Ver |
| Vercel Inc. | EE.UU. / global | Hosting y edge computing | Ver |
| Meta Platforms Inc. | EE.UU. | WhatsApp Cloud API, Meta Pixel, Conversions API; Instagram Business API (mensajes, publicaciones, métricas); Facebook Pages API (Messenger, publicaciones); Threads API (publicaciones) — solo canales que el asesor conecte voluntariamente | Ver |
| Google LLC | EE.UU. | OAuth, Google Calendar y Gmail (lectura/envío de correos en Omnibox) — solo si el asesor los conecta | Ver |
| Microsoft Corporation | EE.UU. / global | Microsoft Graph API — OAuth y gestión de correos Outlook/Microsoft 365 en Omnibox (solo si el asesor lo conecta) | Ver |
| LinkedIn Corporation | EE.UU. | OAuth y publicación de contenido desde Social Planner (solo si el asesor lo conecta) | Ver |
| TikTok Inc. (ByteDance) | EE.UU. / global | OAuth y publicación de videos desde Social Planner (solo si el asesor lo conecta) | Ver |
| Zoom Video Communications, Inc. | EE.UU. | OAuth y creación/gestión de reuniones Zoom (solo si el asesor lo conecta) | Ver |
| Anthropic PBC | EE.UU. | IA Claude — extracción de datos de PDFs de pólizas, generación de campañas en Social Planner y asistente de soporte | Ver |
| Stripe, Inc. | EE.UU. / Irlanda | Procesamiento de pagos de suscripciones y wallet | Ver |
| Amazon Web Services (SES) | EE.UU. / global | Envío de correos transaccionales del sistema (verificación, notificaciones, recibos) | Ver |
| Resend, Inc. | EE.UU. | Envío de correos transaccionales (fallback) | Ver |
Dado que la mayoría de nuestros encargados operan principalmente en Estados Unidos, tus datos sí salen de México al ser almacenados o procesados en infraestructura ubicada en ese país. Estas transferencias se realizan al amparo de las excepciones previstas en el artículo 37 fracciones IV y VI de la LFPDPPP: cumplimiento del contrato del que el titular es parte y reconocimiento o ejercicio de un derecho. Todos los encargados están obligados contractualmente a aplicar medidas de seguridad equivalentes a las exigidas por la legislación mexicana.
Si no estás de acuerdo con estas transferencias, no podemos prestar el servicio en su totalidad. Puedes manifestar tu oposición a soporte@grundy.app.
Los artefactos generan un score financiero y un nivel patrimonial a partir de las respuestas del lead, mediante un algoritmo automatizado. Este resultado es orientativo y no produce efectos jurídicos ni decisiones vinculantes. El asesor humano interpreta el diagnóstico y da el seguimiento personalizado.
El titular tiene derecho a oponerse al procesamiento automatizado o solicitar la revisión humana del resultado escribiendo a soporte@grundy.app.
Grundy utiliza cookies estrictamente necesarias para autenticación, cookies funcionales, cookies de análisis (Vercel Analytics) y, cuando el asesor lo activa, el Meta Pixel con su Conversions API server-side. Para detalle completo, consulta nuestra Política de Cookies.
Como titular tienes derecho a:
Para ejercer cualquiera de estos derechos, envía un correo a soporte@grundy.app con:
Plazo de respuesta: 20 días hábiles para derechos ARCO; 15 días naturales para revocación del consentimiento. El ejercicio es gratuito; solo deberás cubrir gastos justificados de envío de la información o reproducción en medios distintos al electrónico.
El servicio no está dirigido a menores de 18 años. Grundy no recopila intencionalmente datos de menores. Si detectamos datos de un menor, los eliminaremos a la brevedad. Si eres madre, padre o tutor y crees que un menor a tu cargo ha proporcionado información, escríbenos a soporte@grundy.app.
En caso de detectar una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, Grundy notificará al titular afectado sin dilación a través del correo electrónico registrado, en los términos del artículo 20 de la LFPDPPP, informando: la naturaleza del incidente, los datos comprometidos, las acciones correctivas inmediatas y las recomendaciones para mitigar el riesgo.
La autoridad competente para vigilar el cumplimiento de la LFPDPPP es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Si consideras vulnerado tu derecho a la protección de datos, puedes presentar una denuncia ante el INAI: home.inai.org.mx.
Grundy puede modificar este aviso. Los cambios serán publicados en esta página actualizando la fecha al inicio. Los cambios sustanciales serán notificados por correo electrónico a los usuarios registrados con al menos 10 días naturales de anticipación. El uso continuado del servicio después de la fecha de entrada en vigor implica la aceptación del aviso modificado.
Para cualquier duda, queja o solicitud relacionada con privacidad: soporte@grundy.app
Cuando un asesor conecta Google Calendar, Grundy accede mediante OAuth únicamente a los permisos necesarios para crear, leer, actualizar y eliminar eventos de calendario asociados a sus citas. El uso y transferencia de información recibida de las APIs de Google se realizará de conformidad con la Política de Servicios de API de Google, incluyendo los requisitos de Uso Limitado. Grundy no utiliza datos obtenidos a través de las APIs de Google para desarrollar, mejorar o entrenar modelos generalizados de inteligencia artificial o aprendizaje automático, ni los comparte con terceros.
Cuando un asesor conecta su cuenta de Gmail, Grundy accede mediante OAuth —con su consentimiento explícito— únicamente a los permisos mínimos necesarios para leer, enviar y clasificar correos electrónicos en la Bandeja Unificada (Omnibox). Los tokens de acceso y actualización se almacenan cifrados. Grundy no accede a correos fuera del contexto de la bandeja activa del asesor ni comparte su contenido con terceros.
El uso y transferencia de información obtenida a través de las APIs de Google (incluyendo Gmail) se realiza de conformidad con la Política de Servicios de API de Google, incluyendo los requisitos de Uso Limitado. Grundy no utiliza datos de Gmail para desarrollar, mejorar o entrenar modelos de inteligencia artificial, ni los comparte con terceros para ningún fin distinto a la prestación del servicio. El asesor puede revocar el acceso en cualquier momento desde los ajustes de su cuenta de Google.
Cuando un asesor conecta su cuenta de Outlook o Microsoft 365, Grundy accede mediante OAuth —con su consentimiento explícito— únicamente a los permisos mínimos necesarios para leer, enviar y clasificar correos electrónicos en la Bandeja Unificada (Omnibox) a través de la Microsoft Graph API. Los tokens de acceso y actualización se almacenan cifrados.
Los datos obtenidos de Microsoft Graph API se usan exclusivamente para la función de bandeja de correo; no se venden, no se comparten con terceros y no se utilizan para desarrollar, mejorar o entrenar modelos de inteligencia artificial. El uso de la información se rige por los Términos de Uso de las APIs de Microsoft. El asesor puede revocar el acceso en cualquier momento desde la configuración de su cuenta de Microsoft o desde Grundy.
Cuando un asesor conecta redes sociales en el Publicador, Grundy accede mediante OAuth —con su consentimiento explícito— a los permisos estrictamente necesarios para publicar contenido, consultar métricas y gestionar mensajes en cada plataforma:
Los tokens de acceso de redes sociales se almacenan cifrados y se usan exclusivamente para las funciones descritas. No se venden ni se comparten con terceros. Grundy no accede a contenido privado de las cuentas más allá de los permisos concedidos. El asesor puede desconectar cualquier red social en cualquier momento desde el Publicador; al hacerlo, los tokens asociados se eliminan.
Cuando un asesor conecta su cuenta de Zoom, Grundy accede mediante OAuth —con su consentimiento explícito— únicamente a los permisos mínimos necesarios para crear, actualizar y eliminar reuniones de Zoom asociadas a sus citas y para leer los datos básicos de su perfil (identificador de usuario, correo y nombre). Los tokens de acceso y actualización se almacenan cifrados (AES-256-GCM). Grundy no accede a grabaciones, transcripciones, chats ni al contenido de las reuniones.
La información obtenida de la API de Zoom se usa exclusivamente para la función de agendamiento; no se vende, no se comparte con terceros y no se utiliza para desarrollar, mejorar o entrenar modelos de inteligencia artificial o aprendizaje automático. Cuando el asesor desconecta Zoom desde Grundy o desinstala la aplicación desde su Zoom App Marketplace, todos los datos y tokens asociados se eliminan y se confirma la baja a Zoom conforme a su política de cumplimiento de datos (en un plazo máximo de 10 días). El uso de la información de Zoom se rige por los Términos de Uso de la API de Zoom.
Consulta también nuestros Términos y Condiciones y la Política de Cookies.