Aviso de Privacidad Integral

Última actualización: 27 de junio de 2026 · Conforme a la LFPDPPP, su Reglamento y los Lineamientos del INAI

Este aviso explica cómo Hubbdi LLC (entidad controladora, EE.UU.) y Navesp Marketing Creativo S.A. de C.V. (entidad operadora, México), en adelante conjuntamente "Grundy", recaban, usa, almacena y comparte tus datos personales. Aplica a tres tipos de personas: asesores que contratan la plataforma, prospectos (leads) que llenan los artefactos, y personas recomendadas por un prospecto.

1. Identidad y domicilio del responsable

Entidad controladora (EE.UU.):
Razón social: Hubbdi LLC
Domicilio: 30 N Gould St, Sheridan, WY 82801, Estados Unidos

Entidad operadora (México):
Razón social: Navesp Marketing Creativo S.A. de C.V.
RFC: [POR LLENAR]
Domicilio fiscal: [POR LLENAR], Ciudad de México, México.

Marca comercial: Grundy ®
Contacto de privacidad: soporte@grundy.app
Responsable de protección de datos: [POR LLENAR]

2. Datos personales que recabamos

2.1 De los asesores (clientes B2B)

2.2 De los leads / prospectos

2.3 De clientes finales (módulo Cobranza)

Cuando un asesor activa el add-on Cobranza Inteligente y sube documentos de póliza, Grundy procesa información que puede incluir:

En este escenario, el asesor actúa como responsable de los datos de sus clientes; Grundy actúa como encargado del tratamiento bajo instrucciones documentadas del asesor.

2.4 De personas recomendadas

El sistema viral de invitados permite que un lead invite a otra persona compartiendo su nombre y WhatsApp. La persona invitada puede solicitar la eliminación inmediata respondiendo "STOP" al primer mensaje recibido o escribiendo a soporte@grundy.app.

2.5 Datos recabados automáticamente

3. Datos sensibles

Los datos financieros declarados por los leads en los artefactos no se consideran "datos personales sensibles" bajo el artículo 3 fracción VI de la LFPDPPP. No obstante, los tratamos con el mismo nivel de cuidado que los sensibles.

En el módulo Cobranza, si un asesor sube una póliza de Gastos Médicos Mayores que contiene información del historial médico del asegurado, esos sí son datos sensibles de salud. Se requiere consentimiento expreso del titular (gestionado por el asesor como responsable) y se les aplica el régimen reforzado del Capítulo II del Reglamento de la LFPDPPP.

4. Finalidades del tratamiento

4.1 Finalidades primarias (necesarias para el servicio)

4.2 Finalidades secundarias (puedes oponerte sin afectar el servicio)

Si no deseas que tus datos se traten para finalidades secundarias, escribe a soporte@grundy.appo usa el link de cancelación en los correos de marketing. Cada mensaje de WhatsApp de marketing incluye instrucción para responder "STOP".

5. Transferencias y remisiones de datos

5.1 Al asesor financiero asignado

Cuando un lead completa un artefacto, Grundy comparte con el asesor que lo invitó: nombre, email, WhatsApp, respuestas detalladas del diagnóstico, score, urgencias detectadas, etapa del pipeline y notas. El asesor actúa como responsable independiente de esos datos a partir de ese momento, y su tratamiento ulterior se rige por el aviso de privacidad propio del asesor.

5.2 Remisiones a encargados del tratamiento

Grundy contrata a los siguientes proveedores tecnológicos como encargados, bajo contratos con obligaciones de confidencialidad, seguridad y limitación de uso:

ProveedorPaísFinalidadAviso
Supabase Inc.EE.UU.Base de datos y autenticaciónVer
Vercel Inc.EE.UU. / globalHosting y edge computingVer
Meta Platforms Inc.EE.UU.WhatsApp Cloud API, Meta Pixel, Conversions API; Instagram Business API (mensajes, publicaciones, métricas); Facebook Pages API (Messenger, publicaciones); Threads API (publicaciones) — solo canales que el asesor conecte voluntariamenteVer
Google LLCEE.UU.OAuth, Google Calendar y Gmail (lectura/envío de correos en Omnibox) — solo si el asesor los conectaVer
Microsoft CorporationEE.UU. / globalMicrosoft Graph API — OAuth y gestión de correos Outlook/Microsoft 365 en Omnibox (solo si el asesor lo conecta)Ver
LinkedIn CorporationEE.UU.OAuth y publicación de contenido desde Social Planner (solo si el asesor lo conecta)Ver
TikTok Inc. (ByteDance)EE.UU. / globalOAuth y publicación de videos desde Social Planner (solo si el asesor lo conecta)Ver
Zoom Video Communications, Inc.EE.UU.OAuth y creación/gestión de reuniones Zoom (solo si el asesor lo conecta)Ver
Anthropic PBCEE.UU.IA Claude — extracción de datos de PDFs de pólizas, generación de campañas en Social Planner y asistente de soporteVer
Stripe, Inc.EE.UU. / IrlandaProcesamiento de pagos de suscripciones y walletVer
Amazon Web Services (SES)EE.UU. / globalEnvío de correos transaccionales del sistema (verificación, notificaciones, recibos)Ver
Resend, Inc.EE.UU.Envío de correos transaccionales (fallback)Ver

5.3 Transferencias internacionales

Dado que la mayoría de nuestros encargados operan principalmente en Estados Unidos, tus datos sí salen de México al ser almacenados o procesados en infraestructura ubicada en ese país. Estas transferencias se realizan al amparo de las excepciones previstas en el artículo 37 fracciones IV y VI de la LFPDPPP: cumplimiento del contrato del que el titular es parte y reconocimiento o ejercicio de un derecho. Todos los encargados están obligados contractualmente a aplicar medidas de seguridad equivalentes a las exigidas por la legislación mexicana.

Si no estás de acuerdo con estas transferencias, no podemos prestar el servicio en su totalidad. Puedes manifestar tu oposición a soporte@grundy.app.

5.4 Lo que Grundy NO hace

6. Decisiones automatizadas

Los artefactos generan un score financiero y un nivel patrimonial a partir de las respuestas del lead, mediante un algoritmo automatizado. Este resultado es orientativo y no produce efectos jurídicos ni decisiones vinculantes. El asesor humano interpreta el diagnóstico y da el seguimiento personalizado.

El titular tiene derecho a oponerse al procesamiento automatizado o solicitar la revisión humana del resultado escribiendo a soporte@grundy.app.

7. Cookies y tecnologías de rastreo

Grundy utiliza cookies estrictamente necesarias para autenticación, cookies funcionales, cookies de análisis (Vercel Analytics) y, cuando el asesor lo activa, el Meta Pixel con su Conversions API server-side. Para detalle completo, consulta nuestra Política de Cookies.

8. Plazo de conservación

9. Derechos ARCO y revocación del consentimiento

Como titular tienes derecho a:

Para ejercer cualquiera de estos derechos, envía un correo a soporte@grundy.app con:

Plazo de respuesta: 20 días hábiles para derechos ARCO; 15 días naturales para revocación del consentimiento. El ejercicio es gratuito; solo deberás cubrir gastos justificados de envío de la información o reproducción en medios distintos al electrónico.

10. Menores de edad

El servicio no está dirigido a menores de 18 años. Grundy no recopila intencionalmente datos de menores. Si detectamos datos de un menor, los eliminaremos a la brevedad. Si eres madre, padre o tutor y crees que un menor a tu cargo ha proporcionado información, escríbenos a soporte@grundy.app.

11. Medidas de seguridad

12. Vulneraciones de seguridad

En caso de detectar una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, Grundy notificará al titular afectado sin dilación a través del correo electrónico registrado, en los términos del artículo 20 de la LFPDPPP, informando: la naturaleza del incidente, los datos comprometidos, las acciones correctivas inmediatas y las recomendaciones para mitigar el riesgo.

13. Autoridad de control

La autoridad competente para vigilar el cumplimiento de la LFPDPPP es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Si consideras vulnerado tu derecho a la protección de datos, puedes presentar una denuncia ante el INAI: home.inai.org.mx.

14. Cambios al aviso de privacidad

Grundy puede modificar este aviso. Los cambios serán publicados en esta página actualizando la fecha al inicio. Los cambios sustanciales serán notificados por correo electrónico a los usuarios registrados con al menos 10 días naturales de anticipación. El uso continuado del servicio después de la fecha de entrada en vigor implica la aceptación del aviso modificado.

15. Contacto

Para cualquier duda, queja o solicitud relacionada con privacidad: soporte@grundy.app

16. Cumplimiento con la API de Google Calendar

Cuando un asesor conecta Google Calendar, Grundy accede mediante OAuth únicamente a los permisos necesarios para crear, leer, actualizar y eliminar eventos de calendario asociados a sus citas. El uso y transferencia de información recibida de las APIs de Google se realizará de conformidad con la Política de Servicios de API de Google, incluyendo los requisitos de Uso Limitado. Grundy no utiliza datos obtenidos a través de las APIs de Google para desarrollar, mejorar o entrenar modelos generalizados de inteligencia artificial o aprendizaje automático, ni los comparte con terceros.

17. Cumplimiento con la API de Gmail (Google)

Cuando un asesor conecta su cuenta de Gmail, Grundy accede mediante OAuth —con su consentimiento explícito— únicamente a los permisos mínimos necesarios para leer, enviar y clasificar correos electrónicos en la Bandeja Unificada (Omnibox). Los tokens de acceso y actualización se almacenan cifrados. Grundy no accede a correos fuera del contexto de la bandeja activa del asesor ni comparte su contenido con terceros.

El uso y transferencia de información obtenida a través de las APIs de Google (incluyendo Gmail) se realiza de conformidad con la Política de Servicios de API de Google, incluyendo los requisitos de Uso Limitado. Grundy no utiliza datos de Gmail para desarrollar, mejorar o entrenar modelos de inteligencia artificial, ni los comparte con terceros para ningún fin distinto a la prestación del servicio. El asesor puede revocar el acceso en cualquier momento desde los ajustes de su cuenta de Google.

18. Cumplimiento con la API de Microsoft (Outlook / Microsoft 365)

Cuando un asesor conecta su cuenta de Outlook o Microsoft 365, Grundy accede mediante OAuth —con su consentimiento explícito— únicamente a los permisos mínimos necesarios para leer, enviar y clasificar correos electrónicos en la Bandeja Unificada (Omnibox) a través de la Microsoft Graph API. Los tokens de acceso y actualización se almacenan cifrados.

Los datos obtenidos de Microsoft Graph API se usan exclusivamente para la función de bandeja de correo; no se venden, no se comparten con terceros y no se utilizan para desarrollar, mejorar o entrenar modelos de inteligencia artificial. El uso de la información se rige por los Términos de Uso de las APIs de Microsoft. El asesor puede revocar el acceso en cualquier momento desde la configuración de su cuenta de Microsoft o desde Grundy.

19. Redes sociales — Publicador

Cuando un asesor conecta redes sociales en el Publicador, Grundy accede mediante OAuth —con su consentimiento explícito— a los permisos estrictamente necesarios para publicar contenido, consultar métricas y gestionar mensajes en cada plataforma:

Los tokens de acceso de redes sociales se almacenan cifrados y se usan exclusivamente para las funciones descritas. No se venden ni se comparten con terceros. Grundy no accede a contenido privado de las cuentas más allá de los permisos concedidos. El asesor puede desconectar cualquier red social en cualquier momento desde el Publicador; al hacerlo, los tokens asociados se eliminan.

20. Cumplimiento con la API de Zoom

Cuando un asesor conecta su cuenta de Zoom, Grundy accede mediante OAuth —con su consentimiento explícito— únicamente a los permisos mínimos necesarios para crear, actualizar y eliminar reuniones de Zoom asociadas a sus citas y para leer los datos básicos de su perfil (identificador de usuario, correo y nombre). Los tokens de acceso y actualización se almacenan cifrados (AES-256-GCM). Grundy no accede a grabaciones, transcripciones, chats ni al contenido de las reuniones.

La información obtenida de la API de Zoom se usa exclusivamente para la función de agendamiento; no se vende, no se comparte con terceros y no se utiliza para desarrollar, mejorar o entrenar modelos de inteligencia artificial o aprendizaje automático. Cuando el asesor desconecta Zoom desde Grundy o desinstala la aplicación desde su Zoom App Marketplace, todos los datos y tokens asociados se eliminan y se confirma la baja a Zoom conforme a su política de cumplimiento de datos (en un plazo máximo de 10 días). El uso de la información de Zoom se rige por los Términos de Uso de la API de Zoom.

Consulta también nuestros Términos y Condiciones y la Política de Cookies.