Aviso de Privacidad Integral

Última actualización: 17 de mayo de 2026 · Conforme a la LFPDPPP, su Reglamento y los Lineamientos del INAI

1. Identidad y domicilio del responsable

Razón social: Navesp Marketing Creativo S.A. de C.V. (en adelante "Grundy").
Marca comercial: Grundy ®
RFC: [POR LLENAR]
Domicilio fiscal: [POR LLENAR], Ciudad de México, México.
Contacto de privacidad: soporte@grundy.app
Responsable de protección de datos: [POR LLENAR]

2. Datos personales que recabamos

2.1 De los asesores (clientes B2B)

• Identificación: nombre completo, foto de perfil
• Contacto: correo electrónico, número de WhatsApp
• Cobro: datos fiscales y método de pago procesados directamente por Stripe (Grundy no almacena el número completo de tarjeta)
• Credenciales OAuth de Google Calendar (cuando el asesor lo conecta voluntariamente)
• Identificadores de WhatsApp Business API (phone_number_id, tokens)
• Meta Pixel ID propio del asesor (si lo configura)
• Datos de uso: registros de actividad, IP, navegador, dispositivo

2.2 De los leads / prospectos

• Identificación: nombre completo
• Contacto: correo electrónico y número de WhatsApp
• Datos financieros declarados voluntariamente al llenar los artefactos: edad, ingresos mensuales aproximados, gastos, ahorros, deudas, patrimonio, cobertura de seguros, metas de retiro, dependientes económicos, y otros datos según el artefacto utilizado (Radiografía Financiera, Plan Deuda Cero, Plan de Retiro, ADN Financiero, Persona Clave, Simulador GMM, ¿Cuánto estás apostando con tu auto?)
• Datos de verificación: código OTP de un solo uso (válido 5 minutos)
• Datos de uso: timestamp del diagnóstico, IP, navegador, URL de origen, score financiero y nivel patrimonial calculados automáticamente

2.3 De clientes finales (módulo Cobranza)

Cuando un asesor activa el add-on Cobranza Inteligente y sube documentos de póliza, Grundy procesa información que puede incluir:

• Nombre del asegurado titular y beneficiarios
• RFC, CURP (si aparece en la póliza)
• Número de póliza, aseguradora, ramo y vigencia
• Prima, periodicidad y forma de pago
• Condiciones particulares del producto
• En pólizas de Gastos Médicos Mayores: información del historial médico declarado en el contrato (considerada dato sensible)

En este escenario, el asesor actúa como responsable de los datos de sus clientes; Grundy actúa como encargado del tratamiento bajo instrucciones documentadas del asesor.

2.4 De personas recomendadas

El sistema viral de recomendados permite que un lead invite a otra persona compartiendo su nombre y WhatsApp. La persona recomendada puede solicitar la eliminación inmediata respondiendo "STOP" al primer mensaje recibido o escribiendo a soporte@grundy.app.

2.5 Datos recabados automáticamente

• Dirección IP, tipo de navegador y sistema operativo
• Cookies y tecnologías similares (ver Política de Cookies)
• Eventos de Meta Pixel y Conversions API (cuando el asesor o Grundy tiene Pixel activo)
• Logs del sistema con timestamps de acciones

3. Datos sensibles

Los datos financieros declarados por los leads en los artefactos no se consideran "datos personales sensibles" bajo el artículo 3 fracción VI de la LFPDPPP. No obstante, los tratamos con el mismo nivel de cuidado que los sensibles.

En el módulo Cobranza, si un asesor sube una póliza de Gastos Médicos Mayores que contiene información del historial médico del asegurado, esos sí son datos sensibles de salud. Se requiere consentimiento expreso del titular (gestionado por el asesor como responsable) y se les aplica el régimen reforzado del Capítulo II del Reglamento de la LFPDPPP.

4. Finalidades del tratamiento

4.1 Finalidades primarias (necesarias para el servicio)

• Operar la plataforma y autenticar usuarios
• Generar el diagnóstico financiero personalizado del lead
• Verificar la identidad del lead mediante código OTP enviado por WhatsApp
• Conectar al lead con el asesor financiero que lo invitó
• Procesar cobros de suscripciones y add-ons del asesor (a través de Stripe)
• Enviar emails transaccionales (verificación, recibos, recordatorios, notificaciones)
• Enviar mensajes de WhatsApp transaccionales (confirmación de cita, recordatorio 24 h antes, recordatorio 30 min antes)
• En Cobranza: procesar documentos PDF de pólizas con IA para extraer datos estructurados
• Cumplir obligaciones legales, fiscales y contractuales

4.2 Finalidades secundarias (puedes oponerte sin afectar el servicio)

• Mejorar algoritmos de scoring y experiencia mediante análisis agregados y anonimizados
• Enviar comunicaciones de marketing al asesor sobre nuevas funciones y mejoras
• Enviar comunicaciones promocionales al lead de parte del asesor (con opción de opt-out)
• Emitir eventos de conversión a Meta Pixel y Conversions API para optimización de campañas publicitarias del asesor o de Grundy
• Mostrar anuncios in-app, tutoriales y notificaciones push dentro del dashboard

Si no deseas que tus datos se traten para finalidades secundarias, escribe a soporte@grundy.appo usa el link de cancelación en los correos de marketing. Cada mensaje de WhatsApp de marketing incluye instrucción para responder "STOP".

5. Transferencias y remisiones de datos

5.1 Al asesor financiero asignado

Cuando un lead completa un artefacto, Grundy comparte con el asesor que lo invitó: nombre, email, WhatsApp, respuestas detalladas del diagnóstico, score, urgencias detectadas, etapa del pipeline y notas. El asesor actúa como responsable independiente de esos datos a partir de ese momento, y su tratamiento ulterior se rige por el aviso de privacidad propio del asesor.

5.2 Remisiones a encargados del tratamiento

Grundy contrata a los siguientes proveedores tecnológicos como encargados, bajo contratos con obligaciones de confidencialidad, seguridad y limitación de uso:

5.3 Transferencias internacionales

Dado que la mayoría de nuestros encargados operan principalmente en Estados Unidos, tus datos sí salen de México al ser almacenados o procesados en infraestructura ubicada en ese país. Estas transferencias se realizan al amparo de las excepciones previstas en el artículo 37 fracciones IV y VI de la LFPDPPP: cumplimiento del contrato del que el titular es parte y reconocimiento o ejercicio de un derecho. Todos los encargados están obligados contractualmente a aplicar medidas de seguridad equivalentes a las exigidas por la legislación mexicana.

Si no estás de acuerdo con estas transferencias, no podemos prestar el servicio en su totalidad. Puedes manifestar tu oposición a soporte@grundy.app.

5.4 Lo que Grundy NO hace

• No vendemos, arrendamos ni cedemos datos personales a terceros con fines comerciales
• No compartimos datos con redes publicitarias para retargeting cruzado
• No transferimos datos a brokers de datos

6. Decisiones automatizadas

Los artefactos generan un score financiero y un nivel patrimonial a partir de las respuestas del lead, mediante un algoritmo automatizado. Este resultado es orientativo y no produce efectos jurídicos ni decisiones vinculantes. El asesor humano interpreta el diagnóstico y da el seguimiento personalizado.

El titular tiene derecho a oponerse al procesamiento automatizado o solicitar la revisión humana del resultado escribiendo a soporte@grundy.app.

7. Cookies y tecnologías de rastreo

Grundy utiliza cookies estrictamente necesarias para autenticación, cookies funcionales, cookies de análisis (Vercel Analytics) y, cuando el asesor lo activa, el Meta Pixel con su Conversions API server-side. Para detalle completo, consulta nuestra Política de Cookies.

8. Plazo de conservación

• Datos de asesores: durante la vigencia de la suscripción y 5 años posteriores (obligaciones contables y fiscales del Código Fiscal de la Federación)
• Datos de leads: 3 años desde la última interacción, salvo que el asesor solicite eliminación antes
• PDFs y datos extraídos de pólizas (Cobranza): durante la vigencia de la póliza más 5 años
• Códigos OTP: eliminados automáticamente tras su uso o a los 5 minutos
• Logs del sistema: 90 días
• Datos agregados o anonimizados: indefinidamente, sin posibilidad de re-identificar al titular

9. Derechos ARCO y revocación del consentimiento

Como titular tienes derecho a:

• Acceder a tus datos personales y conocer los detalles del tratamiento
• Rectificar datos inexactos o incompletos
• Cancelar tus datos cuando hayan dejado de ser necesarios
• Oponerte al tratamiento para una finalidad específica
• Revocar el consentimiento que en su momento otorgaste
• Limitar el uso o divulgación de tus datos

Para ejercer cualquiera de estos derechos, envía un correo a soporte@grundy.app con:

• Nombre completo y correo electrónico registrado
• Derecho que deseas ejercer y descripción clara de la solicitud
• Copia de identificación oficial vigente (INE, pasaporte, cédula profesional)
• Cualquier documento que facilite la localización de tus datos

Plazo de respuesta: 20 días hábiles para derechos ARCO; 15 días naturales para revocación del consentimiento. El ejercicio es gratuito; solo deberás cubrir gastos justificados de envío de la información o reproducción en medios distintos al electrónico.

10. Menores de edad

El servicio no está dirigido a menores de 18 años. Grundy no recopila intencionalmente datos de menores. Si detectamos datos de un menor, los eliminaremos a la brevedad. Si eres madre, padre o tutor y crees que un menor a tu cargo ha proporcionado información, escríbenos a soporte@grundy.app.

11. Medidas de seguridad

• Cifrado en tránsito mediante HTTPS / TLS 1.2 o superior
• Cifrado en reposo de la base de datos en Supabase
• Autenticación con tokens JWT y separación de roles administrativos
• Principio de mínimo privilegio para el personal de Grundy
• Registros de auditoría (system logs) de operaciones sensibles
• Revisión periódica de dependencias y vulnerabilidades
• Capacitación interna sobre privacidad y seguridad

12. Vulneraciones de seguridad

En caso de detectar una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales de los titulares, Grundy notificará al titular afectado sin dilación a través del correo electrónico registrado, en los términos del artículo 20 de la LFPDPPP, informando: la naturaleza del incidente, los datos comprometidos, las acciones correctivas inmediatas y las recomendaciones para mitigar el riesgo.

13. Autoridad de control

La autoridad competente para vigilar el cumplimiento de la LFPDPPP es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Si consideras vulnerado tu derecho a la protección de datos, puedes presentar una denuncia ante el INAI: home.inai.org.mx.

14. Cambios al aviso de privacidad

Grundy puede modificar este aviso. Los cambios serán publicados en esta página actualizando la fecha al inicio. Los cambios sustanciales serán notificados por correo electrónico a los usuarios registrados con al menos 10 días naturales de anticipación. El uso continuado del servicio después de la fecha de entrada en vigor implica la aceptación del aviso modificado.

15. Contacto

Para cualquier duda, queja o solicitud relacionada con privacidad: soporte@grundy.app

16. Cumplimiento con las APIs de Google

El uso y transferencia de información recibida de las APIs de Google hacia cualquier otra aplicación se realizará de conformidad con la Política de Servicios de API de Google, incluyendo los requisitos de Uso Limitado. Grundy no utiliza datos obtenidos a través de las APIs de Google para desarrollar, mejorar o entrenar modelos generalizados de inteligencia artificial o aprendizaje automático, ni los comparte con terceros.

Consulta también nuestros Términos y Condiciones y la Política de Cookies.