Política de Privacidad
Última actualización: 2026-05-20-v2 · Compatible con GDPR · LGPD · LFPDPPP · Ley 25.326 · CCPA
Esta Política describe cómo In Growth Solutions (“Growly”, “nosotros”) recolecta, usa, comparte y protege información personal en relación con el servicio Growly (el “Servicio”).
1. Identificación del responsable
Responsable del tratamiento (Data Controller): In Growth Solutions
Encargado de Protección de Datos (DPO/Encarregado): dpo@ingrowthsolutions.com
2. Categorías de datos personales que recolectamos
2.1. Datos de cuenta del Usuario (Cliente): nombre, email corporativo, teléfono opcional, hash de contraseña, rol organizacional, idioma preferido, plan de suscripción, datos de facturación procesados por Stripe.
2.2. Datos de uso del Servicio: logs de acceso, direcciones IP, identificadores de dispositivo, navegador, sistema operativo, eventos de interacción (clicks, tiempos, funciones usadas) con fines de mejora del producto y seguridad.
2.3. Datos de leads cargados por el Cliente: nombres, emails profesionales, cargos, empresas, perfiles públicos, teléfonos profesionales, notas de outreach, historial de mensajes y respuestas.
2.4. Datos enriquecidos de terceros: información obtenida vía proveedores autorizados (Apollo, Hunter, Lusha) o fuentes públicas (gacetas oficiales, Crunchbase, contenido público en LinkedIn, registros corporativos), incluyendo emails, teléfonos, cargos, fechas de cambio de rol.
2.5. Datos generados por inteligencia artificial: inferencias DISC sobre comunicación, scoring de leads, generaciones de copy personalizado por nuestro modelo Gia. Estas inferencias se basan en datos públicos y se categorizan como datos derivados.
2.6. Datos de respuestas inbound (opcional): si conecta su Gmail/Outlook, leemos el contenido de respuestas a sus cadencias para clasificar (interesado, no interesado, OOO). NO leemos correo no relacionado con cadencias.
3. Finalidades del tratamiento y bases legales
| Finalidad | Base legal (GDPR/LGPD) |
|---|---|
| Provisión del Servicio al Cliente | Ejecución de contrato (Art. 6(1)(b) GDPR / Art. 7 II LGPD) |
| Facturación y prevención de fraude | Obligación legal (Art. 6(1)(c) GDPR / Art. 7 II LGPD) |
| Mejora del producto y analytics | Interés legítimo (Art. 6(1)(f) GDPR / Art. 7 IX LGPD), con LIA documentado |
| Living Identity Graph (B2B intelligence) | Interés legítimo del Cliente como responsable del tratamiento, con LIA documentado |
| Seguridad y prevención de abuso | Interés legítimo + obligación legal |
| Marketing del producto Growly al Cliente | Consentimiento (opt-in) / interés legítimo soft |
El Cliente, al cargar leads en el Servicio, actúa como responsable independiente y debe disponer de su propia base legal para procesar dichos datos (consentimiento, interés legítimo, ejecución contractual). Growly opera como encargado del tratamiento para esos datos.
4. Compartición con terceros (Encargados / Subprocesadores)
Compartimos datos con los siguientes proveedores autorizados, todos sujetos a obligaciones contractuales de confidencialidad y protección. La lista completa y actualizada está en /legal/subprocessors:
- Supabase — base de datos y backend (US/EU)
- Resend — envío transaccional de correos (US)
- Google Cloud (Vertex AI) — modelos de IA (US/EU)
- Stripe — procesamiento de pagos (US/Global)
- Sentry — monitoreo de errores (US/EU)
- Hostinger — hosting de la aplicación (EU)
Para transferencias internacionales fuera del EEE, aplicamos Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea conforme al Art. 46 GDPR.
5. Cookies y tecnologías similares
Usamos cookies esenciales para autenticación y funcionalidad core, y cookies analíticas (con consentimiento) para entender el uso del Servicio. No usamos cookies de tracking publicitario de terceros. Ver detalles en /legal/cookies.
6. Plazos de retención
- Datos de cuenta: mientras la cuenta esté activa + 90 días tras cancelación, salvo obligación legal de retención mayor (e.g., facturación 5 años).
- Datos de leads y mensajes: mientras la cuenta esté activa o el Cliente lo defina; auto-purga de leads sin actividad >24 meses.
- Logs de acceso y seguridad: 12 meses.
- Backups encriptados: 30 días rotación, después purga automática.
- Datos de claims OSINT del Living Identity Graph: revisión anual; eliminación si la fuente original deja de ser pública.
7. Derechos del titular de los datos
Bajo GDPR, LGPD, LFPDPPP y otras leyes aplicables, usted tiene derecho a:
- Acceso: solicitar copia de sus datos personales que procesamos.
- Rectificación: corregir datos inexactos.
- Supresión / Eliminación: solicitar borrado (“derecho al olvido”).
- Limitación del tratamiento: pausar el procesamiento.
- Portabilidad: recibir sus datos en formato estructurado y de uso común.
- Oposición: al tratamiento basado en interés legítimo.
- Revocación del consentimiento: cuando el tratamiento se basa en consentimiento.
- No discriminación: bajo CCPA, no recibirá un servicio degradado por ejercer sus derechos.
- Reclamación ante autoridad de control: ANPD (Brasil), AEPD (España), INAI (México), AAIP (Argentina), CNIL (Francia), entre otras.
Cómo ejercer: envíe solicitud a dpo@ingrowthsolutions.com o use nuestro formulario en /legal/erasure-request. Respondemos en máximo 30 días calendario (extensible a 90 en casos complejos, con notificación previa).
8. Seguridad
Aplicamos medidas técnicas y organizativas razonables para proteger los datos:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Control de acceso basado en roles (RBAC) y principio de mínimo privilegio.
- Autenticación de dos factores (TOTP) disponible para todos los Usuarios.
- Auditoría continua de logs de acceso a sistemas críticos.
- Firewall, monitoreo de anomalías, escaneo de vulnerabilidades.
- Backups encriptados con rotación 30 días.
- Programa de respuesta a incidentes con notificación a autoridades en plazos legales (72h GDPR, 5 días LGPD/LFPDPPP cuando aplique).
9. Menores de edad
El Servicio NO está dirigido a menores de 18 años. No recolectamos conscientemente información personal de menores. Si toma conocimiento de que un menor proporcionó datos, contacte a dpo@ingrowthsolutions.com para eliminación inmediata.
10. Decisiones automatizadas e IA
Nuestro modelo Gia genera estimaciones de personalidad (DISC + OCEAN trait estimation) y recomendaciones de mensajes basadas en datos públicos del lead (LinkedIn About/Experience, posts, news mentions). Importante: estas estimaciones son inferencias derivadas de texto vía LLM — NO son resultado de un instrumento psicométrico validado (NEO-PI-R, IPIP-NEO). Asisten al Usuario humano, quien retiene control editorial. No tomamos decisiones automatizadas con efecto legal significativo sobre los sujetos de datos en el sentido del Art. 22 GDPR. Prohibido uso para decisiones de hiring, promoción o evaluación de personal — los TOS lo restringen.
Right to erasure de personality data. Si eres un prospecto sobre el que un usuario de Growly infirió un perfil DISC/Big-5 sin tu autorización, puedes solicitar borrado inmediato vía el formulario público en /legal/erasure-request o por email a dpo@ingrowthsolutions.com. SLA target: 7 días, máximo legal 30 días (GDPR Art. 17). DPIA disponible en /legal/dpia-disc.
11. Living Identity Graph (LIG)
El LIG es una base de datos B2B agregada con perfiles profesionales construidos a partir de fuentes públicas y datos contribuidos por Clientes que hayan optado explícitamente. Hemos realizado un Análisis de Interés Legítimo (LIA) y una Evaluación de Impacto en la Protección de Datos (DPIA) documentados, disponibles bajo solicitud.
Para ejercer derechos sobre datos en el LIG, contacte a dpo@ingrowthsolutions.com o use el formulario público en /legal/erasure-request.
12. Soberanía de datos del Cliente · Pledge
Esta sección documenta los compromisos públicos operativos aprobados por la junta directiva de In Growth Solutions el 2026-05-20 y publicados en /manifesto. Constituyen políticas operativas vigentes y auditables; su violación involuntaria no genera obligación indemnizatoria automática, debiendo el Cliente acreditar daño material concreto conforme la ley aplicable.
12.1 Default privado. Toda data cargada o generada por el Cliente (leads, mensajes, sequences, voz entrenada, grafo de identidad personal) se almacena con el atributo de soberanía privado por defecto. No se comparte, vende ni utiliza para entrenar modelos de terceros sin instrucción explícita del Cliente.
12.2 Sin venta a terceros. Growly no vende data del Cliente a terceros como revenue stream. La revenue de Growly proviene exclusivamente de las suscripciones SaaS al producto. En el supuesto improbable de fusión, adquisición o reorganización societaria de In Growth Solutions, los datos personales serán transferidos al sucesor únicamente si éste se obliga contractualmente a mantener todos los compromisos de esta Política. Los Clientes serán notificados con al menos 30 días de antelación, con opción de exportar y revocar consentimientos antes de la transferencia.
12.3 Transparencia auditable. El Cliente puede acceder a un registro auditable de las operaciones que afectaron sus datos en Configuración → Soberanía. Este log incluye fuente de cada dato, procesamiento aplicado, contribuciones al pool cooperativo (si opt-in), exports realizados, y respuestas a RTBF. La retención del log es de 5 años desde su generación, salvo solicitud de borrado por el Cliente.
12.4 Right-to-be-forgotten end-to-end. Las solicitudes de borrado (RTBF) se propagan a todos los registros de identidad derivados (perfiles, claims, resoluciones de grafo, contribuciones al pool cooperativo si aplica, y registros de auditoría). La cobertura técnica se actualiza con cada adición de funcionalidad. La verificación de borrado completo es accesible bajo solicitud al DPO, con plazo de respuesta máximo de 30 días naturales conforme GDPR Art. 12 y 15 días conforme LGPD Art. 19.
12.5 Comunicación honesta de capacidades. Growly no publica compromisos que no estén implementados. Cada compromiso de esta sección está activo en producción al momento de publicación, con la excepción del pool cooperativo descrito en la sección 13, que se encuentra en fase de implementación gradual y será activado conforme los términos descritos cuando esté disponible para los Clientes. Hasta esa activación, el atributo "is_shareable" permanece en estado privado por defecto sin excepción.
12.6 Derecho de auditoría externa. El Cliente con tier Business o superior tiene derecho a auditar técnicamente el cumplimiento de estos compromisos a través de tercero auditor mutuamente aprobado, una (1) vez por año natural, con costos a cargo del Cliente. Los hallazgos materiales se incorporan a un plan de remediación pública.
13. Cooperative pool (Co-op) — opt-in granular
13.1 Naturaleza y rol legal. Los Clientes pueden contribuir voluntariamente contactos profesionales B2B al pool cooperativo. El Cliente actúa como controller primario sobre los contactos que contribuye y mantiene todas las responsabilidades del controller relativas a la base legal del tratamiento (consentimiento del titular conforme GDPR Art. 7 / LGPD Art. 8, o interés legítimo documentado mediante LIA cuando la jurisdicción lo permita). Growly actúa exclusivamente como processor en la anonimización, almacenamiento y distribución técnica del contacto contribuido, conforme contrato DPA separado disponible bajo solicitud.
13.2 Base legal por jurisdicción del titular. Para titulares ubicados en Brasil (LGPD) o Unión Europea (GDPR), opera consentimiento explícito o interés legítimo con Legitimate Interest Assessment (LIA) documentado. Para titulares en México (LFPDPPP), Argentina (Ley 25.326) o California (CCPA), opera consentimiento explícito como base legal exclusiva.
13.3 Mecanismo de consentimiento. El consentimiento es granular y verificable conforme requisitos GDPR Art. 7 y LGPD Art. 8. Cada toggle de contribución genera un registro que incluye: marca temporal de la acción afirmativa, texto presentado al Cliente, identificador único del consentimiento, dirección IP y user-agent. Estos registros se almacenan separados del contacto contribuido y son auditables.
13.4 Anonimización y filtrado. El pool aplica anonimización mediante hash criptográfico antes de cualquier acceso por otros Clientes. Está diseñado únicamente para emails corporativos B2B; emails personales se filtran y descartan automáticamente.
13.5 Reciprocidad neta y no monetización. El acceso al pool es recíproco neto: por cada contacto verificado contribuido, el Cliente recibe créditos contables para acceder a contactos contribuidos por otros Clientes. Los créditos co-op no constituyen contraprestación dineraria ni equivalente monetario, no tienen valor de mercado, no son transferibles entre Clientes ni canjeables por servicios externos. Su única función es contabilizar reciprocidad interna en el ecosistema cooperativo. Growly no monetiza el trading de contactos en el pool bajo ninguna forma directa o indirecta.
13.6 Revocación. El Cliente puede revocar contribuciones individuales o conjuntas en cualquier momento desde Configuración → Soberanía. La revocación se ejecuta lo antes técnicamente posible, con plazo máximo de 72 horas y notificación al Cliente al completarse.
13.7 Proveedores de enrichment externos. Los proveedores autorizados de enriquecimiento (Apollo, Hunter, y otros listados en /legal/subprocessors) operan bajo sus propias políticas de retención y uso. El Cliente debe revisar dichas políticas antes de invocar reveals de contacto. Growly no controla las prácticas de retención de proveedores externos más allá de sus términos contractuales con éstos.
14. Cambios a esta Política
Notificaremos cambios materiales con al menos 30 días de anticipación por correo electrónico o aviso in-app. La fecha de "Última actualización" al inicio refleja la última revisión.
Idioma vinculante: esta política se publica originalmente en español. Traducciones a otros idiomas se proporcionan por conveniencia. En caso de discrepancia interpretativa, prevalece la versión en español del documento.
15. Avisos específicos por jurisdicción
Brasil (LGPD): nuestro Encarregado es dpo@ingrowthsolutions.com. Aviso completo en /legal/aviso-lgpd.
México (LFPDPPP): aviso de privacidad integral en /legal/aviso-mx. Derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) ejercibles vía DPO.
Argentina (Ley 25.326): registrado ante DNPDP. Derechos del titular conforme Cap. III de la Ley.
Unión Europea (GDPR): Representante UE en proceso de designación. SCCs aplican a transferencias.
California (CCPA): aplicable solo si superamos los thresholds de revenue/data subjects. Actualmente NO aplicable; revisión anual.
16. Contacto
DPO / Encargado: dpo@ingrowthsolutions.com
Privacidad / Legal: legal@ingrowthsolutions.com
Seguridad / Vulnerabilidades: security@ingrowthsolutions.com
Esta política aplica únicamente al servicio Growly y al sitio web growlysales.com. No cubre prácticas de proveedores terceros ni de Clientes en su uso del Servicio.