Integralia Grupo Inmobiliario logo
Home/Políticas de Privacidad
general

Políticas de Privacidad

Integralia Grupo InmobiliarioApril 09, 2026

POLÍTICA DE PRIVACIDAD

Última actualización: 9 Abril 2026

Versión: 2.0

1. Identidad del responsable y modelo operativo multi-tenant

La presente Política de Privacidad regula el tratamiento de datos personales realizado a través de la plataforma digital operada bajo la marca HEROSUITE y por la entidad AUTOMATIZACIONES E INNOVACION EN DISEÑOS RESIDENCIALES SA DE CV, con domicilio en TANTOYUCA 66, CALACOAYA RESIDENCIAL y correo de contacto info@herosuite.io.

Dado que la plataforma opera bajo un esquema multi-tenant y puede desplegarse bajo dominios propios, subdominios o entornos white-label de distintas empresas/clientes, la condición jurídica de las partes puede variar según el módulo y el flujo concreto:

a) en algunos casos, HEROSUITE actuará como responsable del tratamiento;

b) en otros, actuará como encargado del tratamiento por cuenta de una empresa cliente, tenant o cuenta corporativa;

c) en ciertos escenarios puede existir una relación de corresponsabilidad o una distribución funcional de responsabilidades, especialmente cuando la marca visible, el dominio, el contacto comercial y la base de usuarios pertenecen a un tercero, pero la infraestructura y ciertos servicios comunes son operados centralmente por la plataforma.

Cuando usted interactúe con un sitio, dashboard o servicio identificado con la marca de un tenant, empresa cliente o cuenta corporativa específica, dicha entidad podrá ser el responsable principal de los datos tratados en ese entorno, y HEROSUITE podrá actuar como proveedor tecnológico/encargado para fines de hosting, autenticación, soporte, mensajería, IA, operación modular u otros servicios de plataforma. Este extremo debe validarse y documentarse contractualmente por tenant antes de publicación final.

2. Alcance

Esta Política aplica al tratamiento de datos personales recogidos a través de:

  • áreas públicas del sitio;

  • formularios de contacto, registro, submissions, encuestas y directorios;

  • áreas autenticadas de cliente;

  • dashboards internos, administrativos y de colaboradores;

  • módulos de CRM, operaciones, marketplace, geolocalización, mensajería, IA, smart tags, transporte, CMS y archivos;

  • canales externos integrados por API, webhooks o mensajería;

  • tecnologías de seguimiento, cookies y almacenamiento local.

3. Categorías de datos personales tratados

Podemos tratar, según su interacción con la plataforma, las siguientes categorías de datos:

3.1 Datos de identificación y contacto

Nombre, apellidos, correo electrónico, teléfono fijo o móvil, prefijo internacional, identificadores de mensajería (como WhatsApp ID o Telegram ID), nombre de perfil, datos de empresa, cargo o rol.

3.2 Datos de cuenta y autenticación

Credenciales, identificadores de usuario, tokens de sesión y refresh, registros de acceso, fecha y hora de login, última sesión, restablecimientos de contraseña, intentos de autenticación, roles y contextos de acceso.

3.3 Datos de perfil y contexto operativo

Fecha de nacimiento, fotografía/avatar, preferencias, idioma, metadatos, campos libres, información de empresa, colaborador, proveedor, inversionista o perfil público.

3.4 Datos de localización y geodatos

Dirección, ciudad, estado, región, país, coordenadas, latitud/longitud, polígonos, identificadores de lugar como Google Places ID y otros metadatos de ubicación.

3.5 Datos de formularios, encuestas y submissions

Respuestas abiertas o estructuradas, datos aportados en formularios públicos o privados, adjuntos, comentarios, historial operativo, información de auditoría y resultados.

3.6 Datos de marketplace, inmuebles y directorios

Datos del inmueble, atributos, imágenes, video, dirección, precio, descripción, geolocalización, información de contacto asociada a listings o perfiles publicados.

3.7 Datos de comunicaciones

Contenido de correos, mensajes, interacciones por chat, webhooks, canales de mensajería e historiales de conversación.

3.8 Datos de IA y automatización

Prompts, mensajes del usuario, respuestas generadas, instrucciones del sistema, llamadas a herramientas, logs de flujo, etiquetas operativas, feedback y estados de conversación.

3.9 Datos de smart tags, transporte y telemetría

UID, VIN, placas, externalId, serviceId, alias, ubicación, velocidad, altitud, curso, batería, ignición, kilometraje, odómetro, timestamps, asignaciones y documentos relacionados con unidades o activos.

3.10 Datos de archivos y contenidos subidos

Imágenes, documentos, videos, archivos adjuntos y posibles metadatos embebidos en dichos archivos.

3.11 Datos técnicos y de seguridad

Dirección IP, host, origen, protocolo, user-agent, cabeceras relevantes, logs de proxy, eventos de seguridad, métricas de disponibilidad y diagnóstico.

3.12 Datos de referral, analítica y marketing

Cookies, identificadores en línea, companyOrigin, hs:param:refByCode, refCode, refLink, campañas, eventos de conversión y señales de atribución publicitaria.

3.13 Datos potencialmente sensibles o de atención reforzada

En algunos módulos o respuestas abiertas pueden aparecer datos que, según el contexto, requieran protección reforzada, por ejemplo:

  • ubicación precisa;

  • información libremente aportada sobre salud o circunstancias personales;

  • datos de consultas veterinarias que puedan generar inferencias sobre hábitos o situación del titular;

  • información laboral o de monitoreo indirecto de conductores/personal.

Supuesto a validar con backend/negocio: si ciertos módulos implican categorías especiales de datos o decisiones automatizadas con efectos significativos.

4. Fuentes de los datos

Los datos pueden obtenerse:

a) directamente de usted, al navegar, registrarse, completar formularios, subir contenido o interactuar con el servicio;

b) del tenant, empresa cliente, empleador, administrador o colaborador que cree o gestione su cuenta;

c) de terceros integrados por usted o por el tenant, como proveedores de mapas, autenticación, mensajería, analítica, publicidad o IA;

d) de fuentes públicas o registros públicos, en la medida permitida por la ley;

e) de interacciones entrantes por webhooks, mensajería o integraciones externas;

f) de importaciones masivas realizadas por clientes empresariales o usuarios autorizados.

5. Finalidades del tratamiento y bases legales en la UE

Tratamos datos personales para las siguientes finalidades y, cuando aplica el GDPR, con las siguientes bases legales potenciales:

5.1 Prestación del servicio y gestión de la cuenta

Para registrar usuarios, autenticar sesiones, permitir el cambio de contexto por rol, habilitar el dashboard, gestionar perfiles, tareas, citas, módulos, directorios, propiedades, historial y soporte operativo.

Base legal UE: ejecución de un contrato o aplicación de medidas precontractuales.

5.2 Seguridad, prevención de fraude y continuidad operativa

Para validar payloads, limitar abusos, aplicar rate limiting, proteger accesos, investigar incidentes, mantener logs técnicos y reforzar la seguridad del entorno.

Base legal UE: interés legítimo en proteger la plataforma, los usuarios y la infraestructura; en determinados casos, cumplimiento de obligaciones legales.

5.3 Soporte, mantenimiento y administración interna

Para atender incidencias, operar tareas programadas, administrar credenciales técnicas, realizar soporte y, cuando proceda, acceder de manera privilegiada a cuentas bajo procesos autorizados.

Base legal UE: ejecución contractual e interés legítimo.

Supuesto a validar con backend/operación: si la funcionalidad de impersonación cuenta con trazabilidad, aprobación y controles de auditoría suficientes.

5.4 Comunicaciones transaccionales

Para enviar confirmaciones, avisos de cuenta, restablecimientos de contraseña, notificaciones operativas, mensajes de soporte y comunicaciones relacionadas con el servicio.

Base legal UE: ejecución contractual o interés legítimo, según el tipo de mensaje y relación existente.

5.5 Marketing, newsletters, remarketing y medición comercial

Para enviar comunicaciones promocionales, newsletters, campañas, audiencias, medición de conversiones, remarketing y seguimiento publicitario.

Base legal UE: consentimiento cuando la ley lo exija, especialmente para cookies/trackers no necesarios y marketing electrónico directo en contextos aplicables; en ciertos casos, interés legítimo sujeto a evaluación y al derecho de oposición.

En la UE, las reglas sobre cookies y tecnologías similares exigen, como principio general, consentimiento previo para cookies no estrictamente necesarias, incluidas muchas analíticas y de publicidad. 

5.6 Geolocalización, mapas, cobertura y listings

Para mostrar direcciones, mapas, lugares, coberturas, propiedades y funcionalidades territoriales.

Base legal UE: ejecución contractual, medidas precontractuales o interés legítimo; consentimiento cuando se trate de ubicación precisa del dispositivo o cuando la legislación aplicable lo requiera.

5.7 Marketplace, submissions y evaluación de oportunidades

Para recibir formularios públicos sobre propiedades, flipping, proveedores, compañías, inversionistas u otros listados; evaluar información enviada y contactar a los interesados.

Base legal UE: medidas precontractuales a solicitud del interesado, ejecución contractual o interés legítimo.

5.8 IA y automatización conversacional

Para habilitar asistentes virtuales, chatbots, flujos de conversación, respuestas automatizadas, resúmenes, tool calls y automatizaciones operativas.

Base legal UE: ejecución contractual cuando la funcionalidad sea parte del servicio solicitado; interés legítimo para mejora operativa, soporte y seguridad; consentimiento si se habilitan usos opcionales no necesarios para la prestación.

Supuesto a validar con proveedores/negocio: si los prompts, mensajes o outputs se utilizan para entrenamiento de modelos por terceros o para mejora de productos del proveedor.

5.9 Smart tags, tracking y telemetría

Para identificar activos, gestionar inventario, trazabilidad, logística, transporte, mantenimiento, seguridad y seguimiento de unidades.

Base legal UE: ejecución contractual, interés legítimo y, cuando proceda, cumplimiento de obligaciones organizativas o legales específicas.

Cuando estas funciones permitan monitoreo indirecto de personal o conductores, puede requerirse información reforzada, límites de acceso, políticas internas y análisis adicional de proporcionalidad.

5.10 Cumplimiento legal, defensa de reclamaciones y auditoría

Para cumplir con obligaciones legales, responder a autoridades, ejercer o defender derechos y conservar evidencias.

Base legal UE: cumplimiento de obligación legal e interés legítimo.

6. Cookies, trackers y tecnologías similares

La plataforma puede utilizar:

  • cookies estrictamente necesarias para autenticación, seguridad, balanceo o continuidad de sesión;

  • cookies funcionales;

  • almacenamiento local para idioma y preferencias;

  • IndexedDB para funcionalidad offline y cola local;

  • tecnologías de analítica y marketing configurables por tenant, incluyendo Google Analytics, Google Tag Manager, Meta/Facebook Pixel, Google Ads Conversion, LinkedIn Insight Tag, TikTok Pixel, X Pixel y Meta Conversions API;

  • parámetros y cookies de referral como companyOrigin y hs:param:refByCode.

6.1 Enfoque UE

Salvo que una tecnología sea estrictamente necesaria para prestar un servicio expresamente solicitado por el usuario, su activación en la UE debe considerarse, como criterio prudente, sujeta a consentimiento previo, granular e informado. Esto resulta especialmente relevante para analítica no exenta, ads, remarketing, ad personalization, ad_user_data y tecnologías equivalentes. 

6.2 Enfoque EE. UU.

En EE. UU., además del aviso transparente, determinados usos de trackers pueden considerarse “sale”, “share” o “targeted advertising” según la ley estatal aplicable, lo que exige mecanismos de opt-out y señales reconocidas en los estados correspondientes. 

6.3 Recomendación operativa

Se recomienda implementar una CMP/banner de consentimiento por tenant, con:

  • categorías separadas;

  • registro de la señal de consentimiento;

  • bloqueo previo de tags no necesarios;

  • panel de revocación;

  • configuración territorial;

  • compatibilidad con consentimiento granular (ad_storage, analytics_storage, ad_user_data, ad_personalization).

7. IA, prompts, conversaciones y decisiones automatizadas

La plataforma puede incorporar asistentes de IA, flujos automatizados, herramientas de conversación, voces, avatars u otros proveedores externos. Cuando use estas funciones, pueden tratarse sus mensajes, prompts, archivos compartidos, respuestas generadas, instrucciones del sistema, tool calls, logs y estados del flujo.

7.1 Finalidades

  • responder consultas;

  • automatizar tareas;

  • generar borradores, recomendaciones o resúmenes;

  • operar flujos conversacionales;

  • diagnosticar errores, abuso o calidad del servicio.

7.2 Límites y advertencias

Las salidas generadas por IA pueden ser inexactas, incompletas o inapropiadas para ciertos contextos. No deben utilizarse como único fundamento para decisiones jurídicas, médicas, financieras, laborales u otras de impacto significativo sin revisión humana adecuada.

7.3 Revisión humana y minimización

Podemos revisar interacciones de IA para fines de soporte, seguridad, mejora operativa, auditoría o cumplimiento. Se recomienda no introducir datos sensibles o innecesarios en prompts, salvo que exista justificación operacional y base jurídica suficiente.

7.4 Entrenamiento por terceros

Supuesto a validar con backend/procurement/negocio: si los proveedores de IA usan o no los datos para entrenar o mejorar sus modelos. Hasta contar con validación contractual, esta Política debe formularse de forma prudente: “los datos procesados mediante funciones de IA podrán ser tratados por proveedores tecnológicos externos conforme a sus términos y acuerdos aplicables; el alcance exacto de reutilización para entrenamiento o mejora debe confirmarse y, en su caso, documentarse contractualmente”.

7.5 Decisiones automatizadas

A la fecha de esta versión, no se declara que la plataforma adopte de manera general decisiones exclusivamente automatizadas con efectos jurídicos o significativamente similares sobre las personas.

Supuesto a validar con backend/negocio: si algún flujo de scoring, elegibilidad, priorización o automatización produce efectos relevantes que exijan información adicional y derechos específicos bajo GDPR u otras normas.

8. Geolocalización, smart tags, GPS y transporte

La plataforma puede tratar datos de ubicación, geodatos, activos identificables y telemetría asociada a smart tags, unidades de transporte, vehículos o activos operativos.

Estos tratamientos pueden revelar patrones de movimiento, rutas, horarios, ubicaciones habituales o información operativa sensible. Por ello:

  • se limitará el acceso por rol y necesidad de conocer;

  • se procurará retención limitada;

  • deberá evitarse el uso desproporcionado o ajeno a la finalidad declarada;

  • en contextos laborales o de colaboradores, se recomienda un aviso interno separado y evaluación local específica.

En varias leyes estatales de EE. UU., la geolocalización precisa se considera especialmente sensible o merecedora de protección reforzada. 

9. Comunicaciones, newsletters, mensajería y opt-out

Podemos enviar:

9.1 Comunicaciones transaccionales

Mensajes necesarios para operar la cuenta o el servicio, por ejemplo confirmaciones, autenticación, soporte, seguridad, recordatorios operativos o avisos relevantes.

9.2 Comunicaciones promocionales

Newsletters, campañas comerciales, actualizaciones de producto, remarketing o promociones, por correo, mensajería o canales equivalentes cuando exista base legal suficiente.

9.3 Opt-out

Usted puede darse de baja de comunicaciones promocionales mediante el enlace de baja, las preferencias de cuenta o escribiendo a info@herosuite.io. La baja no impide el envío de comunicaciones estrictamente transaccionales o legales.

En EE. UU., el marketing por email debe estructurarse conforme a CAN-SPAM, incluyendo identificación adecuada del remitente, no engaño, dirección postal válida y mecanismo funcional de baja. Para SMS/WhatsApp/llamadas promocionales automatizadas, puede requerirse consentimiento expreso previo según TCPA/FCC y normas locales. 

10. Compartición de datos y destinatarios

Podemos compartir datos personales con:

  • tenants, empresas cliente, afiliadas o entidades del mismo grupo, según corresponda;

  • proveedores de infraestructura, hosting, CDN, almacenamiento, correo, mensajería, autenticación, mapas, analítica, marketing, soporte, IA, formularios, monitoreo y seguridad;

  • autoridades u organismos competentes cuando exista obligación o requerimiento legítimo;

  • asesores, auditores, aseguradoras o terceros en contextos de transacción corporativa o defensa legal;

  • otros usuarios o público, cuando usted publique voluntariamente contenidos, perfiles, propiedades o directorios en áreas públicas.

No declaramos una práctica general de “venta” de datos en sentido comercial clásico. Sin embargo, ciertos usos de trackers publicitarios o compartición con plataformas de ads pueden calificar como “sharing”, “targeted advertising” u otras categorías regulatorias según la jurisdicción aplicable. Esto debe evaluarse por tenant y stack real de marketing. 

11. Transferencias internacionales

Dado el carácter internacional de la plataforma y el posible uso de proveedores cloud, CDN, IA, analítica, mensajería o soporte ubicados fuera del país del usuario, los datos pueden transferirse internacionalmente.

Cuando aplique GDPR, las transferencias internacionales deberán apoyarse, según el caso, en:

  • decisiones de adecuación;

  • cláusulas contractuales tipo;

  • salvaguardas contractuales equivalentes;

  • u otro mecanismo válido conforme a derecho. 

Supuesto a validar con backend/DevOps/negocio: proveedores exactos de hosting, backups, CDN, correo, mensajería, IA y localización real de infraestructura.

12. Conservación de los datos

Conservaremos los datos durante el tiempo necesario para:

  • prestar el servicio;

  • mantener la relación contractual;

  • cumplir obligaciones legales;

  • atender reclamaciones;

  • preservar seguridad, auditoría y continuidad razonables.

A falta de una política definitiva validada, esta versión adopta un enfoque prudente: cada categoría de datos debe tener un plazo o criterio de retención definido por escrito.

Supuesto a validar con backend/DevOps/negocio: política real de retención por categoría, logs, backups, colas offline, archivos, tickets, telemetría, conversaciones IA y datos importados/exportados.

13. Medidas de seguridad

Aplicamos medidas técnicas y organizativas razonables acordes con la naturaleza del servicio, incluyendo controles de acceso, segregación por tenant, autenticación, cabeceras de seguridad, validación de payloads, antiabuso, throttling y controles operativos. No obstante, ninguna medida garantiza seguridad absoluta.

En particular, la plataforma puede almacenar credenciales o secretos de terceros por tenant; ello exige controles reforzados, segregación estricta, cifrado/gestión segura, acceso restringido y trazabilidad.

Supuesto a validar con backend/seguridad: alcance exacto de cifrado, gestión de secretos, control de impersonación, auditoría y borrado.

14. Contenido subido por usuarios

Cuando usted suba imágenes, videos, documentos o cualquier otro contenido:

  • declara contar con autorización suficiente para cargarlo y compartirlo;

  • nos otorga una licencia no exclusiva, mundial, revocable en la medida compatible con la operación del servicio, para alojarlo, procesarlo, transformarlo técnicamente, publicarlo según la configuración elegida y usarlo para prestar la funcionalidad solicitada;

  • reconoce que ciertos archivos o imágenes pueden quedar accesibles mediante URL pública o semipública según la configuración del módulo;

  • debe evitar subir contenido ilícito, infractor, engañoso, confidencial sin autorización o con datos personales excesivos;

  • acepta que podremos restringir, moderar, suspender o eliminar contenido cuando resulte razonablemente necesario.

Supuesto a validar con backend/DevOps: si las URLs públicas usan enlaces firmados, expiración u otros controles equivalentes.

15. Menores de edad

La plataforma no está dirigida de forma general a menores de edad, salvo que un módulo específico lo contemple expresamente y con controles adecuados. Si el servicio puede utilizar fecha de nacimiento o captar datos de menores, el negocio debe definir con precisión:

  • si el uso por menores está prohibido;

  • si se admite con intervención/autorización de padre, madre o tutor;

  • la edad mínima aplicable por jurisdicción;

  • la lógica de bloqueo o consentimiento parental.

En EE. UU., si el producto se dirige a menores de 13 años o recoge conscientemente datos de ellos, pueden activarse requisitos específicos bajo COPPA. En la UE, el tratamiento basado en consentimiento respecto de servicios de la sociedad de la información prestados directamente a menores exige revisar la edad mínima aplicable por Estado miembro. Este punto requiere decisión de producto antes de publicación final.

16. Derechos de las personas

16.1 Derechos bajo GDPR/UE

Cuando aplique el GDPR, usted puede solicitar:

  • acceso;

  • rectificación;

  • supresión;

  • limitación del tratamiento;

  • oposición;

  • portabilidad;

  • retirada del consentimiento cuando esa sea la base legal;

  • no ser objeto de ciertas decisiones exclusivamente automatizadas, cuando proceda. 

16.2 Derechos de residentes de estados de EE. UU.

Dependiendo de la ley estatal aplicable y los umbrales de cobertura, los residentes pueden tener derechos de:

  • acceso/confirmación;

  • corrección;

  • eliminación;

  • portabilidad;

  • opt-out de venta, compartición o publicidad dirigida;

  • opt-out de ciertos perfiles o usos sensibles en estados concretos;

  • apelación de decisiones sobre solicitudes en varios estados. 

16.3 Cómo ejercerlos

Puede ejercer sus derechos escribiendo a privacy@herosuite.io Para proteger la seguridad de las cuentas y los datos, podremos solicitar información razonable para verificar identidad, autoridad o representación.

Cuando actuemos como encargado por cuenta de un tenant, podremos remitir su solicitud al responsable correspondiente o asistirle conforme a nuestras obligaciones contractuales.

17. Verificación de identidad y agentes autorizados

Podremos requerir:

  • verificación de la cuenta autenticada;

  • confirmación de email o teléfono;

  • información adicional razonable;

  • prueba de representación cuando actúe un agente autorizado.

No utilizaremos datos de verificación para fines incompatibles con dicha finalidad.

18. No discriminación

No discriminaremos indebidamente a una persona por ejercer sus derechos de privacidad, sin perjuicio de que ciertas funcionalidades requieran datos imprescindibles para operar el servicio.

19. Cambios en esta Política

Podremos actualizar esta Política para reflejar cambios regulatorios, tecnológicos, contractuales u operativos. La versión vigente estará disponible con su fecha de actualización. Cuando la ley lo exija o el cambio sea material, adoptaremos medidas adicionales de notificación.

20. Contacto

Responsable / Operador: AUTOMATIZACIONES E INNOVACIÓN EN DISEÑOS RESIDENCIALES

Correo de privacidad: privacy@herosuite.io

Correo para derechos/DSAR: privacy@herosuite.io

Delegado de protección de datos / contacto equivalente: René Sandoval Durazo

Anexo A — Cláusula adicional para California y otros estados de EE. UU.

Para residentes cubiertos por leyes estatales aplicables, la empresa podrá proporcionar avisos complementarios con:

  • categorías de datos recogidos;

  • fuentes;

  • fines comerciales o empresariales;

  • categorías de terceros a quienes se divulgan;

  • datos sensibles, si aplica;

  • explicación de derechos y método de ejercicio;

  • mecanismos de opt-out cuando el ecosistema de tracking o sharing lo requiera.

Anexo B — Cláusula adicional para entornos B2B/tenant

Cuando un tenant cargue, importe o gestione datos de terceros en la plataforma, dicho tenant declara y garantiza que:

  • tiene base jurídica suficiente para ello;

  • ha informado a los titulares cuando corresponda;

  • no cargará categorías especiales o datos restringidos sin habilitación adecuada;

  • atenderá solicitudes de derechos respecto de los datos bajo su control;

  • mantendrá acuerdos de tratamiento y documentación interna cuando la ley lo exija.

Share