Legal · Aplicación móvil
Política de Privacidad — EmprendeIA
Última actualización: 27 de mayo de 2026 · Versión 1.0
Aplica a la aplicación EmprendeIA para Android (package com.emprendeia.app), distribuida a través de Google Play, y a los servicios accesibles desde https://emprendeia.app y https://app.emprendeia.app.
Índice
- Identidad del Responsable del Tratamiento
- Descripción de la aplicación
- Categorías de datos personales recopilados
- Inteligencia artificial y contenido generado
- Finalidades del tratamiento
- Compartición con terceros (sub-procesadores)
- Transferencias internacionales de datos
- Tiempo de conservación
- Seguridad de la información
- Derechos del titular
- Eliminación de cuenta y datos (Google Play 2024)
- Privacidad de menores
- Cookies y tecnologías similares
- Notificaciones push
- Cambios en esta política
- Contacto y autoridades de control
- Disposiciones para California (CCPA/CPRA)
- Disposiciones para Brasil (LGPD)
- Aceptación
- English version
1. Identidad del Responsable del Tratamiento
| Nombre comercial | EmprendeIA |
|---|---|
| Responsable (persona física) | Tetsu Nicolás Osnaya Quevedo |
| RFC | OAQT970107FJ2 |
| Régimen fiscal | Régimen Simplificado de Confianza (RESICO) |
| Domicilio fiscal | Boulevard Río de los Remedios, Lt. 160, Mz. 2, Colonia Ampliación Nicolás Bravo, C.P. 55295, Ecatepec de Morelos, Estado de México, México |
| País de operación principal | México (con servicio a usuarios de LatAm) |
| Email de contacto para privacidad | privacidad@emprendeia.app |
| Sitio web | https://emprendeia.app |
| Aplicación cubierta | EmprendeIA para Android · com.emprendeia.app |
Para personas usuarias residentes en la Unión Europea, EmprendeIA actúa como Responsable del Tratamiento (Data Controller)conforme al Reglamento (UE) 2016/679 (GDPR). Para residentes en Brasil, actúa como Controlador conforme a la Lei nº 13.709/2018 (LGPD). Para residentes en California, actúa como Business bajo la California Consumer Privacy Act (CCPA/CPRA). En México, actúa como Responsable bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
2. Descripción de la aplicación
EmprendeIA es una aplicación móvil dirigida a personas emprendedoras de Latinoamérica con negocio físico. Funciona como copiloto de inteligencia artificial para administrar finanzas (registro de ventas, gastos y caja), construir la identidad de marca (logos, paleta, mensajes), planificar campañas de marketing y seguir guías paso a paso. La aplicación se distribuye en Google Play como una aplicación web confiable (Trusted Web Activity) que opera sobre la plataforma web de EmprendeIA.
Público objetivo: personas mayores de 18 años. La aplicación no está dirigida a menores de 13 años y no recopila a sabiendas datos personales de menores de esa edad (ver Sección 12).
3. Categorías de datos personales recopilados
Esta sección describe qué datos recopila la aplicación, cómo los obtiene y para qué los usa. Está alineada con la sección Data Safety de la ficha de la app en Google Play.
3.1. Datos proporcionados directamente por la persona usuaria
| Dato | ¿Se recopila? | Finalidad | Base legal (GDPR) |
|---|---|---|---|
| Nombre o nombre del negocio | Sí | Personalizar la experiencia y generar contenido de marca | Ejecución del contrato |
| Dirección de correo electrónico | Sí | Autenticación, notificaciones operativas, recuperación de cuenta | Ejecución del contrato |
| Número de teléfono (formato E.164) | Opcional / requerido en waitlist | Comunicación por WhatsApp, soporte | Consentimiento / Ejecución del contrato |
| Contraseña | Sí, en hash | Autenticación | Ejecución del contrato |
| Identidad federada (Google Sign-In) | Solo si la persona lo elige | Autenticación sin contraseña | Consentimiento |
| Información del negocio: rubro, productos, precios, ventas, gastos, conceptos contables | Sí, ingreso voluntario | Brindar las funciones de Finanzas, Marca, Marketing y Guías | Ejecución del contrato |
| Fotos de tickets / comprobantes de gasto | Solo cuando la persona elige adjuntar una foto | OCR del ticket (extracción de proveedor y monto) y archivo del comprobante | Ejecución del contrato |
| Texto transcrito de comandos de voz (no el audio) | Solo al usar la función "dime la venta" | Interpretar el dictado y armar el borrador de la venta | Ejecución del contrato |
| Prompts e instrucciones a la IA (briefs de marca, preguntas a guías, descripciones del negocio) | Sí, ingreso voluntario | Generar la respuesta solicitada por la persona usuaria | Ejecución del contrato |
3.2. Datos recopilados automáticamente
| Dato | ¿Se recopila? | Finalidad | Base legal |
|---|---|---|---|
| Identificador interno de cuenta (UUID generado por Supabase) | Sí | Distinguir sesiones y aislar datos por usuario | Ejecución del contrato |
Cookie de sesión emitida por Supabase, con dominio .emprendeia.app | Sí | Mantener la sesión iniciada entre el sitio de marketing y el producto | Ejecución del contrato |
| Identificador de publicidad de Android (AAID) | No | La app no muestra publicidad ni hace targeting publicitario | — |
| Android ID, IMEI, MAC u otros identificadores persistentes de hardware | No | La app no accede a identificadores persistentes del dispositivo | — |
| Dirección IP | Sí, transitoria | Seguridad, prevención de abuso, geolocalización aproximada por país | Interés legítimo |
| Ubicación aproximada (nivel ciudad / país) | Sí, derivada de la IP | Personalizar moneda y contenido regional | Interés legítimo |
| Ubicación precisa (GPS) | No | La app no solicita permisos de ubicación del sistema | — |
| Eventos de uso y diagnóstico de producto (pantallas vistas, botones presionados, tiempo de sesión, funciones utilizadas) | Sí, vía PostHog | Medir adopción, detectar fricciones, priorizar mejoras | Interés legítimo |
| Logs de errores y reportes de fallos | Sí, vía Sentry | Detectar y corregir errores de la aplicación | Interés legítimo |
| Información del dispositivo (modelo, versión de Android, idioma, zona horaria, resolución) | Sí | Compatibilidad y soporte técnico | Interés legítimo |
3.3. Permisos del dispositivo solicitados
Cada permiso se solicita únicamente cuando la persona activa una función que lo requiere y puede revocarse desde Ajustes > Aplicaciones > EmprendeIA > Permisos.
| Permiso Android | ¿Se solicita? | Para qué |
|---|---|---|
INTERNET | Sí, automático | Comunicación con nuestros servidores |
ACCESS_NETWORK_STATE | Sí | Detectar disponibilidad de conexión |
POST_NOTIFICATIONS (Android 13+) | Sí, con consentimiento | Enviar recordatorios y notificaciones operativas |
| Selector de archivos / galería del sistema | Solo al adjuntar la foto del ticket o de marca | La app usa el selector estándar del sistema operativo (no accede directamente a la galería ni requiere READ_MEDIA_IMAGES) |
| Cámara, vía intent del sistema | Solo al elegir "tomar una foto" desde el selector de archivos | La app no opera la cámara directamente; usa el intent estándar del sistema |
| Micrófono, vía Web Speech API del navegador | Solo al usar la función "dime la venta" | Transcripción del comando de voz a texto. El audio se procesa en el dispositivo y no se envía a nuestros servidores; solo el texto resultante viaja a la IA (ver Sección 4) |
| Google Play Billing | Sí, al suscribirse a un plan pago | Procesar pagos vía Google Play |
ACCESS_FINE_LOCATION / ACCESS_COARSE_LOCATION | No | La app no usa GPS |
READ_CONTACTS | No | La app no accede a la agenda de contactos |
READ_CALENDAR | No | La app no accede al calendario |
READ_SMS / SEND_SMS | No | La app no accede ni envía SMS |
READ_PHONE_STATE | No | La app no accede al estado del teléfono |
3.4. Datos financieros y de pago
Las suscripciones a los planes pagos (Plus y Premium) se procesan mediante Google Play Billing dentro de la app y mediante Stripe en la versión web. EmprendeIA no almacena en sus servidores el número completo de tarjeta, código de seguridad (CVV) ni fecha de vencimiento. Solo guardamos:
- Identificador de la transacción y de la suscripción (id de Stripe o id de Google Play Billing).
- Plan adquirido, precio, moneda y fecha.
- Últimos cuatro dígitos de la tarjeta (para mostrar en el panel).
- País de la dirección de facturación.
4. Inteligencia artificial y contenido generado
La aplicación incorpora funciones de IA generativa para los módulos de Finanzas (interpretación de ventas por voz, lectura de tickets por foto, insights diarios, cierre de caja, organización de conceptos), Marca (generación y refinamiento del Brand Kit) y otros. El contenido que la persona usuaria envía a estas funciones se transmite a proveedores de modelos externos:
| Proveedor de IA | Qué datos recibe | Finalidad | Retención del proveedor |
|---|---|---|---|
| Google LLC — Gemini API (Estados Unidos) | Texto del prompt y contexto del negocio que la persona haya ingresado; en el caso del módulo de gastos, también la foto del ticket | Generar respuestas de IA (texto y visión) | Google declara que los datos enviados vía Gemini API no se utilizan para entrenar sus modelos y se retienen un máximo de 24 horas para detección de abuso |
| Recraft Inc. (Estados Unidos) | Texto del prompt para generar logos e imágenes de identidad visual | Generar imágenes para el Brand Kit | Recraft declara que los prompts no se utilizan para entrenamiento por defecto |
Transcripción de voz. El módulo "dime la venta" utiliza la Web Speech API del navegador de la persona usuaria. El audio se procesa íntegramente en el dispositivo y no se envía a nuestros servidores ni a terceros. Solo el texto resultante de la transcripción se transmite a Gemini para interpretar el dictado.
EmprendeIA no usa los datos personales ni el contenido del negocio de la persona usuaria para entrenar modelos de IA propios ni de terceros.
La persona usuaria no debe ingresar en los prompts información sensible de terceros (números de tarjeta, datos médicos, contraseñas de otras cuentas). EmprendeIA no se hace responsable del contenido que la persona usuaria envía voluntariamente a los modelos de IA.
Para garantizar un uso sostenible, la aplicación implementa un sistema de cuotas mensuales de uso de IA por plan; el conteo se registra en nuestros servidores únicamente con fines de aplicar el límite de tu suscripción.
5. Finalidades del tratamiento
- Prestar el servicio: crear y mantener tu cuenta, ejecutar las funciones de los módulos de Finanzas, Marca, Marketing y Guías.
- Procesar pagos y gestionar tu suscripción.
- Enviar comunicaciones operativas: confirmaciones, recibos, recordatorios, notificaciones del producto.
- Soporte técnico y atención al cliente.
- Mejorar el producto mediante análisis agregado de uso para priorizar funciones y detectar fricciones.
- Garantizar la seguridad: detección de fraude, prevención de abuso, integridad de la plataforma.
- Cumplir obligaciones legales: fiscales, contables, de protección al consumidor.
- Comunicaciones de marketing, únicamente si la persona usuaria otorga consentimiento explícito y revocable.
6. Compartición con terceros (sub-procesadores)
EmprendeIA no vende datos personales. No los cede a brokers de datos. No los comparte con redes publicitarias. Compartimos datos únicamente con los siguientes encargados del tratamiento (sub-procesadores) que nos ayudan a operar el servicio, bajo contratos de tratamiento de datos equivalentes a los Artículos 28 del GDPR y 39 de la LGPD:
| Proveedor | Función | Datos compartidos | Ubicación | Mecanismo de transferencia |
|---|---|---|---|---|
| Supabase Inc. | Base de datos y autenticación | Cuenta, perfil, contenido del negocio, fotos de tickets en bucket privado | EE. UU. | Cláusulas Contractuales Estándar de la UE (SCC) |
| Vercel Inc. | Hosting y CDN | Solicitudes HTTP, IP | EE. UU. + edge global | SCC |
| Resend | Envío de email transaccional | Email, contenido del mensaje | EE. UU. | SCC |
| PostHog Inc. | Analítica de producto | Eventos de uso, identificador de instalación, IP truncada | EE. UU. (US Cloud) | SCC |
| Functional Software, Inc. (Sentry) | Reporte de errores y crashes | Stack traces, contexto del error, id de usuario | EE. UU. | SCC |
| Stripe, Inc. | Procesamiento de pagos en web | Email, nombre, datos de la tarjeta procesados directamente por Stripe | EE. UU. + LatAm | SCC / Certificación PCI-DSS Nivel 1 |
| Google LLC — Google Play Billing | Procesamiento de pagos en Android | Identificador de cuenta de Google, monto, plan | Global | SCC |
| Google LLC — Gemini API | IA generativa de texto y visión | Prompts y, en su caso, fotos de tickets | EE. UU. + global | SCC |
| Recraft Inc. | IA generativa de imágenes | Prompts del Brand Kit | EE. UU. | SCC |
| Meta Platforms Ireland Ltd. — WhatsApp Cloud API (cuando se active) | Mensajería conversacional | Número de teléfono, contenido del mensaje | UE / EE. UU. | SCC |
| Google LLC — Google Sign-In | Autenticación federada (opcional) | Email y nombre devueltos por OAuth | Global | SCC |
Adicionalmente, podríamos compartir datos con autoridades públicas ante requerimiento legal vinculante; en el contexto de una operación corporativa (fusión, adquisición), notificando previamente a la persona usuaria; y con asesores profesionales (abogados, contadores, auditores) bajo deber de confidencialidad.
7. Transferencias internacionales de datos
La mayoría de nuestros proveedores tienen servidores en Estados Unidos. Cuando transferimos datos desde la Unión Europea, el Reino Unido o Brasil hacia países que no cuentan con una decisión de adecuación, lo hacemos amparándonos en:
- Cláusulas Contractuales Estándar aprobadas por la Comisión Europea (Decisión 2021/914).
- Para usuarios brasileños: cláusulas contractuales específicas conforme al Art. 33 de la LGPD.
- Medidas suplementarias técnicas (cifrado en tránsito y en reposo) y organizativas.
Una copia de las garantías aplicables puede solicitarse a privacidad@emprendeia.app.
8. Tiempo de conservación
| Categoría de dato | Plazo |
|---|---|
| Datos de cuenta y perfil | Mientras la cuenta esté activa + 30 días tras la solicitud de baja |
| Contenido del negocio (ventas, gastos, productos, brand kit) | Mientras la cuenta esté activa + 30 días |
| Fotos de tickets en Storage | Mientras la cuenta esté activa + 30 días |
| Datos de facturación | 5 años (obligación fiscal en México) |
| Logs de seguridad e IP | 90 días |
| Eventos de analítica (PostHog) | 12 meses |
| Reportes de error (Sentry) | 90 días |
| Backups operativos | Hasta 35 días tras la baja |
| Prompts a modelos de IA | No se almacenan más allá de lo necesario para devolver la respuesta; los proveedores aplican sus propias políticas (ver Sección 4) |
Tras los plazos indicados, los datos se eliminan o se anonimizan de forma irreversible.
9. Seguridad de la información
Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:
- Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones.
- Cifrado en reposo (AES-256) en la base de datos y en los buckets de Storage.
- Hash + salt para contraseñas (gestionado por Supabase Auth).
- Row-Level Security en la base de datos: cada organización accede solo a sus propios datos.
- Buckets privados de Storage para fotos de tickets y assets de marca, organizados por
{organization_id}/{uuid}y aislados por RLS. - Control de accesos basado en roles para el equipo de EmprendeIA, con principio de mínimo privilegio (owner, admin, billing, member).
- Registro de auditoría de accesos al panel administrativo.
- Monitoreo continuo de errores y comportamiento anómalo.
- Backups automáticos diarios con cifrado.
Pese a estas medidas, ningún sistema es 100 % seguro. En caso de una violación de seguridad que afecte tus datos, notificaremos a la autoridad competente y a las personas afectadas dentro de los plazos legales aplicables (72 horas según GDPR; plazo razonable según LGPD y LFPDPPP).
10. Derechos del titular
10.1. Derechos comunes
- Acceso: obtener confirmación de qué datos tuyos tratamos y una copia.
- Rectificación: corregir datos inexactos o incompletos.
- Eliminación (derecho al olvido): solicitar la supresión de tus datos.
- Limitación u oposición al tratamiento.
- Portabilidad: recibir tus datos en formato estructurado (JSON o CSV).
- Revocar el consentimiento en cualquier momento, sin afectar la licitud del tratamiento previo.
- Presentar una reclamación ante la autoridad de control de tu país.
10.2. Derechos adicionales por jurisdicción
- GDPR (UE/Reino Unido): derecho a no ser objeto de decisiones automatizadas con efectos jurídicos significativos (Art. 22). EmprendeIA no toma decisiones automatizadas de este tipo.
- CCPA/CPRA (California): derecho a saber, eliminar, corregir, optar por no vender ni compartir datos (EmprendeIA no vende ni comparte conforme a CCPA), no recibir trato discriminatorio y limitar el uso de información personal sensible.
- LGPD (Brasil): derechos del Art. 18 — confirmación, acceso, corrección, anonimización, portabilidad, eliminación, información sobre entidades compartidas, revocación del consentimiento.
- LFPDPPP (México): derechos ARCO — Acceso, Rectificación, Cancelación, Oposición.
10.3. Cómo ejercer tus derechos
Envía una solicitud a privacidad@emprendeia.app con:
- Tu nombre completo y email registrado.
- El derecho que quieres ejercer.
- Una breve descripción de tu solicitud.
- Una prueba razonable de identidad (por ejemplo, responder desde el email registrado).
Respondemos en un máximo de 30 días corridos (GDPR, LGPD), 45 días corridos prorrogables a 90 (CCPA), o 20 días hábiles (LFPDPPP México). El ejercicio de estos derechos es gratuito.
11. Eliminación de cuenta y datos (Requisito Google Play 2024)
Conforme al requisito de Google Play vigente desde mayo de 2024, ofrecemos dos vías para eliminar tu cuenta y los datos asociados.
11.1. Desde la aplicación (in-app)
- Abre la app EmprendeIA.
- Ingresa a Ajustes → Cuenta → Eliminar mi cuenta.
- Confirma la acción introduciendo tu contraseña.
- La eliminación se ejecuta de inmediato; recibes un email de confirmación.
11.2. Desde la web, sin necesidad de tener la app instalada
Visita https://emprendeia.app/legal/eliminar-cuenta o envía un email a privacidad@emprendeia.app con el asunto "Eliminación de cuenta". Procesamos la solicitud en un máximo de 15 días hábiles.
11.3. Qué se elimina y qué se retiene
| Categoría | Tras la solicitud de borrado |
|---|---|
| Perfil, email, contraseña | Eliminado en 30 días |
| Contenido del negocio (ventas, gastos, productos, brand kit) | Eliminado en 30 días |
| Fotos de tickets en Storage | Eliminadas en 30 días |
| Suscripciones activas | Canceladas; se mantiene el registro mínimo de facturación por obligación legal |
| Datos de facturación | Retenidos 5 años (obligación fiscal) |
| Logs de seguridad anonimizados | Pueden retenerse para integridad del sistema |
12. Privacidad de menores
La aplicación EmprendeIA no está dirigida a personas menores de 13 años y no recopila a sabiendas datos personales de menores de esa edad. La app se clasifica en Google Play en una categoría apropiada para adultos y adolescentes mayores de 13 años, fuera del programa Designed for Families.
Cumplimos con:
- COPPA — Children's Online Privacy Protection Act (Estados Unidos).
- Family Policy de Google Play.
- Art. 8 del GDPR — tratamiento de datos de menores.
- Art. 14 de la LGPD — protección de datos de niños y adolescentes en Brasil.
Si descubrimos que hemos recopilado datos de un menor de 13 años sin consentimiento verificable de su tutor, los eliminaremos a la brevedad. Si eres tutor y crees que tu hijo o hija nos proporcionó datos, contáctanos en privacidad@emprendeia.app.
13. Cookies y tecnologías similares
La aplicación móvil utiliza:
- Almacenamiento local de la WebView para mantener tu sesión iniciada.
- Cookie de sesión emitida por Supabase Auth, con dominio
.emprendeia.app, que permite que el inicio de sesión persista entre el sitio de marketing y el producto. - Tokens JWT de autenticación, almacenados en el dispositivo.
La aplicación no utiliza cookies publicitarias ni SDKs de tracking de terceros con fines de publicidad cross-app.
Para el sitio web emprendeia.app, se aplica la política de cookies disponible en /legal/cookies.
14. Notificaciones push
Si concedes el permiso POST_NOTIFICATIONS, podemos enviarte:
- Notificaciones operativas (recordatorios para registrar ventas, alertas de cuota de IA).
- Notificaciones de producto (nuevas funciones, mejoras).
Puedes desactivarlas en cualquier momento desde Ajustes del sistema → Aplicaciones → EmprendeIA → Notificaciones o desde la propia app en Ajustes → Notificaciones.
15. Cambios en esta política
Podemos actualizar esta política para reflejar cambios legales, técnicos o de producto. Cuando los cambios sean sustanciales, te notificaremos:
- Mediante un aviso destacado dentro de la aplicación.
- Por email a la dirección registrada en tu cuenta, con al menos 15 días corridos de antelación a la entrada en vigor.
El uso continuado de la aplicación tras la entrada en vigor de los cambios constituye aceptación de la política actualizada. Si no estás de acuerdo, puedes solicitar la eliminación de tu cuenta (Sección 11). El historial de versiones se mantiene disponible bajo solicitud a privacidad@emprendeia.app.
16. Contacto y autoridades de control
Contacto del Responsable
- EmprendeIA — Tetsu Nicolás Osnaya Quevedo
- Email: privacidad@emprendeia.app
- Sitio web: https://emprendeia.app
Encargado de Protección de Datos (DPO)
EmprendeIA no está legalmente obligada a designar un DPO conforme al Art. 37 del GDPR, pero las consultas pueden dirigirse al contacto anterior.
Autoridades de control
Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante:
- México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) — home.inai.org.mx
- Unión Europea: la autoridad de control de tu país de residencia. Listado en edpb.europa.eu.
- Brasil: Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd
- California: California Privacy Protection Agency (CPPA) — cppa.ca.gov
17. Disposiciones específicas para residentes de California (CCPA/CPRA)
En los últimos 12 meses, EmprendeIA ha recopilado las siguientes categorías de información personal según la definición de la CCPA:
- Identificadores (nombre, email, identificador interno de cuenta, IP).
- Información comercial (suscripciones, transacciones).
- Información de uso de internet (eventos, sesiones).
- Información de geolocalización aproximada.
- Inferencias derivadas (segmentos de uso del producto).
EmprendeIA no vende ni comparte información personal según la definición ampliada de la CPRA (que incluye "compartir" para publicidad contextual cross-context). No hemos vendido información personal de menores de 16 años. Los residentes de California pueden ejercer sus derechos enviando un correo a privacidad@emprendeia.app. No discriminamos contra quienes ejerzan sus derechos.
18. Disposiciones específicas para residentes de Brasil (LGPD)
EmprendeIA actúa como Controlador de datos personales conforme a la LGPD. Las bases legales invocadas para el tratamiento son las de los Arts. 7 y 11:
- Ejecución del contrato (Art. 7, V).
- Consentimiento (Art. 7, I) — para comunicaciones de marketing.
- Legítimo interés (Art. 7, IX) — para seguridad y analítica agregada.
- Cumplimiento de obligación legal (Art. 7, II) — para facturación.
Las personas usuarias brasileñas pueden ejercer todos los derechos del Art. 18 LGPD escribiendo a privacidad@emprendeia.app.
19. Aceptación
Al instalar, registrarte y usar la aplicación EmprendeIA, declaras haber leído, comprendido y aceptado esta Política de Privacidad. Si no estás de acuerdo, te pedimos no usar la aplicación y solicitar la eliminación de tu cuenta si ya te registraste.
English version
EmprendeIA — Privacy Policy
Last updated: May 27, 2026 · Version 1.0
Applies to the EmprendeIA mobile application for Android (package com.emprendeia.app), distributed through Google Play, and to the services accessible at emprendeia.app and app.emprendeia.app.
1. Data Controller
| Trade name | EmprendeIA |
|---|---|
| Responsible person (sole proprietor) | Tetsu Nicolás Osnaya Quevedo |
| Tax ID (RFC) | OAQT970107FJ2 |
| Tax regime | Régimen Simplificado de Confianza (RESICO) — Mexico |
| Registered address | Boulevard Río de los Remedios, Lt. 160, Mz. 2, Ampliación Nicolás Bravo, ZIP 55295, Ecatepec de Morelos, Estado de México, Mexico |
| Privacy contact | privacidad@emprendeia.app |
| Website | emprendeia.app |
| Covered application | EmprendeIA for Android · com.emprendeia.app |
For users in the European Union, EmprendeIA acts as Data Controller under Regulation (EU) 2016/679 (GDPR). For Brazilian users, EmprendeIA is the Controlador under Law 13.709/2018 (LGPD). For California residents, EmprendeIA acts as a Business under the CCPA/CPRA. In Mexico, EmprendeIA is the Responsable under the LFPDPPP.
2. Description of the application
EmprendeIA is a mobile application aimed at Latin American entrepreneurs with physical businesses. It works as an AI copilot for managing finances, brand identity, marketing campaigns and operational guides. The app is distributed on Google Play as a Trusted Web Activity over the EmprendeIA web platform. The app is not directed to children under 13 (see Section 12).
3. Categories of personal data collected
Provided by the user: name or business name, email, phone (E.164), password (hashed), federated identity (Google Sign-In, optional), business information (industry, products, prices, sales, expenses), receipt photos (when the user chooses to attach one), text transcribed from voice commands (not the audio), prompts and instructions to AI.
Automatically collected: internal account identifier (UUID), session cookie with domain .emprendeia.app, IP address (transient), approximate country-level location derived from IP, product usage events (via PostHog), error and crash logs (via Sentry), device information (model, OS version, language, timezone).
Not collected: Android Advertising ID, Android ID / IMEI / MAC, precise GPS location, contacts, calendar, SMS, phone state.
Device permissions: INTERNET, ACCESS_NETWORK_STATE, POST_NOTIFICATIONS (Android 13+), system file picker (for receipt and brand photos), camera via system intent (only when chosen from the file picker), microphone via the browser's Web Speech API (only for the "tell me the sale" feature — audio is processed on-device), Google Play Billing (for paid subscriptions).
Financial data: handled by Google Play Billing (Android) or Stripe (web). We do not store full card number, CVV or expiration date — only transaction ID, plan, last 4 digits and billing country.
4. Artificial intelligence and generated content
The app embeds generative AI features. Content sent to these features is transmitted to model providers: Google Gemini API (text and vision; Google states data is not used to train its models and is retained ≤24h for abuse detection) and Recraft Inc. (image generation for the Brand Kit; prompts not used for training by default).
Voice transcription uses the browser's Web Speech API. Audio is processed on the device and is not sent to our servers or to third parties — only the resulting text is transmitted to Gemini.
EmprendeIA does not use users' personal data or business content to train its own or third-party AI models. Users must not enter third-party sensitive information (card numbers, medical data, other accounts' passwords) into prompts.
5. Purposes of processing
(1) provide the service, (2) process payments, (3) send operational communications, (4) technical support, (5) improve the product via aggregated analytics, (6) ensure security and prevent fraud, (7) comply with legal obligations, (8) send marketing communications only with explicit and revocable consent.
6. Sharing with third parties (sub-processors)
EmprendeIA does not sell personal data. We share data only with sub-processors under data processing agreements equivalent to GDPR Art. 28 / LGPD Art. 39: Supabase Inc. (database and authentication, US), Vercel Inc. (hosting and CDN, US + edge), Resend (transactional email, US), PostHog Inc. (product analytics, US Cloud), Functional Software Inc. dba Sentry (error and crash reporting, US), Stripe Inc. (web payments, US + LatAm), Google LLC — Google Play Billing (Android payments, global), Google LLC — Gemini API (generative AI text and vision, US), Recraft Inc. (generative AI images, US), Meta Platforms Ireland Ltd. — WhatsApp Cloud API (messaging, when activated, EU/US), Google LLC — Google Sign-In (optional federated authentication, global). All transfers outside the EEA rely on EU Standard Contractual Clauses.
7. International data transfers
Most providers have servers in the United States. Transfers from the EU, UK or Brazil to countries without an adequacy decision are based on EU Standard Contractual Clauses (Decision 2021/914), LGPD Art. 33 contractual clauses for Brazilian users, and supplementary technical and organizational measures (encryption in transit and at rest). A copy of the applicable safeguards can be requested at privacidad@emprendeia.app.
8. Data retention
Account and profile data: while the account is active + 30 days after deletion request. Business content and receipt photos: while active + 30 days. Billing data: 5 years (Mexican tax obligation). Security logs and IP: 90 days. PostHog analytics: 12 months. Sentry error reports: 90 days. Operational backups: up to 35 days after deletion. AI prompts are not stored beyond what is needed to return the response; providers apply their own policies.
9. Information security
TLS 1.2+ encryption in transit, AES-256 at rest, hashed and salted passwords (Supabase Auth), Row-Level Security in the database, private Storage buckets organized by {organization_id}/{uuid} with RLS, role-based access control with least privilege, audit logging, continuous monitoring (Sentry), daily encrypted backups. In case of a security breach we notify the competent authority and affected users within the applicable legal timeframes (72h under GDPR; reasonable timeframe under LGPD and LFPDPPP).
10. Your rights as a data subject
Common rights: access, rectification, erasure, restriction or objection, portability (JSON or CSV), withdraw consent, lodge a complaint with your data protection authority. Jurisdiction-specific: GDPR Art. 22 (no automated decisions with legal effects — EmprendeIA does not perform such decisions), CCPA / CPRA (right to know, delete, correct, opt out of sale/sharing — EmprendeIA does not sell or share; non-discrimination; right to limit use of sensitive personal information), LGPD Art. 18, LFPDPPP ARCO rights. To exercise your rights, email privacidad@emprendeia.app with your name, registered email, the right you wish to exercise, a brief description and reasonable proof of identity. We respond within 30 calendar days (GDPR, LGPD), 45 calendar days extendable to 90 (CCPA), or 20 business days (LFPDPPP). Exercising these rights is free of charge.
11. Account and data deletion (Google Play 2024 requirement)
In-app: open EmprendeIA, go to Settings → Account → Delete my account, confirm with your password. Deletion is executed immediately and a confirmation email is sent.
Web (no app required): visit emprendeia.app/legal/eliminar-cuenta or email privacidad@emprendeia.app with the subject "Account deletion". We process the request within 15 business days.
Deleted within 30 days: profile, email, password, business content (sales, expenses, products, brand kit), receipt photos in Storage. Retained: active subscriptions are cancelled but a minimum billing record is kept for legal obligation; billing data is retained for 5 years (Mexican tax obligation); anonymized security logs may be retained for system integrity.
12. Children's privacy
The EmprendeIA application is not directed to children under 13 and does not knowingly collect personal data from minors of that age. It is classified on Google Play in a category appropriate for adults and teens over 13, outside the Designed for Families program. We comply with COPPA (United States), Google Play Family Policy, GDPR Art. 8 and LGPD Art. 14. If we discover that we have collected data from a child under 13 without verifiable parental consent, we will delete it promptly. Parents may contact privacidad@emprendeia.app.
13. Cookies and similar technologies
The mobile app uses WebView local storage to keep your session active, a Supabase Auth session cookie with domain .emprendeia.app that allows session persistence between the marketing site and the product, and JWT authentication tokens stored on the device. The app does not use advertising cookies or third-party cross-app tracking SDKs. The cookie policy for the website is available at /legal/cookies.
14. Push notifications
If you grant POST_NOTIFICATIONS, we may send operational notifications (sales reminders, AI quota alerts) and product notifications. You can disable them at any time from your device's system settings or from within the app.
15. Changes to this policy
We may update this policy. For substantial changes we will notify you with an in-app banner and by email to your registered address, at least 15 calendar days before the effective date. Continued use after the effective date constitutes acceptance. If you disagree you may request account deletion (Section 11). Version history is available on request at privacidad@emprendeia.app.
16. Contact and supervisory authorities
EmprendeIA — Tetsu Nicolás Osnaya Quevedo. Privacy contact: privacidad@emprendeia.app. Website: emprendeia.app. EmprendeIA is not legally required to appoint a DPO under GDPR Art. 37; queries can be addressed to the contact above. Supervisory authorities: INAI (Mexico), your national DPA (EU), ANPD (Brazil), CPPA (California).
17. California-specific provisions (CCPA/CPRA)
In the last 12 months, EmprendeIA has collected the following categories of personal information: identifiers, commercial information, internet usage information, approximate geolocation and inferences. EmprendeIA does not sell or share personal information under the CPRA expanded definition. We have not sold information of minors under 16. California residents may exercise their rights by emailing privacidad@emprendeia.app. We do not discriminate against those who exercise their rights.
18. Brazil-specific provisions (LGPD)
EmprendeIA acts as Controlador. Legal bases: performance of contract (Art. 7, V), consent (Art. 7, I) for marketing, legitimate interest (Art. 7, IX) for security and aggregated analytics, legal obligation (Art. 7, II) for billing. Brazilian users may exercise all Art. 18 rights at privacidad@emprendeia.app.
19. Acceptance
By installing, registering and using the EmprendeIA application, you declare that you have read, understood and accepted this Privacy Policy. If you disagree, please do not use the app and request account deletion if you have already registered.