1. Quiénes somos
Fundamento es operada por Fundamento, LLC (sociedad de responsabilidad limitada de Delaware), junto con su afiliada operativa Inversiones Santa Lucía, S.A. (Costa Rica) (en conjunto, "nosotros"). Esta Política de Privacidad explica qué datos personales recopilamos cuando usa www.getfundamento.com y la plataforma, cómo los usamos, con quién los compartimos y cuáles son sus derechos.
Para usuarios en la Unión Europea y el Reino Unido, nuestro representante designado bajo el Art. 27 del GDPR es Prighter GmbH, Schönbrunner Straße 222-228/3/7.OG, 1120 Vienna, Austria. Los residentes de la UE y el RU también pueden dirigir sus solicitudes de protección de datos directamente a nosotros en privacy@getfundamento.com. Véase §8 más abajo para la sección completa UE/RU.
2. Qué recopilamos
- Datos de cuenta: nombre, email, hash de contraseña, preferencia de idioma, código de país.
- Datos de suscripción: plan, historial de facturación (no almacenamos números de tarjeta completos — los maneja Stripe).
- Datos de uso: páginas vistas, escenarios de calculadora que guardas, fichas de biblioteca que lees, alertas que configuras.
- Datos de verificación de inversionista acreditado (solo plan Premier): documentos que carga a VerifyInvestor.com para acreditar su estatus. Los documentos se almacenan en los sistemas de VerifyInvestor, no en los nuestros.
- Datos de compromiso Family Office: tenencias de portafolio, información jurisdiccional y preguntas de decisión que compartes con fines de asesoría.
- Datos del dispositivo: dirección IP (truncada para analítica), tipo de navegador, sistema operativo, zona horaria.
3. Cómo los usamos
- Para operar el servicio (autenticación, facturación, persistencia de escenarios, alertas).
- Para mejorar la plataforma (analítica anonimizada).
- Para enviar email transaccional (recibos, restablecimientos de contraseña, digestos de alertas que solicitaste).
- Para enviar anuncios de servicio (raros; no puede optar por no recibirlos sin cancelar).
- Para cumplir obligaciones legales (reporte fiscal, cumplimiento regulatorio del plan Premier).
4. Procesadores externos
Los siguientes procesadores reciben datos específicos para entregar su parte del servicio. Cada uno está sujeto a un acuerdo de procesamiento de datos.
- Supabase — base de datos principal y autenticación. Recibe datos de cuenta, suscripción, escenarios y compromiso.
- Stripe — procesamiento de pagos. Recibe nombre, email, dirección de facturación y datos de tarjeta (que nunca tocan nuestros servidores).
- Resend — envío de email transaccional. Recibe la dirección de email y el contenido de los mensajes que le enviamos.
- HubSpot — CRM para el pipeline de ventas de Family Office y Enterprise. Recibe nombre, email, empresa y contexto de la consulta para usuarios que solicitan una llamada introductoria en esos planes.
- PostHog — analítica de producto. Recibe eventos de uso anonimizados (vistas de página, clics). Sin información personal salvo que se identifique explícitamente en una funcionalidad que lo solicite.
- Plausible — analítica web respetuosa de la privacidad. Recibe datos agregados de pageviews, sin cookies, sin identificación individual.
- Sentry — rastreo de errores. Recibe stack traces de errores y la URL donde ocurrieron. Los datos personales se filtran antes de transmitirse.
- VerifyInvestor.com — verificación de inversionista acreditado (solo plan Premier). Recibe los documentos que carga para acreditar su estatus.
- Cloudflare — DNS, CDN y protección DDoS. Ve metadatos de la solicitud por motivos de seguridad.
- Vercel — hosting de frontend e infraestructura de despliegue. Entrega la aplicación a su navegador.
- Google Workspace — email y calendario del equipo de Fundamento. Ve únicamente los correos que intercambies con direcciones del equipo.
- DeepL Pro — API de traducción para el pipeline de contenido en español. No ve sus datos personales; solo el contenido de origen que enviamos para revisión de traducción.
5. Cookies y tecnologías similares
Usamos un conjunto mínimo: una cookie de autenticación para mantenerte conectado, una cookie de preferencia de idioma y cookies de analítica que solo se activan tras aceptar el consentimiento en el banner. No usamos cookies publicitarias de terceros. Consulta nuestra Política de Cookies.
6. Transferencias internacionales de datos
Algunos procesadores están en Estados Unidos; otros pueden estar en la Unión Europea, el Reino Unido u otras jurisdicciones. Para transferencias de datos personales desde el EEE, RU o Suiza hacia terceros países sin decisión de adecuación, utilizamos las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo 2: Responsable a Encargado), complementadas con evaluaciones de impacto de la transferencia y medidas técnicas/organizativas (cifrado en tránsito y en reposo, acceso de mínimo privilegio). Véase §8 (UE/RU) más abajo.
7. Sus derechos — por jurisdicción
Según su lugar de residencia, tiene derechos para acceder, corregir, eliminar, portar y oponerse al tratamiento de sus datos personales. Envíe cualquier solicitud de ejercicio de derechos a privacy@getfundamento.com; acusamos recibo en 7 días y respondemos sustantivamente en 30 días (o en el plazo máximo que permita su ley local si fuera menor). Las secciones específicas por jurisdicción que siguen describen cómo se aplican esos derechos y qué protecciones adicionales podrían existir bajo su régimen local.
8. Unión Europea / Reino Unido (GDPR / UK GDPR)
Bases jurídicas (Art. 6 GDPR). Tratamos sus datos personales con base en: (a) ejecución de un contrato — para operar la Plataforma, entregar funcionalidades pagas y facturar suscripciones; (b) interés legítimo — para mejorar la Plataforma, prevenir fraude y proteger nuestra red (hemos ponderado estos intereses frente a sus derechos); (c) consentimiento — para cookies no esenciales, comunicaciones de marketing y cualquier tratamiento futuro que lo requiera; (d) obligación legal — para cumplir con obligaciones fiscales, contables, de prevención de blanqueo de capitales y normativa de la Securities and Exchange Commission aplicable al plan Premier. Puede retirar su consentimiento en cualquier momento sin afectar la licitud del tratamiento previo.
Sus derechos. Bajo el GDPR / UK GDPR tiene derecho a acceso (Art. 15), rectificación (Art. 16), supresión (Art. 17), limitación del tratamiento (Art. 18), portabilidad (Art. 20), oposición (Art. 21), y a no ser objeto de decisiones automatizadas con efectos jurídicos o significativos (Art. 22). La Plataforma no utiliza decisiones automatizadas en ese sentido.
Transferencias internacionales. Los datos personales se transfieren desde el EEE/RU a Estados Unidos y a otros países para ser tratados por nuestros procesadores de hosting, analítica y pagos (véase §4). Para esas transferencias utilizamos las Cláusulas Contractuales Tipo de la Comisión (Módulo 2: Responsable a Encargado), junto con salvaguardas suplementarias. Una copia de las cláusulas vigentes está disponible bajo solicitud a privacy@getfundamento.com.
Evaluación de Impacto en la Protección de Datos. Hemos realizado una EIPD que cubre el flujo de verificación de inversionista acreditado y el pipeline de compromiso Family Office (las dos operaciones de mayor riesgo). Un resumen está disponible bajo solicitud para las autoridades de control.
Representante en la Unión (Art. 27 GDPR). Prighter GmbH actúa como nuestro representante designado del Art. 27 para usuarios en la Unión Europea. Contacto: Schönbrunner Straße 222-228/3/7.OG, 1120 Vienna, Austria. Los usuarios de la UE pueden dirigir consultas tanto a nosotros en privacy@getfundamento.com como al representante.
Reclamaciones. Tiene derecho a presentar reclamación ante su autoridad de control local. En el Reino Unido, ante la Information Commissioner's Office (ico.org.uk).
9. California (CCPA / CPRA)
Esta sección complementa el resto de la Política para residentes de California. Se proporciona conforme a la California Consumer Privacy Act, modificada por la California Privacy Rights Act (en conjunto, "CCPA").
Categorías de información personal que recopilamos, fuentes, fines comerciales y destinatarios.
- Identificadores (nombre, email, ID de cuenta, dirección IP) — recopilados directamente de usted; usados para operar la Plataforma; divulgados a Supabase, Stripe, Resend, HubSpot, Cloudflare, Vercel.
- Información comercial (plan de suscripción, historial de facturación) — recopilada de usted y de Stripe; usada para facturación y analítica de ingresos; divulgada a Stripe, Supabase.
- Actividad en internet (vistas de página, interacciones con calculadoras) — recopilada automáticamente; usada para analítica de producto; divulgada a PostHog, Plausible.
- Geolocalización (aproximada) (país/región derivado de la IP) — recopilada automáticamente; usada para cumplir con la ley local y mostrar moneda; divulgada a Cloudflare, PostHog.
- Información profesional / laboral — documentos de verificación de inversionista acreditado que usted decida proporcionar vía VerifyInvestor.com (almacenados en los sistemas de VerifyInvestor, no en los nuestros).
- Inferencias (entradas de scoring por clase de activo, señales de ajuste de plan) — derivadas de sus inputs; usadas únicamente para recomendaciones dentro de la aplicación; no divulgadas a terceros.
- Información Personal Sensible ("SPI") — credenciales de cuenta; información de cuenta financiera utilizada para verificación. Usamos SPI únicamente para fines permitidos bajo CPRA § 7027(m) y no usamos SPI para inferir características sobre usted.
Fuentes. Directamente de usted; de VerifyInvestor (estatus de verificación); de procesadores de analítica. Destinatarios. Los procesadores enumerados en §4 anterior.
"Venta" y "compartición" de información personal. NO vendemos ni compartimos su información personal en los términos definidos por la CCPA/CPRA. No lo hemos hecho en los 12 meses previos. No hemos vendido ni compartido a sabiendas información personal de ningún consumidor menor de 16 años. Una página que refleja esta postura está disponible en No vender ni compartir mi información personal.
Incentivo financiero: no se ofrece ninguno.
Sus derechos CCPA. Tiene derecho: a conocer; a eliminar; a corregir; a optar por no participar en venta/compartición (ninguna aplicable); a limitar el uso de SPI (ya lo limitamos); y a no discriminación por ejercer cualquiera de estos derechos.
Cómo presentar una solicitud. Envíe un email a privacy@getfundamento.com con el asunto "CCPA Request" y díganos qué derecho desea ejercer.
Agentes autorizados. Aceptados con autorización por escrito firmada por usted y verificación de identidad.
Retención. Datos de cuenta durante la vida de la cuenta más 7 años para registros fiscales / de valores; documentos de verificación de inversionista acreditado durante 5 años conforme a las mejores prácticas de la Regla 506(c).
Derecho a apelar. Si denegamos una solicitud, puede apelar escribiendo a privacy@getfundamento.com con el asunto "CCPA Appeal".
10. Brasil (LGPD)
Esta sección complementa el resto de la Política para titulares de datos en Brasil y se proporciona conforme a la Ley No. 13,709/2018 ("Lei Geral de Proteção de Dados Pessoais" — LGPD).
Controlador y Encarregado (DPO). El controlador de sus datos personales es Fundamento, LLC; en Brasil, la afiliada operativa es Inversiones Santa Lucía, S.A.. El encarregado pelo tratamento de dados pessoais (Data Protection Officer) designado está disponible en privacy@getfundamento.com (asunto: "LGPD — Encarregado"), salvo que aplique la exención de pequeño operador conforme a la Resolución CD/ANPD No. 2/2022. El DPO actúa como punto de contacto para titulares de datos y para la Autoridade Nacional de Proteção de Dados (ANPD).
Bases jurídicas (Art. 7 LGPD). Tratamos datos personales con base en: (i) ejecución de un contrato (Art. 7, V); (ii) cumplimiento de obligación legal o regulatoria (Art. 7, II); (iii) interés legítimo del controlador (Art. 7, IX), ponderado frente a sus derechos fundamentales; y (iv) consentimiento (Art. 7, I) para cookies no esenciales y comunicaciones de marketing, que puede retirar en cualquier momento.
Sus derechos (Art. 18 LGPD). Tiene derecho a: confirmación del tratamiento; acceso; corrección; anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados de forma ilícita; portabilidad; eliminación de datos tratados con base en consentimiento; información sobre con quién se comparten sus datos; información sobre la posibilidad de no consentir; y revocación del consentimiento. Envíe solicitudes a privacy@getfundamento.com.
Transferencias internacionales (Art. 33 LGPD). Los datos personales se transfieren a procesadores en Estados Unidos, la Unión Europea y otros países. Utilizamos cláusulas contractuales específicas (alineadas con las Cláusulas Contractuales Tipo de la UE) y la necesidad de la transferencia para la ejecución del contrato y nuestros intereses legítimos, conforme al Art. 33.
Reclamaciones. Tiene derecho a presentar reclamación ante la ANPD (gov.br/anpd).
11. México (LFPDPPP / SABG) — Aviso de Privacidad integral
Esta sección se proporciona conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Las funciones de protección de datos personales fueron asumidas por la Secretaría Anticorrupción y Buen Gobierno (SABG) en marzo de 2025 tras la reestructuración legislativa que disolvió al INAI; las referencias a "INAI" en documentos anteriores deben leerse como referencias a la SABG.
Identidad y domicilio del responsable. Fundamento, LLC, operando en México a través de su afiliada Inversiones Santa Lucía, S.A. cuando corresponda. Domicilio: Fundamento, LLC, c/o Corporation Service Company, 251 Little Falls Drive, Wilmington, DE 19808.
Datos personales recopilados. Conforme a §2 más arriba (identificación, contacto, cuenta, facturación, uso y — solo para plan Premier — marca de verificación de inversionista acreditado).
Finalidades primarias (esenciales). Operar la Plataforma, entregar funcionalidades pagas, facturar suscripciones, enviar correos transaccionales, cumplir con la ley aplicable (incluidas obligaciones fiscales mexicanas cuando proceda) y realizar la verificación de inversionista acreditado en el plan Premier.
Finalidades secundarias (no esenciales). Enviar anuncios de servicio respecto de los que puede manifestar oposición, realizar analítica anonimizada de producto y enviar comunicaciones de marketing donde haya prestado consentimiento. Puede oponerse o limitar las finalidades secundarias en cualquier momento escribiendo a privacy@getfundamento.com.
Transferencias. Transferimos datos personales a procesadores (véase §4) ubicados en Estados Unidos, la Unión Europea y otros países, en cada caso vinculados por un acuerdo de tratamiento de datos con protecciones equivalentes. Las transferencias necesarias para ejecutar el contrato y cumplir las obligaciones legales del responsable no requieren su consentimiento por separado bajo el Art. 37 de la LFPDPPP; para cualquier otra transferencia solicitaremos su consentimiento expreso.
Derechos ARCO. Tiene derecho de Acceso, Rectificación, Cancelación y Oposición, así como a revocar el consentimiento para el tratamiento de sus datos personales. Ejerza estos derechos enviando email a privacy@getfundamento.com con el asunto "Derechos ARCO" e incluyendo (a) su nombre y un canal de contacto; (b) documentación que acredite su identidad (o la de su representante); (c) descripción clara de los datos personales y el derecho que desea ejercer; y (d) cualquier elemento que ayude a localizar los datos. Respondemos en 20 días hábiles y actuamos en 15 días hábiles tras confirmar una resolución favorable.
Responsable de datos personales. El responsable de datos personales para México está disponible en privacy@getfundamento.com.
Autoridad de supervisión: Secretaría Anticorrupción y Buen Gobierno (SABG), que asumió las funciones de protección de datos personales en marzo de 2025 tras la reestructuración legislativa que disolvió al INAI. Las referencias a "INAI" en documentos anteriores deben leerse como referencias a la SABG. Las cláusulas del Artículo 36 se incorporan por referencia en nuestros acuerdos con encargados.
Cambios al aviso. Véase §17 más abajo.
12. Costa Rica (Ley 8968)
Esta sección aplica a titulares de datos en Costa Rica, incluyendo cuando nuestra afiliada operativa Inversiones Santa Lucía, S.A. actúa como responsable o encargado en relación con la Plataforma.
Registro de bases de datos. Inversiones Santa Lucía, S.A. (la afiliada operativa) no mantiene actualmente bases de datos utilizadas para distribución, divulgación o comercialización de datos personales en el sentido del Art. 21 de la Ley 8968; si dicho uso comienza, las bases de datos correspondientes se registrarán ante la Agencia de Protección de Datos de los Habitantes (PRODHAB).
Derechos ARCO+P. Acceso, Rectificación, Cancelación, Oposición y Portabilidad. Ejérzalos escribiendo a privacy@getfundamento.com.
Notificación de incidentes. Las notificaciones a PRODHAB se realizarán dentro de los 5 días hábiles desde el conocimiento de un incidente de seguridad que afecte materialmente datos personales de residentes en Costa Rica.
Transferencias transfronterizas. Basadas en el consentimiento expreso del titular u otra base lícita conforme a la Ley 8968 y su reglamento.
Reclamaciones. Puede presentar reclamaciones ante PRODHAB (prodhab.go.cr).
13. Transferencias internacionales (resumen)
Cuando los datos personales cruzan fronteras (p. ej., desde la UE/RU o América Latina hacia Estados Unidos), utilizamos: (a) las Cláusulas Contractuales Tipo de la Comisión Europea, Módulo 2 (Responsable a Encargado), con evaluaciones suplementarias de impacto de la transferencia; (b) salvaguardas contractuales equivalentes bajo la LGPD, la LFPDPPP y la Ley 8968; y (c) medidas técnicas y organizativas que incluyen cifrado en tránsito (TLS 1.2+), cifrado en reposo y controles de acceso de mínimo privilegio.
14. Retención de datos
Los datos de cuenta se conservan mientras su cuenta esté activa. Tras la cancelación retenemos registros de facturación por 7 años (cumplimiento fiscal) y luego los eliminamos. Los datos de escenarios se eliminan 90 días después de la cancelación, salvo que solicite eliminación anticipada. La analítica agregada anonimizada puede conservarse indefinidamente.
15. Seguridad
Usamos seguridad estándar de la industria: TLS en tránsito, cifrado en reposo, acceso de mínimo privilegio, login administrativo con llave de hardware, actualizaciones regulares de dependencias y monitoreo de errores con Sentry. Ningún sistema es perfectamente seguro; le recomendamos usar una contraseña fuerte única y habilitar autenticación de dos factores donde esté disponible.
16. Menores de edad
Fundamento no se dirige a menores de 18 años. No recopilamos a sabiendas datos de menores de 18. Si cree que un menor nos ha proporcionado datos, contacte privacy@getfundamento.com para su eliminación inmediata.
17. Cambios
Los cambios materiales a esta Política se notificarán por email o banner en la aplicación con al menos 14 días de anticipación. La fecha de "Última actualización" en la parte superior refleja la versión más reciente.
18. Contacto
Preguntas de privacidad, solicitudes de derechos o quejas: privacy@getfundamento.com. Representante UE: Prighter GmbH, Schönbrunner Straße 222-228/3/7.OG, 1120 Vienna, Austria. Encarregado LGPD / responsable de datos personales en México / contacto Costa Rica: mismo email, con el país indicado en el asunto.