Política de Privacidad y Aviso de Privacidad Integral — Bobax
Última actualización: 1 de abril de 2026
1. Identidad y domicilio del Responsable
El servicio "Bobax" (nombre comercial) es operado actualmente por Hecho Está, S.C., sociedad civil legalmente constituida conforme a las leyes mexicanas el 25 de agosto de 2021, con RFC HES210825CM7, representada legalmente por Roberto Martínez Licón, entidad jurídicamente responsable del tratamiento de tus datos personales conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, y la normativa internacional aplicable según la jurisdicción del Usuario (ver sección 14).
Domicilios:
- Domicilio fiscal (Morelia): Calle Panamá #36, Col. Las Américas, C.P. 58270, Morelia, Michoacán de Ocampo, México
- Oficina alterna de contacto (CDMX): Calle Tamaulipas #150, Colonia Condesa, Ciudad de México, México
(La operación del software "Bobax" bajo Hecho Está, S.C. es transitoria, en vía mientras concluye el proceso de constitución de la entidad jurídica que operará bajo el nombre comercial "Bobax". Una vez constituida la nueva entidad, esta Política de Privacidad será actualizada y notificada a los Usuarios para reflejar la nueva razón social. La nueva entidad asumirá la totalidad de los derechos y obligaciones derivados de este Aviso de Privacidad respecto del tratamiento de datos personales.)
En adelante, las referencias a "Bobax" en este documento se entenderán hechas a Hecho Está, S.C. como entidad jurídicamente responsable.
Para cualquier asunto relacionado con esta Política de Privacidad o tus datos personales, puedes contactarnos en: contacto@vadai.com.mx.
2. ¿Qué datos personales recabamos?
Bobax recaba los siguientes datos personales cuando contratas, te registras o utilizas nuestra plataforma SaaS:
Datos de identificación y contacto del Usuario:
- Nombre completo
- Correo electrónico
- Número telefónico (incluido WhatsApp)
- País, ciudad y zona horaria
Datos de facturación y pago:
- Nombre fiscal, RFC o equivalente fiscal según el país
- Domicilio fiscal
- Datos de pago procesados exclusivamente a través de Stripe (no almacenamos números completos de tarjeta en nuestros servidores)
Datos técnicos y de uso de la plataforma:
- Dirección IP, tipo de dispositivo, navegador, sistema operativo
- Registros de acceso (logs), interacciones con la plataforma, contenido descargado de la biblioteca, módulos consultados en la academia
- Cookies y tecnologías similares (ver sección 9)
Datos relacionados con campañas publicitarias:
- Identificadores de cuentas publicitarias de Meta (Facebook/Instagram) que el Usuario conecte voluntariamente
- Métricas agregadas de desempeño de campañas
- Configuraciones, audiencias y creatividades que el Usuario cree o cargue dentro de la plataforma
Bobax NO recaba:
- Datos personales sensibles (origen racial, salud, creencias religiosas, preferencia sexual, etc.)
- Contraseñas de redes sociales del Usuario (la conexión se realiza vía OAuth oficial de Meta, sin que Bobax acceda jamás a la contraseña)
3. Finalidades del tratamiento
3.1 Finalidades primarias necesarias para la prestación del servicio
Base legal: ejecución del contrato (art. 6.1(b) RGPD; art. 17 LFPDPPP) y cumplimiento de obligaciones legales (art. 6.1(c) RGPD).
Las siguientes finalidades son estrictamente necesarias para que Bobax pueda prestar el servicio contratado y, por tanto, no requieren consentimiento adicional del Usuario:
- Crear, autenticar, mantener y administrar tu cuenta en la plataforma Bobax
- Procesar pagos de Plan Anual de Embudo y Suscripción Mensual de Plataforma a través de Stripe, incluyendo facturación, cobro, conciliación, reembolsos y prevención de fraude
- Permitirte operar campañas publicitarias en Meta desde tu propia cuenta publicitaria, configurar y mantener tu embudo y recibir tus prospectos
- Brindarte acceso a la biblioteca de contenido, academia y demás funcionalidades de la plataforma
- Proveer soporte técnico y atención al cliente
- Emitir comprobantes fiscales (CFDI en México) y cumplir obligaciones tributarias en México y, cuando aplique, en otras jurisdicciones
- Cumplir obligaciones legales, regulatorias y contractuales (incluyendo prevención de fraude, lavado de dinero y cumplimiento con requerimientos de autoridades competentes)
- Enviar comunicaciones transaccionales esenciales: confirmaciones de registro y pago, recordatorios de renovación, alertas de seguridad y uso anómalo, notificaciones de vulneraciones de datos, mantenimiento programado, cambios sustantivos a estos Términos o al Aviso de Privacidad, y demás avisos legales obligatorios. Estas comunicaciones son inherentes al servicio y no pueden desactivarse mientras la cuenta del Usuario permanezca activa.
3.2 Finalidades de evolución del servicio y mejora de la plataforma
Base legal: interés legítimo del Responsable (art. 6.1(f) RGPD; considerando 47 RGPD; art. 16 LFPDPPP), debidamente ponderado frente a los derechos del Usuario.
Bobax tratará los datos del Usuario para las siguientes finalidades relacionadas con la evolución natural del servicio contratado:
- Informarte sobre actualizaciones, mejoras, nuevas funcionalidades, módulos y nuevos servicios dentro de la plataforma Bobax que constituyan evolución del servicio que has contratado (por ejemplo, lanzamiento de nuevos módulos en la academia, nuevas plantillas en la biblioteca, integraciones adicionales con plataformas publicitarias, nuevas capacidades del embudo, etc.). Estas comunicaciones se consideran parte integral del servicio contratado y permiten al Usuario aprovechar al máximo la plataforma
- Análisis agregado y, cuando es técnicamente posible, anonimizado o seudonimizado del uso de la plataforma para detectar errores, identificar oportunidades de mejora, optimizar la experiencia del Usuario y desarrollar nuevas funcionalidades
- Análisis estadístico de campañas para mejorar algoritmos de optimización publicitaria de Bobax (sin acceso a datos personales identificables de prospectos del Usuario, conforme a la sección 4)
- Mediciones de rendimiento, disponibilidad, seguridad y resiliencia de la plataforma
- Comunicaciones educativas y formativas directamente vinculadas al uso del servicio (tips de optimización, mejores prácticas, casos de uso de la plataforma)
El Usuario puede limitar o desactivar las comunicaciones sobre evolución del servicio y educativas (no las transaccionales esenciales del punto 3.1) mediante:
- El enlace de baja incluido en cada comunicación
- Las preferencias de notificación en su panel de cuenta
- Solicitud por escrito a contacto@vadai.com.mx con el asunto "Limitar comunicaciones de evolución del servicio"
La oposición a estas finalidades no suspende las comunicaciones transaccionales esenciales indicadas en 3.1.
3.3 Finalidades secundarias que requieren consentimiento
Base legal: consentimiento del titular (art. 6.1(a) RGPD; art. 8 LFPDPPP).
Las siguientes finalidades NO son necesarias para la prestación del servicio y, por tanto, requieren consentimiento explícito del Usuario, que puede ser otorgado o negado libremente y revocado en cualquier momento sin afectar la prestación del servicio:
- Envío de comunicaciones comerciales o promocionales sobre productos o servicios futuros de Hecho Está, S.C. o de su entidad sucesora, distintos del software Bobax actualmente contratado
- Compartir testimonios, casos de éxito o material identificable del Usuario en materiales públicos de marketing (requiere consentimiento explícito y por escrito)
- Invitaciones a eventos presenciales, comunidades cerradas y contenido extracurricular no esencial
- Estudios de mercado, investigación cualitativa y entrevistas
- Cesión o remisión de datos a socios comerciales con fines de marketing conjunto (cuando aplique)
Si NO deseas que tus datos se utilicen para estas finalidades secundarias, puedes manifestarlo en el momento del registro, en las preferencias de tu cuenta, o enviando un correo a contacto@vadai.com.mx con el asunto "Limitar uso para fines secundarios". Esta negativa no condicionará la prestación del servicio contratado.
4. Tratamiento de datos de prospectos (leads) generados por el Usuario
Esta es una de las cláusulas más importantes de este aviso. Por favor, léela con atención.
Cuando un Usuario ejecuta campañas publicitarias en Meta a través de la plataforma Bobax, los prospectos (leads) que se generan como resultado de dichas campañas:
- Pertenecen exclusivamente al Usuario que financió y operó la campaña. Bobax NO es propietario, copropietario ni licenciatario de esos datos.
- Bobax actúa únicamente como encargado técnico del flujo de captura, conforme al artículo 50 del Reglamento de la LFPDPPP. Los datos viajan a través de nuestra infraestructura únicamente para entregarse al Usuario.
- Bobax NO vende, comparte, comercializa, cede, transfiere ni utiliza los datos de prospectos con terceros, con otros usuarios de la plataforma, ni para fines propios de Bobax bajo ninguna circunstancia.
- Bobax NO construye bases de datos comerciales a partir de los prospectos generados por sus Usuarios.
- El Usuario es responsable frente a sus prospectos de cumplir con la LFPDPPP, GDPR (cuando aplique) y demás normativa: debe contar con su propio aviso de privacidad, recabar consentimientos, atender derechos ARCO de sus prospectos y dar uso lícito a la información.
Bobax podrá conservar los datos de prospectos únicamente durante el tiempo técnicamente necesario para entregarlos al Usuario y mantener respaldos por motivos de seguridad e integridad operativa, tras lo cual serán eliminados o anonimizados.
5. Transferencias y remisiones de datos
Bobax NO vende ni comercializa tus datos personales. Sin embargo, para operar el servicio, comparte cierta información con los siguientes proveedores tecnológicos, quienes actúan como encargados o terceros con sus propias políticas:
| Proveedor o categoría | Finalidad | Ubicación |
|---|---|---|
| Stripe, Inc. | Procesamiento de pagos | Estados Unidos |
| Meta Platforms, Inc. | Ejecución de campañas publicitarias en Facebook/Instagram (mediante OAuth iniciado por el Usuario) | Estados Unidos / Irlanda |
| Proveedor de hosting e infraestructura en la nube | Alojamiento de la plataforma, base de datos, almacenamiento y respaldos | Norteamérica y/o Unión Europea |
| Proveedor de correo transaccional | Envío de correos automatizados relacionados con el servicio (confirmaciones, recordatorios, notificaciones de seguridad) | Norteamérica y/o Unión Europea |
| Proveedor de analítica y observabilidad | Métricas agregadas de uso, monitoreo de rendimiento y seguridad de la plataforma | Norteamérica y/o Unión Europea |
Bobax selecciona proveedores tecnológicos que mantienen estándares reconocidos de seguridad y protección de datos (ISO 27001, SOC 2, certificaciones equivalentes), formalizando con cada uno los acuerdos de encargado del tratamiento exigidos por el art. 50 del Reglamento LFPDPPP y el art. 28 RGPD cuando aplique. Bobax podrá actualizar la lista de proveedores notificando previamente al Usuario cuando los cambios sean materiales.
Estas transferencias son necesarias para la prestación del servicio y, por tanto, no requieren tu consentimiento adicional conforme al artículo 37 de la LFPDPPP.
Al utilizar la plataforma, reconoces que algunos de estos proveedores se encuentran fuera de México y aceptas la transferencia internacional de datos bajo las salvaguardas contractuales correspondientes.
6. Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición)
Tienes derecho a:
- Acceder a los datos personales que tenemos sobre ti
- Rectificar datos inexactos o incompletos
- Cancelar datos cuando consideres que no se requieren para alguna de las finalidades, estén siendo utilizados para finalidades no consentidas, o haya terminado la relación contractual
- Oponerte al uso de tus datos para fines específicos
- Revocar el consentimiento otorgado
- Limitar el uso o divulgación de tus datos
Para ejercer estos derechos, envía una solicitud a contacto@vadai.com.mx con:
- Tu nombre completo y correo registrado en Bobax
- Documento oficial que acredite tu identidad (INE, pasaporte o equivalente)
- Descripción clara del derecho que deseas ejercer
- Datos sobre los que se ejerce el derecho
Bobax responderá en un plazo no mayor a 20 días hábiles y, en caso de proceder, lo hará efectivo dentro de los 15 días hábiles siguientes, conforme al artículo 32 de la LFPDPPP.
7. Revocación del consentimiento
En cualquier momento puedes revocar el consentimiento que has otorgado para el tratamiento de tus datos. Ten en cuenta que la revocación puede implicar que no podamos seguir prestándote el servicio o que ello suponga la terminación de la relación contractual.
8. Conservación de datos
Conservaremos tus datos personales durante el tiempo que mantengas una cuenta activa con Bobax y, posteriormente, durante los plazos legales aplicables en materia fiscal, mercantil y de prescripción de obligaciones (generalmente 5 a 10 años según el caso). Transcurridos esos plazos, los datos serán eliminados o anonimizados.
9. Cookies y tecnologías similares
Bobax utiliza cookies y tecnologías similares para:
- Mantener tu sesión iniciada
- Recordar preferencias (idioma, tema, configuraciones)
- Analizar el uso de la plataforma de forma agregada
- Proveer funcionalidades de seguridad (detección de fraude, anti-bot)
Puedes deshabilitar las cookies desde la configuración de tu navegador. Hacerlo puede afectar la funcionalidad de la plataforma.
10. Medidas de seguridad
Bobax implementa medidas técnicas, administrativas y organizativas razonables y proporcionales al riesgo del tratamiento, conforme al artículo 19 de la LFPDPPP y su Reglamento, al artículo 32 del RGPD y demás normativa internacional aplicable, con el objetivo de proteger los datos personales contra acceso no autorizado, pérdida accidental, alteración, destrucción o divulgación indebida.
10.1 Medidas técnicas
- Cifrado de datos en tránsito mediante TLS 1.2 o superior en todas las comunicaciones entre los dispositivos del Usuario y la infraestructura de Bobax
- Cifrado de datos en reposo mediante algoritmos estándar de la industria (AES-256 o equivalente)
- Almacenamiento seguro de contraseñas mediante funciones hash criptográficas con salt (bcrypt, Argon2 o equivalente); Bobax nunca almacena ni tiene acceso a contraseñas en texto plano
- Autenticación robusta del Usuario, con soporte para autenticación de doble factor (2FA) cuando esté disponible
- Control de accesos basado en roles (RBAC) y principio de mínimo privilegio para personal interno y proveedores con acceso a datos
- Respaldos periódicos automatizados con cifrado y conforme a política de continuidad operativa y recuperación ante desastres
- Monitoreo continuo y registros de auditoría (logs) de accesos, cambios de configuración y eventos críticos
- Segmentación de red, firewalls de aplicaciones web (WAF) y endurecimiento (hardening) de servidores
- Detección y prevención de ataques comunes (inyección SQL, XSS, CSRF, fuerza bruta, scraping no autorizado, denegación de servicio)
- Gestión de vulnerabilidades mediante actualizaciones periódicas, escaneos automatizados y, cuando proceda, pruebas de penetración
- Limitación de retención automatizada conforme a la sección 8
10.2 Medidas administrativas y organizativas
- Acuerdos de confidencialidad vinculantes con personal interno, contratistas y proveedores
- Capacitación periódica del personal en materia de protección de datos, ciberseguridad e ingeniería social
- Políticas internas documentadas de manejo de información, gestión de incidentes y respuesta ante vulneraciones
- Selección, contratación y supervisión de proveedores tecnológicos con estándares equivalentes, formalizada mediante acuerdos de encargado del tratamiento conforme al art. 50 del Reglamento LFPDPPP y al art. 28 del RGPD cuando aplique
- Plan documentado de respuesta a incidentes con roles, procedimientos de contención, erradicación, recuperación y comunicación
- Auditorías internas periódicas del cumplimiento de las medidas de seguridad
10.3 Notificación de vulneraciones de seguridad
En caso de una vulneración de seguridad que afecte de forma significativa los derechos patrimoniales o morales del Usuario, Bobax procederá a:
- Notificar al Usuario afectado sin dilación indebida una vez identificada y verificada la vulneración, conforme al artículo 20 de la LFPDPPP y al artículo 34 del RGPD cuando aplique, indicando la naturaleza de la vulneración, los datos afectados, las medidas correctivas adoptadas y las recomendaciones para el Usuario
- Notificar a las autoridades de control competentes en los plazos establecidos por la normativa de cada jurisdicción (en general, dentro de las 72 horas siguientes al conocimiento de la vulneración bajo RGPD; conforme a tiempos análogos bajo LGPD y otras normativas)
- Documentar el incidente y las acciones tomadas para fines de auditoría y cumplimiento
10.4 Limitación razonable
Ningún sistema es absolutamente infalible. Bobax no puede garantizar la inviolabilidad absoluta de su infraestructura o la de sus proveedores tecnológicos, pero se compromete a mantener medidas de seguridad consistentes con el estado del arte y las mejores prácticas de la industria SaaS, y a mejorarlas continuamente.
11. Datos de menores de edad
Bobax es una plataforma diseñada para mayores de edad con capacidad legal para contratar. No recabamos intencionalmente datos de menores de 18 años. Si detectamos que un menor se ha registrado, eliminaremos la cuenta y los datos asociados.
12. Cambios al Aviso de Privacidad
Bobax podrá modificar este Aviso de Privacidad en cualquier momento. Las modificaciones se publicarán en https://bobax.com.mx/privacidad y, cuando los cambios sean sustantivos, te notificaremos por correo electrónico con al menos 15 días naturales de anticipación a su entrada en vigor.
13. Autoridad competente
Si consideras que tu derecho a la protección de datos personales ha sido vulnerado, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): www.inai.org.mx.
14. Usuarios fuera de México y cumplimiento internacional
Bobax es una plataforma que se ofrece a Usuarios en diversos países, principalmente de América Latina, España y el mundo hispanohablante. El tratamiento de tus datos personales se rige por la LFPDPPP (México) como marco base, sin perjuicio de los derechos adicionales que te correspondan conforme a la legislación de tu país de residencia.
14.1 Reconocimiento de derechos bajo legislación local
Si te encuentras en una jurisdicción que cuenta con regulación específica de protección de datos, Bobax reconocerá y atenderá los derechos adicionales que dicha regulación te confiera, incluyendo de forma enunciativa, no limitativa:
- Unión Europea y Espacio Económico Europeo (Reglamento General de Protección de Datos — RGPD/GDPR): Acceso, rectificación, supresión ("derecho al olvido"), limitación del tratamiento, portabilidad, oposición, y derechos relacionados con decisiones automatizadas y elaboración de perfiles
- Reino Unido (UK GDPR / Data Protection Act 2018): Derechos equivalentes a los del RGPD
- Brasil (LGPD — Lei Geral de Proteção de Dados): Acceso, confirmación, corrección, anonimización, portabilidad, eliminación, información sobre uso compartido y revocación de consentimiento
- California, Estados Unidos (CCPA/CPRA): Derecho a saber, eliminar, corregir, optar por no vender/compartir, limitar el uso de información sensible, y no ser discriminado por ejercer estos derechos
- Argentina (Ley 25.326), Colombia (Ley 1581 y Decreto 1377), Chile (Ley 19.628 y Ley 21.719), Perú (Ley 29733), Uruguay (Ley 18.331): Derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) y derechos complementarios
- Ecuador (LOPDP), Honduras (Decreto 16-2024), República Dominicana (Ley 172-13), Costa Rica (Ley 8968), Panamá (Ley 81): Derechos equivalentes según su normativa local
- España (LOPDGDD complementaria al RGPD): Derechos del RGPD más los derechos digitales reconocidos en la legislación española
- Canadá (PIPEDA): Derechos equivalentes conforme a la legislación federal canadiense
14.2 Principios universales de tratamiento
Independientemente de la jurisdicción del Usuario, Bobax se compromete a tratar los datos personales conforme a los siguientes principios universalmente reconocidos:
- Licitud, lealtad y transparencia en el tratamiento
- Limitación de la finalidad: los datos se recaban para fines determinados, explícitos y legítimos
- Minimización de datos: se recaban únicamente los datos necesarios
- Exactitud: se mantienen actualizados y se corrigen cuando es necesario
- Limitación del plazo de conservación
- Integridad y confidencialidad mediante medidas de seguridad razonables
- Responsabilidad proactiva (accountability)
14.3 Transferencias internacionales de datos
Los datos personales pueden ser transferidos a proveedores tecnológicos ubicados en Estados Unidos, Unión Europea, América Latina u otros países (Stripe, Meta, proveedores de hosting, email y analítica). Estas transferencias se realizan bajo mecanismos legalmente aceptados, incluyendo:
- Cláusulas Contractuales Tipo (Standard Contractual Clauses — SCC) aprobadas por la Comisión Europea, cuando aplique
- Decisiones de adecuación emitidas por autoridades de control competentes
- Compromisos contractuales equivalentes con proveedores que mantienen estándares internacionales reconocidos (ISO 27001, SOC 2 Tipo II, certificaciones de transferencia internacional aplicables)
- Consentimiento explícito del Usuario cuando sea el mecanismo legal procedente en su jurisdicción
14.4 Autoridades de control competentes
Si consideras que tu derecho a la protección de datos ha sido vulnerado, además del INAI en México, puedes acudir a la autoridad de control de tu país de residencia, incluyendo de forma enunciativa:
| País / Región | Autoridad |
|---|---|
| Unión Europea | Autoridades nacionales (CNIL — Francia, AEPD — España, Garante — Italia, BfDI — Alemania, etc.) |
| Reino Unido | Information Commissioner's Office (ICO) |
| Brasil | Autoridade Nacional de Proteção de Dados (ANPD) |
| Argentina | Agencia de Acceso a la Información Pública (AAIP) |
| Colombia | Superintendencia de Industria y Comercio (SIC) |
| Chile | Agencia de Protección de Datos Personales |
| Perú | Autoridad Nacional de Protección de Datos Personales |
| Ecuador | Superintendencia de Protección de Datos Personales |
| California, EE.UU. | California Privacy Protection Agency (CPPA) |
14.5 Ejercicio de derechos para Usuarios internacionales
Independientemente de tu país de residencia, puedes ejercer todos los derechos aplicables enviando una solicitud a contacto@vadai.com.mx, identificándote y describiendo claramente el derecho que deseas ejercer. Bobax responderá dentro de los plazos legales aplicables a tu jurisdicción (15 días hábiles bajo LFPDPPP, 30 días bajo RGPD, 15 días hábiles bajo LGPD, 45 días bajo CCPA, etc.).
14.6 Conflicto entre normativas
En caso de conflicto entre lo establecido en este Aviso de Privacidad y una disposición imperativa de la legislación de protección de datos del país de residencia del Usuario, prevalecerá la disposición local más protectora para el Usuario, manteniéndose el resto del Aviso en pleno vigor.
15. Contacto
Cualquier duda, solicitud o comentario sobre esta Política de Privacidad puedes dirigirla a:
Bobax — Departamento de Privacidad Operado por: Hecho Está, S.C. (en vía mientras se constituye la empresa bajo el nombre comercial "Bobax") Representante legal: Roberto Martínez Licón RFC: HES210825CM7 Correo: contacto@vadai.com.mx
Domicilios:
- Domicilio fiscal: Calle Panamá #36, Col. Las Américas, C.P. 58270, Morelia, Michoacán de Ocampo, México
- Oficina alterna: Calle Tamaulipas #150, Colonia Condesa, Ciudad de México, México
Al utilizar la plataforma Bobax, manifiestas que has leído, entendido y aceptado los términos de este Aviso de Privacidad.