Legal

Este Aviso de Privacidad Integral explica cómo Orbis trata tus datos personales a través de este sitio web y de los servicios de marketing digital asociados. La entidad responsable del tratamiento se determina por tu país de residencia o ubicación al momento de la recolección de tus datos, conforme se detalla a continuación.

1. ¿Quién es el Responsable de tus datos?

La entidad responsable del tratamiento de tus datos personales se determina por tu país de residencia o ubicación:

Si te ubicas en México

• Responsable: Orbis Agencia de Marketing Digital, S.A.S. de C.V.
• Domicilio: Calzada Villa Plata 430, interior 5, Jesús María, Aguascalientes, México, C.P. 20908.
• RFC: OAM2201187A3.
• Correo ARCO/privacidad: hola@orbis.agency
• Persona responsable de Datos Personales: Sergio Guillermo Caballero Real.
• Marco aplicable: Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) 2025.

Si te ubicas fuera de México

• Responsable: Orbis Agency LLC.
• Jurisdicción de constitución: Estado de Delaware, EE. UU.
• Domicilio: 651 N Broad St, Suite 201, Middletown, DE 19709, Condado de New Castle, EE. UU.
• Correo de privacidad: hola@orbis.agency
• Contacto responsable (UE / Reino Unido / Brasil): Guillermo Alberto Caballero Biard — hola@orbis.agency.
• Marco aplicable: la ley local del usuario (RGPD, UK GDPR, CCPA/CPRA, LGPD, entre otras).

El sitio determina la entidad responsable según tu país (geolocalización y/o tu declaración) y muestra los datos de contacto de la entidad correspondiente. Las comunicaciones de datos entre ambas entidades del grupo Orbis constituyen una transferencia internacional, descrita más abajo.

2. Autoridad en México (SABG)

Con la reforma constitucional de diciembre de 2024 que desapareció al INAI, las facultades en materia de protección de datos personales en posesión de particulares se trasladaron a la Secretaría Anticorrupción y Buen Gobierno (SABG), conforme a la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) publicada en el Diario Oficial de la Federación el 20 de marzo de 2025. La SABG concentra las facultades de investigación, auditoría y sanción; en el nuevo marco se creó además el organismo descentralizado "Transparencia para el Pueblo".

Puedes acudir a la SABG si consideras que tus derechos en materia de protección de datos personales han sido vulnerados.

3. ¿Qué datos personales recabamos?

A través de los formularios y herramientas del sitio (formulario de contacto, calculadora de ROI, suscripción al newsletter) podemos recabar:

• Datos de identificación y contacto: nombre, correo electrónico, teléfono.
• Datos profesionales / de la empresa: nombre de la empresa, sitio web, cargo, giro/sector y, cuando contratas o facturas, domicilio y RFC.
• Datos del mensaje / proyecto: información que voluntariamente incluyas en tu consulta o en la calculadora (por ejemplo, presupuesto, métricas, objetivos).
• Datos de navegación y técnicos: dirección IP, identificadores de cookies, tipo de dispositivo/navegador, páginas visitadas y métricas de analítica (ver nuestra Política de Cookies).

No recabamos intencionalmente datos sensibles. Si en algún supuesto se requirieran, te lo informaríamos y, conforme a los artículos 8 y 9 de la LFPDPPP, recabaríamos tu consentimiento expreso y por escrito. Los datos financieros o patrimoniales, en su caso, requieren consentimiento expreso.

4. ¿Para qué fines usamos tus datos?

Finalidades necesarias (origen del tratamiento; no requieren tu consentimiento adicional)

• Atender tus consultas, solicitudes de contacto y de cotización.
• Prestar y administrar los servicios contratados y gestionar la relación contractual.
• Generar los resultados de la calculadora de ROI que solicitas.
• Cumplir obligaciones legales, fiscales y contractuales.

Finalidades secundarias / voluntarias (puedes negarte sin afectar el servicio)

• Envío de newsletter, boletines, contenidos y comunicaciones de marketing.
• Prospección comercial y seguimiento de leads.
• Elaboración de perfiles (perfilamiento) y segmentación con fines de marketing.
• Analítica y mejora de nuestros servicios y experiencia.

¿No quieres las finalidades secundarias? Puedes negarte ahora marcando la casilla correspondiente en el formulario, o en cualquier momento escribiendo a nuestro correo de privacidad. Tu negativa no será motivo para negarte los servicios que solicitas.

5. Base legal / fundamento del tratamiento

• México (LFPDPPP): consentimiento tácito para datos personales ordinarios (al ponerse a tu disposición este aviso y no manifestar oposición); expreso para datos financieros/patrimoniales; expreso y por escrito para datos sensibles. El consentimiento es libre, específico e informado.
• UE/EEE y Reino Unido (RGPD / UK GDPR, art. 6): ejecución de un contrato; consentimiento (newsletter/marketing); interés legítimo (prospección B2B y mejora del servicio, previa ponderación o balancing test, con tu derecho de oposición); y obligación legal.
• EE. UU. (CCPA/CPRA): modelo opt-out; tratamos datos con base en la relación contractual y de negocio, respetando tus derechos de exclusión.
• Brasil (LGPD), Canadá, Australia, etc.: consentimiento, ejecución de contrato o interés legítimo según corresponda.

6. Tus derechos

México — Derechos ARCO y revocación

Tienes derecho a Acceder, Rectificar (incluida la actualización), Cancelar y Oponerte al tratamiento de tus datos, así como a oponerte a decisiones automatizadas o de perfilamiento que te afecten sin intervención humana. También puedes revocar tu consentimiento y limitar el uso o divulgación de tus datos. (La LFPDPPP protege los datos personales de personas físicas; los datos de personas morales no son objeto de esta ley, sin perjuicio de la información de su personal de contacto, que sí es dato personal.)

• Cómo ejercerlos: envía tu solicitud al correo de privacidad indicado, identificándote y describiendo claramente los datos y el derecho que deseas ejercer.
• Plazo de respuesta: hasta 20 días hábiles desde la recepción; de proceder, se hará efectivo dentro de los 15 días siguientes a la respuesta.
• Revocación del consentimiento: por el mismo medio; surtirá efectos para tratamientos futuros, salvo obligaciones legales de conservación.
• Puedes acudir a la SABG si consideras vulnerados tus derechos.

Usuarios fuera de México — derechos por marco

• RGPD / UK GDPR: acceso, rectificación, supresión ("derecho al olvido"), limitación, portabilidad, oposición, y a no ser objeto de decisiones automatizadas. Respuesta en 1 mes (prorrogable 2 meses). Derecho a reclamar ante tu autoridad (AEPD en España, CNIL en Francia, etc., o la ICO / Information Commission en el Reino Unido).
• EE. UU. (CCPA/CPRA): saber, acceder, eliminar, corregir, exclusión de la "venta" / "compartición" y limitar el uso de información sensible, sin discriminación por ejercer tus derechos; respuesta en torno a 45 días. Honramos la señal Global Privacy Control (GPC).
• Brasil (LGPD): confirmación, acceso, corrección, anonimización/eliminación, portabilidad, información sobre compartición y revocación; respuesta en 15 días. Autoridad: ANPD.
• Canadá, Australia, Suiza, Sudáfrica, etc.: derechos de acceso, corrección, eliminación/objeción y retiro del consentimiento conforme a su normativa.

7. Transferencias y comunicaciones de datos

Para operar el sitio y prestar nuestros servicios, podemos compartir datos con:

• Entre las entidades del grupo Orbis (de Orbis Agencia de Marketing Digital, S.A.S. de C.V. hacia Orbis Agency LLC y viceversa) para soporte, herramientas centralizadas y administración. Esto constituye una transferencia internacional.
• Encargados / proveedores que tratan datos por nuestra cuenta (remisión): hosting propio en DigitalOcean; CRM interno propio y Kommo; email marketing Mailchimp; telefonía Zadarma; analítica y medición Google Analytics (GA4), Google Tag Manager, Ahrefs, Semrush; publicidad y plataformas Google, Meta, TikTok, LinkedIn, Pinterest y Microsoft (Bing). Estos proveedores tratan los datos conforme a nuestras instrucciones y a los acuerdos de tratamiento (DPA/SCC) correspondientes.

Garantías de las transferencias:

• México: las transferencias se informan en este aviso; salvo excepciones legales, requieren tu consentimiento. Puedes manifestar tu negativa a las transferencias que no sean necesarias para la relación. Se distingue entre transferencia (a otro responsable) y remisión (a un encargado).
• UE/EEE: Cláusulas Contractuales Tipo (SCC, Decisión (UE) 2021/914) + evaluación de impacto de transferencia (TIA); o EU-US Data Privacy Framework si el importador está certificado.
• Reino Unido: IDTA o Addendum a las SCC de la UE.
• Brasil: mecanismos de transferencia internacional de la LGPD (arts. 33-36), incluidas las Cláusulas Contractuales Tipo (CCP) de la ANPD aprobadas mediante la Resolução CD/ANPD nº 19/2024 (publicada el 23 de agosto de 2024). El periodo de adecuación concluyó el 23 de agosto de 2025, por lo que su incorporación a los contratos de transferencia internacional ya es obligatoria.
• Turquía (KVKK), Suiza, Japón (APPI), etc.: mecanismos previstos por cada normativa (decisión de adecuación, cláusulas o consentimiento, según el caso).

8. Conservación de los datos

• Datos de contacto/leads: mientras exista interés o relación y, tras ello, durante los plazos de prescripción legal aplicables, con un periodo máximo de referencia de 72 meses (6 años).
• Datos de clientes: durante la relación contractual y los plazos fiscales/legales de conservación; como referencia general, hasta 72 meses (6 años) tras el último tratamiento, salvo obligación legal distinta.
• Suscripción al newsletter: hasta que te des de baja.
• Datos de cookies/analítica: según la duración indicada en la Política de Cookies.

Concluidas las finalidades y plazos (referencia general: 72 meses), los datos se suprimen o anonimizan de forma segura.

9. Medidas de seguridad y vulneraciones

Implementamos medidas de seguridad administrativas, técnicas y físicas razonables para proteger tus datos contra pérdida, uso indebido o acceso no autorizado. En caso de una vulneración de seguridad que afecte significativamente tus derechos patrimoniales o morales, te lo notificaremos y daremos aviso a la autoridad cuando la ley lo exija (LFPDPPP en México; RGPD/UK GDPR, LGPD y demás marcos para usuarios internacionales).

10. Cookies y tecnologías de rastreo

El sitio utiliza cookies y tecnologías de rastreo (analítica y marketing). Las cookies no esenciales solo se activan con tu consentimiento previo donde el modelo es opt-in. Consulta los detalles, categorías y cómo gestionarlas en la Política de Cookies.

11. Menores de edad

El sitio se dirige a profesionales y empresas; no está dirigido a menores de edad y no recabamos conscientemente sus datos. Si detectamos datos de un menor sin el consentimiento parental exigido por la ley aplicable, los eliminaremos.

12. Redes sociales

Las redes sociales (Facebook, Instagram, X/Twitter, LinkedIn, TikTok, Pinterest, entre otras) son plataformas de terceros ajenas a Orbis y no están bajo su responsabilidad. La información que publiques o proporciones dentro de esas plataformas se rige por las políticas y la responsabilidad de cada proveedor y de quien la publica, y no forma parte de los datos sujetos a este Aviso de Privacidad.

13. Direcciones IP y archivo de actividad del servidor

Los servidores del sitio pueden detectar automáticamente la dirección IP y el dominio utilizados por el usuario. La dirección IP se asigna automáticamente al conectarse a Internet y se registra en el archivo de actividad del servidor, lo que permite el procesamiento posterior de los datos con fines exclusivamente estadísticos (número de impresiones de página, visitas a los servicios, orden de visita, punto de acceso, etc.).

14. Cambios al Aviso de Privacidad

Podemos actualizar este Aviso. Publicaremos la versión vigente en el sitio con su fecha; los cambios sustanciales se comunicarán por los medios disponibles (sitio y, en su caso, correo electrónico).

15. Disposiciones por región

Cuando tu responsable es Orbis Agency LLC, además de las reglas generales de este aviso, aplican las disposiciones específicas de tu jurisdicción:

México

LFPDPPP 2025 (autoridad: SABG), LFPC/PROFECO y Código de Comercio. Consentimiento tácito para datos ordinarios; ARCO + revocación con respuesta en 20 días hábiles; aviso integral, simplificado y corto; medidas de seguridad y aviso de vulneraciones. Régimen de infracciones y sanciones en UMA: con carácter general, de 100 a 160,000 UMA, y hasta 320,000 UMA en supuestos agravados; los montos se duplican tratándose de datos sensibles. Con la UMA diaria vigente en 2026 ($117.31 MXN, INEGI, desde el 1 de febrero de 2026), el rango equivale aproximadamente a $11,731 – $37.5 M MXN. La UMA se actualiza cada año, por lo que el equivalente en pesos varía anualmente.

Unión Europea / EEE (España, Portugal, Francia, Alemania, Italia, Irlanda)

RGPD (UE) 2016/679 + leyes nacionales (LOPDGPD España, BDSG Alemania, Codice Privacy Italia, Lei 58/2019 Portugal, DPA 2018 Irlanda, ley francesa). Bases del art. 6; derechos arts. 15-22; respuesta en 1 mes. Transferencias a EE. UU. con SCC 2021/914 + TIA o EU-US DPF. Contacto responsable designado: Guillermo Alberto Caballero Biard (hola@orbis.agency).

Reino Unido

UK GDPR + DPA 2018, modificados por la Data (Use and Access) Act 2025 (DUAA; Royal Assent el 19 de junio de 2025, entrada en vigor escalonada 2025-2026). La autoridad es la ICO (Information Commissioner's Office), que la DUAA transforma progresivamente en la Information Commission conforme se implemente la reforma. Transferencias mediante IDTA o Addendum a las SCC. Contacto responsable designado: Guillermo Alberto Caballero Biard (hola@orbis.agency).

Estados Unidos

Sin ley federal integral. CCPA/CPRA (California) con regulaciones CPPA efectivas en 2026 (decisiones automatizadas, evaluaciones de riesgo, auditorías). Modelo opt-out, enlaces "Do Not Sell or Share" y "Limit Sensitive PI", reconocimiento de GPC. Otros estados: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Texas (TDPSA), Oregon, Montana, etc. Email: CAN-SPAM; SMS/llamadas: TCPA; testimonios/reseñas: FTC Endorsement Guides.

Canadá

PIPEDA (Bill C-27/CPPA no aprobado) y Quebec Ley 25 (responsable de privacidad designado, PIAs, registro de brechas, reglas de transferencia). Anti-spam: CASL.

Brasil

LGPD (Lei 13.709/2018), autoridad ANPD. Derechos con respuesta en 15 días. Cláusulas Contractuales Tipo de la ANPD (Resolução 19/2024) obligatorias para transferencias internacionales desde el 23 de agosto de 2025. Aviso de privacidad y de cookies en portugués; encargado de contacto designado: Guillermo Alberto Caballero Biard (hola@orbis.agency). Consumo: CDC, Marco Civil da Internet y Decreto 7.962/2013 (arrepentimiento 7 días).

Australia y Nueva Zelanda

Australia: Privacy Act 1988 (reforma 2024, escalonada 2025-2026): consentimiento informado e inequívoco, restricción de casillas premarcadas y dark patterns, transparencia en decisiones automatizadas. Nueva Zelanda: Privacy Act 2020 (13 IPP, notificación de brechas, IPP 12 para envíos al extranjero). Spam Act 2003.

Sudáfrica

POPIA (regulador: Information Regulator). 8 condiciones de tratamiento; consentimiento por banner antes de desplegar cookies; transferencias del art. 72.

Suiza

nFADP (vigente 1 de septiembre de 2023), alineada con RGPD. Consentimiento para tracking/analítica/publicidad/profiling; necesarias exentas. Suiza mantiene adecuación UE.

Turquía

KVKK (Ley 6698, reformada por la Ley 7499 de marzo de 2024, vigente 1 de junio de 2024). Se reestructuró el régimen de transferencias internacionales (Reglamento de transferencias en vigor desde el 1 de septiembre de 2024): además del consentimiento explícito del titular, se incorporaron como mecanismos la decisión de adecuación, las cláusulas tipo, las normas corporativas vinculantes (BCR) y el compromiso escrito con autorización de la autoridad (KVKK). El consentimiento explícito sigue siendo una base válida de tratamiento; la reforma amplió las vías de transferencia más allá del consentimiento. En caso de vulneración de datos, la notificación a la autoridad (KVKK) debe realizarse en el plazo más breve posible (criterio interpretado como 72 horas) desde que se tiene conocimiento.

Japón

APPI (autoridad PPC). La transferencia a un tercero en país extranjero requiere consentimiento previo + información sobre el régimen del país receptor. Adecuación mutua con la UE.

EAU / Dubái

PDPL Federal (Decreto-Ley 45/2021) y, si la operación está en DIFC, DIFC Data Protection Law No. 5 of 2020 (enmiendas efectivas 15 de julio de 2025), alineada con RGPD. ADGM tiene régimen propio. La zona aplicable (régimen Federal, DIFC o ADGM) depende de dónde se establezca o se considere que opera la entidad; por defecto se asume el régimen Federal (PDPL).

Andorra y Mónaco

Andorra: Llei 29/2021 (Andorra sí cuenta con decisión de adecuación de la UE). Mónaco: Loi n.º 1.565 (en vigor desde diciembre de 2024, sustituye a la Loi 1.165/1993), alineada con el RGPD, la Directiva 2016/680 y el Convenio 108+; autoridad APDP. Mónaco aún NO tiene decisión de adecuación de la UE (la revisión de la Comisión Europea sigue en curso a mediados de 2026), por lo que las transferencias desde la UE/EEE hacia Mónaco requieren garantías como las SCC.

Ecuador

Ley Orgánica de Protección de Datos Personales (LOPDP, publicada en 2021), alineada con el RGPD: bases legales, derechos del titular y régimen de transferencias internacionales. Su régimen sancionatorio está en vigor desde el 26 de mayo de 2023 y el Reglamento General (Decreto 904) se publicó en noviembre de 2023; con resoluciones posteriores de la autoridad (2025) que operativizan aspectos técnicos. Las sanciones pueden alcanzar hasta el 1% del volumen de negocio anual. Autoridad: Superintendencia de Protección de Datos Personales (SPDP).

16. Aviso de Privacidad Simplificado

Para formularios, landings y la calculadora de ROI, ponemos a tu disposición el siguiente aviso simplificado:

"Tus datos personales serán tratados por Orbis Agencia de Marketing Digital, S.A.S. de C.V. (si estás en México) u Orbis Agency LLC (si estás fuera de México) para atender tu solicitud y, si lo autorizas, enviarte comunicaciones de marketing. Puedes ejercer tus derechos y conocer las transferencias y finalidades en el Aviso de Privacidad Integral. Acepto recibir comunicaciones de marketing (opcional)."