1. Introducción
XPlus Finance ("nosotros", "nuestro" o "la Compañía") se compromete a proteger tu privacidad y garantizar la seguridad de tu información personal y financiera. Esta Política de Privacidad explica cómo recopilamos, usamos, divulgamos y protegemos tu información cuando utilizas nuestra plataforma de gestión financiera.
• Aplicación Web (Next.js)
• Aplicaciones Móviles (iOS y Android)
• Servicios API (FastAPI)
• Asistente Financiero IA (OpenAI)
• Integraciones Bancarias (Plaid)
• Procesamiento de Pagos (Stripe)
GDPR CCPA/CPRA LGPD GLBA PCI DSS
2. Información que Recopilamos
2.1 Información Personal
Datos de Cuenta
- Identidad: Nombre completo, dirección de correo electrónico, número de teléfono, fecha de nacimiento
- Autenticación: Nombre de usuario, contraseña cifrada (bcrypt), preguntas de seguridad
- Perfil: Foto de perfil, preferencias, idioma, zona horaria
- Verificación: Documento de identidad oficial (KYC cuando requerido)
Información Financiera
- Datos Bancarios: Números de cuenta, saldos, transacciones (vía Plaid - solo lectura)
- Transacciones: Importes, comerciantes, categorías, fechas, ubicaciones
- Inversiones: Carteras, valores, historial de operaciones
- Información Crediticia: Puntuaciones de crédito, saldos de deudas
- Datos de Pago: Métodos de pago procesados por Stripe (nunca almacenamos números de tarjeta completos)
2.2 Información de Uso
- Dispositivo: Dirección IP (anonimizada para GDPR), ID de dispositivo, tipo, SO, navegador
- Actividad: Páginas visitadas, funciones usadas, tiempo dedicado, patrones de clics
- Comunicación: Mensajes al asistente IA, soporte, encuestas
2.3 Información Sensible
• Datos Biométricos: Huellas dactilares, reconocimiento facial (almacenados SOLO en tu dispositivo, NUNCA en nuestros servidores)
• Datos de Bienestar: Diario de bienestar, seguimiento del estado de ánimo
• Conversaciones IA: Historial de chat con asistente financiero
3. Cómo Usamos tu Información
3.1 Servicios Financieros Principales
Base Legal: Ejecución del contrato (GDPR Art. 6.1.b)
- Gestión de cuenta y autenticación
- Seguimiento financiero y categorización de transacciones
- Gestión de presupuestos y análisis de gastos
- Seguimiento de objetivos financieros
- Análisis de inversiones y optimización de portfolio
3.2 Funciones Impulsadas por IA
Base Legal: Interés legítimo (GDPR Art. 6.1.f) y consentimiento
- Asesoramiento financiero personalizado
- Análisis de patrones de gasto
- Coaching financiero adaptado
- Evaluación de riesgos y análisis predictivo
3.3 Seguridad y Prevención de Fraude
Base Legal: Interés legítimo y cumplimiento legal
- Detección de actividades fraudulentas
- Protección contra acceso no autorizado
- Verificación de identidad para transacciones sensibles
- Monitoreo de patrones sospechosos
4. Cookies y Tecnologías de Seguimiento
Usamos cookies y tecnologías similares para mejorar tu experiencia. Para detalles completos, consulta nuestra Política de Cookies.
Resumen de Cookies
| Tipo | Propósito | Consentimiento |
|---|---|---|
| Estrictamente Necesarias | Autenticación, seguridad, funcionalidad básica | ❌ No requerido |
| Funcionales/Preferencias | Idioma, moneda, tema, configuración | ✅ Requerido |
| Analíticas | Métricas de uso, rendimiento (sistema propio) | ✅ Requerido |
| Marketing | No implementadas actualmente | N/A |
5. Compartir y Divulgar Información
5.1 Proveedores de Servicios
| Proveedor | Servicio | Datos Compartidos | Salvaguardas |
|---|---|---|---|
| AWS | Hosting en la nube | Todos los datos | SCCs, región EU |
| Plaid | Conexión bancaria | Credenciales (temporal) | SOC 2, SCCs |
| Stripe | Procesamiento de pagos | Datos de pago | PCI DSS Level 1 |
| OpenAI | Asistente IA | Consultas IA (anonimizadas) | DPA, anonimización |
| Mailgun | Emails transaccionales | Email, nombre | Cifrado en tránsito |
| Twilio | SMS/2FA | Número de teléfono | SOC 2 |
| Sentry | Monitoreo de errores | Logs técnicos | Eliminación de PII |
6. Seguridad de Datos
Implementamos medidas de seguridad robustas de nivel empresarial:
Medidas Técnicas
- Cifrado en Tránsito: TLS 1.3 para todas las transmisiones
- Cifrado en Reposo: AES-256 para datos almacenados
- Cifrado de BD: A nivel de columna para datos sensibles
- Contraseñas: Hash con bcrypt + salt (nunca en texto plano)
- 2FA: Autenticación de dos factores disponible
- Tokens: JWT con expiración y rotación
Medidas Administrativas
- Acceso Mínimo: Empleados solo acceden a datos necesarios
- RBAC: Control de acceso basado en roles
- Auditorías: Revisiones trimestrales de permisos
- Entrenamiento: Capacitación anual en seguridad y GDPR
Monitoreo
- IDS/IPS: Sistemas de detección de intrusiones en tiempo real
- Logs: Monitoreo continuo de logs de seguridad
- Escaneo: Pruebas de vulnerabilidades semanales
- Penetration Testing: Pruebas anuales por terceros
- Respuesta 24/7: Equipo de incidentes disponible
7. Tus Derechos y Opciones
Derechos bajo GDPR (Usuarios de UE/EEA)
- Derecho de Acceso (Art. 15): Solicitar una copia de todos tus datos
- Derecho de Rectificación (Art. 16): Corregir datos inexactos
- Derecho al Olvido (Art. 17): Solicitar eliminación de datos personales
- Derecho a Portabilidad (Art. 20): Recibir datos en formato JSON
- Derecho a Oponerse (Art. 21): Oponerse al procesamiento
- Derecho a Restringir (Art. 18): Limitar el procesamiento
- Derecho a Retirar Consentimiento (Art. 7.3): En cualquier momento
Derechos bajo CCPA (Usuarios de California)
- Derecho a Saber: Qué información recopilamos y con quién la compartimos
- Derecho a Eliminar: Solicitar eliminación de información personal
- Derecho a Optar por No Vender: NO vendemos información (garantizado)
- Derecho a No Discriminación: Sin trato diferente por ejercer derechos
Cómo Ejercer Tus Derechos
En la Aplicación: Configuración → Privacidad → Derechos de Datos
Por Email: [email protected] | [email protected]
Tiempo de Respuesta: 30 días (solicitudes estándar), 72 horas (urgentes)
8. Servicios de Terceros
Para funcionalidad completa, integramos servicios de terceros. Cada uno tiene sus propios términos y políticas:
- Plaid: Términos | Privacidad
- Stripe: Términos | Privacidad
- OpenAI: Términos | Privacidad
- AWS: Términos | Privacidad
9. Transferencias Internacionales de Datos
Almacenamiento Primario: Centros de datos de la UE (Frankfurt, Irlanda)
Transferencias fuera del EEE: Protegidas con Cláusulas Contractuales Estándar (SCCs)
Todas las transferencias cumplen con GDPR Capítulo V y estándares internacionales de protección de datos.
10. Privacidad de Menores
• NO recopilamos información de menores de 18 años
• NO permitimos cuentas de menores de 18 años
• Cumplimos con COPPA (menores de 13 - EE.UU.)
• Si descubrimos datos de un menor: eliminación inmediata y notificación a padres/tutores
11. Retención de Datos
| Categoría de Datos | Período de Retención | Razón |
|---|---|---|
| Datos de Cuenta | Mientras la cuenta esté activa + 7 años | Requisitos legales/fiscales |
| Datos de Transacciones | 7 años desde la transacción | Cumplimiento regulatorio (IRS, SEC) |
| Datos Analíticos | 2 años, luego anonimizados | Mejora del servicio |
| Logs de Auditoría | 5 años | GDPR Art. 5.2 (Rendición de cuentas) |
| Datos de Cookies | 1 año desde última actualización | Gestión de consentimientos |
Período de Gracia: 30 días para recuperar cuenta eliminada. Eliminación permanente después de 90 días (excepto datos retenidos legalmente).
12. Cambios a esta Política
Cambios Menores: Actualización de fecha, notificación in-app
Cambios Materiales: Email con 30 días de anticipación, notificación push, solicitud de consentimiento renovado si requerido
Historial de Versiones:
- v2.1 (15 nov 2025): Sección detallada de Cookies
- v2.0 (14 nov 2025): Actualización completa GDPR/CCPA
- v1.5 (1 jul 2024): Integraciones IA
- v1.0 (1 ene 2025): Política inicial
13. Contáctanos
Email General: [email protected]
Oficial de Protección de Datos (DPO): [email protected]
Sitio Web: https://xplusfinance.org
Autoridades de Protección de Datos
- España (AEPD): https://www.aepd.es
- UE (EDPB): https://edpb.europa.eu
- California (CCPA): https://oag.ca.gov/privacy/ccpa
- Brasil (ANPD): https://www.gov.br/anpd