1. Introducción
XPlus Finance ("nosotros", "nuestro" o "la Compañía") se compromete a proteger tu privacidad y garantizar la seguridad de tu información personal y financiera. Esta Política de Privacidad explica cómo recopilamos, usamos, divulgamos y protegemos tu información cuando utilizas nuestra plataforma de gestión financiera.
• Aplicación Web (Next.js)
• Aplicaciones Móviles (iOS y Android)
• Servicios API (FastAPI)
• Asistente Financiero IA (OpenAI)
• Integraciones Bancarias (Plaid - Próximamente)
• Procesamiento de Pagos (Stripe)
GDPR CCPA/CPRA LGPD GLBA PCI DSS
2. Información que Recopilamos
2.1 Información Personal
Datos de Cuenta
- Identidad: Nombre completo, dirección de correo electrónico, número de teléfono, fecha de nacimiento
- Autenticación: Nombre de usuario, contraseña cifrada (bcrypt), preguntas de seguridad
- Perfil: Foto de perfil, preferencias, idioma, zona horaria
- Verificación: Documento de identidad oficial (KYC cuando requerido)
Información Financiera
- Datos Bancarios: Números de cuenta, saldos, transacciones (entrada manual o importación CSV; integración Plaid próximamente)
- Transacciones: Importes, comerciantes, categorías, fechas, ubicaciones
- Inversiones: Carteras, valores, historial de operaciones
- Información Crediticia: Puntuaciones de crédito, saldos de deudas
- Datos de Pago: Métodos de pago procesados por Stripe (nunca almacenamos números de tarjeta completos)
2.2 Información de Uso
- Dispositivo: Dirección IP (anonimizada para GDPR), ID de dispositivo, tipo, SO, navegador
- Actividad: Páginas visitadas, funciones usadas, tiempo dedicado, patrones de clics
- Comunicación: Mensajes al asistente IA, soporte, encuestas
2.3 Información Sensible
• Datos Biométricos: Huellas dactilares, reconocimiento facial (almacenados SOLO en tu dispositivo, NUNCA en nuestros servidores)
• Datos de Bienestar: Diario de bienestar, seguimiento del estado de ánimo
• Conversaciones IA: Historial de chat con asistente financiero
3. Cómo Usamos tu Información
3.1 Servicios Financieros Principales
Base Legal: Ejecución del contrato (GDPR Art. 6.1.b)
- Gestión de cuenta y autenticación
- Seguimiento financiero y categorización de transacciones
- Gestión de presupuestos y análisis de gastos
- Seguimiento de objetivos financieros
- Análisis de inversiones y optimización de portfolio
3.2 Funciones Impulsadas por IA
Base Legal: Interés legítimo (GDPR Art. 6.1.f) y consentimiento
- Asesoramiento financiero personalizado
- Análisis de patrones de gasto
- Coaching financiero adaptado
- Evaluación de riesgos y análisis predictivo
3.3 Seguridad y Prevención de Fraude
Base Legal: Interés legítimo y cumplimiento legal
- Detección de actividades fraudulentas
- Protección contra acceso no autorizado
- Verificación de identidad para transacciones sensibles
- Monitoreo de patrones sospechosos
4. Cookies y Tecnologías de Seguimiento
Usamos cookies y tecnologías similares para mejorar tu experiencia. Para detalles completos, consulta nuestra Política de Cookies.
Resumen de Cookies
| Tipo | Propósito | Consentimiento |
|---|---|---|
| Estrictamente Necesarias | Autenticación, seguridad, funcionalidad básica | ❌ No requerido |
| Funcionales/Preferencias | Idioma, moneda, tema, configuración | ✅ Requerido |
| Analíticas | Métricas de uso, rendimiento (sistema propio) | ✅ Requerido |
| Marketing | No implementadas actualmente | N/A |
5. Compartir y Divulgar Información
5.1 Proveedores de Servicios
| Proveedor | Servicio | Datos Compartidos | Salvaguardas |
|---|---|---|---|
| AWS | Hosting en la nube | Todos los datos | SCCs, región EU |
| Plaid (Próximamente) | Conexión bancaria | Credenciales (temporal) | SOC 2, SCCs |
| Stripe | Procesamiento de pagos | Datos de pago | PCI DSS Level 1 |
| OpenAI | Asistente IA | Consultas IA (anonimizadas) | DPA, anonimización |
| Mailgun | Emails transaccionales | Email, nombre | Cifrado en tránsito |
| Twilio | SMS/2FA | Número de teléfono | SOC 2 |
| Sentry | Monitoreo de errores | Logs técnicos | Eliminación de PII |
6. Seguridad de Datos
Implementamos medidas de seguridad robustas de nivel empresarial:
Medidas Técnicas
- Cifrado en Tránsito: TLS 1.3 para todas las transmisiones
- Cifrado en Reposo: AES-256 para datos almacenados
- Cifrado de BD: A nivel de columna para datos sensibles
- Contraseñas: Hash con bcrypt + salt (nunca en texto plano)
- 2FA: Autenticación de dos factores disponible
- Tokens: JWT con expiración y rotación
Medidas Administrativas
- Acceso Mínimo: Empleados solo acceden a datos necesarios
- RBAC: Control de acceso basado en roles
- Auditorías: Revisiones trimestrales de permisos
- Entrenamiento: Capacitación anual en seguridad y GDPR
Monitoreo
- IDS/IPS: Sistemas de detección de intrusiones en tiempo real
- Logs: Monitoreo continuo de logs de seguridad
- Escaneo: Pruebas de vulnerabilidades semanales
- Penetration Testing: Pruebas anuales por terceros
- Respuesta 24/7: Equipo de incidentes disponible
7. Tus Derechos y Opciones
Derechos bajo GDPR (Usuarios de UE/EEA)
- Derecho de Acceso (Art. 15): Solicitar una copia de todos tus datos
- Derecho de Rectificación (Art. 16): Corregir datos inexactos
- Derecho al Olvido (Art. 17): Solicitar eliminación de datos personales
- Derecho a Portabilidad (Art. 20): Recibir datos en formato JSON
- Derecho a Oponerse (Art. 21): Oponerse al procesamiento
- Derecho a Restringir (Art. 18): Limitar el procesamiento
- Derecho a Retirar Consentimiento (Art. 7.3): En cualquier momento
Derechos bajo CCPA (Usuarios de California)
- Derecho a Saber: Qué información recopilamos y con quién la compartimos
- Derecho a Eliminar: Solicitar eliminación de información personal
- Derecho a Optar por No Vender: NO vendemos información (garantizado)
- Derecho a No Discriminación: Sin trato diferente por ejercer derechos
Cómo Ejercer Tus Derechos
En la Aplicación: Configuración → Privacidad → Derechos de Datos
Por Email: [email protected] | [email protected]
Tiempo de Respuesta: 30 días (solicitudes estándar), 72 horas (urgentes)
8. Servicios de Terceros
Para funcionalidad completa, integramos servicios de terceros. Cada uno tiene sus propios términos y políticas:
- Plaid: Términos | Privacidad
- Stripe: Términos | Privacidad
- OpenAI: Términos | Privacidad
- AWS: Términos | Privacidad
9. Transferencias Internacionales de Datos
Almacenamiento Primario: Centros de datos de la UE (Frankfurt, Irlanda)
Transferencias fuera del EEE: Protegidas con Cláusulas Contractuales Estándar (SCCs)
Todas las transferencias cumplen con GDPR Capítulo V y estándares internacionales de protección de datos.
10. Privacidad de Menores
• NO recopilamos información de menores de 18 años
• NO permitimos cuentas de menores de 18 años
• Cumplimos con COPPA (menores de 13 - EE.UU.)
• Si descubrimos datos de un menor: eliminación inmediata y notificación a padres/tutores
11. Retención de Datos
| Categoría de Datos | Período de Retención | Razón |
|---|---|---|
| Datos de Cuenta | Mientras la cuenta esté activa + 7 años | Requisitos legales/fiscales |
| Datos de Transacciones | 7 años desde la transacción | Cumplimiento regulatorio (IRS, SEC) |
| Datos Analíticos | 2 años, luego anonimizados | Mejora del servicio |
| Logs de Auditoría | 5 años | GDPR Art. 5.2 (Rendición de cuentas) |
| Datos de Cookies | 1 año desde última actualización | Gestión de consentimientos |
Período de Gracia: 30 días para recuperar cuenta eliminada. Eliminación permanente después de 90 días (excepto datos retenidos legalmente).
12. Cambios a esta Política
Cambios Menores: Actualización de fecha, notificación in-app
Cambios Materiales: Email con 30 días de anticipación, notificación push, solicitud de consentimiento renovado si requerido
Historial de Versiones:
- v2.1 (15 nov 2025): Sección detallada de Cookies
- v2.0 (14 nov 2025): Actualización completa GDPR/CCPA
- v1.5 (1 jul 2024): Integraciones IA
- v1.0 (1 ene 2025): Política inicial
13. Contáctanos
Entidad Legal: XPlus Technologies LLC
Dirección: 100 East Pine Street, Suite 110, Orlando, FL 32801
Email General: [email protected]
Oficial de Protección de Datos (DPO): [email protected]
Sitio Web: https://xplusfinance.org
Ley Aplicable y Jurisdicción
Esta Política de Privacidad se rige por las leyes del Estado de Florida, Estados Unidos, sin tener en cuenta los principios de conflicto de leyes. Cualquier disputa que surja de esta política estará sujeta a la jurisdicción exclusiva de los tribunales del Estado de Florida, Estados Unidos.
Autoridades de Protección de Datos
- España (AEPD): https://www.aepd.es
- UE (EDPB): https://edpb.europa.eu
- California (CCPA): https://oag.ca.gov/privacy/ccpa
- Brasil (ANPD): https://www.gov.br/anpd