1. Introducción
Strata Veritate LLC (“Compañía”, “nosotros”, “nos” o “nuestro”) opera la aplicación móvil Spendlens (“App”). Esta Política de Privacidad explica cómo recopilamos, usamos, divulgamos y protegemos tu información cuando utilizas la App.
Estamos comprometidos con la protección de tu privacidad y de tus datos financieros. Esta política está diseñada para cumplir con las leyes de protección de datos aplicables, incluidas la California Consumer Privacy Act (CCPA), el General Data Protection Regulation (GDPR) cuando resulte aplicable, y las App Store Review Guidelines de Apple.
Lee esta Política de Privacidad con atención. Al usar la App, aceptas las prácticas aquí descritas. Si no estás de acuerdo con esta política, no utilices la App.
2. Información que recopilamos
2.1 Información que proporcionas directamente
| Categoría de datos | Ejemplos | Finalidad |
|---|---|---|
| Información de cuenta | Nombre, correo electrónico, URL de foto de perfil | Creación de cuenta, identificación y comunicación |
| Datos financieros | Transacciones, importes, comercios, categorías, notas, presupuestos, metas de ahorro, posiciones de inversión y costo base | Funcionalidad principal de la App: presupuesto, seguimiento y análisis |
| Configuración de la cuenta | Moneda preferida, idioma, notificaciones, tema y accesibilidad | Personalización y experiencia de uso |
2.2 Información recopilada a través de servicios de terceros
2.2.1 Plaid (sincronización bancaria; solo Pro+Connect)
Si activas la sincronización bancaria, Plaid, Inc. recopila y nos proporciona:
- Nombres, tipos y saldos de cuentas;
- Historial de transacciones (importes, fechas, comercios y categorías);
- Fragmentos de número de cuenta y ruta bancaria enmascarados, solo para identificación;
- Nombres y logotipos de las instituciones.
No recibimos ni almacenamos tus credenciales bancarias de acceso. Los tokens de acceso de Plaid se almacenan exclusivamente en nuestra infraestructura del lado servidor (Firebase Cloud Functions con Google Secret Manager) y nunca se transmiten ni se guardan en tu dispositivo.
Para conocer las prácticas de Plaid, consulta: Política de Privacidad de Plaid
2.2.2 Servicios de Firebase (Google)
| Servicio | Datos tratados | Finalidad |
|---|---|---|
| Firebase Authentication | Correo electrónico, identificadores del proveedor de autenticación, tokens | Gestión segura de identidad |
| Cloud Firestore | Metadatos de sincronización con Plaid, estado de suscripción, metadatos de conexiones Aperture, códigos promocionales y métricas de salud analítica | Coordinación de datos en servidor |
| Firebase Cloud Functions | Llamadas proxy a la API de Plaid, verificación de suscripción, gestión de Aperture, proxy de mercado y entrega de notificaciones push | Lógica segura de negocio en servidor |
| Firebase Analytics | Eventos anónimos de uso del producto (interacciones, pantallas vistas, datos de sesión) | Mejora del producto y monitoreo de rendimiento |
| Firebase Crashlytics | Reportes de fallos, modelo del dispositivo, versión del sistema operativo, versión de la app y trazas | Estabilidad y corrección de errores |
| Firebase Cloud Messaging (FCM) | Tokens push del dispositivo | Entrega de notificaciones |
| Firebase App Check | Tokens de verificación del dispositivo | Prevención de abuso y acceso no autorizado a APIs |
Los datos de Firebase Analytics y Crashlytics se procesan bajo los términos de tratamiento de datos de Google. No usamos Firebase Analytics para publicidad ni segmentación de anuncios.
2.2.3 Servicios de Apple
| Servicio | Datos tratados | Finalidad |
|---|---|---|
| iCloud (CloudKit) | Datos financieros cifrados sincronizados con tu base privada de CloudKit | Sincronización entre dispositivos |
| StoreKit | Estado de suscripción, recibos de transacción y token de cuenta Apple ID | Gestión de compras dentro de la app |
| Sign in with Apple | Identificador de usuario de Apple, nombre opcional y correo relay | Autenticación |
| Apple Push Notification Service (APNs) | Tokens del dispositivo y contenido de notificación | Entrega de notificaciones locales y remotas |
2.3 Información recopilada automáticamente
| Categoría de datos | Detalle | Finalidad |
|---|---|---|
| Información del dispositivo | Modelo del dispositivo, versión del sistema operativo y versión de la app (vía Crashlytics) | Compatibilidad y diagnóstico de fallos |
| Analítica de uso | Patrones de uso de funciones, duración de sesión y pantallas vistas (anonimizados) | Mejora del producto |
| Datos de rendimiento | Tiempos de inicio, tasas de error y frecuencia de fallos | Optimización de rendimiento |
2.4 Información que NO recopilamos
- Identificadores publicitarios (IDFA): no usamos el identificador para anunciantes.
- Datos de ubicación: no accedemos ni recopilamos GPS, Wi-Fi ni ubicación celular.
- Lista de contactos: no accedemos a tus contactos, registros de llamadas ni mensajes.
- Datos biométricos: Face ID y Touch ID se gestionan por completo en tu dispositivo mediante LocalAuthentication de Apple. Nunca recibimos, transmitimos ni almacenamos plantillas biométricas.
- Historial de navegación: no seguimos tu actividad web.
- Micrófono o cámara: la cámara solo se usa cuando inicias voluntariamente el escaneo de recibos. Las imágenes se procesan en memoria con Vision de Apple y no se guardan, suben ni transmiten.
3. Cómo usamos tu información
3.1 Prestación principal del servicio
- Ofrecer funciones de seguimiento, presupuesto y análisis financiero personal;
- Sincronizar tus datos entre tus dispositivos mediante tu cuenta personal de iCloud;
- Procesar y categorizar transacciones;
- Generar pronósticos financieros, análisis de flujo de efectivo y cálculos de patrimonio neto;
- Administrar tu suscripción y tu cuenta.
3.2 Mejora del servicio
- Analizar patrones de uso anonimizados para mejorar funciones y experiencia;
- Supervisar la estabilidad de la app y corregir fallos y errores;
- Medir adopción de funciones para priorizar el desarrollo.
3.3 Comunicación
- Enviar las notificaciones push que hayas habilitado (alertas de presupuesto, recordatorios de pagos, hitos de metas, etc.);
- Enviar comunicaciones relacionadas con el servicio (estado de suscripción, alertas de seguridad).
3.4 Seguridad
- Autenticar tu identidad;
- Prevenir fraude y acceso no autorizado mediante Firebase App Check;
- Monitorear actividad sospechosa.
4. Procesamiento en el dispositivo y aprendizaje automático
Uno de los principios arquitectónicos centrales de Spendlens es la minimización de datos mediante procesamiento en el dispositivo.
4.1 Aprendizaje automático en el dispositivo
Todas las funciones de aprendizaje automático operan completamente en tu dispositivo:
- Categorización de transacciones: los modelos BERT de CoreML clasifican localmente;
- Detección inteligente de recurrentes: el reconocimiento de patrones se ejecuta en el dispositivo;
- Identificación de comercios: la coincidencia heurística y con ML ocurre localmente;
- OCR de recibos: Vision de Apple procesa las imágenes en memoria; las imágenes nunca se persisten ni se transmiten.
Ningún dato financiero se envía a servicios externos de machine learning, incluidos nuestros propios servidores, para inferencia o entrenamiento.
4.2 Almacenamiento de datos en el dispositivo
Tus datos financieros principales (transacciones, presupuestos, cuentas, metas y posiciones) se almacenan en el dispositivo mediante SwiftData, con sincronización opcional a tu base privada de CloudKit en iCloud. Esos datos residen en tu cuenta de iCloud y se rigen por las prácticas de privacidad y seguridad de Apple; nosotros no tenemos acceso del lado servidor a tus datos de CloudKit.
5. Cifrado y seguridad
5.1 Cifrado en reposo
- En el dispositivo: todos los datos locales se benefician del cifrado por hardware de iOS. Los elementos sensibles se guardan en el Keychain con protección
kSecAttrAccessibleWhenUnlockedThisDeviceOnly. - Arquitectura jerárquica de claves: la App utiliza una clave raíz respaldada por Secure Enclave, luego una Key Encryption Key (KEK) y después una Content Encryption Key (CEK) por registro para cifrar datos sensibles con AES-256-GCM.
- iCloud: los datos sincronizados por CloudKit se cifran en reposo conforme a los estándares de Apple.
- Lado servidor: los datos en Firestore se cifran en reposo con el cifrado predeterminado de Google Cloud. Los tokens de Plaid se almacenan en Google Secret Manager con controles adicionales de acceso.
5.2 Cifrado en tránsito
Todas las comunicaciones de red utilizan TLS 1.2 o superior. App Transport Security (ATS) está habilitado, por lo que no se permiten conexiones HTTP en texto plano.
5.3 Cifrado de extremo a extremo de Aperture
Los datos compartidos mediante Aperture están protegidos con cifrado de extremo a extremo:
- Acuerdo de claves: P256 Elliptic Curve Diffie-Hellman (ECDH)
- Cifrado simétrico: cifrado autenticado AES-256-GCM
- Almacenamiento de claves: las claves privadas se guardan en el Keychain de iOS con acceso exclusivo del dispositivo
- Servidor de conocimiento cero: nuestros servidores solo transportan texto cifrado. No podemos derivar la clave compartida ni descifrar datos de Aperture.
5.4 Seguridad de Plaid
- Tú proporcionas tus credenciales bancarias directamente a Plaid; nosotros nunca las recibimos ni almacenamos.
- Los tokens de acceso de Plaid se guardan en Google Secret Manager dentro de nuestra infraestructura de servidor.
- Todas las llamadas a la API de Plaid se canalizan a través de Firebase Cloud Functions; no hay comunicación directa desde tu dispositivo.
- Cuando eliminas una conexión bancaria o borras tu cuenta, revocamos programáticamente los tokens asociados.
6. Intercambio y divulgación de datos
6.1 No vendemos tus datos
No vendemos, alquilamos ni comercializamos tu información personal ni tus datos financieros con terceros. Tampoco compartimos tus datos con anunciantes ni participamos en intermediación de datos.
6.2 Proveedores de servicios de terceros
Compartimos datos con las siguientes categorías de proveedores, exclusivamente en la medida necesaria para operar la App:
| Proveedor | Datos compartidos | Finalidad |
|---|---|---|
| Plaid, Inc. | Tokens de conexión bancaria (solo del lado servidor) | Sincronización bancaria |
| Google (Firebase/GCP) | Datos de autenticación, eventos analíticos anonimizados, reportes de fallos, documentos de Firestore y tokens push | Infraestructura, analítica y estabilidad |
| Apple | Recibos de compra, estado de suscripción y datos sincronizados con iCloud | Cobro en App Store y sincronización |
| Yahoo Finance (vía proxy del servidor) | Símbolos de cotización bursátil; no datos personales | Obtención de datos de mercado |
6.3 Aperture: intercambio dirigido por el usuario
Cuando usas Aperture, nos indicas que pongamos datos financieros cifrados a disposición de tus contactos de confianza. Ese intercambio lo inicias y controlas tú. Nosotros solo transportamos texto cifrado y no podemos acceder al contenido en claro.
6.4 Obligaciones legales
Podemos divulgar tu información si la ley lo exige o si creemos de buena fe que hacerlo es necesario para:
- Cumplir una obligación legal, citación o mandato judicial;
- Proteger los derechos o bienes de Strata Veritate LLC;
- Prevenir o investigar posibles actos ilícitos relacionados con la App;
- Proteger la seguridad personal de usuarios o del público.
6.5 Transferencias empresariales
En caso de fusión, adquisición, reorganización, quiebra o venta de la totalidad o parte de nuestros activos, tu información podría transferirse como parte de esa operación. Te avisaremos por correo electrónico o dentro de la app antes de que tu información quede sujeta a una política de privacidad distinta.
7. Conservación de datos
7.1 Cuentas activas
Conservamos tus datos mientras tu cuenta permanezca activa y en la medida necesaria para prestarte los servicios de la App.
| Tipo de dato | Periodo de conservación |
|---|---|
| Datos financieros en el dispositivo (SwiftData) | Hasta que los elimines o elimines tu cuenta |
| Datos sincronizados con iCloud (CloudKit) | Se rigen por tu almacenamiento de iCloud; se eliminan al borrar tu cuenta |
| Datos del servidor en Firestore | Hasta la eliminación de la cuenta |
| Datos de Firebase Analytics | Según la retención estándar de Google (hasta 14 meses) |
| Reportes de Crashlytics | Según la retención estándar de Google (90 días) |
| Tokens de acceso de Plaid | Hasta que desconectes el banco o elimines tu cuenta |
| Registros de suscripción | Durante la vigencia de la suscripción más los periodos legales aplicables |
| Tokens de notificaciones push | Hasta cerrar sesión o eliminar la cuenta |
7.2 Cuentas eliminadas
Cuando eliminas tu cuenta, ejecutamos un flujo integral de eliminación de datos:
- Cuenta de Firebase Authentication: se elimina de forma permanente
- Conexiones con Plaid: se revocan y eliminan todos los tokens de acceso
- Datos de Firestore: se eliminan permanentemente todos los documentos del usuario
- Datos locales del dispositivo: se purgan todos los registros de SwiftData
- Claves de cifrado: se destruyen todas las claves guardadas en Keychain
- Estado de sesión: se limpian todas las cachés y tokens de sesión
Determinados datos agregados y desidentificados, que no puedan usarse para identificarte, pueden conservarse con fines analíticos.
7.3 Datos efímeros
Las imágenes de recibos capturadas para OCR existen solo en memoria del dispositivo durante el procesamiento y nunca se guardan en disco, suben ni transmiten.
8. Tus derechos y opciones
8.1 Acceso y portabilidad
Puedes ver todos tus datos financieros dentro de la App en cualquier momento. Los suscriptores Pro pueden exportar transacciones en CSV para fines de portabilidad.
8.2 Rectificación
Puedes editar en cualquier momento tus transacciones, cuentas, presupuestos, metas e información de perfil directamente en la App.
8.3 Eliminación
Puedes:
- Eliminar transacciones, cuentas, presupuestos o metas individuales dentro de la App;
- Eliminar toda tu cuenta y los datos asociados mediante la función correspondiente en Ajustes;
- Solicitar la eliminación contactándonos en la dirección indicada más abajo.
8.4 Preferencias de notificaciones
Tienes control granular sobre las notificaciones. Puedes activar o desactivar categorías individuales y configurar Horas de Silencio para suprimir avisos en periodos específicos.
8.5 Gestión de conexiones bancarias
Puedes desconectar cualquier conexión bancaria en cualquier momento, lo que revoca el token de acceso de Plaid asociado. También puedes retirar todas las conexiones bancarias al eliminar tu cuenta.
8.6 Control sobre Aperture
Puedes revocar el intercambio de datos de Aperture con cualquier contacto de confianza en cualquier momento, lo que termina inmediatamente su acceso a tus datos cifrados.
8.7 Exclusión de analítica
Firebase Analytics recopila datos anonimizados de uso. Puedes limitar esa recopilación ajustando la configuración de privacidad del dispositivo en Ajustes > Privacidad y seguridad > Analytics & Improvements.
8.8 Derechos bajo GDPR (usuarios del EEE y Reino Unido)
Si te encuentras en el Espacio Económico Europeo o el Reino Unido, tienes derecho a:
- Acceder a los datos personales que conservamos sobre ti;
- Rectificar datos inexactos;
- Suprimir tus datos personales;
- Restringir el tratamiento de tus datos personales;
- Portabilidad de datos en un formato estructurado y legible por máquina;
- Oponerte al tratamiento basado en intereses legítimos;
- Retirar el consentimiento en cualquier momento cuando el tratamiento se base en dicho consentimiento;
- Presentar una reclamación ante tu autoridad local de protección de datos.
Para ejercer cualquiera de estos derechos, contáctanos en la dirección indicada más abajo.
8.9 Derechos bajo CCPA (residentes de California)
Si resides en California, tienes derecho a:
- Saber qué información personal recopilamos, usamos y divulgamos;
- Eliminar tu información personal;
- Excluirte de la venta de información personal (no vendemos información personal);
- No ser discriminado por ejercer tus derechos de privacidad.
Para ejercer estos derechos, contáctanos en la dirección indicada más abajo.
9. Privacidad de menores
La App no está destinada a personas menores de dieciséis (16) años ni a quienes no alcancen la edad mínima de consentimiento digital en su jurisdicción, la que sea mayor. No recopilamos de forma intencional datos personales de menores por debajo de esos umbrales.
Si eres madre, padre o tutor y crees que tu hija o hijo nos ha proporcionado datos personales, contáctanos de inmediato. Si advertimos que hemos recopilado datos de una persona menor por debajo de la edad aplicable, tomaremos medidas rápidas para eliminarlos.
11. Transferencias internacionales de datos
Tus datos pueden procesarse en Estados Unidos y otros países donde nuestros proveedores mantengan instalaciones, incluidas regiones de Google Cloud para servicios de Firebase. Cuando existan transferencias internacionales, nos apoyamos en cláusulas contractuales tipo, decisiones de adecuación u otros mecanismos lícitos que garanticen salvaguardas apropiadas.
12. Enlaces y servicios de terceros
La App puede contener enlaces a sitios web o servicios de terceros, como el sitio de tu banco o la gestión de suscripciones de Apple. No somos responsables de las prácticas de privacidad ni del contenido de esos servicios. Te recomendamos revisar las políticas de privacidad de cualquier tercero al que accedas.
13. Cambios a esta Política de Privacidad
Podemos actualizar esta Política de Privacidad periódicamente. Te notificaremos cambios materiales mediante:
- La actualización de la fecha de “Última actualización” al inicio de esta política;
- Una notificación dentro de la app cuando sea razonablemente posible;
- Un correo electrónico cuando el cambio material afecte de forma significativa la forma en que tratamos tus datos.
El uso continuado de la App después de cualquier modificación constituirá la aceptación de la versión actualizada.
14. Protección de datos
Para consultas de privacidad, solicitudes de acceso o ejercicio de derechos, contacta a nuestro equipo de protección de datos:
Strata Veritate LLC — Data Protection
Correo: security@spendlensapp.com
Sitio web: https://spendlensapp.com/support
Responderemos las solicitudes legítimas en un plazo de treinta (30) días o dentro del plazo que exija la ley aplicable.
15. Información de contacto
Para consultas generales sobre esta Política de Privacidad, contáctanos en:
Strata Veritate LLC
Correo: support@spendlensapp.com
Sitio web: https://spendlensapp.com/support