Volver al inicio

Política de Privacidad

Responsable: Ezequiel M. Corzo — Contacto: finanzas@finanzas-personales.app
Última actualización: 27 de junio de 2026 — Versión 3.0

1. Identificación del Responsable

En cumplimiento de la Ley 25.326 de Protección de Datos Personales de la República Argentina y sus normas reglamentarias (Decreto Reglamentario 1558/2001), se informa que el responsable del tratamiento de los datos personales recolectados a través de esta aplicación es:

Ezequiel M. Corzo
Contacto: finanzas@finanzas-personales.app

El responsable administra directamente la infraestructura donde se alojan y tratan los datos personales, conforme se describe en la Sección 6 de la presente política.

2. Datos Personales Recolectados

Esta aplicación recolecta únicamente los datos mínimos necesarios para su funcionamiento:

Identificación: nombre y dirección de correo electrónico.
Datos financieros: transacciones, saldos, presupuestos, tarjetas de crédito, inversiones y demás registros que el usuario ingresa voluntariamente.
Datos de acceso: dirección IP (almacenada como hash), fecha y hora de ingreso, tipo de acción (inicio de sesión, cierre, error de autenticación).
Preferencias: configuración de 2FA, preferencias de notificación, y ajustes de la cuenta.

NO se recolectan números de documento, direcciones físicas, datos biométricos, información bancaria sensible (CBU, números de cuenta completos), ni datos de menores de edad.

3. Finalidad del Tratamiento

Los datos personales son tratados con las siguientes finalidades:

Gestión de la cuenta de usuario: registro, autenticación, recuperación de contraseña.
Prestación del servicio de finanzas personales: registro de ingresos, gastos, presupuestos, inversiones y proyecciones.
Seguridad: detección de intentos de acceso no autorizados, bloqueo temporal por fallos de autenticación, registro de accesos.
Comunicación: envío de emails de confirmación de registro y recuperación de contraseña. No se realizan comunicaciones comerciales ni publicitarias.
Cumplimiento de obligaciones legales aplicables.

4. Base Legal del Tratamiento

El tratamiento de datos personales se basa en:

El consentimiento del titular, manifestado al registrarse y aceptar expresamente esta Política de Privacidad (Art. 6, Ley 25.326).
La ejecución de los términos de servicio de la aplicación, siendo los datos necesarios para la prestación del servicio solicitado por el titular.

5. Carácter Obligatorio de la Información

Los datos solicitados en el formulario de registro (nombre y correo electrónico) son obligatorios para la creación de la cuenta. La negativa a suministrarlos imposibilita la prestación del servicio. El resto de los datos (transacciones, presupuestos, etc.) son voluntarios y su omisión no impide el uso de la aplicación, aunque limita las funcionalidades disponibles.

6. Ubicación y Custodia de los Datos

Los datos personales son tratados y almacenados íntegramente en infraestructura ubicada en la República Argentina, administrada directamente por el responsable del tratamiento.

Al estar los datos alojados en territorio argentino bajo la custodia directa del responsable, no se realiza transferencia internacional alguna de los datos personales, no resultando aplicables las disposiciones del Artículo 12 de la Ley 25.326.

El responsable implementa medidas de seguridad técnicas y organizativas para garantizar la protección de los datos conforme a estándares internacionales y buenas prácticas de la industria en materia de seguridad de la información, incluyendo encriptación en reposo, encriptación en tránsito (TLS 1.3), y controles de acceso restringidos. La infraestructura de almacenamiento se encuentra bajo administración directa del responsable, sin intermediarios que accedan al contenido de los datos personales encriptados.

7. Destinatarios de los Datos

Los datos personales no son cedidos ni compartidos con terceros no vinculados al servicio.

Únicamente tienen acceso a los datos:

El responsable del tratamiento (Ezequiel M. Corzo), en su rol de administrador de la aplicación, con acceso pleno a la infraestructura de almacenamiento ubicada en Argentina.
Cloudflare, Inc. (proveedor de red de distribución de contenidos y servicios de seguridad), que actúa como encargado de tratamiento. Cloudflare procesa únicamente metadatos de las conexiones (dirección IP del cliente, headers HTTP) con fines de protección contra DDoS, cache de contenido y enrutamiento. No tiene acceso al contenido de los datos personales encriptados.
Sentry (monitoreo de errores), que puede recibir fragmentos de datos no personales con fines de depuración. Se han implementado filtros automáticos para eliminar PII de los reportes de error.

8. Medidas de Seguridad

Se implementan las siguientes medidas técnicas y organizativas para proteger los datos personales:

Encriptación en reposo: Los campos de PII (nombre y email) se almacenan encriptados con Fernet (AES-128-CBC). Las claves de encriptación se gestionan mediante MultiFernet para soportar rotación sin pérdida de datos.
Encriptación en tránsito: Todas las comunicaciones utilizan TLS 1.3 (HTTPS).
Hash de contraseñas: Las contraseñas se almacenan utilizando bcrypt con factor de costo 12.
Autenticación de dos factores (2FA): Disponible como capa adicional de seguridad mediante TOTP.
Protección CSRF: Todos los formularios incluyen tokens CSRF.
Rate limiting: Los endpoints de autenticación están limitados para prevenir ataques de fuerza bruta.
Bloqueo de cuenta: Tras 5 intentos fallidos de inicio de sesión en 15 minutos, la cuenta se bloquea temporalmente por 15 minutos.

9. COOKIES y Tecnologías de Rastreo

Este Sitio utiliza las siguientes COOKIES, todas de origen propio (no utilizamos cookies de terceros para publicidad ni rastreo):

Cookie de sesión: Identificador único de sesión del usuario. Se crea al iniciar sesión y expira a los 30 minutos de inactividad.
Token CSRF: Token de seguridad para prevenir ataques de falsificación de solicitudes. Se renueva en cada sesión.
Dispositivo confiable 2FA: Opcional. Se crea al activar "Recordar este dispositivo". Expira a los 30 días.

Podés configurar tu navegador para rechazar todas las cookies, pero las esenciales son necesarias para el funcionamiento del Sitio.

10. Almacenamiento, BACKUPS y Retención de Datos

La infraestructura de almacenamiento está ubicada en la República Argentina, bajo administración directa del responsable del tratamiento. Se aplican estándares internacionales de seguridad (encriptación en reposo y en tránsito, buenas prácticas de la industria).

BACKUPS automáticos: Se realizan backups automáticos encriptados (AES-256) de la base de datos mediante pg_dump + gpg. Los backups se retienen por 7 días en el mismo servidor, están encriptados con una clave derivada de las variables de entorno del sistema, y se puede restaurar la base de datos a partir de ellos en caso de falla del servidor. Los backups nunca se almacenan en texto plano.

Retención de datos: Los datos de cuenta activa se conservan mientras la cuenta esté activa. Al solicitar la eliminación (soft delete), los datos financieros se conservan por 5 años para cumplir con obligaciones legales de auditoría, pero la información personal (nombre, email) se ofusca. Los logs de acceso se conservan por un máximo de 90 días (ver Sección 13).

11. Notificación de Violaciones de Seguridad

Ante cualquier violación de seguridad que comprometa datos personales:

Notificaremos a los usuarios afectados por correo electrónico dentro de las 72 horas hábiles posteriores a la detección del incidente.
La notificación incluirá: naturaleza del incidente, datos afectados, medidas tomadas y recomendaciones.
Reportaremos el incidente a la Agencia de Acceso a la Información Pública (AAIP) cuando corresponda legalmente.

12. Portabilidad de Datos

En cumplimiento del Art. 9 de la Ley 25.326 (derecho a la portabilidad), podés descargar todos tus datos en cualquier momento desde tu perfil de usuario, en formato JSON estructurado. El archivo incluye todas tus transacciones, tarjetas, cuotas, recurrentes, presupuestos, cuentas, inversiones y tasas de cambio. Este derecho se ejerce gratuitamente y el archivo se genera en tiempo real.

13. Plazo de Conservación

Los datos personales se conservan durante el tiempo que el usuario mantenga su cuenta activa. Al solicitar la eliminación de la cuenta, todos los datos asociados son eliminados de forma permanente e irreversible, incluyendo transacciones, tarjetas, presupuestos, inversiones y registros de acceso, con excepción de:

Los registros de acceso (access_log) que puedan ser requeridos para investigaciones de seguridad, conservados por un máximo de 90 días adicionales y purgados automáticamente por un script programado (scripts/purge-old-logs.sh).

14. Derechos del Titular (ARCO)

En los términos de los Artículos 23, 24, 25 y 26 de la Ley 25.326, el titular tiene derecho a:

Acceso: Solicitar información sobre qué datos personales están siendo tratados.
Rectificación: Solicitar la corrección de datos inexactos o incompletos.
Cancelación: Solicitar la eliminación de sus datos personales cuando ya no sean necesarios para la finalidad para la cual fueron recolectados.
Oposición: Oponerse al tratamiento de sus datos personales.

El titular puede ejercer estos derechos en cualquier momento mediante comunicación escrita a finanzas@finanzas-personales.app, identificándose con su nombre completo y dirección de email registrada. La solicitud será respondida en un plazo máximo de 10 días hábiles.

Asimismo, el titular puede eliminar su cuenta y todos sus datos asociados de forma autónoma desde la sección Seguridad de la aplicación, sin necesidad de mediación.

15. Modificaciones a la Política de Privacidad

El responsable se reserva el derecho de modificar la presente Política de Privacidad en cualquier momento. Los cambios serán notificados a los usuarios mediante un aviso en la aplicación y, en caso de modificaciones sustanciales, se solicitará un nuevo consentimiento.

Versión 3.0 (27/06/2026): Se actualiza la política para reflejar que la infraestructura de almacenamiento se encuentra ahora en la República Argentina bajo administración directa del responsable. Al no implicar transferencia internacional de datos (los datos permanecen en territorio argentino), no se requiere re-consentimiento en los términos del Artículo 12 de la Ley 25.326. Los datos personales continúan bajo el mismo nivel de protección y las mismas medidas de seguridad técnicas y organizativas. Se actualizan también las secciones 7 (Cloudflare como único tercero procesador de metadatos), 10 (backups encriptados con AES-256) y 13 (purga automática de logs a 90 días).

16. Autoridad de Control

El titular tiene derecho a presentar una denuncia ante la Agencia de Acceso a la Información Pública (AAIP), organismo de control de la Ley 25.326, en caso de considerar vulnerados sus derechos.

Agencia de Acceso a la Información Pública (AAIP)
Sitio web: www.argentina.gob.ar/aaip
Dirección: Av. Pte. Julio A. Roca 710, Ciudad Autónoma de Buenos Aires, Argentina

17. Contacto

Para cualquier consulta relacionada con la presente Política de Privacidad o el ejercicio de sus derechos, puede comunicarse con el responsable del tratamiento:

Ezequiel M. Corzo
Correo electrónico: finanzas@finanzas-personales.app

Esta política cumple con la Ley 25.326 de Protección de Datos Personales de la República Argentina y su Decreto Reglamentario 1558/2001.