Política de Privacidad

1Información que recopilamos

Para brindarte el servicio de balu, recopilamos la siguiente información:

• Datos de cuenta: nombre y dirección de correo electrónico. balu no utiliza contraseñas tradicionales; la autenticación se realiza mediante códigos de un solo uso (OTP) enviados a tu correo o WhatsApp.
• Número de teléfono (opcional): si decides vincular un número de WhatsApp, lo recopilamos para enviarte códigos de verificación, recordatorios y mensajes relacionados con el servicio. Puedes eliminar tu número en cualquier momento desde Ajustes.
• Datos financieros personales: cuentas, movimientos (fecha, descripción, nota, monto), presupuestos, gastos recurrentes y saldos iniciales que tú mismo registras. Son de uso exclusivo tuyo.
• Entidades: nombre, descripción y moneda de las entidades financieras que crees (ej. "Finanzas personales", "Negocio").
• PDFs bancarios (opcional): si usas la función de importación, el PDF de tu estado de cuenta es enviado temporalmente a un servicio de inteligencia artificial para extraer los movimientos. El archivo no es almacenado por balu tras el procesamiento.
• Resumen financiero mensual (insight): el dashboard puede mostrar un comentario personalizado generado por inteligencia artificial. Para ello, datos agregados del mes (totales de ingresos, gastos y top 3 categorías de gasto) y tu primer nombre son enviados a la API de Anthropic. No se envían nombres de cuentas ni detalles individuales de movimientos.
• Conversaciones con el asistente de IA (Pro/Max): el chat con el asistente de balu es exclusivo por WhatsApp — dentro de la app no existe chatbot. Si tienes plan Pro o Max y vinculas tu número, el contenido de los mensajes que intercambias con el asistente pasa por la infraestructura de Meta (WhatsApp) y se envía a la API de Anthropic para generar las respuestas.
• Archivos compartidos desde otras apps (opcional): si compartes un PDF bancario desde tu app del banco u otra aplicación directamente a balu, el archivo es recibido y procesado localmente o enviado a la API de importación. balu no accede a tus archivos sin que tú inicies esta acción.
• Datos de suscripción: si contratas un plan de pago, el procesamiento del cobro lo maneja RevenueCat junto con Google Play o App Store. balu recibe únicamente el estado de tu suscripción (plan activo, fecha de renovación), no datos de tu tarjeta.
• Progreso de onboarding: un indicador de qué pasos del tutorial has completado, para personalizar tu experiencia inicial.
• Preferencias locales: tu sesión (token de autenticación) y preferencias de visualización se guardan localmente en tu dispositivo mediante almacenamiento estándar del sistema operativo.

2Cómo usamos tu información

Usamos tu información exclusivamente para:

• Proveer y mantener el funcionamiento de la app balu.
• Autenticar tu sesión de forma segura mediante códigos de un solo uso (OTP) enviados por correo electrónico o WhatsApp.
• Sincronizar tus datos financieros entre tus dispositivos.
• Procesar la importación de PDFs bancarios con ayuda de inteligencia artificial.
• Generar el resumen financiero mensual (planes Pro y Max) y operar el chat con el asistente de IA por WhatsApp.
• Enviarte mensajes transaccionales (códigos de verificación, confirmaciones, recordatorios que tú actives) por correo electrónico o WhatsApp.
• Gestionar tu suscripción (balu Lite, Pro o Max).
• Ocasionalmente, enviarte comunicaciones promocionales sobre balu (ofertas, descuentos o mejoras del servicio) por correo electrónico o WhatsApp. Puedes oponerte a estas comunicaciones en cualquier momento (ver sección 9).
• Atender solicitudes de soporte técnico.

No usamos tus datos financieros para publicidad, análisis de crédito, scoring financiero, ni los compartimos con terceros para fines comerciales.

3Almacenamiento y seguridad

Tus datos se almacenan en servidores seguros alojados en Fly.io (infraestructura en la nube). Aplicamos las siguientes medidas de seguridad:

• Transmisión cifrada mediante HTTPS/TLS en todas las comunicaciones entre la app y el servidor.
• Autenticación gestionada por Ory Kratos, un sistema de identidad de código abierto auto-alojado. Utilizamos session tokens con expiración de 30 días y rotación automática.
• Verificación mediante códigos de un solo uso (OTP) de 6 dígitos con expiración corta.
• Acceso a la base de datos restringido exclusivamente al responsable del tratamiento.
• Los datos sensibles (números de teléfono, identificadores) se almacenan con los controles de seguridad estándar de PostgreSQL.

4Servicios de terceros (encargados del tratamiento)

balu utiliza los siguientes servicios de terceros, quienes actúan como encargados del tratamiento (procesan datos por instrucción nuestra bajo acuerdos de confidencialidad y seguridad). Todos están ubicados principalmente en Estados Unidos:

• Meta Platforms, Inc. (WhatsApp Business API): cuando vinculas un número de WhatsApp, envías o recibes mensajes desde balu, o autenticas tu cuenta por WhatsApp, tu número de teléfono y el contenido de los mensajes transaccionales pasan por la infraestructura de Meta para su entrega. Uso sujeto a la Política de WhatsApp Business y la Política de Privacidad de WhatsApp.
• Anthropic, PBC (Claude AI) — Importación de PDFs: cuando usas la función "Importar PDF", tu estado de cuenta bancario es enviado a la API de Anthropic para extraer automáticamente los movimientos. Anthropic recibe el contenido del PDF únicamente para este procesamiento puntual. balu no almacena el PDF tras la importación.
• Anthropic, PBC (Claude AI) — Insight mensual y chat del asistente: para generar el comentario financiero mensual (planes Pro y Max) o las respuestas del asistente de WhatsApp (planes Pro y Max), los datos relevantes (totales agregados, tu primer nombre, o el contenido del mensaje que envíes al asistente por WhatsApp) son enviados a la API de Anthropic. Uso sujeto a la Política de Privacidad de Anthropic.
• Fly.io, Inc. — Infraestructura de servidor y base de datos: nuestro backend, base de datos PostgreSQL y sistema de identidad Kratos están alojados en servidores de Fly.io.
• RevenueCat, Inc. — Gestión de suscripciones: el procesamiento y validación de las compras dentro de la app (balu Lite, Pro y Max) se gestiona mediante RevenueCat, quien recibe los identificadores necesarios para asociar tu compra con tu cuenta. RevenueCat no recibe tus datos financieros personales registrados en balu.
• Twilio SendGrid, Inc. — Envío de correos: los correos electrónicos transaccionales (códigos de verificación, confirmaciones) se envían mediante SendGrid, quien procesa tu dirección de correo para la entrega.
• Cloudflare, Inc. — DNS y ruteo de correo: utilizamos Cloudflare para la gestión del dominio soybalu.app y el ruteo del correo hola@soybalu.app.
• Google Play / App Store: la distribución de la app y el cobro de suscripciones se realizan a través de las tiendas oficiales de Google y Apple, quienes reciben únicamente la información necesaria para procesar el pago.

5Transferencias internacionales de datos

Debido a que varios de nuestros encargados (Meta, Anthropic, Fly.io, RevenueCat, SendGrid, Cloudflare, Google, Apple) operan desde los Estados Unidos de América, el tratamiento de tus datos implica transferencias internacionales.

Al usar balu, otorgas tu consentimiento para estas transferencias. Todos los encargados mencionados están obligados a proteger tus datos bajo sus propias políticas de privacidad y acuerdos de procesamiento. Solo reciben la información estrictamente necesaria para cumplir con la función que les corresponde.

Puedes revocar este consentimiento en cualquier momento eliminando tu cuenta. Algunas funciones (autenticación por WhatsApp, importación de PDFs, chat con el asistente de IA por WhatsApp) dejarán de estar disponibles si limitas las transferencias.

6Exportación de datos y archivos locales

balu te permite exportar tus datos financieros en formato Excel directamente a tu dispositivo. Este proceso es completamente local — el archivo se genera en tu dispositivo y no pasa por nuestros servidores. Puedes compartirlo con las apps que elijas usando las funciones nativas de tu sistema operativo.

La función de selección de archivos (al importar un PDF manualmente) accede únicamente al archivo que tú seleccionas explícitamente. balu no tiene acceso al resto de tus archivos.

7Notificaciones y comunicaciones

balu puede comunicarse contigo por tres canales:

• Notificaciones locales (push): se programan directamente en tu dispositivo y no pasan por nuestros servidores. No recopilamos ni almacenamos tokens de notificación push. Puedes activar o desactivar los recordatorios en cualquier momento desde Ajustes dentro de la app.
• Correo electrónico: se usa para códigos de verificación, confirmaciones de cuenta y, ocasionalmente, comunicaciones promocionales.
• WhatsApp (si vinculaste tu número): se usa para códigos de verificación, mensajes transaccionales, recordatorios que tú actives, y ocasionalmente comunicaciones promocionales sobre balu.

Puedes oponerte a recibir comunicaciones promocionales por correo o WhatsApp en cualquier momento (ver sección 9). Los mensajes transaccionales (códigos de verificación, confirmaciones de seguridad) no se pueden desactivar mientras tu cuenta esté activa, ya que son esenciales para el funcionamiento del servicio.

8Retención de datos

Conservamos tu información mientras tu cuenta esté activa. Si cancelas tu suscripción o eliminas tu cuenta:

• Tus datos financieros y personales son eliminados de nuestros servidores activos en un plazo de 30 días.
• Los respaldos cifrados pueden retenerse hasta 90 días adicionales antes de ser sobrescritos.
• Los registros de facturación se conservan conforme a los requisitos fiscales mexicanos (hasta 5 años, según el Código Fiscal de la Federación).

9Tus derechos (LFPDPPP)

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, tienes derecho a:

• Acceso: conocer qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos o incompletos.
• Cancelación: solicitar la eliminación de tus datos.
• Oposición: oponerte al tratamiento de tus datos para fines específicos, incluyendo comunicaciones promocionales.
• Revocación del consentimiento: retirar tu autorización para el tratamiento y las transferencias internacionales en cualquier momento.
• Limitación del uso o divulgación: restringir ciertos usos de tus datos.

Para ejercer cualquiera de estos derechos, escríbenos a hola@soybalu.app con el asunto "Derechos ARCO". Responderemos en un plazo máximo de 20 días hábiles, conforme lo establece la LFPDPPP.

Adicionalmente, puedes:

• Eliminar tu cuenta y todos tus datos directamente desde la app en Ajustes.
• Desvincular tu número de WhatsApp en Ajustes.
• Darte de baja de comunicaciones promocionales respondiendo "STOP" o "BAJA" a cualquier mensaje promocional de WhatsApp, o haciendo clic en el enlace de cancelación en los correos promocionales.

10Menores de edad

balu no está dirigida a menores de 18 años. No recopilamos conscientemente información de menores. Si detectamos que un usuario es menor de edad, procederemos a eliminar su cuenta y datos asociados.

11Cambios a esta política

Podemos actualizar esta política ocasionalmente. Cuando lo hagamos, notificaremos los cambios relevantes mediante una notificación en la app, por correo electrónico, o por WhatsApp si tienes tu número vinculado, con al menos 15 días de anticipación para cambios materiales. La fecha de última actualización aparece en la parte superior de esta política.