Política de Privacidad
En Kasha nos tomamos tu privacidad en serio. Esta política explica de forma clara y transparente qué datos recogemos, por qué los necesitamos y cuáles son tus derechos. Nunca vendemos tus datos. Nunca mostramos anuncios.
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es el desarrollador de la aplicación Kasha.
| Campo | Detalle |
|---|---|
| Nombre / Entidad | Kasha (desarrollador independiente) |
| Email de privacidad | [KASHA_PRIVACY_EMAIL] |
| Sitio web | appkasha.com |
2. Datos que recogemos y para qué
A continuación detallamos las categorías de datos personales que la aplicación puede recoger, según las funciones que utilices:
| Categoría | Datos concretos | Finalidad | Obligatorio |
|---|---|---|---|
| Autenticación | Dirección de email, nombre de pantalla, foto de perfil (si usas Google Sign-In), identificador único de usuario (UID) | Crear y gestionar tu cuenta; permitirte acceder desde múltiples dispositivos | Sí |
| Datos financieros | Transacciones (monto, categoría, fecha, nota), cuentas, presupuestos, deudas compartidas, transacciones recurrentes que tú introduces | Proveer el servicio de gestión financiera personal | Sí (son el núcleo del servicio) |
| Notificaciones push | Token del dispositivo (FCM) | Enviarte alertas de presupuesto, recordatorios y notificaciones de deudas compartidas | No — puedes denegarlas en cualquier momento desde la configuración del sistema |
| Suscripción | Estado Premium, identificador anónimo de compra, historial de transacciones de suscripción (procesado por RevenueCat) | Gestionar y verificar tu suscripción al plan Premium | Solo si contratas Premium |
| Respaldo en Drive | Archivos de backup generados por la app (datos financieros cifrados) | Almacenar copias de seguridad en tu cuenta personal de Google Drive | No — función opcional activada por ti |
| Preferencias locales | Preferencia de tema visual (claro / oscuro), almacenada en localStorage del dispositivo | Recordar tu preferencia de apariencia sin necesidad de cuenta | No — dato puramente local, no se envía a servidores |
No recogemos datos de ubicación, contactos del teléfono, historial de navegación ni ningún dato no listado arriba.
3. Base legal del tratamiento (GDPR)
Para los usuarios en el Espacio Económico Europeo (EEE) y Reino Unido, el tratamiento de tus datos se basa en:
- Ejecución del contrato (Art. 6.1.b GDPR): para proveer el servicio de gestión financiera (autenticación, almacenamiento de datos financieros, sincronización).
- Consentimiento (Art. 6.1.a GDPR): para el envío de notificaciones push. Puedes retirar tu consentimiento en cualquier momento desde la configuración del sistema operativo.
- Interés legítimo (Art. 6.1.f GDPR): para la seguridad del servicio y prevención de fraude.
- Cumplimiento de obligación legal (Art. 6.1.c GDPR): para el mantenimiento de registros requeridos por la normativa aplicable (por ejemplo, datos de transacciones de suscripción con fines fiscales).
4. Proveedores de servicios con acceso a datos
Kasha utiliza los siguientes proveedores de servicios de terceros. Cada uno actúa como encargado del tratamiento bajo contrato y solo procesa los datos necesarios para la función indicada:
| Proveedor | Función | País / Región | Política de privacidad |
|---|---|---|---|
| Google Firebase (Alphabet Inc.) | Autenticación (Auth), base de datos en tiempo real (Firestore), funciones en la nube (Cloud Functions), notificaciones push (FCM) | EE.UU. (con instalaciones globales) | firebase.google.com/support/privacy |
| RevenueCat, Inc. | Gestión y verificación de suscripciones Premium | EE.UU. | revenuecat.com/privacy |
| Google Drive API (Google LLC) | Almacenamiento de copias de seguridad (solo si el usuario activa esta función) | EE.UU. | policies.google.com/privacy |
| Google Play Store (Google LLC) | Distribución de la app en Android (no accede a tus datos financieros) | EE.UU. | policies.google.com/privacy |
| Apple App Store (Apple Inc.) | Distribución de la app en iOS (no accede a tus datos financieros) | EE.UU. | apple.com/legal/privacy |
No compartimos tus datos personales con anunciantes, brokers de datos ni ningún tercero con fines comerciales o publicitarios.
5. Transferencias internacionales de datos
Algunos de los proveedores listados anteriormente (Google Firebase, RevenueCat) tienen su sede en los Estados Unidos. Cuando tus datos se transfieren fuera del EEE, nos aseguramos de que existan las garantías adecuadas:
- Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, según lo estipulado en los acuerdos de procesamiento de datos de Google y RevenueCat.
- Certificaciones o marcos de adecuación aplicables reconocidos por la autoridad reguladora competente.
Puedes solicitar una copia de las garantías aplicables escribiéndonos a [KASHA_PRIVACY_EMAIL].
6. Conservación de datos
| Tipo de dato | Periodo de conservación |
|---|---|
| Datos de cuenta y datos financieros | Mientras la cuenta esté activa. Eliminación en un plazo de 30 días desde que solicites el cierre de cuenta. |
| Datos de suscripción | Hasta 7 años desde la última transacción, según las obligaciones fiscales y contables aplicables. |
| Tokens de notificaciones push | Hasta que revoques el permiso de notificaciones o elimines tu cuenta. |
| Logs técnicos (Firebase) | Máximo 90 días, gestionados automáticamente por Firebase. |
| Copias de seguridad en Google Drive | Bajo el control exclusivo del usuario en su cuenta de Google Drive. Kasha no gestiona su retención. |
7. Tus derechos
Dependiendo de tu país de residencia, tienes los siguientes derechos sobre tus datos personales:
- Acceso (Art. 15 GDPR): obtener confirmación de si tratamos tus datos y una copia de los mismos.
- Rectificación (Art. 16 GDPR): corregir datos inexactos o incompletos. Puedes hacerlo directamente en la app.
- Supresión / "derecho al olvido" (Art. 17 GDPR): solicitar la eliminación de tu cuenta y todos tus datos.
- Limitación del tratamiento (Art. 18 GDPR): solicitar que suspendamos el tratamiento de tus datos en determinadas circunstancias.
- Portabilidad (Art. 20 GDPR): recibir tus datos en un formato estructurado y legible por máquina.
- Oposición (Art. 21 GDPR): oponerte al tratamiento basado en interés legítimo.
- Retirada del consentimiento: si el tratamiento se basa en tu consentimiento (notificaciones push), puedes retirarlo en cualquier momento sin que ello afecte al tratamiento previo.
Cómo ejercer tus derechos
Envía un email a [KASHA_PRIVACY_EMAIL] indicando el derecho que deseas ejercer y tu email de cuenta. Responderemos en un plazo máximo de 30 días.
Para eliminar tu cuenta y todos tus datos directamente desde la app: Configuración → Cuenta → Eliminar cuenta.
Si consideras que el tratamiento de tus datos vulnera la normativa aplicable, tienes derecho a presentar una reclamación ante la autoridad de control competente de tu país:
- España: Agencia Española de Protección de Datos (AEPD) — aepd.es
- Francia: CNIL — cnil.fr
- Alemania: BfDI — bfdi.bund.de
- México: INAI — home.inai.org.mx
- Colombia: Superintendencia de Industria y Comercio (SIC) — sic.gov.co
- Argentina: Agencia de Acceso a la Información Pública (AAIP) — argentina.gob.ar/aaip
8. Seguridad de los datos
Implementamos las siguientes medidas de seguridad técnicas y organizativas:
- Cifrado en tránsito mediante TLS (HTTPS) en todas las comunicaciones entre la app y los servidores.
- Cifrado en reposo en Firebase Firestore y Firebase Storage.
- Autenticación de doble factor disponible (PIN de 6 dígitos, Face ID, Touch ID).
- Bloqueo automático de la app al pasar a segundo plano.
- Reglas de acceso en Firebase que garantizan que cada usuario solo puede acceder a sus propios datos.
- Acceso restringido al sistema de producción por parte del equipo de desarrollo.
9. Privacidad de menores
Kasha está destinada a usuarios mayores de 16 años (o la edad mínima de consentimiento digital aplicable en tu país). En algunos países (como EE.UU. bajo la COPPA), la edad mínima es 13 años con consentimiento parental verificable.
Si eres padre, madre o tutor y crees que tu hijo/a menor de edad ha proporcionado datos personales sin tu consentimiento, contáctanos en [KASHA_PRIVACY_EMAIL] y procederemos a eliminar esa información de inmediato.
10. Publicidad y rastreo
Kasha no muestra anuncios en ninguna circunstancia. No integramos redes publicitarias, SDKs de seguimiento para marketing (como Meta Pixel, Google Ads, etc.) ni vendemos o compartimos datos para fines publicitarios. Nunca.
El único almacenamiento local que usamos es localStorage del dispositivo para guardar la preferencia de tema visual (oscuro/claro). Esto no es una cookie y no tiene finalidad de rastreo.
11. Normativa aplicable por región
Esta política cumple con las principales normativas de protección de datos de los mercados donde opera Kasha:
| Región | Normativa |
|---|---|
| Unión Europea / EEE | Reglamento General de Protección de Datos (GDPR) — Reglamento (UE) 2016/679 |
| Reino Unido | UK GDPR y Data Protection Act 2018 |
| México | Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) |
| Colombia | Ley Estatutaria 1581 de 2012 (Habeas Data) |
| Argentina | Ley 25.326 de Protección de Datos Personales |
| Brasil | Lei Geral de Proteção de Dados (LGPD) — Lei n.º 13.709/2018 |
| EE.UU. (California) | California Consumer Privacy Act (CCPA) / CPRA |
| EE.UU. (menores) | Children's Online Privacy Protection Act (COPPA) |
12. Cambios en esta política
Podemos actualizar esta política de privacidad periódicamente. Cuando realicemos cambios materiales, te notificaremos mediante:
- Un aviso dentro de la aplicación en tu próximo inicio de sesión, o
- Un email al correo asociado a tu cuenta.
Te recomendamos revisar esta página periódicamente. La fecha de "Última actualización" al inicio del documento siempre reflejará la versión vigente.
13. Contacto
Para cualquier consulta sobre esta política de privacidad, para ejercer tus derechos o para reportar un posible incidente de seguridad, puedes contactarnos en:
- Privacidad: [KASHA_PRIVACY_EMAIL]
- Soporte general: [KASHA_SUPPORT_EMAIL]
- Sitio web: appkasha.com
Nos comprometemos a responder en un plazo máximo de 30 días naturales a partir de la recepción de tu solicitud.