Política de Privacidad

En ControlarGastos tratamos tus datos personales con el cuidado que merecen. Esta política explica con detalle qué recopilamos, por qué, con quién lo compartimos y cómo puedes ejercer tus derechos.

Última actualización:

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de este sitio es ControlarGastos, en adelante "el Servicio".

Para cualquier consulta relacionada con privacidad o el ejercicio de tus derechos puedes escribirnos a [email protected].

2. Datos que tratamos y por qué

Solo recopilamos lo imprescindible para que el Servicio funcione. Estos son los datos que persistimos y la finalidad de cada uno:

2.1 Cuenta de usuario

  • Email — identificador único de la cuenta, comunicaciones transaccionales (verificación, recuperación de contraseña).
  • Nombre — personalización dentro del Servicio.
  • Contraseña — almacenada exclusivamente como hash bcrypt; nunca en claro y no recuperable.
  • Idioma y moneda — preferencias de visualización.
  • Estado de verificación, bloqueo y motivo — control de acceso y antifraude.
  • Token temporal de recuperación de contraseña — válido durante un periodo limitado y eliminado tras su uso.
  • Preferencias de interfaz — configuración personal de la UI almacenada en formato JSON.

2.2 Sesiones e inicio de sesión

  • User-Agent del navegador y dispositivo de inicio de sesión.
  • Hash SHA-256 de la dirección IP — utilizamos un hash, no la IP en claro, para detectar reutilización de tokens y posibles incidentes de seguridad sin almacenar la dirección original.
  • Hash del refresh token y fechas de expiración o revocación.

2.3 Lista de espera

  • Email y plan de interés que hayas indicado.
  • Dirección IP en el momento de la suscripción, conservada para evitar abusos automatizados.

2.4 Asistente y análisis de tickets por IA

  • Mensajes que envías al asistente y respuestas generadas, junto con un identificador del modelo y métricas de coste agregadas.
  • Imágenes de tickets que subes para que el sistema extraiga sus datos automáticamente.
  • Dirección IP asociada al uso de estas funciones, para control de cuotas y prevención de abuso.

2.5 Datos financieros que tú introduces

Gastos, ingresos, deudas, ítems de compra, importes, etiquetas, comercios y cualquier otro dato que tú decidas registrar en el Servicio. Estos datos te pertenecen, son privados, no se monetizan, no se comparten con terceros con fines comerciales y no se utilizan para entrenar modelos de inteligencia artificial.

3. Bases legales (RGPD art. 6)

FinalidadBase legal
Crear y gestionar tu cuenta, prestarte el ServicioEjecución de un contrato (art. 6.1.b)
Almacenar y mostrar tus datos financierosEjecución del contrato (art. 6.1.b)
Suscripción a la lista de esperaConsentimiento (art. 6.1.a)
Asistente IA y análisis de ticketsConsentimiento implícito al usar la funcionalidad (art. 6.1.a)
Detección de uso fraudulento, control de cuotas, registros de seguridadInterés legítimo (art. 6.1.f)
Cookies estrictamente técnicasEjecución del contrato (art. 6.1.b)

4. Encargados del tratamiento

Para prestar el Servicio nos apoyamos en proveedores que actúan como encargados del tratamiento bajo contrato y con garantías adecuadas:

  • Proveedor de hosting compartido en la Unión Europea — alojamiento de la aplicación, base de datos y copias de seguridad.
  • Cloudflare, Inc. (Estados Unidos) — protección anti-bots mediante Cloudflare Turnstile en formularios públicos. Transferencia amparada en Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea.
  • OpenRouter, Inc. (Estados Unidos) — pasarela de modelos de inteligencia artificial utilizada para el asistente y el análisis de tickets. Transferencia amparada en SCC.
  • Proveedor de email transaccional con sede en la Unión Europea — envío de emails de verificación, recuperación de contraseña y notificaciones de la lista de espera (servicio en proceso de activación; se actualizará esta política cuando entre en producción).

5. Transferencias internacionales

Algunos encargados (Cloudflare, OpenRouter) están establecidos fuera del Espacio Económico Europeo. Estas transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), con medidas técnicas adicionales como cifrado en tránsito.

6. Plazos de conservación

  • Cuenta de usuario y datos financieros — mientras la cuenta esté activa. Tras una baja voluntaria, conservamos los datos durante 30 días como periodo de gracia para recuperación; pasado ese plazo se eliminan de forma definitiva.
  • Suscripción a lista de espera — hasta el lanzamiento del plan correspondiente o hasta que solicites darte de baja.
  • Logs de aplicación — rotación diaria con un máximo de 14 días.
  • Tokens de sesión — eliminados al expirar o tras 30 días después de la revocación.
  • Mensajes del asistente y análisis de tickets — conservados como histórico personal en tu cuenta hasta que tú los elimines o te des de baja.

7. Tus derechos

Puedes ejercer en cualquier momento los siguientes derechos reconocidos por el RGPD:

  • Acceso — solicitar una copia de los datos personales que tratamos sobre ti.
  • Rectificación — corregir datos inexactos o incompletos.
  • Supresión — solicitar el borrado de tus datos cuando ya no sean necesarios.
  • Oposición — oponerte a tratamientos basados en interés legítimo.
  • Limitación — pedir que restrinjamos el tratamiento en supuestos concretos.
  • Portabilidad — recibir los datos en formato estructurado y legible por máquina.
  • Retirada del consentimiento — cuando el tratamiento se base en él, sin que afecte a la licitud previa.

Para ejercer cualquiera de ellos, escríbenos a [email protected] indicando el derecho que deseas ejercer y, si fuera necesario, alguna información que nos permita verificar tu identidad como titular de la cuenta.

8. Reclamación ante la autoridad de control

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es), aunque te agradeceríamos que nos dieras antes la oportunidad de resolver la cuestión directamente.

9. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos:

  • Cifrado en tránsito mediante TLS en todas las comunicaciones.
  • Almacenamiento de contraseñas como hash bcrypt, sin posibilidad de recuperación.
  • Hash SHA-256 de las direcciones IP asociadas a sesiones, en lugar de la IP en claro.
  • Rotación de tokens de sesión y revocación automática ante intentos de reutilización.
  • Acceso interno restringido a personal estrictamente necesario.

Ningún sistema es infalible: si detectamos una brecha de seguridad que afecte a tus datos, te lo comunicaremos sin demora indebida y en los plazos que establece la normativa.

10. Menores de edad

El Servicio no está dirigido a menores de 14 años. Si eres menor de esa edad, no debes registrarte ni proporcionarnos datos personales. Si detectamos una cuenta perteneciente a un menor de 14 años, procederemos a su cierre.

11. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios en el Servicio o en la normativa aplicable. Cuando los cambios sean sustanciales te lo notificaremos por email o mediante un aviso destacado dentro del Servicio. La fecha de la última actualización aparece al inicio de esta página.