LogocolecttoInicio

Política de privacidad

Última actualización: abril de 2026

1. Responsable del tratamiento

Colectto ("nosotros") es el responsable del tratamiento de los datos personales que se recogen a través de la aplicación web y servicios asociados. Puedes contactarnos mediante los canales indicados en el sitio web.

2. Datos que tratamos

Podemos tratar, entre otros: datos de identificación y contacto (por ejemplo, correo electrónico), datos de cuenta y autenticación (gestionados por nuestro proveedor de identidad, p. ej. Clerk), datos financieros o de transacciones que tú introduzcas o conectes voluntariamente (por ejemplo, mediante integraciones con terceros como instituciones financieras cuando actives esas funciones), y datos técnicos (logs, dirección IP, tipo de navegador) necesarios para la seguridad y el funcionamiento del servicio.

Acceso a datos de Google (Gmail API)

Datos a los que accedemos

Colectto solicita acceso a tu cuenta de Gmail únicamente cuando tú lo activas explícitamente desde la app ("Conectar Gmail" en Configuración u Onboarding). Los permisos solicitados son:

  • gmail.readonly: leer metadata y cuerpo de tus correos.
  • gmail.modify: marcar como leídos los correos que ya procesamos.

Solo accedemos a correos cuyo remitente está en una lista cerrada de notificaciones financieras peruanas: BCP, BBVA, Interbank, Scotiabank, Yape, Plin, Apple Pay, Rappi y PedidosYa. No leemos correos de otros remitentes, borradores, etiquetas, contactos, ni adjuntos no relacionados con transacciones.

Cómo usamos esos datos

Los datos de Gmail se usan exclusivamente para detectar transacciones financieras tuyas y registrarlas dentro de tu propia cuenta Colectto. Una función serverless lee los correos elegibles, extrae los campos estructurados (monto, moneda, comercio, fecha) y los guarda como transacciones en tu cuenta. El correo original se marca como leído en tu Gmail; nunca se mueve, archiva ni elimina.

No usamos tus datos de Gmail para entrenar modelos de IA, mostrar publicidad, crear perfiles agregados, ni para ningún propósito ajeno a tu historial de transacciones personal.

Con quién compartimos los datos

Compartimos datos derivados de Gmail únicamente con los siguientes sub-procesadores, limitados a las operaciones descritas:

  • Supabase, Inc. — nuestro proveedor de backend (Postgres + funciones serverless), que hospeda tu cuenta y procesa los correos en nuestro nombre. Sujeto al DPA de Supabase.
  • Anthropic PBC — usado solo para parseo asistido por IA de recibos complejos (Rappi, PedidosYa) cuyo parser determinístico no logra estructurar. Anthropic no entrena sus modelos con esta información y retiene los datos por un máximo de 30 días para revisión de seguridad.

No vendemos, transferimos ni compartimos datos de Gmail con redes publicitarias, brokers de datos, ni terceros con fines de marketing o analítica.

Almacenamiento y protección

  • Tus datos se almacenan en bases PostgreSQL cifradas en reposo (AES-256).
  • Toda la transferencia se hace sobre TLS 1.2+.
  • Los tokens de OAuth se guardan cifrados y solo accesibles a nuestro rol de servicio del backend; nunca se exponen al cliente ni a otros usuarios.
  • Aplicamos políticas de Row-Level Security en la base de datos: cada consulta queda automáticamente restringida a tu user_id. Otro usuario no puede leer tus datos ni con una petición malformada.
  • No registramos el contenido de tus correos en logs.

Retención y eliminación

  • Las transacciones extraídas se conservan mientras mantengas tu cuenta activa, porque conforman tu historial financiero personal.
  • El contenido original del correo no se almacena: solo guardamos los campos estructurados extraídos y el Message-ID para evitar duplicados. El cuerpo del correo se descarta tras parsearlo.
  • Los refresh tokens se eliminan inmediatamente cuando:
    1. Tocas "Desconectar Gmail" en Configuración → Cuentas conectadas, o
    2. Revocas el acceso desde myaccount.google.com/permissions.
  • Puedes eliminar todos tus datos (incluidas todas las transacciones) desde Configuración → Zona de peligro → "Eliminar todos los datos", o escribiendo a diegogarciaobando1@gmail.com. Procesamos la eliminación dentro de los 7 días siguientes, en línea con la Google API Services User Data Policy.

3. Finalidades y base legal

Tratamos tus datos para: prestarte el servicio de seguimiento de finanzas personales, gestionar tu cuenta, mejorar y mantener la plataforma, cumplir obligaciones legales, y, cuando corresponda y esté permitido, comunicaciones relacionadas con el servicio. La base legal puede ser la ejecución del contrato, el interés legítimo (seguridad, mejora del producto) o el cumplimiento de obligaciones legales, según cada tratamiento y la normativa aplicable en tu país.

4. Conservación

Conservamos los datos el tiempo necesario para las finalidades indicadas y para cumplir la ley. Cuando ya no sean necesarios, los eliminamos o anonimizamos de forma razonable.

5. Cesiones y encargados

Podemos recurrir a proveedores de infraestructura, autenticación, analítica u otros servicios que traten datos en nuestro nombre (encargados del tratamiento), con las garantías contractuales adecuadas. No vendemos tus datos personales a terceros.

6. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger la información. Ningún sistema es 100 % seguro; te recomendamos usar contraseñas fuertes y no compartir tu acceso.

7. Tus derechos

Según la legislación aplicable, puedes ejercer derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad, y retirar el consentimiento cuando el tratamiento se base en él. También puedes presentar una reclamación ante la autoridad de protección de datos de tu país.

8. Cambios

Podemos actualizar esta política. Publicaremos la versión vigente en esta página e indicaremos la fecha de actualización cuando sea relevante.

También puedes consultar las condiciones del servicio.