Política de Privacidad

Última actualización: Abril 2026 · Aplicable en Chile, Brasil, Colombia, México, Argentina y Perú

Tu privacidad es fundamental para Cima. Nunca vendemos tus datos a terceros. Esta política explica con transparencia qué datos recopilamos, por qué y qué derechos tienes en cada país donde operamos.

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es el equipo desarrollador de Cima, con domicilio en Chile. Para ejercer tus derechos o consultas de privacidad:

Correo general de privacidad: privacidad@usecima.app
Delegado de Protección de Datos (DPO): dpo@usecima.app (requerido por LGPD Brasil)

Tiempo de respuesta: máximo 10 días hábiles para todos los mercados. Brasil: 15 días hábiles según LGPD.

2. Datos que recopilamos

Recopilamos únicamente los datos necesarios para prestarte el servicio. Nunca recopilamos datos sin una finalidad específica y legítima.

Dato	Finalidad	Base legal	Obligatorio
Nombre y email	Crear y gestionar tu cuenta	Ejecución de contrato	Sí
Contraseña (hash bcrypt)	Autenticación segura	Ejecución de contrato	Sí
Datos de transacciones financieras	Funcionalidad core del servicio	Consentimiento explícito + contrato	Sí
Cartolas bancarias (PDF / imagen)	Importación automática con IA	Consentimiento explícito	No
Datos de presupuestos y metas	Análisis personalizado	Consentimiento explícito	No
Logs técnicos y de seguridad	Seguridad, detección de fraude	Interés legítimo	Sí
Datos de pago (tokenizados por Stripe)	Procesamiento suscripción Premium	Ejecución de contrato	Solo Premium

Datos que NO recopilamos nunca: datos biométricos, geolocalización, datos de contactos del dispositivo, información de redes sociales, ni cualquier dato no necesario para el funcionamiento del servicio.

Datos financieros como datos sensibles: en Colombia y México, los datos financieros están clasificados como datos sensibles por ley, lo que implica un estándar de protección más elevado y un consentimiento explícito e informado separado del consentimiento general de registro. Ver sección 12.

3. Base legal del tratamiento

Cada tratamiento de datos tiene una base legal específica. Utilizamos las siguientes bases, compatibles con GDPR, LGPD y las leyes nacionales de los países donde operamos:

Consentimiento explícito: para datos financieros (transacciones, cartolas, metas). Puedes retirarlo en cualquier momento desde Configuración → Privacidad.
Ejecución de contrato: para los datos estrictamente necesarios para prestarte el servicio (cuenta, autenticación, pagos).
Interés legítimo: para logs de seguridad, detección de fraude y mejoras del servicio mediante datos anonimizados y agregados.
Obligación legal: para conservar registros de transacciones según exige la normativa tributaria de cada país.

4. Cómo usamos tus datos

Usamos tus datos exclusivamente para las siguientes finalidades, nunca para publicidad de terceros ni perfilado comercial:

Crear y mantener tu cuenta de usuario.
Procesar, categorizar y analizar tus transacciones financieras.
Generar visualizaciones, alertas y recomendaciones personalizadas.
Enviar notificaciones transaccionales (alertas de presupuesto, resúmenes semanales) si las activas.
Procesar pagos de suscripción Premium de forma segura.
Responder consultas de soporte.
Detectar y prevenir fraude, abuso y accesos no autorizados.
Mejorar el servicio usando datos agregados y anonimizados.

Lo que nunca hacemos: vender tus datos, compartirlos con anunciantes, usarlos para entrenamiento de modelos de IA sin tu consentimiento explícito, ni tomar decisiones automatizadas con efectos legales significativos sin intervención humana disponible.

5. Inteligencia artificial y tus datos

Cima utiliza modelos de IA externos para funcionalidades específicas. Detallamos exactamente qué datos enviamos a cada modelo:

Funcionalidad IA	Datos enviados	Proveedor	Datos que NO se envían
Clasificación de transacciones	Descripción del comercio, monto, fecha	Anthropic API	Nombre, email, RUT/CURP/CPF
Importación de cartola (PDF/imagen)	Contenido del documento subido	Anthropic API	Credenciales bancarias
Chat financiero con IA (Premium)	Totales por categoría, metas, saldo disponible	Anthropic API	Número de cuenta, nombre completo
Predicción de gastos (Premium)	Historial de transacciones anonimizado	Procesado internamente	—

Anthropic tiene sus propias políticas de privacidad y seguridad disponibles en anthropic.com/privacy. Anthropic no usa los datos enviados via API para entrenar sus modelos por defecto.

Decisiones automatizadas: el chat de IA y las alertas son orientativas. Ninguna decisión automatizada produce efectos legales vinculantes sobre ti. Siempre tienes acceso a revisión humana contactando a privacidad@usecima.app.

6. Proveedores de servicios (terceros)

No vendemos tus datos. Compartimos datos únicamente con los siguientes proveedores, estrictamente para las finalidades indicadas, y bajo contratos de procesamiento de datos adecuados:

Proveedor	Función	Datos compartidos	País / Región
Vercel	Hosting y despliegue	Logs de acceso técnicos	EE.UU. (SCCs)
Neon (PostgreSQL)	Base de datos	Todos los datos de la cuenta	EE.UU. (SCCs)
Anthropic	Procesamiento de IA	Ver sección 5	EE.UU. (DPA disponible)
Resend	Emails transaccionales	Email + nombre	EE.UU. (SCCs)
Stripe	Pagos Premium	Datos de pago tokenizados	EE.UU. / Global (PCI-DSS)

SCCs = Cláusulas Contractuales Estándar de la UE, mecanismo válido para transferencias internacionales de datos también bajo LGPD (Brasil) y la nueva Ley 21.719 (Chile 2026).

7. Seguridad de tus datos

Implementamos medidas técnicas y organizativas adecuadas al riesgo:

Transmisión cifrada con HTTPS/TLS 1.2+ en toda comunicación.
Contraseñas almacenadas con hash bcrypt — nunca en texto plano.
Tokens de sesión JWT con secret aleatorio rotado periódicamente.
Base de datos con acceso restringido, sin exposición pública directa.
Sin almacenamiento de datos de tarjetas — Stripe tokeniza todo.
Rate limiting en endpoints de autenticación y API.
Separación de datos identificables y datos de transacciones en el procesamiento de IA.

Ante una brecha de seguridad que afecte tus datos personales, te notificaremos dentro de las 72 horas siguientes a tener conocimiento del incidente, conforme a los plazos exigidos por LGPD (Brasil), Ley 21.719 (Chile) y estándares GDPR. También notificaremos a la autoridad de protección de datos del país correspondiente cuando sea legalmente obligatorio.

8. Retención de datos

Categoría	Período de retención	Fundamento
Datos de cuenta (nombre, email)	Hasta eliminación de cuenta + 30 días	Ejecución de contrato
Transacciones financieras	Hasta eliminación de cuenta + 30 días	Ejecución de contrato
Logs de seguridad	90 días	Interés legítimo (seguridad)
Registros de pagos	6 años (CL) / 5 años (MX) / 5 años (CO) / 5 años (BR)	Obligación legal tributaria
Backups cifrados	30 días tras eliminación de cuenta	Seguridad operacional

Al eliminar tu cuenta, tus datos personales se marcan para eliminación inmediata y se borran definitivamente dentro de los 30 días, salvo los datos que debamos conservar por obligación legal tributaria.

9. Tus derechos

Independientemente del país, tienes los siguientes derechos sobre tus datos. Los derechos adicionales específicos por país se detallan en la sección 12:

Derecho	Qué significa	Cómo ejercerlo
Acceso	Saber qué datos tenemos sobre ti	Email a privacidad@usecima.app
Rectificación	Corregir datos inexactos o incompletos	Desde tu perfil o por email
Eliminación / Cancelación	Borrar tu cuenta y datos	Configuración → Eliminar cuenta
Portabilidad	Recibir tus datos en formato exportable (CSV/JSON)	Configuración → Exportar datos
Oposición	Oponerte a ciertos tratamientos	Email a privacidad@usecima.app
Retirar consentimiento	Retirar consentimiento en cualquier momento	Configuración → Privacidad

Respondemos en un máximo de 10 días hábiles (15 días para usuarios de Brasil según LGPD). Si negamos una solicitud, explicaremos el motivo y podrás recurrir a la autoridad de datos de tu país (ver sección 12).

10. Cookies y almacenamiento local

Cima usa únicamente tecnologías estrictamente necesarias para el funcionamiento del servicio:

Cookies de sesión: mantienen tu sesión activa. Son estrictamente necesarias y no requieren consentimiento previo. Se eliminan al cerrar sesión o al expirar el token JWT.
localStorage: guarda si completaste el onboarding. No contiene datos personales ni financieros.

No usamos cookies de seguimiento, publicidad, analítica de terceros (Google Analytics, Meta Pixel, etc.) ni ninguna tecnología de rastreo entre sitios. Sin banners de cookies porque no hay nada opcional que aceptar.

11. Menores de edad

Cima no está dirigido a personas menores de 18 años en ningún mercado donde opera. No recopilamos datos de menores de edad de forma consciente.

Si detectamos que un usuario es menor de 18 años, eliminaremos su cuenta y todos sus datos de forma inmediata. Si eres padre, madre o tutor y crees que un menor ha creado una cuenta, escríbenos a privacidad@usecima.app.

Nota Argentina: el proyecto de reforma de la Ley 25.326 contempla consentimiento desde los 13 años en ciertas circunstancias. Hasta que esa reforma entre en vigor, mantenemos el umbral de 18 años en todos los mercados.

12. Disposiciones específicas por país

Las siguientes cláusulas complementan la política base anterior con los requisitos específicos de la ley de cada país. En caso de conflicto entre esta sección y la política base, prevalece la cláusula del país correspondiente al usuario.

🇨🇱 ChileLey 21.719 (vigencia dic. 2026) / Ley 19.628 (vigente hoy)

Hasta diciembre de 2026 aplica la Ley 19.628. A partir de esa fecha, la nueva Ley 21.719 — alineada con el GDPR europeo — entrará en vigor, creando la Agencia de Protección de Datos Personales como autoridad autónoma de supervisión.

Puedes ejercer tus derechos contactando a privacidad@usecima.app. Ante negativa o disconformidad, podrás recurrir al Consejo para la Transparencia (hoy) o a la futura Agencia de Protección de Datos (desde 2026).

Esta política ya está redactada conforme a los estándares de la Ley 21.719 para facilitar la transición.

🇧🇷 BrasilLGPD — Lei 13.709/2018 (vigor desde 2021)

La Lei Geral de Proteção de Dados (LGPD) aplica a todos los usuarios ubicados en Brasil, independientemente de dónde esté alojado el servicio.

Base legal (LGPD art. 7): el tratamiento de datos en Cima se basa en: consentimento (art. 7, I), execução de contrato (art. 7, V) e interesse legítimo (art. 7, IX) para logs de seguridad.

Encarregado de Dados (DPO): el responsable de protección de datos para usuarios brasileños puede ser contactado en dpo@usecima.app, conforme al art. 41 de la LGPD.

Tus derechos LGPD (art. 18): confirmação do tratamento, acesso, correção, anonimização / bloqueio / eliminação, portabilidade, informação sobre compartilhamento, revogação do consentimento. Plazo de resposta: 15 dias úteis.

Ante disconformidade, puedes recurrir a la Autoridade Nacional de Proteção de Dados (ANPD) en gov.br/anpd.

Transferência internacional: los datos se transfieren a EE.UU. (Vercel, Neon, Anthropic, Stripe) bajo cláusulas contractuales padrão, conforme al art. 33 de la LGPD.

Nota idioma: tienes derecho a recibir esta política y comunicaciones de privacidad en portugués. Escríbenos a privacidad@usecima.app y te enviamos la versión en português.

🇨🇴 ColombiaLey 1581/2012 + Decreto 1377/2013

La Ley 1581 de 2012 regula el tratamiento de datos personales en Colombia. La Superintendencia de Industria y Comercio (SIC) es la autoridad de control con poderes sancionatorios activos.

Datos financieros como datos sensibles: conforme al art. 6 de la Ley 1581, los datos financieros son clasificados como datos sensibles. Su tratamiento requiere autorización explícita, informada y específica, separada del consentimiento general de registro. Cima solicita esta autorización mediante un checkbox específico en el flujo de onboarding.

Tus derechos (derechos ARCO): Acceso, Rectificación, Cancelación y Oposición. Plazo de respuesta: 10 días hábiles para consultas, 15 días hábiles para reclamos (prorrogable 8 días hábiles adicionales con notificación).

Ante negativa o incumplimiento, puedes presentar una queja ante la Superintendencia de Industria y Comercio (SIC) en sic.gov.co.

🇲🇽 MéxicoNueva LFPDPPP — publicada marzo 2025 (reemplaza ley 2010)

La nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, publicada en marzo de 2025, refuerza los derechos ARCO y establece obligaciones más estrictas para empresas que traten datos de personas en México.

Aviso de privacidad: este documento cumple la función del aviso de privacidad requerido por la ley mexicana. Cubre: identidad del responsable, datos recabados, finalidades, transferencias, medios para ejercer derechos ARCO+, y mecanismos para retirar el consentimiento.

Datos financieros como datos sensibles: conforme al art. 9 de la LFPDPPP, el tratamiento de datos financieros requiere consentimiento expreso mediante firma autógrafa, firma electrónica, u otro mecanismo de autenticación. Cima implementa esto mediante confirmación explícita en el registro y onboarding.

Derechos ARCO+ (nueva ley): Acceso, Rectificación, Cancelación, Oposición, más Portabilidad y Limitación del tratamiento — todos con definición más precisa que la ley de 2010. Plazo de respuesta: 20 días hábiles.

Ante negativa, puedes recurrir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en home.inai.org.mx.

🇦🇷 ArgentinaLey 25.326/2000 (reforma en trámite)

La protección de datos personales en Argentina está regulada por la Ley 25.326. Argentina fue reconocida por la UE como país con nivel adecuado de protección, lo que facilita transferencias internacionales de datos.

Tus derechos: acceso gratuito cada 6 meses, rectificación, supresión y confidencialidad. Plazo de respuesta: 5 días hábiles para acceso, 5 días hábiles para rectificación y supresión.

La Agencia de Acceso a la Información Pública (AAIP) es la autoridad de control. Ante incumplimiento, puedes presentar una denuncia en argentina.gob.ar/aaip.

El proyecto de reforma de la Ley 25.326 busca alinearse con el GDPR. Esta política ya incorpora esos estándares anticipadamente.

🇵🇪 PerúLey 29.733/2011 + DS-016 (vigor desde marzo 2025)

El nuevo Reglamento DS-016-2024-JUS entró en vigor en marzo de 2025, reforzando significativamente las obligaciones para empresas que traten datos de personas en Perú. Introduce sanciones hasta aproximadamente USD 70.000 por infracciones graves.

Obligación de información completa: el reglamento establece como infracción grave no informar de forma completa al usuario sobre el tratamiento de sus datos. Esta política cumple ese estándar.

Tus derechos: información, acceso, rectificación, cancelación, oposición y tratamiento objetivo. Plazo de respuesta: 20 días hábiles.

La autoridad de supervisión es la Dirección General de Protección de Datos Personales (MINJUS). Ante incumplimiento, puedes presentar una denuncia en minjus.gob.pe.

13. Cambios en esta política

Podemos actualizar esta política para reflejar cambios en el servicio, en los proveedores o en la legislación aplicable de cualquier país donde operamos.

Te notificaremos por email con al menos 15 días de anticipación ante cambios sustanciales. La versión vigente siempre estará en esta página con la fecha de última actualización.

Para usuarios de Brasil: los cambios que requieran nuevo consentimiento serán comunicados conforme al art. 8, §6 de la LGPD.

Términos de Uso →Volver al inicio

¿Preguntas? privacidad@usecima.app