Política de Privacidad
Resumen en una línea: Sobra cifra tus datos financieros en tu celular antes de salir del dispositivo. Ni nosotros podemos leerlos. No vendemos datos, no usamos publicidad, no hacemos tracking.
Contenido
1. Quiénes somos
Sobra es una aplicación móvil de finanzas personales operada por Sobra App, una iniciativa con sede en Lima, Perú. El responsable del tratamiento de tus datos es Luis Antonio Tesorero Vargas, contactable en privacidad@sobra.app.
Esta Política explica qué información recopilamos cuando usas la app y la web, cómo la protegemos y qué derechos tienes. Aplica a la app móvil (iOS y Android) y al sitio sobra.app.
2. Qué datos recopilamos
Recopilamos lo mínimo posible para que la app funcione. Te lo desglosamos por categoría:
| Dato | Cómo se obtiene | Para qué |
|---|---|---|
| DNI | Lo ingresas al crear tu cuenta | Identificarte y proteger tu cuenta |
| Nombre y apellidos | Se autollena desde RENIEC al validar tu DNI | Personalizar la experiencia |
| Correo electrónico | Lo ingresas al crear tu cuenta | Notificaciones de cuenta, comunicaciones de soporte, recuperación de acceso y avisos importantes (cambios a la política, vencimientos de suscripción) |
| Número de teléfono | Lo ingresas al crear tu cuenta | Verificación de identidad y contacto de soporte cuando lo necesites |
| ID de usuario (UUID) | Lo generamos automáticamente | Asociar tu vault cifrado a tu cuenta |
| Datos financieros (ingresos, gastos, recordatorios, presupuestos, etc.) | Los registras tú en la app | Mostrarte tus reportes y análisis |
| Historial de compras | RevenueCat lo registra cuando te suscribes | Validar tu suscripción |
| PIN de bloqueo | Lo creas tú | Nunca sale de tu celular. Sirve para derivar la llave de cifrado. |
Datos que NO recopilamos
- Dirección física — no la necesitamos.
- Información de tarjetas o cuentas bancarias — los pagos los gestiona Apple o Google directamente; nosotros nunca vemos los datos de pago.
- Ubicación GPS — la app no usa ubicación.
- Contactos del teléfono — no accedemos a tu agenda.
- Identificador publicitario (IDFA / AAID) — no hacemos publicidad ni tracking.
- Datos biométricos — Face ID y huella se procesan localmente por iOS / Android; nosotros solo recibimos un "sí/no" del sistema.
3. Para qué usamos tus datos
Usamos los datos exclusivamente para:
- Operar la app: guardar y mostrarte tus ingresos, gastos, recordatorios y reportes.
- Sincronizar entre dispositivos: si activas la sincronización en la nube, subimos tu vault cifrado para que puedas acceder desde otro celular.
- Autenticación: verificar que eres tú cuando inicias sesión.
- Suscripciones: validar si tienes el plan Básico o Pro vigente.
- Soporte: responder tus consultas si nos escribes.
- Cumplimiento legal: responder a requerimientos válidos de autoridades peruanas (en cuyo caso solo podemos entregar metadatos — los datos financieros están cifrados y no podemos descifrarlos).
No usamos tus datos para: entrenar modelos de IA con tu información personal, hacer perfilado publicitario, venderlos a terceros, o cualquier otro fin distinto al servicio.
4. Cifrado de punta a punta (E2E)
Esta sección es importante porque es lo que más distingue a Sobra de otras apps de finanzas.
Cómo funciona
- Cuando creas tu PIN, derivamos una llave de cifrado usando PBKDF2-SHA256 con 100 000 iteraciones y una sal aleatoria única.
- La llave se guarda en el almacenamiento seguro de tu sistema operativo (Keychain en iOS, Keystore en Android). Nunca sale de tu celular.
- Cada vez que registras un gasto, ingreso o cualquier dato financiero, se cifra con AES-256-GCM antes de salir de la app.
- Lo que viaja a nuestros servidores es un blob binario ilegible. Sin la llave (que solo tú tienes vía tu PIN), nadie puede descifrarlo.
Qué significa esto en la práctica: si un atacante hackeara nuestros servidores, si una autoridad nos exigiera entregar tus datos financieros, o si un empleado curioso quisiera ver tus gastos — no podríamos darles nada legible. Solo verían texto cifrado.
La contracara: si olvidas tu PIN y no tienes backup, nosotros no podemos recuperarlo. No hay un "olvidé mi contraseña" tradicional porque ni nosotros conocemos tu llave. Te recomendamos guardar tu PIN en un lugar seguro.
5. Retención y eliminación
Guardamos tus datos mientras tu cuenta esté activa. Cuando borras tu cuenta:
- Tu vault cifrado se elimina inmediatamente de nuestros servidores.
- Tu DNI, nombre, correo, teléfono y UUID se eliminan en un plazo máximo de 30 días.
- El historial de compras vinculado a tu suscripción puede conservarse hasta 7 años por obligaciones contables.
- Los logs técnicos (IPs, errores) se rotan automáticamente cada 30 días.
Puedes solicitar la eliminación de tu cuenta desde la app (Más → Configuración → Eliminar cuenta) o escribiéndonos a privacidad@sobra.app.
6. Tus derechos
Bajo la Ley 29733 (Ley de Protección de Datos Personales del Perú) y, si aplica, el GDPR europeo, tienes los siguientes derechos:
- Acceso (ARCO): saber qué datos tenemos sobre ti.
- Rectificación: corregir datos inexactos.
- Cancelación / Supresión: pedirnos que borremos tus datos.
- Oposición: oponerte a un tratamiento específico.
- Portabilidad: recibir tus datos en formato legible (CSV/JSON). En el plan Pro puedes exportar directamente desde la app.
- Revocar consentimiento: retirar tu consentimiento cuando quieras.
Para ejercer cualquiera de estos derechos, escríbenos a privacidad@sobra.app. Respondemos dentro de los 10 días hábiles, conforme a la normativa peruana.
Si consideras que no atendimos correctamente tu solicitud, puedes presentar un reclamo ante la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia del Perú: www.gob.pe/anpdp.
7. Menores de edad
Sobra está dirigida a personas mayores de 13 años. No recopilamos conscientemente datos de menores de 13 años. Si descubrimos que un menor de 13 nos ha proporcionado información, la eliminaremos. Si eres padre/madre/tutor y crees que tu hijo nos envió datos, contáctanos.
Si tienes entre 13 y 18 años, deberías usar la app con consentimiento de tus padres o tutores.
8. Tracking y publicidad
No hacemos tracking. Punto.
- No usamos Firebase Analytics, Mixpanel, Amplitude ni similares.
- No usamos Meta SDK, AppLovin, AdMob ni ningún SDK de publicidad.
- No vendemos datos a brokers.
- No cruzamos tu información con apps o sitios web de terceros con fines publicitarios.
- No usamos cookies en la web salvo las estrictamente necesarias para que funcione (preferencia de idioma).
Por eso en App Store / Google Play declaramos "Datos no vinculados con tracking" en todas las categorías.
9. Transferencias internacionales
Para operar el servicio, parte de la infraestructura técnica puede alojarse en servidores ubicados fuera del Perú (principalmente Estados Unidos y Europa). Al usar Sobra, aceptas que tus metadatos de cuenta (DNI, nombre, correo, teléfono, UUID) y tus blobs cifrados puedan almacenarse en esos servidores. Como los datos financieros están cifrados extremo a extremo, su transferencia internacional no implica acceso real al contenido.
10. Cambios a esta política
Si cambiamos algo importante en esta política, te avisaremos al menos 30 días antes vía:
- Notificación dentro de la app la próxima vez que la abras.
- Publicación de la nueva versión en esta página con el control de cambios.
Si los cambios son cosméticos (ortografía, claridad), los aplicamos directamente y actualizamos la fecha de "última actualización".
11. Cómo contactarnos
Para cualquier consulta sobre privacidad:
- Correo de privacidad: privacidad@sobra.app
- Correo de soporte: soporte@sobra.app
- Responsable del tratamiento: Luis Antonio Tesorero Vargas
- Domicilio: Lima, Perú
Esta política se rige por las leyes de la República del Perú, en particular la Ley 29733 y su Reglamento (D.S. 003-2013-JUS), sin perjuicio de los derechos adicionales que la legislación de tu país pueda otorgarte.