Política de Privacidad — Budly
Fecha de vigencia: 10 de mayo de 2026
Última actualización: 17 de mayo de 2026
Budly es una aplicación de control de gastos desarrollada por Giuliano Accorsi ("nosotros", "nuestro"). Esta Política de Privacidad explica cómo recopilamos, usamos, almacenamos y protegemos tu información cuando utilizas Budly, en cumplimiento de la Lei Geral de Proteção de Dados (LGPD, Ley 13.709/2018) de Brasil y del Reglamento General de Protección de Datos (RGPD, UE 2016/679) de la Unión Europea.
Al usar Budly aceptas la recopilación y el uso de la información conforme a esta política.
Responsable del Tratamiento y Delegado de Protección de Datos (DPO)
Responsable del Tratamiento (Controller): Giuliano Accorsi, desarrollador individual, establecido en Malta (Unión Europea).
Delegado de Protección de Datos (Data Protection Officer, conforme al art. 41 de la LGPD): Giuliano Accorsi.
Para cualquier consulta sobre esta política, para ejercer tus derechos en materia de protección de datos o para comunicar un incidente, contacta con el DPO en: support@budlyapp.app.
Usuarios en la UE/EEE — art. 27 del RGPD: dado que el Responsable del Tratamiento está establecido en la UE/EEE (Malta), la obligación de designar un Representante en la UE prevista en el art. 27 del RGPD no resulta aplicable. Las solicitudes de titulares en la UE/EEE deben dirigirse al DPO en la dirección indicada arriba y se atenderán en los plazos previstos por los arts. 12 a 22 del RGPD.
1. Información que Recopilamos
Información de Cuenta
Cuando creas una cuenta recopilamos:
- Dirección de correo electrónico — utilizada para autenticación y recuperación de la cuenta
- Nombre a mostrar (opcional) — visible en la interfaz de la aplicación
Datos Financieros
Para ofrecer la experiencia central de presupuesto, Budly almacena los siguientes datos que tu introduces:
- Gastos (importes, fechas, descripciones, medios de pago)
- Categorías de presupuesto y límites de gasto
- Gastos recurrentes y planes a plazos
- Presupuestos de viaje (nombre, fechas, divisa, importe del presupuesto)
- Extractos bancarios importados (CSV)
No tenemos acceso a tus cuentas bancarias, tarjetas de crédito ni a ninguna entidad financiera. Todos los datos financieros se introducen o importan manualmente por ti.
Datos de Diagnóstico
Para mantener la estabilidad de la aplicación recopilamos:
- Informes de fallos — stack traces, mensajes de error y breadcrumbs de diagnóstico (mediante Firebase Crashlytics, solo en builds de producción)
- Información del dispositivo — modelo del dispositivo y versión del sistema operativo (solo para diagnóstico de fallos)
- Identificador de dispositivo — empleado únicamente para sincronización de datos y resolución de conflictos
No recopilamos métricas de uso, datos de comportamiento ni identificadores publicitarios.
Datos del Chat de IA
Budly incluye un asistente de IA en la app ("Budly Chat") impulsado por el modelo Gemini de Google, accedido a través de Firebase AI Logic con back-end Vertex AI. Cuando envías un mensaje al asistente, los siguientes datos se transmiten a Google Cloud (Vertex AI) para su procesamiento:
- El texto de los mensajes que escribes en el chat
- Historial reciente de la conversación actual (usado como contexto para la respuesta)
- Resúmenes financieros agregados devueltos por las herramientas integradas del asistente (por ejemplo, totales por categoría, gastos recientes, viajes activos) cuando el modelo los solicita para responder
- "Datos sobre el usuario" opcionales que has pedido al asistente recordar
Budly utiliza específicamente el back-end Vertex AIporque, conforme a los términos de Google Cloud Platform, Google nousa estos datos para entrenar sus modelos fundacionales, y los datos no se usan para mejorar productos de Google más allá del alcance de la prestación del servicio.
Cada solicitud de chat se firma mediante Firebase App Check (App Attest en iOS, Play Integrity en Android) para impedir el uso no autorizado de nuestro back-end.
El historial del chat y los datos recordados se almacenan solo localmente en tu dispositivo y no se sincronizan con Firebase Firestore. Puedes borrar el historial en cualquier momento desde la pantalla del chat.
2. Cómo Usamos tu Información
| Finalidad | Datos utilizados |
|---|---|
| Prestar el servicio de control de gastos | Datos financieros, datos de cuenta |
| Sincronizar datos entre tus dispositivos | Todos los datos del usuario, identificador del dispositivo |
| Resolver conflictos de datos durante la sincronización | Identificador del dispositivo, marcas temporales |
| Diagnosticar y corregir fallos | Informes de fallo, info del dispositivo |
| Autenticar y proteger tu cuenta | Dirección de correo electrónico |
| Responder preguntas en el asistente de IA | Mensajes del chat, contexto reciente, resúmenes financieros solicitados por las herramientas del asistente |
| Enviar notificaciones locales y remotas (p. ej., recordatorios de presupuesto) | Token de dispositivo de Firebase Cloud Messaging |
No usamos tus datos para profiling, publicidad ni para ningún fin distinto a prestar y mejorar el servicio Budly.
2A. Base Legal del Tratamiento
Conforme al art. 7 de la LGPD y al art. 6(1) del RGPD, cada actividad de tratamiento debe basarse en una base legal específica. La tabla a continuación mapea cada finalidad a la base legal aplicable:
| Finalidad | Base LGPD (Art. 7) | Base RGPD (Art. 6(1)) |
|---|---|---|
| Creación de cuenta, autenticación, control de gastos, sincronización | V — ejecución de contrato | (b) — ejecución de contrato |
| Cobro de la suscripción (Budly Pro) | V — ejecución de contrato; VI — cumplimiento de obligación legal (fiscal/consumidor) | (b) — ejecución de contrato; (c) — obligación legal |
| Diagnóstico de fallos y estabilidad de la aplicación | IX — interés legítimo del responsable | (f) — interés legítimo |
| Asistente de IA (envío de datos a Google Vertex AI) | I — consentimiento expreso del titular | (a) — consentimiento explícito |
| Notificaciones push (recordatorios de presupuesto) | I — consentimiento (otorgado mediante el prompt del sistema) | (a) — consentimiento |
| Prevención de fraude (App Check, monitoreo de abuso) | IX — interés legítimo | (f) — interés legítimo |
El consentimiento para el asistente de IA se registra en la app de forma expresa y versionada: la aceptación de cada usuario se almacena localmente con un número de versión y una marca temporal UTC, vinculada al usuario de Firebase autenticado. Puedes revocar el consentimiento en cualquier momento desde Ajustes > Consentimiento de Budly AI; tras la revocación no se envía más datos al asistente. Si cambiamos sustancialmente los datos que recibe el asistente, incrementaremos la versión del consentimiento y solicitaremos uno nuevo antes de que vuelvas a usar el chat.
Ausencia de decisiones automatizadas (LGPD art. 20 / RGPD art. 22): el asistente de IA solo genera sugerencias de carácter informativo. Notoma decisiones automatizadas que produzcan efectos jurídicos o que te afecten de modo similarmente significativo — no aprueba ni deniega crédito, no fija precios, no controla el acceso a funciones ni determina elegibilidad para nada. Si consideras que una respuesta concreta del asistente te ha afectado materialmente, tienes derecho a solicitar revisión humana contactando con support@budlyapp.app.
3. Almacenamiento y Seguridad de los Datos
Budly sigue una arquitectura offline-first:
- Almacenamiento local: tus datos se guardan en tu dispositivo en una base de datos local. La aplicación funciona completamente sin conexión a internet.
- Backup en la nube: cuando inicias sesión, tus datos se sincronizan con Firebase Firestore, alojado por Google en servidores protegidos por su infraestructura. Los datos se cifran en tránsito (TLS) y en reposo en los servidores de Google.
- Seguridad de API: utilizamos Firebase App Check para impedir el acceso no autorizado a nuestros servicios de back-end.
- Bloqueo de la aplicación: Budly ofrece protección biométrica opcional (Face ID / Touch ID) para restringir el acceso a la app en tu dispositivo.
4. Subencargados (Operadores / Encargados)
Los siguientes proveedores tratan datos personales por cuenta nuestra, bajo nuestras instrucciones documentadas y vinculados por un contrato escrito de tratamiento de datos (LGPD art. 39 / RGPD art. 28):
| Subencargado | Finalidad | Datos tratados | Ubicación |
|---|---|---|---|
| Google LLC — Firebase Authentication | Inicio de sesión (correo/contraseña) | Correo, hash de contraseña | Estados Unidos |
| Google LLC — Firebase Firestore | Sincronización de datos en la nube | Todos los datos financieros del usuario | Estados Unidos |
| Google LLC — Firebase Crashlytics | Informes de fallos (solo producción) | Logs de fallos, stack traces, modelo del dispositivo, versión del SO, UUID de instalación | Estados Unidos |
| Google LLC — Firebase App Check | Prevención de abuso de API | Tokens de atestación del dispositivo (App Attest / Play Integrity) | Estados Unidos |
| Google LLC — Firebase AI Logic (Vertex AI) | Impulsar el asistente de IA en la app (Gemini 2.5 Flash) | Mensajes del chat, contexto de la conversación, resúmenes financieros agregados solicitados vía tool calls, datos guardados por el usuario. Vertex AI no usa estos datos para entrenar modelos fundacionales. | Estados Unidos (us-central1 por defecto) |
| Google LLC — Firebase Cloud Messaging (FCM) | Entrega de notificaciones push (p. ej., recordatorios de presupuesto) | Token push del dispositivo | Estados Unidos |
| RevenueCat, Inc. | Gestión de suscripciones y verificación de entitlements (Budly Pro) | ID de usuario Firebase (como customer ID en RevenueCat), identificadores de dispositivo y plataforma, recibos y estado de la suscripción | Estados Unidos |
Políticas y términos de referencia: Política de Privacidad de Google · Adenda de Tratamiento de Datos de Google Cloud · Subencargados de Google Cloud · Política de Privacidad de RevenueCat · DPA de RevenueCat
4A. Responsables Independientes (Plataformas de Pago)
Cuando adquieres una suscripción Budly Pro, el pago es procesado directamente por Apple Inc. (en iOS) o por Google LLC (en Android). Estas plataformas actúan como responsables del tratamiento independientes de la relación de cobro — no como nuestros encargados. Ellas determinan los fines y los medios del tratamiento de tus datos de pago bajo sus propios términos, avisos de privacidad y obligaciones legales (por ejemplo, fiscales y antifraude). No mantenemos un contrato de tratamiento sobre estos datos de cobro porque no actuamos como su responsable.
| Responsable | Finalidad | Datos tratados | Ubicación |
|---|---|---|---|
| Apple Inc. — App Store / Compras dentro de la app | Procesar pagos de suscripción en iOS | Apple ID, datos de facturación, recibos de compra. No vemos tu instrumento de pago. | Estados Unidos / infraestructura regional de Apple |
| Google LLC — Google Play Billing | Procesar pagos de suscripción en Android | Identificador de cuenta Google, datos de facturación, tokens de compra. No vemos tu instrumento de pago. | Estados Unidos |
Para conocer cómo estas plataformas tratan tus datos de pago, consulta: Política de Privacidad de Apple · Política de Privacidad de Google Play.
No se incluyen otros servicios de terceros, SDK, redes publicitarias ni rastreadores analíticos en la app.
5. Permisos
Budly puede solicitar los siguientes permisos del dispositivo:
| Permiso | Finalidad | ¿Obligatorio? |
|---|---|---|
| Face ID / Touch ID | Proteger el acceso a tus datos financieros | Opcional |
| Notificaciones | Recordatorios locales para metas de presupuesto y notificaciones push entregadas vía Firebase Cloud Messaging | Opcional |
| Acceso a archivos | Importar extractos bancarios (archivos CSV) | Opcional, solo bajo demanda |
Budly noaccede a tu ubicación, contactos, cámara, micrófono, calendario, fotos ni datos de salud.
6. Compartición de Datos
- No vendemos tus datos personales ni financieros.
- No compartimos tus datos con terceros con fines de marketing o publicidad.
- No mostramos anuncios ni usamos rastreadores de marketing.
- Tus datos financieros no son accesibles para otros usuarios. No accedemos rutinariamente al contenido de tus datos; el acceso administrativo se limita a soporte solicitado por ti, seguridad del servicio y cumplimiento de obligaciones legales u órdenes judiciales.
Además de los subencargados enumerados en las Secciones 4 y 4A (Firebase, Vertex AI, RevenueCat, y — en el momento de la compra — Apple o Google como responsables independientes de la relación de facturación), no transmitimos tus datos a ningún otro destinatario.
7. Portabilidad y Eliminación de Datos
Exportación
Puedes exportar todos tus datos de gastos como archivo CSV en cualquier momento desde Ajustes > Exportar datos dentro de la app.
Eliminación de Cuenta
Puedes eliminar tu cuenta de forma permanente desde Ajustes > Eliminar cuenta. Esta acción:
- Elimina inmediatamente tu cuenta de Firebase Authentication
- Borra permanentemente todos tus datos de Firebase Firestore
- Elimina todos los datos almacenados localmente
- Es irreversible
Conservación de Datos
- Cuentas activas: los datos se conservan mientras tu cuenta esté activa.
- Cuentas eliminadas: todos los datos en la nube se eliminan permanentemente al borrar la cuenta. No se conservan copias de seguridad ni duplicados.
- Informes de fallos: los datos de diagnóstico en Firebase Crashlytics se conservan durante 90 días, conforme a la política por defecto de Google.
- Historial del chat y datos recordados: almacenados solo localmente en el dispositivo. No se sincronizan con la nube y se eliminan al borrar el chat, desinstalar la app o eliminar la cuenta.
- Solicitudes del chat de IA en Google Cloud: Vertex AI registra las solicitudes hasta 30 días para monitoreo de abuso conforme a las políticas estándar de Google Cloud; tras ese plazo se eliminan. Estos datos no se utilizan para entrenar los modelos fundacionales de Google y no son accesibles para nosotros como responsable.
- Registros de suscripción: conservados por RevenueCat, Apple y Google por el tiempo exigido por la legislación fiscal y de protección al consumidor de la jurisdicción de compra (típicamente de 5 a 10 años).
8. Transferencias Internacionales de Datos
Budly procesa datos en servidores ubicados fuera de Brasil y fuera del Espacio Económico Europeo, principalmente en los Estados Unidos, como parte de la infraestructura de Firebase, Vertex AI y RevenueCat.
Garantías para las transferencias (LGPD art. 33 / RGPD art. 46): aplicamos las siguientes garantías contractuales para las transferencias internacionales de datos personales:
- Google Cloud Platform (Firebase y Vertex AI): Cloud Data Processing Addendum (CDPA), que incorpora las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea y el UK International Data Transfer Addendum, aceptadas en la consola de Google Cloud.
- RevenueCat: Adenda de Tratamiento de Datos que incorpora las SCC.
- Apple y Google Play: el procesamiento de pagos se rige por sus respectivos términos y marcos de privacidad, en calidad de responsables independientes (ver Sección 4A).
Cuando proceda, la transferencia también se basa en tu consentimiento expreso (LGPD art. 33, VIII / RGPD art. 49(1)(a)) — por ejemplo, al activar el asistente de IA.
9. Tus Derechos
Conforme al art. 18 de la LGPD y a los arts. 12 a 22 del RGPD, tienes los siguientes derechos sobre tus datos personales:
- Confirmación y acceso — confirmar si tratamos tus datos y obtener una copia (disponible vía exportación CSV en la app y mediante solicitud escrita al DPO)
- Rectificación de datos incompletos, inexactos o desactualizados (editables en la app o mediante solicitud al DPO)
- Anonimización, bloqueo o supresión de datos innecesarios, excesivos o tratados de forma ilícita
- Portabilidad de tus datos a otro proveedor de servicio (disponible vía exportación CSV)
- Supresión de datos tratados con base en consentimiento (disponible vía eliminación de cuenta en la app)
- Información sobre la compartición — detalles de las entidades públicas y privadas con las que compartimos datos (ver Secciones 4 y 4A)
- Información sobre no consentir — y sobre las consecuencias de no hacerlo
- Revocación del consentimiento en cualquier momento, incluido el asistente de IA (Ajustes > Consentimiento de Budly AI)
- Derecho a presentar una reclamación ante una autoridad de control: en Brasil, la Autoridade Nacional de Proteção de Dados (ANPD); en la UE/EEE, tu autoridad de protección de datos local (en España, la AEPD).
Cómo ejercer tus derechos
Envía una solicitud por escrito a support@budlyapp.app indicando qué derecho deseas ejercer. Podemos pedirte que confirmes tu identidad iniciando sesión con el correo vinculado a tu cuenta Budly.
Plazo de respuesta: responderemos sin dilación indebida y, en todo caso, en 15 días conforme al art. 19 de la LGPD, o en 30 días conforme al art. 12(3) del RGPD (prorrogables otros dos meses para solicitudes complejas, con aviso a ti). El ejercicio de tus derechos es gratuito.
10. Notificación de Incidentes de Seguridad
En caso de incidente de seguridad que afecte a tus datos personales y suponga un riesgo o daño relevante para ti, notificaremos:
- A la ANPD y a los titulares afectados en un plazo razonable, conforme al art. 48 de la LGPD.
- A la autoridad de control competente de la UE en un plazo de 72 horasdesde que tengamos constancia de la violación, conforme al art. 33 del RGPD, y a los titulares afectados sin dilación indebida cuando la violación entrañe un alto riesgo para sus derechos (art. 34 del RGPD).
Las notificaciones describirán la naturaleza del incidente, las categorías de datos afectadas, las consecuencias probables y las medidas adoptadas o propuestas para mitigar el riesgo.
11. Privacidad de Menores
Budly está destinado a adultos. No dirigimos conscientemente el servicio a niños o adolescentes ni recopilamos sus datos personales.
- Brasil (LGPD art. 14): los datos de niños (menores de 12) solo se tratan con consentimiento específico y destacado dado al menos por uno de los padres o por el tutor legal. Los adolescentes (12 a 17) pueden usar el servicio únicamente con el consentimiento del padre, madre o tutor legal, y en su mejor interés.
- Unión Europea (RGPD art. 8): el consentimiento de usuarios menores de 16 años (o de la edad mínima fijada por el Estado miembro aplicable, que puede ser de 13 años) debe ser autorizado por el titular de la patria potestad. En España, la LOPDGDD fija dicha edad en 14 años.
- Estados Unidos (COPPA): el servicio no está dirigido a menores de 13 años. No recopilamos conscientemente datos personales de menores de 13 años sin consentimiento parental verificable.
Si crees que un menor ha proporcionado datos personales sin el consentimiento adecuado, contacta con support@budlyapp.app y eliminaremos puntualmente los datos y la cuenta relacionada.
12. Cambios en esta Política
Podemos actualizar esta Política de Privacidad periódicamente. Los cambios sustanciales — por ejemplo, incorporar un nuevo subencargado, modificar los datos enviados al chat de IA o los plazos de conservación — aparecerán destacados en esta página con una fecha de revisión actualizada y, cuando sea razonable, también te lo notificaremos en la app. Te animamos a revisar esta política periódicamente.
13. Contacto
Para cualquier consulta, solicitud de ejercicio de derechos o comunicación de un incidente de seguridad:
Responsable del Tratamiento y Delegado de Protección de Datos
Giuliano Accorsi
60 Triq Windsor
SLM1854 Sliema, Malta
Correo: support@budlyapp.app