Vigente desde el 29 de abril de 2026 · v1.0

Aviso de privacidad

1. Quién es el responsable

El responsable del tratamiento de los datos personales es el Proyecto Mi Feria, mantenido por Not Defined (en adelante "nosotros" o "Mi Feria"), con dirección de contacto electrónico support@notdefined.dev.

Mi Feria es una aplicación móvil de código abierto bajo licencia MIT y gratuita, sin fines de lucro. No es una institución financiera, no opera bajo regulación de la CNBV o Condusef, y no procesa pagos ni transferencias.

2. Qué datos recopilamos

2.1 Datos financieros que tú ingresas en la app

Al usar Mi Feria, registras manualmente información que la app organiza por agregados:

• Cuentas: nombre que tú eliges (ej. "BBVA Oro"), tipo (efectivo / débito / crédito / inversión), saldo o límite, día de corte y pago para tarjetas de crédito, marca del banco si la seleccionas.
• Transacciones: monto, fecha, categoría, cuenta, notas opcionales que tú escribas.
• Metas de ahorro: nombre, monto objetivo, fecha objetivo opcional, emoji opcional, aportaciones que registres.
• Suscripciones e inversiones: nombre, monto, frecuencia, valores que actualices.
• Préstamos: nombre de la contraparte (ej. "Juan", "Mamá"), monto, dirección (te deben / debes), plan de pago opcional. Aviso: el campo de contraparte es libre — tú decides escribir un nombre real, un alias, un descriptor (ej. "Familiar", "Amigo del trabajo") o lo que quieras. Se guarda tal como lo escribes y es visible dentro de tu perfil. Al exportar a hojas de cálculo (Google Sheets), sale al archivo en tu propio Drive tal como lo escribiste — bajo tu control a partir de ese punto.

Estos datos viven exclusivamente en una base de datos SQLite local en tu dispositivo. No se sincronizan a ningún servidor de Mi Feria ni de terceros. Si desinstalas la app, los datos se borran junto con ella. Nadie del equipo Mi Feria puede leerlos — están en tu dispositivo, fuera de nuestro alcance técnico.

2.2 Datos de identidad (sólo si vinculas cuenta)

Para usar Mi Feria no es necesario crear cuenta. Cuando abres la app por primera vez, Firebase Auth genera una sesión anónima con un identificador único (UID) que sólo identifica tu instalación.

Si decides vincular tu cuenta con email o Google para sincronizar entre dispositivos o recuperar tu información si cambias de teléfono, recibimos:

• Vinculación con email: tu dirección de correo (lo usas para iniciar sesión).
• Vinculación con Google: tu nombre, foto de perfil y correo electrónico (campos estándar del login de Google, no es opt-out en el SDK). Tu correo no se usa para marketing y no se comparte con terceros.

Sin scopes adicionales — la vinculación con Google no pide acceso a Drive, Gmail, Calendar ni nada más allá de tu identidad básica (openid + profile + email).

2.3 Logs técnicos de errores (Sentry)

Para diagnosticar fallas y mejorar estabilidad, registramos logs técnicos cuando la app crashea inesperadamente. Cada registro incluye:

• Tipo y severidad del error (sólo error o fatal — los warning no se persisten).
• Mensaje breve con datos sensibles redactados automáticamente antes de salir del dispositivo (correos, teléfonos, números largos y tokens se reemplazan por [REDACTED_*]).
• Hash irreversible del stack trace — útil sólo para agrupar errores repetidos. No guardamos el stack trace original.
• Metadatos técnicos: versión de la app, plataforma, build, opcionalmente la pantalla donde ocurrió.
• Identificador opaco del usuario que sufrió el error (no es tu correo ni tu nombre — es un ID que sólo nos permite saber si una sesión genera muchos errores juntos).

Si el mismo error se repite en menos de 1 hora, sólo se guarda el primero para evitar ruido. No se registra el contenido de tus transacciones, nombres de cuentas, saldos, correos ni tokens de sesión. Esta información se usa exclusivamente para arreglar bugs.

2.4 Foto de recibo (uso de la cámara)

Al registrar un gasto puedes opcionalmente adjuntar una foto del recibo. Para esto la app pide permiso de cámara la primera vez que tocas "Tomar foto" (Android: android.permission.CAMERA; iOS: NSCameraUsageDescription). También puedes elegir una foto desde tu galería en lugar de tomar una nueva.

• Dónde se guarda: la imagen queda en el almacenamiento privado de la app en tu dispositivo (sandbox de la app). El registro de la transacción guarda solamente la ruta local al archivo, no la imagen en sí.
• No sale del dispositivo: Mi Feria no sube las fotos a ningún servidor. No se procesan con OCR ni con análisis automático. Solo tú las ves cuando abres el detalle de la transacción.
• Cómo borrarlas: al eliminar la transacción, al limpiar tus datos desde Ajustes, o al desinstalar la app.
• Si rechazas el permiso: el flujo continúa sin foto — la transacción se guarda igual. La función es 100% opcional.

2.5 Datos que NO recopilamos

• Ubicación GPS, contactos, fotos, llamadas, mensajes ni archivos de tu dispositivo
• Identificadores publicitarios (Google Ad ID, IDFA)
• Credenciales bancarias — Mi Feria no se conecta a tu banco
• Datos biométricos (la huella o face unlock pasa por el sistema operativo y nunca llega a nosotros)
• RFC, CURP, número de seguridad social ni cualquier identificador oficial

3. Para qué los usamos

Finalidades primarias (necesarias para que la app funcione):

• Mostrarte tus saldos, gastos, ciclos de tarjeta, metas, préstamos y agenda dentro de la app
• Enviarte notificaciones locales cuando se acerca una fecha de corte (la notificación se programa en tu dispositivo, no se envía desde un servidor)
• Mantener tu identidad para que puedas eliminar tu cuenta si vinculaste email o Google (la vinculación es opcional, no se usa para sincronizar datos financieros — esos viven solo en tu dispositivo)

Finalidades secundarias (puedes oponerte sin afectar el servicio):

• Detección de errores y mejoras de estabilidad (Sentry)

NO usamos los datos para: publicidad, perfilamiento, venta a terceros, análisis de mercado, segmentación, scoring crediticio, ni ningún otro fin fuera del funcionamiento de la app. Nuestro modelo de negocio no depende de tu información personal — depende de que la app te sea útil.

4. Dónde se guardan tus datos

Tus datos financieros y de cuenta (cuentas, transacciones, metas, préstamos, recurrencias, presupuestos, fotos de recibo) viven en una base de datos SQLite local en el almacenamiento privado de la app en tu dispositivo. No se sincronizan a ningún servidor.

Esto significa que:

• Mi Feria funciona completamente offline — no necesita internet para nada del flujo normal.
• Si desinstalas la app, todos tus datos se borran junto con ella. Si quieres conservar la información, expórtala antes desde Ajustes → Datos → Exportar a Google Sheets.
• Cambiar de dispositivo no migra tus datos automáticamente. Es una decisión consciente de privacidad: tus datos financieros no viajan por la red.

Los datos sensibles del dispositivo (PIN de respaldo) se almacenan en el almacenamiento seguro del sistema operativo (Keychain en iOS, Keystore en Android), separados del SQLite normal y cifrados por el sistema operativo.

4.1 Identidad en Firebase Auth

Como se describe en §2.2, desde el primer arranque Firebase Auth registra una sesión anónima con un UID que solo identifica tu instalación (sin correo ni nombre). Si después vinculas tu cuenta con email o Google, esa misma sesión agrega tu correo (y opcionalmente nombre/foto si usaste Google). Servidores en Estados Unidos. Tus datos financieros no se replican a Firebase Auth ni a Firestore — siguen viviendo solo en tu dispositivo.

4.2 Logs técnicos de errores en la nube

Los logs descritos en §2.3 se envían a Sentry (con scrubbing de PII activo) y se replican a una colección de Firestore de baja retención bajo nuestras reglas de seguridad públicas. Estos logs no contienen tus datos financieros ni tu identidad personal — solo los metadatos hasheados/redactados de errores.

5. Terceros con acceso a datos

Solo dos proveedores reciben datos, y solamente datos no-financieros:

• Google Firebase (Google LLC, EE. UU.) — proveedor de infraestructura para autenticación opcional (Auth: tu UID + correo + providers, solo si vinculaste cuenta) y para los logs técnicos de errores (Firestore, redactados/hasheados). No recibe tus datos financieros. Google actúa como procesador de datos bajo sus propios términos. Política de privacidad: firebase.google.com/support/privacy.
• Sentry (Functional Software Inc., EE. UU.) — proveedor de logging de errores con scrubbing de PII activo. Recibe únicamente los logs descritos en §2.3, no contenido financiero. Política de privacidad: sentry.io/privacy.

No compartimos información con redes publicitarias, brokers de datos, instituciones financieras, aseguradoras ni autoridades, salvo requerimiento judicial fundado. En ese caso solo podríamos entregar lo que tenemos: tu identidad de Auth (si la vinculaste) y los logs hasheados/redactados — tus datos financieros no están en nuestros servidores, no podemos entregarlos porque no los tenemos.

5.1 Exportación voluntaria a Google Sheets

Si tú decides exportar tus datos a Google Sheets (desde Ajustes → Datos → Exportar a Google Sheets), Mi Feria crea una hoja de cálculo en tu propio Google Drive. Una vez ahí, el archivo está fuera del perímetro Mi Feria y aplican los términos de Google.

• Permiso solicitado: drive.file — Mi Feria sólo puede ver y editar los archivos que ella misma crea en tu Drive. No accede al resto.
• Qué se exporta: los datos que selecciones desde la pantalla de exportación — toggles INCLUIR (cuentas/tipos) y radio FORMATO (single sheet / por cuenta / por mes).
• Qué NO se exporta: contraseñas ni tokens de sesión, identificadores de tu dispositivo, push tokens (FCM), configuración de servicios externos.
• Token de Drive: sólo en memoria durante la operación. Cada export vuelve a pedir permiso.
• Puedes revocar el acceso en cualquier momento desde myaccount.google.com/permissions.

6. Transferencias internacionales

Tus datos financieros no salen de tu dispositivo — viven en SQLite local. Las únicas transferencias internacionales son: tu identidad de Auth (si vinculaste cuenta) que va a Firebase Auth en EE. UU., y los logs técnicos hasheados/redactados que van a Sentry y Firestore en EE. UU. Ambas transferencias se realizan al amparo de los acuerdos de procesamiento de datos con Google y Sentry, y las cláusulas estándar aplicables. Los datos viajan cifrados (HTTPS/TLS).

7. Tus derechos ARCO

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), tienes derecho a:

• Acceso: ver tus datos — están en la app misma; también puedes exportarlos a Google Sheets desde Ajustes → Datos.
• Rectificación: corregirlos — directamente desde la app, editando cada registro.
• Cancelación: eliminar tu cuenta y todos tus datos desde Ajustes → Eliminar mi cuenta — borra atómicamente toda tu base de datos local SQLite y, si vinculaste una cuenta, también tu registro de Firebase Auth. Detalle completo del proceso en Eliminar mi cuenta.
• Oposición: al tratamiento para fines secundarios — los logs de Sentry se pueden desactivar desde Ajustes → Privacidad.

Para ejercer derechos sobre datos técnicos o si necesitas asistencia, escribe a support@notdefined.dev. Te respondemos en máximo 20 días hábiles.

8. Menores de edad

Mi Feria no está dirigida a menores de 13 años. No recopilamos datos de menores deliberadamente. Si descubrimos que un menor está usando la app sin supervisión, recomendamos al padre/madre/tutor desinstalarla.

9. Cambios a este aviso

Si modificamos este aviso, publicaremos la nueva versión en esta misma página y mostraremos un aviso dentro de la app. Si los cambios afectan finalidades primarias, te pediremos confirmar tu consentimiento la próxima vez que abras la app.

10. Contacto

Cualquier duda sobre este aviso o sobre el tratamiento de tus datos:

• Correo: support@notdefined.dev
• GitHub Issues: github.com/rodacato/mi-feria/issues

Si consideras que tu derecho a la protección de datos personales ha sido vulnerado, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): home.inai.org.mx.