Vigente desde el 27 de abril de 2026 · v1.0

Aviso de privacidad

1. Quién es el responsable

El responsable del tratamiento de los datos personales es el Proyecto Mi Feria, mantenido por Not Defined (en adelante "nosotros" o "Mi Feria"), con dirección de contacto electrónico privacy@notdefined.dev.

Mi Feria es una aplicación móvil de código abierto bajo licencia MIT y gratuita, sin fines de lucro. No es una institución financiera, no opera bajo regulación de la CNBV o Condusef, y no procesa pagos ni transferencias.

2. Qué datos recopilamos

2.1 Datos financieros que tú ingresas en la app

Al usar Mi Feria, registras manualmente información que la app organiza por agregados:

• Cuentas: nombre que tú eliges (ej. "BBVA Oro"), tipo (efectivo / débito / crédito / inversión), saldo o límite, día de corte y pago para tarjetas de crédito, marca del banco si la seleccionas.
• Transacciones: monto, fecha, categoría, cuenta, notas opcionales que tú escribas.
• Metas de ahorro: nombre, monto objetivo, fecha objetivo opcional, emoji opcional, aportaciones que registres.
• Suscripciones e inversiones: nombre, monto, frecuencia, valores que actualices.
• Préstamos: nombre de la contraparte (ej. "Juan", "Mamá"), monto, dirección (te deben / debes), plan de pago opcional. Aviso: los nombres de contraparte se guardan tal como los escribes y son visibles dentro de tu perfil; al exportar a hojas de cálculo, estos nombres se sustituyen automáticamente por placeholders ("#1", "#2") para proteger a terceros mencionados.

Estos datos se respaldan en Google Firebase (Firestore) bajo nuestras reglas de seguridad públicas que validan tu identidad y sólo te permiten leer y escribir lo tuyo. Nadie del equipo Mi Feria los lee, los analiza ni los usa para nada distinto a permitirte usar la app.

2.2 Datos de identidad (sólo si vinculas cuenta)

Para usar Mi Feria no es necesario crear cuenta. Cuando abres la app por primera vez, Firebase Auth genera una sesión anónima con un identificador único (UID) que sólo identifica tu instalación.

Si decides vincular tu cuenta con email o Google para sincronizar entre dispositivos o recuperar tu información si cambias de teléfono, recibimos:

• Vinculación con email: tu dirección de correo (lo usas para iniciar sesión).
• Vinculación con Google: tu nombre, foto de perfil y correo electrónico (campos estándar del login de Google, no es opt-out en el SDK). Tu correo no se usa para marketing y no se comparte con terceros.

Sin scopes adicionales — la vinculación con Google no pide acceso a Drive, Gmail, Calendar ni nada más allá de tu identidad básica (openid + profile + email).

2.3 Logs técnicos de errores (Sentry)

Para diagnosticar fallas y mejorar estabilidad, registramos logs técnicos cuando la app crashea inesperadamente. Cada registro incluye:

• Tipo y severidad del error (sólo error o fatal — los warning no se persisten).
• Mensaje breve con datos sensibles redactados automáticamente antes de salir del dispositivo (correos, teléfonos, números largos y tokens se reemplazan por [REDACTED_*]).
• Hash irreversible del stack trace — útil sólo para agrupar errores repetidos. No guardamos el stack trace original.
• Metadatos técnicos: versión de la app, plataforma, build, opcionalmente la pantalla donde ocurrió.
• Identificador opaco del usuario que sufrió el error (no es tu correo ni tu nombre — es un ID que sólo nos permite saber si una sesión genera muchos errores juntos).

Si el mismo error se repite en menos de 1 hora, sólo se guarda el primero para evitar ruido. No se registra el contenido de tus transacciones, nombres de cuentas, saldos, correos ni tokens de sesión. Esta información se usa exclusivamente para arreglar bugs.

2.4 Datos que NO recopilamos

• Ubicación GPS, contactos, fotos, llamadas, mensajes ni archivos de tu dispositivo
• Identificadores publicitarios (Google Ad ID, IDFA)
• Credenciales bancarias — Mi Feria no se conecta a tu banco
• Datos biométricos (la huella o face unlock pasa por el sistema operativo y nunca llega a nosotros)
• RFC, CURP, número de seguridad social ni cualquier identificador oficial

3. Para qué los usamos

Finalidades primarias (necesarias para que la app funcione):

• Mostrarte tus saldos, gastos, ciclos de tarjeta, metas, préstamos y agenda dentro de la app
• Sincronizar tus datos entre tus dispositivos cuando vinculas una cuenta
• Enviarte notificaciones locales cuando se acerca una fecha de corte (la notificación se programa en tu dispositivo, no se envía desde un servidor)
• Recuperar tu cuenta si cambias de teléfono y vinculaste email o Google

Finalidades secundarias (puedes oponerte sin afectar el servicio):

• Detección de errores y mejoras de estabilidad (Sentry)

NO usamos los datos para: publicidad, perfilamiento, venta a terceros, análisis de mercado, segmentación, scoring crediticio, ni ningún otro fin fuera del funcionamiento de la app. Nuestro modelo de negocio no depende de tu información personal — depende de que la app te sea útil.

4. Dónde se guardan tus datos

Tus datos financieros y de cuenta se almacenan en Google Firebase (Firestore), con servidores ubicados en Estados Unidos. La comunicación entre la app y los servidores usa cifrado HTTPS/TLS.

El acceso a los datos está restringido por reglas de seguridad de Firestore que validan tu identidad en cada operación. Aunque alguien obtuviera acceso al servidor de Google Firebase, no podría leer tus datos sin tu sesión autenticada.

Los datos sensibles del dispositivo (PIN de respaldo) se almacenan en el almacenamiento seguro del sistema operativo (Keychain en iOS, Keystore en Android) — nunca llegan a nuestros servidores.

La app funciona completamente offline: los datos se persisten localmente y se sincronizan cuando hay conexión.

4.1 Roadmap: minimización de datos en cloud

Estamos evaluando para versiones futuras reducir aún más lo que el servidor ve: por ejemplo, mantener notas privadas y nombres de contraparte sólo en tu dispositivo (no en cloud). Si esto se implementa, lo anunciaremos aquí y en la app — la transparencia del alcance es nuestra responsabilidad.

5. Terceros con acceso a datos

Sólo dos proveedores reciben datos en el flujo normal de la app:

• Google Firebase (Google LLC, EE. UU.) — proveedor de infraestructura para autenticación y almacenamiento. Google actúa como procesador de datos bajo sus propios términos y condiciones. Política de privacidad: firebase.google.com/support/privacy.
• Sentry (Functional Software Inc., EE. UU.) — proveedor de logging de errores con scrubbing de PII activo. Recibe únicamente los logs descritos en 2.3, no contenido financiero. Política de privacidad: sentry.io/privacy.

No compartimos información con redes publicitarias, brokers de datos, instituciones financieras, aseguradoras ni autoridades, salvo requerimiento judicial fundado (en cuyo caso sólo podríamos entregar lo que tenemos: blobs en Firestore protegidos por reglas).

5.1 Exportación voluntaria a Google Sheets

Si tú decides exportar tus datos a Google Sheets (desde Ajustes → Datos → Exportar a Google Sheets), Mi Feria crea una hoja de cálculo en tu propio Google Drive. Una vez ahí, el archivo está fuera del perímetro Mi Feria y aplican los términos de Google.

• Permiso solicitado: drive.file — Mi Feria sólo puede ver y editar los archivos que ella misma crea en tu Drive. No accede al resto.
• Qué se exporta: los datos que selecciones desde la pantalla de exportación — toggles INCLUIR (cuentas/tipos) y radio FORMATO (single sheet / por cuenta / por mes).
• Qué NO se exporta: contraseñas ni tokens de sesión, identificadores de tu dispositivo, push tokens (FCM), configuración de servicios externos. Los nombres de contraparte de préstamos se reemplazan por placeholders.
• Token de Drive: sólo en memoria durante la operación. Cada export vuelve a pedir permiso.
• Puedes revocar el acceso en cualquier momento desde myaccount.google.com/permissions.

6. Transferencias internacionales

Los servicios descritos arriba operan en servidores ubicados fuera de México (principalmente Estados Unidos). Esta transferencia se realiza al amparo de los acuerdos de procesamiento de datos con Google y Sentry, y de las cláusulas estándar aplicables. Tus datos viajan cifrados y bajo reglas de acceso que sólo te permiten a ti leer lo tuyo.

7. Tus derechos ARCO

Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), tienes derecho a:

• Acceso: ver tus datos — están en la app misma; también puedes exportarlos a Google Sheets desde Ajustes → Datos.
• Rectificación: corregirlos — directamente desde la app, editando cada registro.
• Cancelación: eliminar tu cuenta y todos tus datos desde Ajustes → Eliminar mi cuenta — borra recursivamente tus subcolecciones de Firebase y la sesión.
• Oposición: al tratamiento para fines secundarios — los logs de Sentry se pueden desactivar desde Ajustes → Privacidad.

Para ejercer derechos sobre datos técnicos o si necesitas asistencia, escribe a privacy@notdefined.dev. Te respondemos en máximo 20 días hábiles.

8. Menores de edad

Mi Feria no está dirigida a menores de 13 años. No recopilamos datos de menores deliberadamente. Si descubrimos que un menor está usando la app sin supervisión, recomendamos al padre/madre/tutor desinstalarla.

9. Cambios a este aviso

Si modificamos este aviso, publicaremos la nueva versión en esta misma página y mostraremos un aviso dentro de la app. Si los cambios afectan finalidades primarias, te pediremos confirmar tu consentimiento la próxima vez que abras la app.

10. Contacto

Cualquier duda sobre este aviso o sobre el tratamiento de tus datos:

• Correo: privacy@notdefined.dev
• GitHub Issues: github.com/rodacato/mi-feria/issues

Si consideras que tu derecho a la protección de datos personales ha sido vulnerado, puedes acudir al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI): home.inai.org.mx.