PY
PagameYa

Política de Privacidad

Última actualización: 7 de mayo de 2026

Esta política describe cómo PagameYa trata tus datos personales en el marco de la Ley 25.326 de Protección de Datos Personales(Argentina) y el Reglamento (UE) 2016/679 (GDPR) cuando aplique.

1. Responsable del tratamiento

El responsable de la base de datos es PagameYa. Para ejercer cualquiera de los derechos descritos abajo: privacidad@pagameya.test.

2. Qué datos recolectamos

2.1. Datos que cargás vos

  • Email y contraseña (la contraseña se guarda hasheada con bcrypt).
  • Nombre, alias de MercadoPago, teléfono (opcional), avatar.
  • Deudas, pagos, contactos, grupos, eventos, vaquitas y notas que ingresás.
  • Conversaciones con el asistente IA (se procesan vía Anthropic Claude y no se almacenan más allá de la sesión).

2.2. Datos que se generan automáticamente

  • Logs técnicos: IP, user agent, fecha/hora, endpoint accedido. Se retienen como máximo 90 días para diagnóstico y seguridad.
  • Karma score: derivado de tu historial de pagos puntuales / atrasados.
  • Eventos de producto (si activamos PostHog): páginas visitadas, features usadas. Pseudoanonimizados con un id por usuario.

2.3. Datos de terceros

  • Si iniciás sesión con Google, recibimos email, nombre y avatar de tu cuenta de Google.
  • Si vinculás MercadoPago, almacenamos el access token cifrado con AES-256-GCM. No accedemos a tu información financiera de MP fuera de lo necesario para crear preferencias de pago.
  • Si vinculás WhatsApp Business, almacenamos tu número en formato E.164 y un código de verificación (con TTL).

3. Para qué usamos tus datos (finalidad)

  • Operar el servicio: crear y consultar deudas, contactos, etc.
  • Enviarte notificaciones (in-app, push, email transaccional).
  • Calcular karma score.
  • Detección de fraude y abuso.
  • Cumplir obligaciones legales (Ley 25.326, AFIP si correspondiere).

No usamos tus datos para publicidad de terceros. No los vendemos. No los cedemos a brókers de datos.

4. Base legal del tratamiento

  • Consentimiento (art. 5 Ley 25.326): al registrarte y aceptar esta política.
  • Ejecución de contrato (art. 6 GDPR): para los datos imprescindibles para que la app funcione.
  • Interés legítimo: logs de seguridad, prevención de fraude.

5. Con quién compartimos tus datos

Compartimos lo mínimo indispensable con proveedores que nos prestan servicios técnicos, todos bajo acuerdos de confidencialidad:

  • Hosting (Vercel/Fly/Railway, según deploy): infra donde corre la app.
  • Base de datos (Postgres managed): persistencia.
  • MercadoPago: para los links y procesamiento de pagos.
  • Anthropic: para el asistente IA. No retiene conversaciones más de 30 días según su política.
  • Resend: para email transaccional.
  • Sentry / PostHog (si están activos): para errores y analítica de producto.
  • Upstash Redis: para rate limiting.
  • dolarapi.com: para cotizaciones FX (no le mandamos datos tuyos, solo consultas anónimas).

En caso de requerimiento judicial fundado, podemos compartir información con autoridades competentes.

6. Transferencia internacional

Algunos proveedores (Anthropic, Sentry, PostHog, Resend) almacenan datos fuera de Argentina (típicamente EE.UU. o UE). Estos países no están en la lista de países "adecuados" según la Disposición 60/2016 AAIP, por lo que aplicamos cláusulas contractuales tipo o equivalentes para garantizar un nivel de protección adecuado.

7. Retención de datos

  • Datos de cuenta: mientras la cuenta esté activa.
  • Tras eliminación soft: 30 días de gracia. Después se borran definitivamente.
  • Tras eliminación hard: borrado inmediato, en cascada.
  • Logs técnicos: 90 días.
  • Datos requeridos por ley (ej. información para AFIP, si correspondiere): el plazo legal aplicable.

8. Tus derechos

En tu carácter de titular de los datos, podés ejercer en cualquier momento los siguientes derechos:

  • Acceso(art. 14 Ley 25.326 / art. 15 GDPR): descargá un JSON con todo lo que tenemos sobre vos en Ajustes → Privacidad → "Descargar todos mis datos".
  • Rectificación (art. 16 LPDP / art. 16 GDPR): edita tu perfil desde Ajustes.
  • Supresión / olvido (art. 16 LPDP / art. 17 GDPR): eliminá tu cuenta desde Ajustes → Zona peligrosa.
  • Oposición y limitación: contactanos a privacidad@pagameya.test.
  • Portabilidad (art. 20 GDPR): el JSON que descargás desde Ajustes es portable.

Si considerás que tus derechos no fueron respetados, podés reclamar ante la Agencia de Acceso a la Información Pública (AAIP) de la República Argentina: argentina.gob.ar/aaip.

9. Cookies y almacenamiento local

Usamos:

  • Cookie de sesión (session_token): JWT firmado, HttpOnly, SameSite=Lax. Indispensable para mantenerte logueado.
  • localStorage: tu preferencia de tema (claro/oscuro/ sistema) y onboarding completado.

No usamos cookies de tracking de terceros. No usamos pixels publicitarios.

10. Seguridad

  • HTTPS obligatorio en toda la app.
  • Contraseñas: bcrypt cost 12.
  • Tokens de OAuth de terceros: AES-256-GCM en reposo.
  • 2FA opcional con TOTP.
  • Rate limiting por IP y por usuario para endpoints sensibles.
  • Webhooks (MercadoPago, WhatsApp): verificación HMAC-SHA-256 antes de procesar.

Ningún sistema es invulnerable. Si detectás un problema de seguridad, escribinos a security@pagameya.test antes de divulgarlo (responsible disclosure).

11. Menores de edad

PagameYa no está dirigida a menores de 18 años. Si detectamos una cuenta de un menor, la eliminamos. Si sos representante legal de un menor que creó cuenta, escribinos para borrarla.

12. Cambios en esta política

Si modificamos esta política, te avisamos por email o in-app. La fecha de última actualización aparece arriba. Si los cambios afectan sustancialmente tus derechos, te pediremos consentimiento renovado.

13. Contacto