Política de Privacidad

Effective date: 2026-04-18

Esta Política de Privacidad explica cómo MyAutoBudget ("el Servicio", "nosotros", "nos" o "nuestro") maneja su información. MyAutoBudget es operado por Josh Jones, un desarrollador de software independiente con sede en Arizona, Estados Unidos. Creemos en la transparencia, por lo que esta política está escrita en un lenguaje sencillo y somos francos sobre lo que hemos y no hemos construido aún.

1. Qué Recopilamos

Información de cuenta: Cuando se registra, recopilamos una dirección de correo electrónico, un nombre de pantalla y una contraseña. Su contraseña se almacena como un hash criptográfico unidireccional — nunca almacenamos ni tenemos acceso a su contraseña en texto plano.

Datos financieros que ingresa: Cuentas, saldos, facturas, fuentes de ingresos, depósitos de asignación, objetivos de ahorro y registros similares. Todos estos datos los ingresa usted y se almacenan únicamente para proporcionar las funciones de presupuestación para las que se registró.

Datos de Plaid (opcional): Si elige conectar una cuenta bancaria a través de nuestra integración con Plaid, recibimos saldos de cuentas, datos de transacciones y metadatos de cuentas (como tasas de interés anuales) de Plaid en su nombre. La conexión con Plaid es de solo lectura — MyAutoBudget no puede iniciar transferencias, realizar pagos ni modificar su cuenta bancaria de ninguna manera. No recibimos ni almacenamos sus credenciales de inicio de sesión bancarias — estas son manejadas completamente por Plaid bajo su propia política de privacidad.

Registros del servidor y operativos: Mantenemos registros de acceso limitado y operativos (como direcciones IP, marcas de tiempo de solicitud, rutas de URL e información de errores) para seguridad, confiabilidad y prevención de abuso. Estos registros se conservan por no más de 30 días.

2. Cómo Utilizamos Sus Datos

Utilizamos sus datos para proporcionar el Servicio, mantener la confiabilidad y seguridad, corregir errores y mejorar las funciones de presupuesto y la funcionalidad del producto. Esto incluye generar su panel de presupuesto, ejecutar cálculos y proyecciones y enviar correos electrónicos transaccionales (como enlaces de restablecimiento de contraseña). No utilizamos sus datos financieros personales para publicidad, perfiles entre usuarios o venta a terceros.

Podemos generar estadísticas operativas agregadas y desidentificadas (por ejemplo, tasas de error, conteos de uso de funciones o métricas de rendimiento) para mantener y mejorar el Servicio. Estas estadísticas están diseñadas para no identificar a usuarios individuales y no se venden a terceros.

3. Aislamiento de Datos y Acceso

Diseñamos el Servicio para que los registros financieros de cada usuario estén aislados de los de otros usuarios. En el curso ordinario de operación de MyAutoBudget, no revisamos los datos financieros individuales de los usuarios. Debido a que el Servicio es operado por un proveedor independiente pequeño, el operador tiene acceso administrativo a la infraestructura subyacente. El acceso a los datos de la cuenta puede ocurrir cuando sea razonablemente necesario para proporcionar soporte, investigar un problema reportado, mantener o asegurar el Servicio, cumplir con obligaciones legales o responder a un incidente de seguridad. Cuando se necesite acceso relacionado con soporte para un problema específico que usted reporte, haremos esfuerzos razonables para informarle cuando sea práctico.

4. Madurez de Seguridad y Privacidad

Queremos ser francos sobre la madurez actual de nuestra infraestructura de seguridad y privacidad. Las siguientes protecciones han sido implementadas y están activas:

• Encriptación en reposo — los campos financieros sensibles y los tokens de acceso de Plaid se encriptan en la capa de aplicación antes de escribirse en el almacenamiento persistente. La clave de encriptación se almacena por separado de los archivos de base de datos.
• Exportación de datos de autoservicio — puede descargar una copia completa de todos sus datos en formato JSON desde la página de Perfil en cualquier momento, sin necesidad de contactarnos.
• Eliminación de cuenta de autoservicio — puede eliminar permanentemente su cuenta y todos los datos asociados desde la página de Perfil. La eliminación requiere confirmación de contraseña y elimina su registro de autenticación, todas las sesiones y sus datos financieros del usuario del almacenamiento de aplicaciones activas.
• Aislamiento de datos por usuario — los registros financieros de cada usuario se aíslan lógicamente de los de otros usuarios, y nuestra arquitectura de almacenamiento actual mantiene los datos financieros del usuario separados por usuario.
• HTTPS/TLS en tránsito — todas las conexiones al Servicio están encriptadas.
• Hashing de contraseña — las contraseñas se almacenan utilizando un algoritmo de hash unidireccional moderno y salado.
• Protecciones CSRF — se aplican tokens de falsificación de solicitud entre sitios a solicitudes que cambian de estado.
• Seguridad de sesión — los tokens de sesión son criptográficamente aleatorios y expiran después de un período configurable.
• Limitación de velocidad de inicio de sesión — los intentos de inicio de sesión por fuerza bruta se limitan.

La siguiente protección aún no se ha implementado:

• Auditoría de seguridad independiente — el Servicio no ha sido sometido a una prueba de penetración formal o auditoría de seguridad independiente.

Ningún sistema es perfectamente seguro. Tenga en cuenta estas limitaciones al decidir qué datos ingresa en el Servicio.

5. Antes de conectar cuentas bancarias

MyAutoBudget es una herramienta de presupuesto independiente en beta pública. No es un banco y no ha sido sometida a una auditoría de seguridad independiente. Si elige conectar cuentas financieras a través de Plaid, debe hacerlo con esa comprensión. Los fondos en sus propias cuentas bancarias siguen siendo sujetos a los términos y protecciones de su banco. MyAutoBudget no proporciona seguro de depósito FDIC o similar.

6. Compartición de Datos

No vendemos, alquilamos ni compartimos sus datos personales con terceros con fines de marketing o publicidad. Compartimos datos solo en estas circunstancias limitadas:

• Plaid (si opta por participar) — para recuperar saldos de cuentas, datos de transacciones e información de obligaciones (como tasas de interés anuales de tarjetas de crédito). Plaid actúa como procesador de datos en su nombre. Consulte la política de privacidad de Plaid para obtener detalles sobre cómo manejan sus credenciales bancarias.
• Envío de correo electrónico — utilizamos un servicio de correo electrónico SMTP para enviar enlaces de restablecimiento de contraseña. El servicio solo recibe su dirección de correo electrónico y el contenido del mensaje.
• Obligaciones legales — podemos divulgar datos si lo requiere la ley, regulación, citación o proceso legal válido.

7. Retención y Eliminación de Datos

Conservamos sus datos mientras su cuenta permanezca activa. Puede eliminar permanentemente su cuenta y los datos de aplicación asociados en cualquier momento desde la página de Perfil, sujeto a confirmación de contraseña. Luego eliminaremos su registro de autenticación, sesiones y datos financieros del usuario del almacenamiento activo de la aplicación. No mantenemos intencionalmente copias de seguridad a largo plazo accesibles al usuario de los datos financieros del usuario después de la eliminación, pero datos residuales limitados pueden permanecer temporalmente en registros de corta duración, instantáneas de infraestructura o sistemas pendientes de expiración o sobrescritura normal. Una vez completada la eliminación en los sistemas activos, sus datos no pueden ser restaurados por nosotros. La eliminación de autoservicio a través de la página de Perfil se procesa de inmediato en los sistemas activos de la aplicación. Si envía una solicitud de eliminación por correo electrónico a support@myautobudget.com, la completaremos dentro de 30 días.

8. Notificación de Violación

Si confirmamos un incidente de seguridad que compromete materialmente sus datos personales, notificaremos a los usuarios afectados sin demora indebida y, donde sea posible, dentro de 72 horas de confirmación. El aviso describirá la naturaleza del incidente, los datos involucrados tal como se entendieron entonces, los pasos que estamos tomando y las acciones preventivas recomendadas donde sea apropiado.

9. Dónde se aloja sus datos

El Servicio se ejecuta en dos capas de infraestructura separadas. La capa de aplicación está alojada en la infraestructura de Fly.io en los Estados Unidos (región de Los Ángeles / LAX). Sus datos de autenticación y registros financieros cifrados se almacenan por separado en la infraestructura de Turso (SQLite/libSQL gestionado), que se ejecuta en Amazon Web Services en la región oeste de los Estados Unidos; los datos en reposo se cifran en la capa de aplicación antes de llegar al almacenamiento de Turso. Las prácticas de seguridad de Fly.io se describen en su documentación de seguridad.

10. Cookies y Seguimiento

Utilizamos una única cookie de sesión estrictamente necesaria para mantenerlo conectado. No utilizamos cookies de análisis, rastreadores de publicidad o scripts de rastreo de terceros. No participamos en rastreo entre sitios o publicidad conductual. No hay píxeles, etiquetas o SDK de terceros en ninguna página del Servicio.

11. Sus Derechos

Dependiendo de su ubicación, puede tener derechos según las leyes de privacidad aplicables (como CCPA si es residente de California, o RGPD si se encuentra en la UE/EEE). Estos pueden incluir el derecho a acceder, corregir, eliminar o transferir sus datos, o a oponerse a cierto procesamiento. Puede ejercer su derecho a la portabilidad de datos y eliminación de cuenta directamente desde la página de Perfil. Para todas las demás solicitudes, envíe un correo electrónico a support@myautobudget.com. Responderemos dentro de 30 días.

12. Privacidad de los Niños

El Servicio no está dirigido a personas menores de 18 años. No recopilamos intencionalmente datos de menores. Si nos enteramos de que hemos recopilado inadvertidamente datos de alguien menor de 18 años, los eliminaremos de inmediato.

13. Cambios en Esta Política

Podemos actualizar esta Política de Privacidad de vez en cuando. Para cambios materiales, lo notificaremos por correo electrónico o mediante un aviso destacado dentro del Servicio al menos 14 días antes de que los cambios entren en vigor, y actualizaremos la fecha efectiva en la parte superior de esta página. El uso continuo del Servicio después del período de notificación constituye la aceptación de la política revisada.

14. Ley Aplicable

Esta Política de Privacidad se rige por las leyes del Estado de Arizona, Estados Unidos.

15. Traducción

Esta Política de Privacidad puede estar disponible en idiomas distintos del inglés. En caso de algún conflicto o inconsistencia entre una versión traducida y la versión en inglés, la versión en inglés prevalecerá.

16. Contacto

¿Preguntas sobre esta política, sus datos o una preocupación de privacidad? Escríbanos a support@myautobudget.com. Para reportar un problema de seguridad sospechado, envíe un correo electrónico a support@myautobudget.com con el asunto "Problema de seguridad".

Service Availability

MyAutoBudget is currently available only to residents of the United States, Canada, and Mexico. Requests originating from other jurisdictions are blocked at the network layer using IP-based geolocation. If you access the Service from a sanctioned jurisdiction or a jurisdiction outside our service area, we may be required to refuse service and will display a notice to that effect under RFC 7725 (HTTP 451 Unavailable For Legal Reasons).

Categories of Personal Information We Collect

In the last twelve months we have collected the following categories of personal information, as those categories are defined by the California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA):

• Identifiers: your email address, display name, and an internal numeric user ID.
• Commercial information: your subscription status, billing history (processed by our payment processor, Stripe), and coupon redemptions.
• Internet or other similar network activity: the IP address of the devices you use to access the Service, browser user-agent, approximate country / region derived from your IP address, and request timestamps.
• Financial information you choose to enter: accounts, balances, bills, income, transactions, allocations, and goals that you record in the Service. All such fields are encrypted at rest using Fernet (AES-128-CBC + HMAC-SHA256) with a key controlled by MyAutoBudget.
• Inferences: projections and insights derived algorithmically from the financial data you enter (for example, an ETA for a savings goal). Inferences are regenerated on demand and are not persisted across sessions.

How We Use Personal Information

We use the categories above exclusively to operate, secure, and improve the Service; to process your subscription; to send transactional email (such as password-reset and email-verification messages); and to comply with our legal obligations. We do not use personal information for advertising, for building profiles to sell to third parties, or for any purpose that is not reasonably necessary to deliver the Service you requested.

Sale or Sharing of Personal Information

We do not sell your personal information, and we do not share it for cross-context behavioral advertising, as those terms are defined under the CCPA/CPRA. We have not sold or shared personal information in the preceding twelve months, and we have no present intention to do so.

You can record an opt-out of any future sale or sharing in two equally effective ways:

• Enable the checkbox on the Privacy Preferences section of your profile. This records a Do Not Sell or Share My Personal Information election on your account and appends a dated entry to our Consent Log.
• Browse with the Global Privacy Control (GPC) signal enabled in your browser or extension. We honor GPC as a legally-binding opt-out under California Civil Code § 1798.135(b)(1); the first authenticated request we receive with a valid Sec-GPC: 1 header automatically records a Do Not Sell / Share election on your account.

Your Rights as a US Resident

Depending on your state of residence you may have some or all of the following rights with respect to your personal information: the right to know what we have collected about you and how we use it; the right to access a copy of that information in a portable format; the right to correct inaccurate information; the right to delete your information; and the right to opt out of any sale or sharing. The exact scope of these rights depends on your state's statute (CCPA/CPRA for California; CPA for Colorado; CTDPA for Connecticut; UCPA for Utah; VCDPA for Virginia; and similar laws in other states).

You can exercise most of these rights directly in the Service:

• Access / portability: Profile → Download your data produces a JSON export of every record we hold about you.
• Correction: you can edit account identifiers on the Profile page and any financial record through the normal management screens.
• Deletion: the "Delete Account" control on the Profile page permanently removes your account and all associated financial data. We retain a one-way hash of the email address and the original account creation timestamp for the sole purpose of preventing abusive re-creation of free trials; this hash is not reversible and cannot be used to identify you.
• Opt-out of sale or sharing: see the preceding section.

To exercise any right that cannot be exercised through the self-service controls above, email us at privacy@myautobudget.com. We verify requests by requiring that you submit them from the email address of record on the account, and we will respond within forty-five (45) days of receiving a verifiable request as required by California Civil Code § 1798.130. You may designate an authorised agent to submit a request on your behalf; the agent must provide written proof of the designation, and we will in all cases verify the identity of the consumer directly.

Non-discrimination. We will not deny you service, charge you a different price, or provide you a different level or quality of service because you exercised any right under the CCPA, CPRA, or analogous state law.

Service Providers

We disclose personal information only to the following categories of service providers, each of which is bound by a written contract that limits their use of the information to the purpose for which we engaged them:

• Turso — managed SQLite (libSQL) hosting for the authentication database and the per-user financial databases. Turso operates on Amazon Web Services in the United States West region. Data at rest is encrypted at the application layer before it reaches Turso storage.
• Stripe, Inc. — subscription billing and payment processing. We never store your card number, expiry, or CVV; Stripe issues the charge directly and returns only a subscription identifier.
• Plaid Inc. — optional bank-account aggregation for users who choose to link an account. Plaid handles all contact with your financial institution; we receive only the normalised account and transaction data that you elect to share.
• SMTP relay — a transactional-email provider used to send password-reset and email-verification messages. Only your email address and the message body leave our infrastructure.
• Cloudflare, Inc. — DNS, DDoS mitigation, and (optionally) the geo-country header used to determine jurisdiction for service availability.

Global Privacy Control (GPC) & Browser Signals

In addition to honoring explicit opt-outs recorded via the Profile page, MyAutoBudget respects the Sec-GPC HTTP header defined by the Global Privacy Control working group as a legally-binding Do Not Sell / Share opt-out under California Civil Code § 1798.135 and corresponding provisions of the Colorado Privacy Act and Connecticut Data Privacy Act. A browser or browser extension that emits Sec-GPC: 1 on a request from an authenticated session will cause the Service to automatically record a Do Not Sell / Share election on that account; the election is reflected in the Consent Log and persists across future sessions.

We do not respond to the legacy "Do Not Track" browser header because that signal has been deprecated and carries no unambiguous legal meaning. GPC supersedes DNT for this purpose.

California Shine the Light (Civil Code § 1798.83)

We do not share personal information with third parties for their own direct-marketing purposes, so no "Shine the Light" disclosure is required. If this changes, we will update this policy and provide the statutorily-required notice.

California Civil Code § 1789.3 Notice

Under California Civil Code § 1789.3, users of the Service from California are entitled to the following consumer rights notice: the Complaint Assistance Unit of the Division of Consumer Services of the California Department of Consumer Affairs may be contacted in writing at 1625 North Market Blvd., Suite N 112, Sacramento, CA 95834, or by telephone at (800) 952-5210 or (916) 445-1254.

Mexico — LFPDPPP

Users in Mexico have rights of Access, Rectification, Cancellation, and Opposition ("ARCO" rights) under the Ley Federal de Protección de Datos Personales en Posesión de los Particulares. The self-service export, edit, and delete controls described above satisfy the Access, Rectification, and Cancellation rights in full. To exercise the right of Opposition or to submit any ARCO request that cannot be satisfied by self-service, email privacy@myautobudget.com.

Canada — PIPEDA & Provincial Equivalents

Canadian users are protected by the Personal Information Protection and Electronic Documents Act and, where applicable, by provincial statutes (Quebec's Law 25, Alberta's PIPA, British Columbia's PIPA). We handle personal information in accordance with the ten Fair Information Principles and will respond to any access or correction request within thirty (30) days as required by section 8 of PIPEDA.

Consent Log & Version History

Each time you create an account, toggle a privacy preference, or transmit a browser-level opt-out signal, we append an immutable row to an internal Consent Log recording the event, the date, and the version of this Privacy Policy and of our Terms of Use in force at that moment. You can review the last ten entries in your own log from the Privacy Preferences section of your profile and request the full record as part of a data-subject access request.

Contact

For any privacy question, data-subject request, or notice of complaint, contact:

MyAutoBudget — Privacy
Email: privacy@myautobudget.com