Estrategia de Privacidad y Compliance — Finnova
Finnova maneja datos financieros personales de alta sensibilidad: cuentas bancarias, movimientos, metas e inversiones. Esta página define la estrategia para cumplir con el GDPR (Reglamento General de Protección de Datos de la UE) y la LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México), como marco de referencia global y local respectivamente.
1. Marco legal aplicable
| Ley | Jurisdicción | Aplica a Finnova porque… |
|---|
| LFPDPPP + Reglamento | México | Usuarios y operaciones en México; datos tratados por empresa mexicana |
| Lineamientos del Aviso de Privacidad (INAI) | México | Complemento obligatorio de la LFPDPPP |
| GDPR | Unión Europea | Si se atiende a usuarios en la UE o se transfieren datos a servidores en zona UE |
| PCI-DSS (referencial) | Internacional | Procesamiento de pagos vía Stripe; Stripe asume responsabilidad PCI, pero Finnova debe validar scope |
Prioridad: La LFPDPPP es la ley vigente y exigible hoy. El GDPR se adopta como estándar más estricto para elevar el nivel base de protección, facilitando expansión futura.
2. Inventario de datos personales tratados
2.1 Categorías de datos
| Categoría | Ejemplos | Sensibilidad LFPDPPP |
|---|
| Datos de identificación | Nombre, email, CURP, fecha de nacimiento | Normal |
| Datos de contacto | Teléfono, dirección | Normal |
| Datos financieros | Saldos, movimientos, deudas, inversiones | Sensible (art. 3 LFPDPPP) |
| Datos de comportamiento | Patrones de gasto, categorías, metas | Sensible (derivado de financieros) |
| Datos de dispositivo | IP, identificador de dispositivo, OS | Normal |
| Credenciales | Hash de contraseña, tokens JWT | N/A (no son datos personales, pero son críticos) |
2.2 Flujo de datos (Data Flow)
3. Principios de privacidad adoptados
Basados en LFPDPPP Art. 6 y GDPR Art. 5:
| Principio | Implementación en Finnova |
|---|
| Licitud | Base legal explícita para cada tratamiento (consentimiento + ejecución de contrato) |
| Finalidad | Datos recabados solo para funciones declaradas en el aviso de privacidad |
| Lealtad / Transparencia | Aviso de privacidad accesible en registro y en la app |
| Calidad | El usuario puede corregir sus datos desde la app en todo momento |
| Proporcionalidad | Solo se recaban los datos mínimos necesarios para cada función |
| Responsabilidad (Accountability) | Responsable del tratamiento designado; registro interno de actividades |
| Seguridad | Medidas técnicas y organizativas (ver sección 5) |
4. Derechos de los titulares
4.1 Derechos ARCO (LFPDPPP) / Derechos del interesado (GDPR)
| Derecho | LFPDPPP | GDPR | Plazo de respuesta | Canal |
|---|
| Acceso | Art. 22 | Art. 15 | 20 días hábiles | Email / App |
| Rectificación | Art. 23 | Art. 16 | 20 días hábiles | App (autoservicio) |
| Cancelación / Supresión | Art. 24 | Art. 17 | 20 días hábiles | Email |
| Oposición | Art. 25 | Art. 21 | 20 días hábiles | Email |
| Portabilidad | — | Art. 20 | 30 días hábiles | Email (exportación JSON/CSV) |
| Limitación del tratamiento | — | Art. 18 | 20 días hábiles | Email |
4.2 Proceso de atención ARCO
- Usuario envía solicitud a privacidad@finnova.mx (pendiente de crear) o desde el menú Cuenta → Privacidad en la app.
- Se verifica identidad del solicitante (mínimo email registrado + OTP).
- Se registra la solicitud en el log interno de privacidad.
- Se responde dentro del plazo legal con la acción tomada o la justificación de negativa.
- Se documenta el resultado en el registro de solicitudes ARCO.
Tarea pendiente: Implementar pantalla de gestión de privacidad en la app y el flujo backend asociado.
5. Medidas técnicas y organizativas de seguridad
5.1 Medidas técnicas (ya implementadas o en arquitectura)
| Medida | Estado | Notas |
|---|
| HTTPS en toda la comunicación cliente-servidor | ✅ Definido en arquitectura | HTTPS Listener en Load Balancer |
| JWT para autenticación de sesiones | ✅ Definido | Auth Module |
| Cifrado en tránsito (TLS 1.2+) | ✅ Via HTTPS | Validar en config de Nginx |
| Cifrado en reposo de la base de datos | 🔲 Pendiente definir | Habilitar cifrado AES-256 en volúmenes PostgreSQL (AWS EBS encryption) |
| Backups automáticos cifrados | 🔲 Pendiente validar | Replica server + Automated Backups en arquitectura |
| VPC dedicada para datos | ✅ Definido | VPC - Data separada de la app |
| Control de acceso por roles (RBAC) | 🔲 Pendiente implementar | Definir roles en la DB y en el API |
| Logs de auditoría de acceso a datos | 🔲 Pendiente | Implementar logging de consultas sensibles |
| Tokenización de datos de pago | ✅ Via Stripe | Finnova nunca almacena datos de tarjeta |
5.2 Medidas organizativas
| Medida | Estado |
|---|
| Designación de Responsable del Tratamiento | 🔲 Pendiente designar formalmente |
| Aviso de privacidad redactado y publicado | 🔲 Pendiente redactar |
| Contratos con encargados (Data Processing Agreements) | 🔲 Pendiente con AWS y Stripe |
| Política interna de manejo de datos | 🔲 Pendiente redactar |
| Capacitación del equipo en privacidad | 🔲 Pendiente |
| Registro de actividades de tratamiento (GDPR Art. 30) | 🔲 Pendiente crear |
6. Bases legales del tratamiento
Para cada finalidad de tratamiento debe existir una base legal válida:
| Finalidad | Base legal LFPDPPP | Base legal GDPR |
|---|
| Crear y gestionar la cuenta del usuario | Consentimiento (art. 8) | Ejecución de contrato (art. 6.1.b) |
| Mostrar movimientos y saldos conectados | Consentimiento explícito (datos financieros = sensibles) | Consentimiento explícito (art. 9.2.a) |
| Análisis de IA para reportes y recomendaciones | Consentimiento explícito | Consentimiento explícito |
| Procesamiento de pago de suscripción | Ejecución de contrato (art. 10 fracción III) | Ejecución de contrato (art. 6.1.b) |
| Comunicaciones de marketing / notificaciones | Consentimiento (opt-in) | Consentimiento (art. 6.1.a) |
| Cumplimiento de obligaciones legales (SAT, autoridades) | Obligación legal (art. 10 fracción I) | Obligación legal (art. 6.1.c) |
7. Transferencias de datos
7.1 Proveedores que reciben datos (Encargados)
| Proveedor | Datos transferidos | País | Mecanismo de cumplimiento |
|---|
| AWS | Todos los datos (hosting) | EE.UU. | AWS GDPR DPA + Cláusulas Contractuales Tipo (SCCs) |
| Stripe | Datos de suscripción y pago | EE.UU. | PCI-DSS; Stripe GDPR DPA |
7.2 Transferencias internacionales (LFPDPPP Art. 36)
Las transferencias a AWS y Stripe son internacionales. Para cumplir con la LFPDPPP:
- Informar al usuario en el aviso de privacidad que sus datos se transfieren a EE.UU.
- Obtener consentimiento o verificar que existe exención aplicable (necesaria para la ejecución del contrato).
- Firmar contratos que garanticen protección equivalente a la LFPDPPP con cada proveedor.
8. Política de retención de datos
| Tipo de dato | Retención activa | Retención post-baja | Eliminación |
|---|
| Datos de cuenta | Durante la suscripción activa | 3 años (obligaciones fiscales) | Eliminación segura |
| Datos financieros (movimientos) | Durante la suscripción activa | 5 años (recomendación SAT) | Eliminación segura |
| Logs de acceso / auditoría | 90 días en caliente | 1 año en cold storage | Purga automática |
| Datos de pago (tokens Stripe) | Durante la suscripción | 3 años | Stripe gestiona eliminación |
| Backups de BD | 30 días (rotación) | N/A | Sobreescritura automática |
9. Aviso de privacidad (estructura requerida)
El aviso de privacidad es obligatorio bajo LFPDPPP. Debe incluir:
- Identidad y domicilio del Responsable — Nombre legal de la empresa, RFC, dirección.
- Finalidades del tratamiento — Primarias (esenciales) y secundarias (opcionales, ej. marketing).
- Datos recabados — Listado por categoría.
- Mecanismo para revocar consentimiento — Cómo y dónde hacerlo.
- Opciones para limitar uso y divulgación — Lista de exclusión.
- Transferencias — A quién y para qué.
- Cómo ejercer derechos ARCO — Contacto: privacidad@finnova.mx.
- Cambios al aviso — Cómo se notifican.
Acción requerida: Redactar el aviso de privacidad completo y mostrarlo en el onboarding de la app (con confirmación de lectura) y en el sitio web.
10. Plan de acción priorizado
Alta prioridad (antes del MVP — 15 Jun 2026)
Media prioridad (post-MVP, primer mes)
Baja prioridad (primer trimestre post-MVP)
Referencias