M51
Iniciar sesiónCrear cuenta

Aviso de privacidad

Cómo cuidamos tus datos.

Sin laberintos legales. Te contamos qué datos te pedimos, para qué los usamos, con quién los compartimos y cómo salir cuando quieras.

Última actualización · 12 de mayo de 2026v1.1

1. Quién recolecta los datos

M51 SAC, sociedad peruana con domicilio en Lima. Para todo lo relacionado con privacidad escríbenos a privacidad@m51.finance. Si no responde nadie en ocho días hábiles, escribe a hola@m51.finance.

2. Qué datos recolectamos

2.1 Cuando creas tu cuenta

  • Email y nombre. Necesarios para identificarte y contactarte.
  • Contraseña. Nunca guardamos tu contraseña en texto plano. Se guarda con hash bcrypt vía Supabase Auth y se compara contra la base de contraseñas filtradas (HIBP) para alertarte si la estás reusando de otro sitio comprometido.
  • Opcionales: avatar, teléfono, fecha de nacimiento, zona horaria, moneda principal.
  • Si activas MFA: el secreto TOTP de tu app autenticadora se guarda cifrado en reposo.

2.2 Lo que tú cargas en el producto

M51 no se conecta con tus bancos. Tú cargas manualmente o por CSV:

  • Cuentas, transacciones, transferencias y conciliaciones.
  • Presupuestos, metas, aportes, deudas, pagos, préstamos personales.
  • Tarjetas de crédito (solo metadata: nombre, color, días de corte y pago, límite). Nunca guardamos número de tarjeta, ni los últimos cuatro dígitos, ni CVV.
  • Eventos de calendario, reglas de categorización, reglas de aporte automático, recurrencias.
  • Comprobantes (imágenes o PDFs) que adjuntes a transacciones. Se guardan en almacenamiento privado con acceso restringido a tu cuenta.

2.3 Si usas el Asistente IA (opt-in)

El asistente está apagado por defecto. Si lo activas aceptando el consentimiento de funciones de IA:

  • Guardamos tus conversaciones (preguntas, respuestas, herramientas usadas) para que puedas releerlas.
  • Tus mensajes y un contexto resumido de tu situación financiera se procesan con Claude (Anthropic) bajo contrato comercial. Anthropic se compromete a no usar tus datos para entrenar modelos.

Puedes revocar el consentimiento en Configuración → Privacidad. Al revocarlo, el asistente queda inactivo para tu cuenta y se borran tus conversaciones.

2.4 Si importas un PDF de estado de cuenta

Cuando subes un PDF en Importar, lo procesamos en nuestro servidor para extraer la lista de transacciones. El procesamiento sigue estas reglas duras:

  • El PDF nunca se guarda. Vive solo en memoria durante el request y se descarta cuando termina. No se escribe a disco, no se sube a almacenamiento, no se cachea.
  • Si tu PDF está protegido con DNI, lo pedimos solo para descifrarlo. El DNI vive en memoria durante el request, no se loguea ni se persiste como tal. Sí guardamos un hash criptográfico (scrypt) para validar que en futuras subidas el DNI ingresado es el mismo titular.
  • Antes de cualquier IA, redactamos PII. Reemplazamos DNI, RUC, número de tarjeta, teléfonos, emails y direcciones por tokens ([DNI], [CARD], etc.). El texto enmascarado es lo único que ve Claude.
  • Tú revisas antes de guardar. Las transacciones extraídas se muestran en una tabla editable. Solo se persisten las que confirmes.
  • Para mejorar el reconocimiento de formatos bancarios nuevos, guardamos una muestra redactada del texto extraído junto con las transacciones que confirmaste. Nunca incluye PII — pasa por la misma capa de redacción de arriba.
  • Las descripciones de las transacciones que importas se almacenan cifradas con AES-256-GCM antes de tocar disco (clave de aplicación, no en la DB).

2.5 Telemetría operativa

  • Logs técnicos: dirección IP y user-agent del navegador, capturados en consents y eventos sensibles (login, MFA, baja de cuenta) para auditoría legal. Se purgan a los 90 días salvo obligación legal de retenerlos más.
  • Métricas de uso (PostHog): qué pantallas visitas, qué acciones realizas. Se cargan solo si aceptaste el banner de cookies y nunca incluyen tus datos financieros.
  • Errores técnicos (Sentry): stack traces y contexto del error, sanitizados para no incluir tus datos.

3. Para qué usamos esos datos

  • Operar el producto: mostrarte tu información financiera ordenada, calcular saldos, generar reportes y alertas.
  • Mantener seguridad: detectar abuso, hacer rate limiting, alertarte de cambios sensibles, hacer cumplir nuestros términos.
  • Comunicar: avisos transaccionales (login, baja, cambios de seguridad). Marketing solo si aceptas el consentimiento opcional.
  • Mejorar la app: revisar errores agregados y métricas de uso. No usamos tus datos individuales para decisiones de producto.
  • Cumplir obligaciones legales: responder a la ANPDP, a autoridades fiscales o judiciales cuando lo exijan con orden válida.

No vendemos ni cedemos datos a terceros. Tampoco hacemos perfilado para publicidad de terceros.

4. Quién más toca tus datos (sub-procesadores)

Para operar usamos proveedores que procesan datos por cuenta nuestra, bajo contrato:

  • Supabase — base de datos, autenticación y almacenamiento de archivos. Servidores en Estados Unidos. Cifrado en reposo y en tránsito (TLS).
  • Anthropic — provee el modelo Claude que potencia el asistente IA. Solo se invoca si activaste el consentimiento de funciones de IA. Servidores en Estados Unidos. No usa tus datos para entrenar modelos.
  • Resend — envío de correos transaccionales y de marketing. Servidores en Estados Unidos.
  • PostHog — métricas de uso del producto. Solo se carga si aceptaste el banner de cookies.
  • Sentry — captura de errores técnicos para diagnóstico. Stack traces sanitizados.
  • Vercel — hosting de la aplicación.

Las transferencias internacionales se realizan bajo cláusulas contractuales tipo equivalentes a las exigidas por la ANPDP. Si quieres ver los contratos de tratamiento de datos firmados, los compartimos por correo bajo solicitud.

5. Cuánto tiempo guardamos tus datos

  • Mientras tu cuenta esté activa: guardamos toda la información que cargaste para que puedas usar el producto.
  • Si pides baja de cuenta: hacemos un borrado lógico inmediato (no puedes acceder), te enviamos un correo de confirmación con un link para revertir, y a los 30 días borramos definitivamente tus datos en cascada (cuentas, transacciones, deudas, metas, presupuestos, conversaciones, adjuntos).
  • Logs de auditoría legal: consents aceptados/revocados, eventos de seguridad y bitácora de baja se retienen hasta siete años para cumplir con la Ley 29733 y eventuales auditorías.
  • Backups de base de datos: snapshots rolling de los últimos siete días.
  • Logs técnicos (IP, user-agent): 90 días.

6. Tus derechos como titular (ANPDP — Ley 29733)

La Ley 29733 te da estos derechos sobre tus datos personales:

  • Acceso: saber qué datos tenemos sobre ti. Puedes exportarlos tú mismo desde Configuración → Privacidad.
  • Rectificación: corregir datos inexactos o incompletos. Puedes editar tu perfil y todos tus datos financieros desde la app.
  • Cancelación: pedir que borremos tus datos. La baja de cuenta lo hace de forma automática con el cronograma de la sección 5.
  • Oposición: oponerte a tratamientos específicos (por ejemplo, marketing). Puedes revocar consents opcionales en cualquier momento.
  • Información: saber con quién compartimos tus datos. La sección 4 lo detalla.

Para ejercer cualquier derecho que no puedas ejercer directamente desde la app, escríbenos a privacidad@m51.finance. Te respondemos en menos de ocho días hábiles. Si no quedas conforme con nuestra respuesta puedes presentar un reclamo ante la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia.

7. Cookies y tecnologías similares

En la app autenticada usamos solo cookies técnicas (sesión, anti-CSRF) — sin estas no puedes iniciar sesión.

En la landing pública sumamos píxeles de medición de Meta y Google Ads cuando estamos pautando, para saber qué campañas pagadas convierten en altas. Cuando entras por primera vez te aparece un banner con dos opciones: Aceptar todo (carga los píxeles) o Solo esenciales (sin cookies de terceros). Tu decisión queda guardada en tu propio navegador. Para cambiarla, limpia los datos del sitio en tu navegador y vuelve a entrar.

8. Seguridad

  • Cifrado en tránsito (TLS 1.2+) en toda la aplicación.
  • Cifrado en reposo de la base de datos y del almacenamiento de archivos.
  • Aislamiento por usuario en la base de datos (Row-Level Security) — tus datos solo son visibles desde tu sesión.
  • Verificación de contraseñas filtradas (HIBP) en el registro y al cambiar contraseña.
  • Autenticación de segundo factor (TOTP) opt-in.
  • Cabeceras de seguridad estrictas (HSTS, CSP, COOP, COEP) para mitigar ataques en el navegador.
  • Rate limiting en endpoints sensibles para prevenir abuso.

Si detectas una vulnerabilidad escríbenos a seguridad@m51.finance. Reconocemos los reportes responsables.

9. Menores de edad

M51 está pensado para personas mayores de 18 años. No aceptamos cuentas de menores. Si te enteras de que un menor abrió cuenta, escríbenos a privacidad@m51.finance y procedemos a darla de baja.

10. Cambios a este aviso

Si cambiamos algo material te lo avisamos por correo y te pedimos re-aceptación al iniciar sesión. La versión vigente vive siempre en esta misma página, con la fecha de última actualización arriba. Las versiones previas las guardamos por dos años por si alguien necesita auditarlas.

11. Contacto

Privacidad y derechos ARCO: privacidad@m51.finance.

Vulnerabilidades de seguridad: seguridad@m51.finance.

Cualquier otro tema: hola@m51.finance.