Política de Privacidad
Esta es la versión larga y legal. Lee primero el resumen en lenguaje claro abajo — cubre lo que la mayoría de las personas realmente quieren saber.
Resumen en lenguaje claro
El texto legal a continuación es detallado porque la ley canadiense de privacidad (PIPEDA + Ley 25 de Quebec) lo exige. Pero esto es lo esencial:
- Recopilamos lo que necesitamos para mostrarte tus finanzas — y nada más.
- Nos conectamos a tus cuentas a través de Plaid y SnapTrade. Solo lectura. Sin movimiento de dinero.
- No vendemos tus datos a nadie. Nunca.
- Tus datos se almacenan en Canadá (Google Cloud Montreal) y cumplen con PIPEDA + Ley 25 de Quebec.
- Puedes exportar o eliminar tus datos en cualquier momento desde Configuración. La eliminación es permanente en 30 días.
- Nuestro Responsable de Privacidad es Laurent Risser — laurent.risser@mozaicfinance.com. Persona real, responde personalmente.
1. Identidad e información de contacto
Mozaic Finance está comprometido con la protección de tu privacidad. Esta Política de Privacidad explica cómo recopilamos, usamos, divulgamos y protegemos tu información.
Organización: Mozaic Finance
Oficial de Privacidad (según lo requerido por la Ley 25 de Quebec y PIPEDA):
Laurent Risser
Correo electrónico: laurent.risser@mozaicfinance.com
El Oficial de Privacidad es responsable de asegurar el cumplimiento de la legislación de privacidad, manejar consultas de privacidad y supervisar la protección de tu información personal. Para cualquier pregunta o inquietud relacionada con la privacidad, por favor contacta directamente a nuestro Oficial de Privacidad.
2. Información que recopilamos
Recopilamos los siguientes tipos de información personal:
Información de cuenta:
- Dirección de correo electrónico (desde tu inicio de sesión de Google a través de Google Cloud Identity Platform)
- Nombre y foto de perfil
- Preferencias y configuraciones del usuario
Datos financieros:
- Saldos de cuentas y tenencias (de instituciones conectadas)
- Historial de transacciones
- Posiciones de inversión y datos de cartera
Datos técnicos:
- Tipo y versión del navegador
- Información del dispositivo
- Patrones de uso y análisis
Recopilamos información directamente de ti cuando creas una cuenta y conectas tus instituciones financieras a través de nuestros socios externos (Plaid y SnapTrade). Nunca recibimos ni almacenamos tu contraseña bancaria o de corretaje — tus credenciales van directamente de ti a tu institución financiera a través de estos socios.
3. Cómo usamos tu información
Usamos tu información personal para:
- Proporcionar y mantener nuestro servicio de panel financiero
- Agregar y mostrar tus datos financieros
- Generar análisis sobre tus finanzas
- Mejorar nuestros servicios y la experiencia del usuario
- Enviar comunicaciones relacionadas con el servicio
- Cumplir con obligaciones legales
No vendemos tu información personal a terceros.
4. Compartir y divulgación de información
Compartimos tu información con los siguientes terceros:
Proveedores de datos financieros:
- Plaid Technologies Inc. (Estados Unidos) - Conexión de tus cuentas bancarias (solo lectura)
- SnapTrade Inc. (Canadá) - Conexión de tus cuentas de corretaje (solo lectura)
Proveedores de servicios:
- Stripe, Inc. (Estados Unidos) - Facturación de suscripciones y procesamiento de pagos (solo correo electrónico, nombre y metadatos de facturación)
- Resend (Estados Unidos) - Entrega de correos electrónicos transaccionales y de notificación
- Google Cloud y Google Identity Platform (Estados Unidos y otras regiones) - Autenticación, alojamiento de la aplicación e infraestructura
Estos proveedores actúan como nuestros encargados del tratamiento: están sujetos a sus propios compromisos de privacidad y certificaciones de seguridad, y solo reciben la información personal necesaria para su función específica.
Transferencias transfronterizas:
Tus datos principales —incluidos tus registros financieros— se almacenan en Canadá (Google Cloud, región de Montreal / northamerica-northeast1). Algunos de los proveedores de servicios mencionados arriba procesan información personal limitada en Estados Unidos: Plaid (datos de conexión bancaria), Stripe (correo electrónico y metadatos de facturación), Resend (entrega de correos) y Google (autenticación e infraestructura). Hemos evaluado estas transferencias transfronterizas conforme a la Ley 25 de Quebec (art. 17) y PIPEDA: minimizamos la información personal divulgada a cada proveedor, la protegemos con cifrado en tránsito (HTTPS/TLS) y nos basamos en los términos de protección de datos y las certificaciones de seguridad de cada proveedor. Comunícate con nuestro Oficial de Privacidad para obtener más información sobre estas transferencias.
También podemos divulgar información cuando lo requiera la ley o para proteger nuestros derechos y seguridad.
5. Consentimiento
Al usar Mozaic Finance, consientes la recopilación, uso y divulgación de tu información personal como se describe en esta Política de Privacidad.
Puedes retirar tu consentimiento en cualquier momento:
- Desconectando tus cuentas financieras
- Eliminando tu cuenta a través de la configuración de Privacidad y Datos
- Contactándonos en laurent.risser@mozaicfinance.com
Retirar el consentimiento puede afectar tu capacidad para usar ciertas funciones de nuestro servicio.
6. Acceso y corrección
Tienes derecho a:
Acceder a tu información:
- Ver todos los datos que hemos recopilado sobre ti
- Exportar tus datos en un formato portátil
Corregir tu información:
- Actualizar la configuración de tu cuenta
- Solicitar correcciones a datos inexactos
Para ejercer estos derechos, visita la sección de Privacidad y Datos en la configuración de tu cuenta o contáctanos en laurent.risser@mozaicfinance.com.
Respondemos a las solicitudes de acceso, corrección y eliminación dentro de un plazo de 30 días, conforme lo exige la Ley 25 de Quebec.
7. Retención de datos
Retenemos tu información personal mientras tu cuenta esté activa o según sea necesario para proporcionarte servicios.
Después de la eliminación de la cuenta:
- Tus datos serán eliminados permanentemente dentro de 30 días
- Tienes un período de gracia para cancelar la eliminación
- Los registros de transacciones pueden conservarse hasta 7 años para cumplir con las obligaciones canadienses de mantenimiento de registros financieros (Ley del Impuesto sobre la Renta y legislación provincial aplicable)
Los datos de transacciones financieras se actualizan regularmente y los datos más antiguos pueden archivarse o eliminarse según nuestras políticas de retención.
8. Medidas de seguridad
Usamos las siguientes medidas de seguridad para proteger tu información. Hemos mantenido el lenguaje exacto en lugar de aspiracional — si una afirmación no es verdadera, no está aquí.
Cifrado en tránsito:
- Todo el tráfico hacia Mozaic usa HTTPS (TLS 1.2 o superior; TLS 1.3 soportado), terminado por Google Cloud Run
- HSTS está activado con un max-age de 1 año, por lo que los navegadores rechazan reducir a conexiones inseguras
Cifrado en reposo:
- Los campos sensibles en nuestra base de datos (como los tokens de acceso que enlazan con tu banco o corredor, además de los nombres de comercios, las descripciones y las ubicaciones de las transacciones) se cifran a nivel de aplicación usando Fernet (AES-128-CBC con autenticación HMAC-SHA256)
- El almacenamiento subyacente de la base de datos también está cifrado por Google Cloud SQL
Autenticación:
- El inicio de sesión es manejado por Google Cloud Identity Platform (Firebase Authentication). Hoy solo soportamos el inicio de sesión con Google; el inicio de sesión con correo electrónico/contraseña y con Apple están en nuestra hoja de ruta para los usuarios que no tienen o no desean usar una cuenta de Google.
- Tu navegador recibe un token ID de Firebase de corta duración que el backend re-verifica en cada solicitud contra las claves públicas de Google. La duración, renovación y revocación de tokens están gestionadas por Identity Platform.
- Autenticación de dos factores (2FA) opcional usando una aplicación TOTP
Infraestructura:
- Funcionamos en Google Cloud Run + Cloud SQL en la región northamerica-northeast1 (Montreal)
- Google Cloud está certificado SOC 2 Type II e ISO 27001 — esto describe nuestra infraestructura de hospedaje; Mozaic no está certificado SOC 2 por separado, y aún no hemos comisionado una prueba formal externa de penetración. Actualizaremos esta página cuando lo hagamos.
Monitoreo continuo:
- Cada cambio de código es escaneado automáticamente para vulnerabilidades (análisis estático Bandit) y dependencias conocidas como maliciosas (pip-audit) antes de poder ser fusionado
- Registro del lado del servidor de eventos de seguridad de integración y Google Cloud Monitoring para detección de anomalías
- Se aplica limitación de tasa por endpoint para prevenir abusos
Lo que nunca almacenamos:
- Nunca recibimos ni almacenamos tu contraseña bancaria o de corretaje. Cuando conectas una cuenta, inicias sesión directamente con esa institución a través de Plaid o SnapTrade. Solo recibimos un token de acceso opaco, que ciframos antes de almacenarlo.
- Nuestras conexiones son de solo lectura — no tenemos permiso para mover dinero o realizar operaciones, incluso si nuestro sistema fuera comprometido.
9. Cambios a esta política
Podemos actualizar esta Política de Privacidad de vez en cuando. Un "cambio importante" significa cualquier cambio que afecte cómo recopilamos, usamos, compartimos o conservamos tus datos personales.
Te notificaremos sobre cualquier cambio importante:
- Publicando la nueva Política de Privacidad en esta página
- Actualizando la fecha de "Última actualización"
- Enviando una notificación por correo electrónico para cambios significativos
Te animamos a revisar esta Política de Privacidad periódicamente para cualquier cambio.
10. Manejo de datos de preferencia de idioma
Cuando seleccionas una preferencia de idioma, la almacenamos localmente en tu navegador. Tu preferencia de idioma no se transmite a nuestros servidores ni se comparte con terceros.
Última actualización: mayo de 2026
Gestiona tus datos
Accede, exporta o elimina tus datos personales en cualquier momento. laurent.risser@mozaicfinance.com