Política de Privacidad - Enke
Última actualización: 22 de junio de 2026
Responsable del tratamiento: Gonzalo Vicencio · gonzalovicencio98@gmail.com · App: https://enke.cl
Enke es una aplicación web para gestionar gastos personales en Chile. Se conecta de forma segura a tu banco para leer tus movimientos (solo lectura) y los organiza en un dashboard para que entiendas en qué gasta tu dinero. Esta política explica qué datos recopilamos, cómo los usamos, cómo los protegemos y qué derechos tienes sobre ellos.
1. Datos personales que recopilamos
1.1 Datos que tú nos das
- Email y nombre: para crear tu cuenta.
- Contraseña: nunca la almacenamos en texto plano — guardamos solo un hash bcrypt (cost 12).
- Inicio de sesión con Google (opcional): si eliges entrar con Google, recibimos solo tu
email y nombre (
userinfo.email,userinfo.profile,openid) para identificar tu cuenta. No leemos tu correo. - Credenciales de conexión bancaria: para traer tus movimientos te conectas a tu banco a través de Enke. Tus credenciales se procesan en infraestructura dedicada y aislada, se transmiten y guardan cifradas, y se usan exclusivamente en modo de solo lectura — nunca para mover, transferir ni disponer de tu dinero.
- Datos de pago (suscripción Premium): el procesamiento es manejado por Flow. Nosotros guardamos solo un identificador de suscripción y los últimos 4 dígitos de la tarjeta; nunca almacenamos el número completo de tu tarjeta.
1.2 Datos que extraemos de tus movimientos bancarios
Nos conectamos a bancos e instituciones chilenas (Banco de Chile, Santander, BCI, Itaú, Scotiabank, Falabella, BancoEstado, BICE, Tenpo, MACH, Copec Pay, entre otros) para leer tus movimientos. También podemos registrar los pagos que realizas con Apple Pay o Google Wallet si activas esa función. De cada movimiento extraemos:
- Monto y moneda
- Comercio
- Fecha y hora
- Últimos 4 dígitos de la tarjeta
- En transferencias: nombre y RUT del destinatario
Solo registramos los datos del movimiento listados arriba. No accedemos a más información de tu cuenta bancaria ni podemos realizar operaciones en ella.
Dato sensible: tus movimientos reflejan tu situación económica, que la Ley 21.719 clasifica como dato sensible. Por eso los tratamos solo con tu consentimiento expreso y con medidas de seguridad reforzadas.
1.3 Geolocalización (solo si activas Apple Pay o Google Wallet)
Si activas el registro automático de pagos con Apple Pay (atajo de iOS) o Google Wallet (Android), sí registramos la ubicación (latitud y longitud) del lugar donde realizas el pago, junto al monto, comercio y fecha, para asociar el gasto a su ubicación. Esta captura de geolocalización es opcional: solo ocurre si activas esa función y concedes el permiso de ubicación en tu teléfono. Puedes desactivarla en cualquier momento quitando el permiso de ubicación al atajo o desinstalando la automatización. No registramos tu ubicación en ningún otro momento ni rastreamos tu movimiento de forma continua.
1.4 Metadatos técnicos mínimos
Logs de eventos de seguridad (login, logout, refresh de sesión, acciones administrativas) que incluyen tu IP y User-Agent al momento del evento. Se conservan mientras tu cuenta exista y se eliminan en cascada al borrar la cuenta.
2. Cómo usamos tus datos
- Mostrar tu historial de gastos en el dashboard.
- Categorizar y agrupar gastos automáticamente.
- Enviarte notificaciones sobre tu cuenta y suscripción.
- Cobrar tu suscripción Premium (vía Flow).
- Mejorar el funcionamiento del servicio mediante análisis agregado.
No usamos tus datos bancarios ni ningún dato personal para publicidad, marketing, ni para entrenar modelos de inteligencia artificial. No los vendemos. No los compartimos con terceros que los procesen para fines propios.
3. Seguridad y certificación
La seguridad de tus datos financieros es nuestra prioridad:
- Certificación CASA Tier 2: Enke aprobó la evaluación de seguridad CASA (Cloud Application Security Assessment) Tier 2 — la misma auditoría que se exige a aplicaciones que manejan datos sensibles.
- Infraestructura dedicada y aislada: la conexión con tu banco se procesa en un entorno aislado, separado del resto de la aplicación.
- Cifrado en reposo: tus credenciales bancarias y datos sensibles se guardan cifrados (AES-128-CBC + HMAC-SHA256) con claves que solo existen en nuestros servidores de producción.
- Acceso de solo lectura: Enke únicamente lee tus movimientos. Nunca puede transferir, pagar ni mover tu dinero.
4. Cómo protegemos tus datos
- En tránsito: TLS 1.2+ obligatorio (HTTPS) con HSTS habilitado.
- En reposo: las credenciales bancarias y los datos personales sensibles (incluyendo RUT de destinatarios de transferencia) se almacenan cifrados con AES-128-CBC + HMAC-SHA256 (Fernet) usando una clave que solo existe en nuestros servidores de producción.
- Contraseñas: hashing bcrypt con factor de coste 12 — nunca en texto plano.
- Sesiones: JWT en cookie
httpOnly+Secure+SameSite=Lax, con refresh token persistido y revocable. Logout invalida la sesión server-side. - Protección anti brute-force: rate limit por IP en endpoints de autenticación + bloqueo temporal de cuenta tras 10 intentos fallidos.
- Acceso administrativo: solo el equipo desarrollador, con autenticación reforzada y todas las acciones registradas en log de auditoría.
- Headers de seguridad: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy en todas las respuestas.
- Escaneo continuo: dependencias auditadas con
pip-audit; secretos escaneados con gitleaks y detect-secrets.
5. Cuánto tiempo conservamos tus datos
| Tipo de dato | Retención |
|---|---|
| Cuenta y gastos | Hasta que elimines tu cuenta |
| Credenciales de conexión bancaria | Hasta que desconectes el banco o elimines tu cuenta |
| Logs de eventos de seguridad / auditoría | Mientras tu cuenta exista; se eliminan al borrar la cuenta |
| Refresh tokens revocados o expirados | 7 días |
| Backups operativos | 7 días (rotación automática del proveedor) |
6. Tus derechos
Bajo la Ley 21.719 de Chile (que moderniza la protección de datos personales y rige desde el 1 de diciembre de 2026) y, donde aplique, el GDPR de la Unión Europea, tienes derecho a:
- Acceso: ver todos los datos que tenemos sobre ti directamente en el dashboard.
- Rectificación: corregir datos incorrectos en Perfil → Editar perfil.
- Cancelación / Olvido: eliminar tu cuenta y todos los datos asociados (gastos, etiquetas, credenciales bancarias) en Perfil → Cuenta → Eliminar cuenta. La eliminación es inmediata e irreversible. También puedes solicitarlo escribiendo a gonzalovicencio98@gmail.com.
- Portabilidad: exportar tus gastos en formato CSV desde la app (sección Gastos → Exportar). Si necesitas un export adicional (perfil, configuración), escríbenos a gonzalovicencio98@gmail.com y te lo entregamos en menos de 30 días.
- Oposición y bloqueo: puedes oponerte a un tratamiento o pedir su suspensión temporal sin borrar tu cuenta, escribiéndonos.
- Desconexión del banco: en cualquier momento desde Perfil → Bancos. Una vez desconectado, Enke deja de acceder a tus movimientos de inmediato.
- Revocar tu consentimiento: puedes retirar en cualquier momento el consentimiento que diste para tratar tus datos sensibles, la geolocalización o la transferencia internacional, sin efecto retroactivo.
- Reclamo ante autoridad: puedes presentar un reclamo ante la Agencia de Protección de Datos Personales (Chile) o, si te encuentras en la UE, ante la autoridad de protección de datos correspondiente.
7. Cookies
Enke usa exclusivamente cookies estrictamente necesarias para mantener tu sesión iniciada
(access_token y refresh_token, ambas HttpOnly + Secure +
SameSite=Lax). No usamos cookies de tracking ni de publicidad. No usamos Google
Analytics ni servicios de analítica con third-party cookies.
8. Procesadores que utilizamos y transferencia internacional
Enke transfiere datos exclusivamente a los siguientes procesadores, sujetos a obligaciones contractuales de confidencialidad y seguridad equivalentes:
- Render (hosting, EE.UU.): render.com/privacy
- Neon (base de datos PostgreSQL gestionada, EE.UU.): neon.tech/privacy-policy
- Cloudflare (CDN, proxy y protección de tráfico, EE.UU./global): cloudflare.com/privacypolicy
- Google (inicio de sesión con Google, EE.UU.): policies.google.com/privacy
- Flow (cobros de suscripción Premium, Chile): flow.cl/legal-tyc.php
Transferencia internacional: Render, Neon, Cloudflare y Google procesan datos en Estados Unidos. Esta transferencia se ampara en cláusulas contractuales que garantizan un nivel de protección adecuado y en tu consentimiento expreso. Tus credenciales bancarias viajan y se almacenan cifradas de extremo a extremo: nuestros proveedores de hosting y base de datos las guardan, pero no pueden descifrarlas — la llave que las abre solo existe en nuestra infraestructura dedicada.
9. Menores de edad
Enke no está dirigido a menores de 18 años. No recopilamos conscientemente datos personales de menores. Si descubrimos que un usuario es menor de edad, eliminaremos su cuenta inmediatamente. Si eres padre, madre o tutor y crees que un menor a tu cargo nos ha proporcionado datos, contáctanos.
10. Cambios a esta política
Te notificaremos por email con al menos 30 días de anticipación si cambiamos esta política de manera material. Cambios menores se publicarán en esta página con la fecha de actualización correspondiente.
11. Compartición de datos
No vendemos, alquilamos ni compartimos tus datos personales ni datos bancarios con terceros para publicidad u otros fines comerciales. Solo compartimos datos con los procesadores listados en la sección 8, estrictamente necesarios para operar el servicio. En caso de fusión, adquisición o venta de activos, te notificaremos por email y mantendremos protecciones equivalentes.
12. Contacto
Para cualquier consulta sobre privacidad, ejercicio de derechos o reclamo: gonzalovicencio98@gmail.com.
Términos del Servicio
Lee nuestras condiciones del servicio en Condiciones del Servicio de Enke.
Esta política puede actualizarse. Publicaremos cualquier cambio en esta página con la fecha de actualización correspondiente.