Monkey Money

Monkey Money es un proyecto en formación impulsado por sus founders Diego Olivares (CEO) y Sergio Cubelli (CTO), quienes asumen solidariamente las obligaciones derivadas de esta Política mientras la sociedad no esté formalmente constituida. Al constituirse la sociedad, la titularidad y responsabilidad sobre el tratamiento de datos se transfieren íntegramente a la persona jurídica.

Encargado de Protección de Datos Personales (DPO): Sergio Cubelli. Canal de contacto: privacy@monkeymoney.cl.

Monkey Money es una plataforma orientada a ayudar a personas naturales en Chile a entender sus gastos a partir de los correos bancarios que reciben en su Gmail. Para ello, la plataforma:

• se conecta a tu Gmail mediante OAuth de Google con scope gmail.readonly;
• identifica correos provenientes de los 10 dominios bancarios chilenos soportados: Banco de Chile, BCI, BancoEstado, Santander, Itaú, Falabella, Scotiabank, Tenpo, MACH y Mercado Pago;
• extrae montos, fechas, comercios, emisores, categorías y recurrencia;
• construye historiales y resúmenes de movimientos;
• estima patrones de gasto, suscripciones y gastos fijos;
• cruza tus hábitos con bases de descuentos y beneficios financieros;
• genera recomendaciones de ahorro, descuentos o medios de pago.

Monkey Money no es un banco, ni una entidad financiera, ni una aseguradora, ni un emisor de tarjetas. Las recomendaciones que mostramos buscan ayudarte a tomar mejores decisiones, pero no constituyen asesoría financiera personalizada, oferta vinculante de crédito ni evaluación de solvencia.

Tus datos personales e identificables —incluyendo cualquier dato obtenido desde Google/Gmail— jamás serán:

• vendidos a terceros;
• entregados a brokers de datos o revendedores;
• usados para publicidad personalizada o retargeting;
• usados para determinar solvencia crediticia ni decisiones de préstamo;
• cedidos para fines distintos a los declarados en esta Política sin nuevo consentimiento.

Monkey Money puede generar y eventualmente comercializar datos estadísticos agregados y completamente anonimizados derivados del uso colectivo de la plataforma (por ejemplo: tendencias de gasto por categoría a nivel regional). Estos datos no te identifican a ti ni a ninguna persona en particular y no constituyen datos personales bajo la legislación aplicable.

• ✓Prestación del servicio: Crear y administrar tu cuenta, autenticarte y entregar las funciones principales del dashboard.
• ✓Lectura de correos bancarios: Identificar correos de los 10 dominios soportados y extraer información transaccional.
• ✓Análisis de hábitos de gasto: Categorizar movimientos, detectar suscripciones y mostrarte una visión clara de tu comportamiento financiero.
• ✓Recomendaciones de ahorro: Cruzar tus patrones de gasto con descuentos o medios de pago que puedan ayudarte a ahorrar.
• ✓Seguridad y prevención de abuso: Proteger tu cuenta, detectar accesos no autorizados y prevenir fraude.
• ✓Soporte: Responder consultas y resolver incidencias.
• ✓Cumplimiento legal: Cumplir obligaciones legales y responder requerimientos de autoridad competente.
• ✓Mejora del producto: Mejorar la precisión de extracción y la calidad de las recomendaciones.

No usamos tus datos para fines distintos sin tu nuevo consentimiento.

Tratamos tus datos sobre una o más de las siguientes bases:

• Tu consentimiento expreso, otorgado al autorizar la vinculación con Gmail/Google y al aceptar esta Política. Es la base principal.
• Ejecución del servicio, cuando el tratamiento es estrictamente necesario para entregarte las funciones que solicitaste.
• Cumplimiento de obligaciones legales, conforme a la legislación chilena.
• Interés legítimo, de forma residual y proporcionada, para seguridad operacional y prevención de fraude.

Puedes revocar tu consentimiento en cualquier momento. La revocación implica eliminación de tu cuenta y de los datos asociados, salvo retención mínima exigida por ley.

Monkey Money utiliza procesos automatizados para clasificar correos, extraer montos, categorizar movimientos y generar recomendaciones. Para la categorización de transacciones empleamos el modelo Claude Haiku de Anthropic (EE.UU.) al cual enviamos únicamente el asunto y la entidad emisora de cada transacción —nunca el cuerpo completo del correo.

Estas recomendaciones están diseñadas para asistirte y no producen efectos jurídicos automáticos sobre ti. Puedes solicitar información sobre la lógica aplicada, pedir revisión de una recomendación relevante y ejercer los demás derechos que correspondan.

Recurrimos a los siguientes proveedores que actúan como encargados de tratamiento por nuestra cuenta:

• Google LLC — Gmail API y autenticación OAuth (lectura de correos del titular).
• Anthropic, PBC — modelo Claude Haiku para categorización (asunto y entidad).
• Proveedor de hosting (VPS Brasil) — almacenamiento de la base de datos y backups.
• Telegram Messenger — notificaciones internas de monitoreo (eventos operacionales, sin datos personales del titular).

Mantenemos relaciones contractuales con estos proveedores y revisamos periódicamente sus políticas y certificaciones de seguridad.

Tu información puede transferirse fuera de Chile en los siguientes casos, declarados expresamente:

• Brasil: hosting de la base de datos y backups (VPS principal y secundario).
• Estados Unidos: Anthropic, exclusivamente con asunto y entidad de cada transacción para categorización.
• Multinacional: Google, en virtud de la integración OAuth y la lectura de tu Gmail.

Estas transferencias se realizan con base en tu consentimiento informado y en la ejecución del contrato del servicio. Aplicamos controles técnicos (cifrado en tránsito y en reposo, minimización de datos) para proteger los datos durante la transferencia.

• ✓Accedemos solo a los datos necesarios para funciones visibles del producto, restringiéndonos a correos de los 10 dominios bancarios soportados.
• ✓No usamos Google user data para publicidad personalizada, venta de datos, evaluación de solvencia ni entrenamiento de modelos de IA.
• ✓No transferimos Google user data a terceros salvo cuando sea necesario para el servicio (ej. categorización limitada a asunto + entidad), por razones de seguridad o por exigencia legal.
• ✓No permitimos acceso humano al contenido de tus correos, salvo que tú lo solicites, por seguridad o para cumplir la ley.
• ✓Aplicamos cifrado AES-256-GCM en reposo para los tokens OAuth y TLS 1.2/1.3 en tránsito.

Monkey Money's use and transfer of information received from Google APIs to any other app will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

Aplicamos plazos concretos de retención alineados con el principio de minimización:

• Cuerpo y asunto de correos bancarios procesados: hasta 90 días desde la creación de la transacción. Después se elimina o reemplaza por placeholder. La transacción estructurada (monto, fecha, comercio, categoría) se conserva mientras tu cuenta esté activa.
• Cuerpo y asunto de correos no procesados (descartados por no provenir de un banco soportado): hasta 30 días.
• Datos identificativos y de cuenta: mientras tu cuenta esté activa.
• Tokens OAuth: mientras la integración permanezca autorizada. Tras revocar el acceso o cerrar tu cuenta se eliminan dentro de 30 días.
• Backups: rotación máxima de 6 meses, después purga.
• Logs operativos y de seguridad: hasta 90 días, salvo cuando exista obligación legal de conservación más extensa.

Cuando los datos ya no sean necesarios, los eliminaremos o anonimizaremos según corresponda.

Aplicamos medidas técnicas y organizativas alineadas con ISO/IEC 27001:2022:

• Cifrado en tránsito mediante TLS 1.2 mínimo (TLS 1.3 preferido), HSTS habilitado.
• Cifrado en reposo de tokens OAuth y campos sensibles con AES-256-GCM.
• Base de datos no expuesta a Internet pública; acceso restringido al backend.
• Control de accesos con principio de menor privilegio y registro de operaciones administrativas.
• Backups cifrados con retención acotada.
• Monitoreo y alertas de seguridad e integridad del servicio.
• Privacidad por diseño y por defecto en toda nueva funcionalidad.

Puedes ejercer los siguientes derechos sobre tus datos personales:

• Acceso — saber qué datos tuyos tratamos. Plazo de respuesta: hasta 30 días.
• Rectificación — corregir datos inexactos. Inmediato desde /settings.
• Cancelación / supresión — eliminar tu cuenta y datos asociados. Inmediato desde la zona de peligro en /settings.
• Oposición a determinados tratamientos. Plazo de respuesta: hasta 30 días.
• Portabilidad — recibir tus datos en formato estructurado. Plazo: hasta 30 días.
• Bloqueo (Ley 19.628). Plazo: hasta 30 días.
• Revocación del consentimiento en cualquier momento.
• Oposición a decisiones automatizadas significativas.
• Desvinculación de tu cuenta de Google también desde myaccount.google.com/permissions.

Para ejercer cualquiera de estos derechos escríbenos al DPO a privacy@monkeymoney.cl desde el correo asociado a tu cuenta.

Si se produjera una brecha que afecte tus datos personales y represente un riesgo para tus derechos, te notificaremos dentro de las 72 horas desde la confirmación del incidente, conforme al estándar de la Ley 21.719 (vigencia 1-dic-2026) y a la práctica internacional. Mantenemos un proceso documentado de gestión de incidentes alineado con ISO/IEC 27001:2022 (controles A.5.24–A.5.28) y notificamos a la autoridad competente cuando corresponda.

Monkey Money no está dirigido a menores de edad. Si detectamos que hemos recopilado datos de un menor en contravención de la ley aplicable, adoptaremos medidas para eliminarlos o regularizar su tratamiento.

Podemos modificar esta Política de Privacidad para reflejar cambios legales, regulatorios o del servicio. Cuando los cambios sean materiales, te informaremos por medios razonables (correo o aviso destacado en la app). La versión vigente estará siempre disponible en monkeymoney.cl/privacy.

Para consultas, solicitudes o reclamos sobre privacidad y protección de datos personales:

DPO — Sergio Cubelli
privacy@monkeymoney.cl