Política de privacidad
Penno está hecha para necesitar lo menos posible de tus datos — idealmente, nada. Esta página cuenta qué significa eso en la práctica.
En resumen
- No recogemos tus datos financieros. Transacciones, deudas, presupuestos y categorías se quedan en tu dispositivo — nunca vemos ni recibimos tus transacciones individuales.
- No recogemos tus datos personales. Sin nombre, sin correo, sin teléfono, sin dirección, sin DNI, sin ubicación precisa, sin identificador publicitario.
- Penno no requiere cuenta, registro ni login. No se crea ningún identificador de usuario, de ningún tipo.
- Penno no se conecta a tu banco ni a ninguna entidad financiera.
- Una única excepción opcional: Análisis con IA (una función Pro, desactivada por defecto) envía los totales agregados por categoría de ese mes — nunca transacciones individuales — a nuestro proveedor de IA, y solo cuando tú la activas. Detalle más abajo.
- Sí recogemos analítica de producto anónima (vistas de página, toques, flujo entre pantallas) a través de PostHog para entender cómo se usan la app y la web. Sin identidad asociada. Detalle completo más abajo.
- Borras la app y los datos locales se van con ella; si guardaste una copia en iCloud, queda en tu propio iCloud hasta que la borres allí. Los eventos anónimos ya enviados no se pueden vincular a ti.
Qué recogemos
Ninguno de tus datos financieros. Ninguno de tus datos personales.
Salvo la función opcional de Análisis con IA descrita más abajo, la app
hace cero llamadas de red sobre tus transacciones, deudas, gastos
recurrentes, presupuestos o categorías — ese contenido se queda en tu
dispositivo dentro de budget-planner.db. Tus transacciones
individuales nunca se transmiten a nosotros ni a nadie más. Tampoco te
pedimos, generamos ni guardamos tu
nombre, correo, teléfono, dirección, fecha de nacimiento, DNI, dirección
IP, ubicación precisa ni ningún otro identificador que pudiera usarse
para reconocerte como persona concreta.
Analítica de producto anónima. Penno usa PostHog para recoger datos de uso agregados y anónimos — tanto en la web (getpenno.com) como dentro de la app. Así vemos qué pantallas se usan, qué funciones importan y dónde se atasca la experiencia. En concreto:
- Eventos: vistas de pantalla, toques, flujo de navegación, versión de la app, versión del sistema, idioma, tipo de dispositivo.
- Sin identidad: no llamamos a la API
identifyde PostHog. No se crea ningún perfil de persona (personProfiles: 'identified_only'). PostHog genera automáticamente un ID anónimo de dispositivo, aleatorio, guardado localmente — no podemos vincularlo contigo, y tú puedes resetearlo borrando la app. - Sin datos personales: sin correo, sin nombre, sin teléfono, sin ubicación precisa, sin guardar la dirección IP en nuestro lado. PostHog descarta la IP después de geolocalizarla a nivel de país.
No usamos Plaid, Firebase, Mixpanel, Amplitude, Segment, AdMob, Meta Audience Network ni ningún SDK de publicidad o broker de datos. PostHog es el único recolector externo dentro del binario, y su alcance es el que se acaba de describir.
Puedes comprobar por tu cuenta qué sale del dispositivo. El informe de
privacidad de Apple en tu propio dispositivo mostrará conexiones
salientes a r.getpenno.com (nuestro proxy inverso de
PostHog), a ai.getpenno.com solo si usas Análisis con IA,
y a servicios propios de Apple — nada más.
Análisis con IA (opcional)
Análisis con IA es una función opcional incluida con el desbloqueo único de Penno Pro. Permanece desactivada hasta que la abres, y la primera vez que la ejecutas Penno te pide tu consentimiento explícito. Si nunca la activas, nada de esta sección te afecta y ningún dato financiero sale de tu dispositivo.
Cuando tocas «Analizar este mes» y aceptas el aviso, Penno envía un resumen del mes seleccionado a nuestro proveedor de IA para generar los análisis escritos:
- Qué se envía: el gasto por categoría y los totales de presupuesto del mes, tus totales del mes (gastado, presupuestado, ingresos), el gasto total del mes anterior, y los nombres e importes de tus gastos recurrentes activos.
- Qué nunca se envía: tus transacciones individuales, sus notas, sus fechas ni ningún detalle línea a línea — solo las cifras agregadas de arriba.
- Cómo viaja: la petición va a nuestro propio proxy en
ai.getpenno.com, que la reenvía a la API Gemini de Google para generar esa única respuesta. Nosotros no la guardamos, y tu petición se envía sin ningún nombre, correo ni identificador de cuenta. - Sin contenido en la analítica: solo registramos metadatos operativos anónimos de cada petición (modelo de IA, recuento de tokens, coste, latencia, éxito o fallo) en PostHog — nunca las cifras enviadas ni el análisis devuelto.
Los análisis generados por IA son solo informativos y no constituyen asesoramiento financiero.
Qué guardamos
Tus datos de presupuesto — categorías, transacciones, gastos
recurrentes, deudas, pagos de deudas y ajustes — se guardan
localmente en tu dispositivo, en un archivo SQLite llamado
budget-planner.db. El archivo vive en el contenedor
de la app Penno, dentro de tu dispositivo.
Apple iOS incluirá automáticamente ese contenedor en tu copia de iCloud si tienes activada la Copia en iCloud. Eso es comportamiento del propio iOS, no algo que Penno controle. Puedes excluir a Penno de la Copia en iCloud desde los ajustes de iCloud de tu dispositivo si lo prefieres.
Aparte de eso, Penno ofrece una copia de seguridad en iCloud opcional que tú controlas. Cuando la activas en Ajustes → iCloud y tocas Hacer copia, Penno guarda un único archivo de copia en tu propia cuenta de iCloud; al tocar Restaurar, lo trae de vuelta. Las dos son acciones manuales que haces tú — no hay subida automática ni en segundo plano. El archivo de copia vive solo en tu propio iCloud; Penno nunca lo recibe ni puede leerlo, y puedes borrarlo de tu iCloud en cualquier momento.
Notificaciones
Penno programa notificaciones locales en tu dispositivo — por ejemplo, un recordatorio el día antes de un cobro recurrente o un toque sobre una deuda que lleva tiempo sin moverse. Las programa el propio sistema de notificaciones de iOS; no hace falta ningún push desde servidor.
Si das permiso de notificaciones durante el onboarding, lo único que hay implicado es el plan local en tu dispositivo. Nada se envía a Penno ni a terceros.
Exportar y compartir
Cuando exportas tus datos a un archivo CSV o XLSX desde la función Exportar dentro de la app, el archivo se crea en tu dispositivo y se entrega a la hoja para compartir del sistema. Desde ahí, eres tú quien decide adónde va — Archivos, iCloud Drive, correo, AirDrop o cualquier otro destino disponible en tu dispositivo.
Penno por sí sola no envía el archivo a ningún sitio. Los datos salen de la app solo cuando tú lo decides a través de la hoja para compartir.
Terceros
No vendemos, alquilamos ni compartimos tus datos financieros con nadie. Sencillamente, no los tenemos; no hay nada que compartir.
Los terceros implicados en el funcionamiento de Penno son:
- Apple Inc. — aloja la app en la App Store y opera la plataforma iOS subyacente. Se rige por la política de privacidad de Apple.
-
PostHog Inc. — recibe la analítica de producto
anónima descrita arriba. Los datos se alojan en el US Cloud de
PostHog y se enrutan a través de nuestro proxy inverso en
r.getpenno.com. Se rige por la política de privacidad de PostHog y su adenda de tratamiento de datos. - RevenueCat, Inc. — procesa la compra única dentro de la app. Recibe el recibo de compra de la App Store y un ID anónimo y aleatorio de usuario de la app que genera él mismo (sin nombre, sin correo ni datos financieros) para que tu desbloqueo pueda validarse y restaurarse. Se rige por la política de privacidad de RevenueCat.
- Google LLC — proporciona el modelo de IA Gemini que está detrás de la función opcional de Análisis con IA. Solo cuando usas esa función, el resumen mensual agregado descrito arriba se envía a la API Gemini de Google a través de nuestro proxy para generar la respuesta. Se rige por la política de privacidad de Google y los términos de la API Gemini.
Cookies y seguimiento
La página de Penno (getpenno.com) deja un pequeño conjunto de cookies propias y entradas en local storage que PostHog usa para (a) atar entre sí los eventos de una misma sesión de navegación y (b) deduplicar visitantes únicos a lo largo del tiempo. No se usan para publicidad y no se comparten con ninguna red publicitaria. No hay cookies publicitarias de terceros, ni Pixel de Facebook, ni etiqueta de Google Ads.
La app móvil no usa identificadores publicitarios (sin IDFA, sin equivalentes a IDFA). PostHog dentro de la app usa un ID anónimo de dispositivo, aleatorio, guardado en el propio sandbox de la app; se resetea al borrar la app.
Cómo desactivarlo: la app no usa identificadores
publicitarios, así que no hay aviso de App Tracking Transparency y
Penno no aparece en Ajustes de iOS > Privacidad y seguridad >
Seguimiento. Para detener la analítica anónima de la app, borra la
app — eso elimina el ID anónimo de dispositivo guardado localmente.
En la web puedes usar las herramientas del navegador (Do Not Track,
modo privado, bloqueadores de contenido) para bloquear las peticiones
a r.getpenno.com; la web sigue funcionando perfectamente
sin analítica.
Menores
Penno no va dirigida a menores. No recogemos a sabiendas ningún dato de menores. Como tampoco recogemos datos de nadie, lo que se aplica a los menores es exactamente lo mismo que se aplica al resto — no hay un canal especial para datos de menores.
Tus derechos
Tus datos financieros viven en tu dispositivo, completamente bajo tu control. Puedes:
- Editar cualquier entrada desde la propia app
- Exportar todos los datos con la función Exportar de la app
- Borrar la app para eliminar todos los datos locales
Sobre la analítica anónima de PostHog descrita arriba: como no hay ninguna identidad asociada, no tenemos manera de buscar «tus» eventos en el servidor. Lo que sí puedes hacer es bloquear la analítica por completo:
-
Web: bloquea las peticiones a
r.getpenno.comcon el bloqueador de contenido del navegador, navega en modo privado/incógnito o activa Do Not Track. - App: la app no muestra ningún aviso de seguimiento y no usa identificadores publicitarios, así que no aparece en Ajustes de iOS > Privacidad y seguridad > Seguimiento. Para detener la analítica de la app, bórrala — eso elimina el ID anónimo de dispositivo guardado localmente.
Si crees que los eventos de tu dispositivo concreto deberían borrarse del lado de PostHog, escríbenos al correo de más abajo con la franja horaria aproximada y emitiremos una petición de borrado a PostHog. Como los eventos son anónimos, puede que no podamos aislar los tuyos, pero colaboraremos de buena fe.
Cambios en esta política
Si cambiamos esta política de forma material, actualizaremos esta página y la fecha de entrada en vigor de arriba. Son cambios materiales los que afectan a cómo se tratan los datos de la app; los no materiales son aclaraciones o erratas.
Contacto
Cualquier duda sobre privacidad: [email protected].