Política de Privacidad

Fecha de entrada en vigor: 16 de enero de 2026
Última actualización: 1 de julio de 2026

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

NOVA V
Onze Lieve Vrouwestraat 63
8770 Ingelmunster
Belgium
Número de empresa (KBO): 1026.507.349
IVA: BE 1026.507.349

Correo electrónico: hello@briliza.com

Hemos evaluado nuestro tratamiento conforme al artículo 37 del RGPD y hemos concluido que no estamos obligados a nombrar a un delegado de protección de datos: nuestras actividades principales no consisten en el tratamiento a gran escala de categorías especiales de datos, ni en la observación habitual y sistemática a gran escala de personas. Mantenemos esta evaluación en revisión a medida que el Servicio crece. Para cualquier consulta relacionada con la privacidad, contáctanos en la dirección de correo electrónico indicada arriba.

2. Ámbito de aplicación

Esta Política de Privacidad se aplica a la plataforma de finanzas personales BRILIZA (el "Servicio") y describe cómo recopilamos, usamos, comunicamos y protegemos tus datos personales, de conformidad con:

  • El Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, "RGPD")
  • La Ley belga de 30 de julio de 2018 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales
  • La Directiva 2002/58/CE (Directiva sobre la privacidad electrónica) tal como se ha transpuesto al Derecho belga

Este Servicio está destinado exclusivamente a usuarios situados en la Unión Europea y el Espacio Económico Europeo (UE/EEE). Al usar el Servicio, confirmas que te encuentras dentro de la UE/EEE.

3. Categorías de datos personales que recopilamos

Recopilamos y tratamos las siguientes categorías de datos personales:

3.1 Datos de la cuenta

  • Dirección de correo electrónico
  • Contraseña (cifrada de forma criptográfica; nunca almacenamos tu contraseña en texto plano ni tenemos acceso a ella)
  • Fecha de creación de la cuenta

3.2 Datos financieros

  • Identificadores de cuentas bancarias (nombres de cuenta, IBAN, BIC)
  • Saldos de las cuentas
  • Datos de transacciones (fechas, importes, descripciones, nombres e IBAN de las contrapartes, conceptos)
  • Categorías y asignaciones de tu plan de gasto
  • Inversiones y operaciones de inversión

3.3 Datos técnicos

  • Tokens de autenticación (cookies de sesión)
  • Preferencias guardadas en el navegador (localStorage), consulta la sección 8.3
  • Métricas de rendimiento anonimizadas (tiempos de carga mediante Web Vitals)
  • Datos de uso e interacción seudonimizados: páginas visitadas, clics, desplazamientos y grabaciones de sesión enmascaradas (consulta la sección 8.2)
  • Ubicación aproximada (solo el país), derivada de tu dirección IP por nuestros proveedores de analítica; la propia dirección IP no la conservamos

Datos que NO recopilamos: No te seguimos por otros sitios web, no creamos perfiles publicitarios ni de marketing y no usamos identificadores persistentes entre sitios. No recopilamos la ubicación precisa (GPS) ni datos biométricos. Nuestros proveedores de analítica tratan tu dirección IP solo de forma momentánea, para derivar tu país aproximado y contar visitas, pero no almacenamos tu dirección IP ni la usamos para identificarte.

4. Finalidades y base jurídica del tratamiento

Tratamos tus datos personales para las siguientes finalidades, cada una con una base jurídica específica según el artículo 6(1) del RGPD:

FinalidadBase jurídicaCategorías de datos
Creación de la cuenta y autenticaciónEjecución del contrato (art. 6(1)(b))Datos de la cuenta
Prestación del servicio de gestión de finanzas personalesEjecución del contrato (art. 6(1)(b))Datos financieros, datos de la cuenta
Sincronización de cuentas bancarias mediante Open BankingEjecución del contrato (art. 6(1)(b))Datos financieros
Categorización e información con IA (una función que eliges usar)Interés legítimo (art. 6(1)(f))Resúmenes financieros agregados y anonimizados
Supervisión del rendimiento del ServicioInterés legítimo (art. 6(1)(f))Datos técnicos anonimizados
Analítica de uso sin cookies (páginas vistas, país, grabaciones de sesión enmascaradas)Interés legítimo (art. 6(1)(f))Datos de uso seudonimizados
Analítica ampliada con cookies (vincular páginas vistas dentro de una visita, embudos)Consentimiento (art. 6(1)(a))Identificadores de cookies de analítica
Responder a consultas de soporteEjecución del contrato (art. 6(1)(b))Datos de la cuenta, contenido de la consulta
Cumplimiento de obligaciones legalesObligación legal (art. 6(1)(c))Según lo exija la ley

Evaluación del interés legítimo: Para la supervisión del rendimiento, la analítica de uso sin cookies (incluidas las grabaciones de sesión enmascaradas) y la categorización e información asistidas por IA, nuestro interés legítimo es entender cómo se usa el Servicio y ayudarte a comprender tus finanzas, para poder detectar y corregir problemas y mejorar el Servicio. Lo hemos ponderado frente a tu privacidad y minimizamos el impacto: en este modo no se instalan cookies para analítica, toda la entrada de texto y el contenido sensible se enmascaran, las grabaciones están seudonimizadas y no se vinculan entre visitas, solo se envían a nuestro proveedor de IA resúmenes agregados y anonimizados (nunca transacciones individuales), y nada de esto se usa para identificarte ni para tomar decisiones que te afecten. Puedes oponerte en cualquier momento: elegir "Rechazar todo" en la configuración de cookies detiene la analítica con grabaciones de sesión para ti, puedes rechazar las cookies de analítica ahí, y puedes optar por no usar las funciones de IA o contactarnos para oponerte.

5. Obligación de facilitar datos

Datos obligatorios: Facilitar tu dirección de correo electrónico y tu contraseña es necesario para crear una cuenta y usar el Servicio. Sin estos datos no podemos prestarte el Servicio.

Datos opcionales: Vincular cuentas bancarias e introducir datos financieros es voluntario. Sin embargo, sin estos datos no estarán disponibles ciertas funciones del Servicio (como la importación automática de transacciones y la información).

6. Destinatarios y encargados del tratamiento

Compartimos tus datos personales con las siguientes categorías de destinatarios, que actúan como encargados del tratamiento en virtud de acuerdos escritos que cumplen el artículo 28 del RGPD:

Supabase Inc.

Finalidad: Alojamiento de la base de datos, autenticación de usuarios y almacenamiento de datos

Datos tratados: Todos los datos de la cuenta y financieros

Ubicación: Unión Europea (París, Francia, eu-west-3)

Garantías: Datos cifrados en reposo (AES-256) y en tránsito (TLS 1.3)

GoCardless Ltd (que opera como Nordigen)

Finalidad: Conectividad de Open Banking (proveedor de servicios de información sobre cuentas en virtud de la PSD2)

Datos tratados: Identificadores de cuentas bancarias, historial de transacciones (al que se accede mediante la API de tu banco con tu autorización)

Ubicación: Reino Unido (GoCardless Ltd, autorizada por la Financial Conduct Authority del Reino Unido). El Reino Unido se beneficia de una decisión de adecuación de la Comisión Europea.

Nota: Nunca recibimos ni almacenamos las credenciales de acceso a tu banco. La autenticación se realiza directamente con tu banco.

Google LLC (Google Generative AI / Gemini)

Finalidad: Información financiera y categorización de transacciones con IA

Datos tratados: Resúmenes financieros agregados y anonimizados (no transacciones individuales con datos identificativos)

Ubicación: Estados Unidos y otros países

Garantías: Cláusulas contractuales tipo (CCT) aprobadas por la Comisión Europea

Vercel Inc.

Finalidad: Alojamiento de la aplicación, analítica web y supervisión del rendimiento

Datos tratados: Datos de páginas vistas (páginas visitadas, referente, país aproximado); métricas de rendimiento de Web Vitals (tiempos de carga). Tu dirección IP se trata de forma momentánea para derivar el país y contar visitas únicas, pero no se almacena ni se comparte, y no se usan identificadores entre sitios.

Ubicación: Global con nodos perimetrales en la UE

Garantías: Cláusulas contractuales tipo (CCT)

Microsoft Corporation (Clarity)

Finalidad: Analítica del comportamiento en el sitio web (mapas de calor, grabaciones de sesión, análisis de profundidad de desplazamiento) para mejorar la experiencia de usuario

Datos tratados: Datos de interacción seudonimizados (clics, desplazamientos, movimientos del ratón, navegación entre páginas) y grabaciones de sesión enmascaradas. Todos los campos de entrada de texto, las cifras y demás contenido sensible se enmascaran automáticamente, de modo que las grabaciones capturan patrones de interacción y no tus datos financieros. El país aproximado se deriva de tu dirección IP; la dirección IP no se conserva.

Ubicación: Global (infraestructura de Microsoft Azure)

Garantías: Cláusulas contractuales tipo (CCT); enmascaramiento automático de toda la entrada de texto y el contenido sensible; sin cookies de forma predeterminada (cookies solo tras el consentimiento)

Resend Inc.

Finalidad: Envío de correo transaccional para las notificaciones del formulario de contacto

Datos tratados: Nombre, dirección de correo electrónico y contenido del mensaje de los formularios de contacto enviados

Ubicación: Estados Unidos

Garantías: Cláusulas contractuales tipo (CCT)

No vendemos, alquilamos ni intercambiamos tus datos personales con terceros. No compartimos tus datos con anunciantes ni con intermediarios de datos.

7. Transferencias internacionales de datos

Tus datos de la cuenta y financieros se almacenan dentro del Espacio Económico Europeo (Supabase, región de la UE). Sin embargo, algunos encargados tratan datos fuera del EEE: Google, Vercel, Microsoft y Resend (Estados Unidos), y GoCardless (Reino Unido).

Para estas transferencias nos basamos en:

  • Decisión de adecuación: el Reino Unido está cubierto por una decisión de adecuación de la Comisión Europea, por lo que las transferencias a GoCardless no requieren garantías adicionales
  • Cláusulas contractuales tipo (CCT) adoptadas por la Comisión Europea en virtud de la Decisión 2021/914, para las transferencias a Estados Unidos (Google, Vercel, Microsoft, Resend)
  • Medidas complementarias adicionales cuando sea necesario, incluidos el cifrado y los controles de acceso

Puedes solicitar una copia de las garantías pertinentes contactándonos.

8. Cookies y tecnologías similares

Usamos las siguientes cookies y mecanismos de almacenamiento:

8.1 Cookies estrictamente necesarias

Estas cookies son esenciales para que el Servicio funcione y no se pueden desactivar.

CookieFinalidadDuración
Token de autenticación de SupabaseTe mantiene con la sesión iniciadaSesión (gestionada por Supabase)
localeRecuerda el idioma que has elegido1 año

Base jurídica: Estas cookies están exentas del requisito de consentimiento en virtud del artículo 5(3) de la Directiva sobre la privacidad electrónica, ya que son estrictamente necesarias para prestar el servicio que has solicitado.

8.2 Analítica y rendimiento

Usamos las siguientes herramientas de analítica para entender cómo usan nuestro sitio web los visitantes y para mejorar la experiencia de usuario:

  • Vercel Web Analytics: Analítica de páginas vistas sin cookies. Recopila datos anónimos sobre las páginas visitadas, el referente y el país. No se almacenan datos personales ni direcciones IP.
  • Vercel Speed Insights: Recopila métricas de rendimiento anonimizadas (Core Web Vitals) para ayudarnos a mejorar los tiempos de carga. No identifica a usuarios individuales.
  • Microsoft Clarity: Ofrece mapas de calor, análisis de profundidad de desplazamiento y grabaciones de sesión enmascaradas para que podamos ver cómo usa el sitio la gente y corregir problemas de usabilidad. Toda la entrada de texto y el contenido sensible se enmascaran automáticamente. De forma predeterminada, Clarity funciona en un modo sin cookies: no instala cookies, trata cada página vista como una sesión independiente y no vincula tu actividad entre páginas vistas ni visitas. Elegir "Aceptar todo" permite que Clarity instale además cookies propias que vinculan tus páginas vistas en un único recorrido, reconocen las visitas recurrentes y habilitan los embudos. Clarity graba sesiones en ambos modos; las cookies afectan a la vinculación, no a si se realiza una grabación.

Base jurídica (analítica sin cookies): Interés legítimo (art. 6(1)(f) del RGPD). Vercel Web Analytics, Vercel Speed Insights y el modo sin cookies de Clarity no instalan cookies y solo tratan datos seudonimizados y enmascarados que no se vinculan entre visitas, por lo que funcionan en virtud de nuestro interés legítimo en mejorar el Servicio. Para oponerte: elegir "Rechazar todo" en la configuración de cookies hace que Microsoft Clarity (incluidas las grabaciones de sesión) no se cargue para ti. La analítica de Vercel es sin cookies y agregada y no te identifica de forma individual; puedes evitarla con un navegador o una extensión que bloquee rastreadores, y puedes plantearnos cualquier oposición en virtud del artículo 21 en la dirección de correo electrónico indicada arriba.

Base jurídica (analítica basada en cookies): Consentimiento (art. 6(1)(a) del RGPD y art. 5(3) de la Directiva sobre la privacidad electrónica). Las cookies de analítica propias de Clarity se instalan solo después de que des tu consentimiento mediante "Aceptar todo". Puedes retirar tu consentimiento en cualquier momento; retirarlo es tan fácil como darlo.

Ninguna de estas herramientas te sigue por otros sitios web, recopila tus datos financieros personales ni comparte datos con anunciantes.

8.3 Almacenamiento local

Usamos el almacenamiento local de tu navegador para recordar tus preferencias y elecciones. Esta información permanece en tu dispositivo, nunca se envía a anunciantes y no se usa para seguirte. Almacenamos lo siguiente, agrupado por finalidad:

Qué almacenamosFinalidad¿Se borra al cerrar sesión?
Selección actualQué cuentas, propietarios y banco estás viendo en este momento
Preferencias de visualizaciónCómo se ve la aplicación para ti: estilo de avatar, modo de difuminado de privacidad (demo), navegación móvilNo
Interruptores de funcionesFunciones opcionales que has activado o desactivadoNo
Ajustes de herramientas y vistasTus ajustes dentro de las herramientas de planificación y de informes: opciones de gráficos, periodos seleccionados, datos del planificadorNo
Elección de cookiesTu decisión sobre las cookies de analítica, para no volver a preguntárteloNo
Datos en caché e indicadoresIndicadores de configuración y datos de referencia en caché para que la aplicación cargue más rápidoNo

Los elementos que no se borran al cerrar sesión permanecen en tu dispositivo hasta que borres los datos de tu navegador. Nada de esto se comparte con nosotros como dato personal más allá de lo descrito en otras partes de esta política.

9. Conservación de los datos

Conservamos tus datos personales según los siguientes criterios:

Categoría de datosPeriodo de conservación
Datos de la cuenta y financierosMientras dure tu cuenta, más 30 días tras la solicitud de eliminación
Registros de autenticaciónSe conservan solo el tiempo necesario para la seguridad y la prevención del fraude
Copias de seguridadSe eliminan en un plazo de 90 días tras la eliminación de la cuenta
Correspondencia de soporte2 años tras la resolución (por cumplimiento legal)

Cuando solicitas la eliminación de tu cuenta (escribiéndonos por correo electrónico), revocamos todas las conexiones bancarias e iniciamos la eliminación permanente de tus datos personales. El borrado completo se produce en un plazo de 30 días, y las copias de seguridad se eliminan en un plazo de 90 días.

10. Tus derechos en virtud del RGPD

Tienes los siguientes derechos respecto a tus datos personales:

  • Derecho de acceso (art. 15): Obtener confirmación de si tratamos tus datos y recibir una copia de ellos.
  • Derecho de rectificación (art. 16): Solicitar la corrección de datos personales inexactos.
  • Derecho de supresión (art. 17): Solicitar la eliminación de tus datos personales ("derecho al olvido").
  • Derecho de limitación (art. 18): Solicitar que limitemos cómo tratamos tus datos.
  • Derecho a la portabilidad (art. 20): Recibir tus datos en un formato estructurado, de uso común y de lectura mecánica.
  • Derecho de oposición (art. 21): Oponerte al tratamiento basado en intereses legítimos.
  • Derecho a retirar el consentimiento (art. 7(3)): Cuando el tratamiento se base en el consentimiento, retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo.

Cómo ejercer tus derechos: Contáctanos en hello@briliza.com. Responderemos en un plazo de 30 días. Si tu solicitud es compleja, podemos ampliar este plazo hasta 60 días adicionales, en cuyo caso te informaremos de la ampliación y de los motivos.

Verificación de identidad: Para proteger tu privacidad, podemos solicitar información para verificar tu identidad antes de tramitar tu solicitud.

11. Decisiones automatizadas y elaboración de perfiles

Usamos IA (Google Generative AI) para ayudar con la categorización de transacciones y generar información financiera. Este tratamiento:

  • Ofrece únicamente sugerencias; siempre puedes anular manualmente cualquier categoría generada por la IA
  • No produce efectos jurídicos ni te afecta de modo similarmente significativo
  • Se basa en patrones financieros agregados, no en la elaboración de perfiles individuales para discriminación o decisiones de crédito

No realizamos decisiones automatizadas que produzcan efectos jurídicos sobre ti o que te afecten de modo similarmente significativo en el sentido del artículo 22 del RGPD.

12. Seguridad de los datos

Aplicamos medidas técnicas y organizativas adecuadas para proteger tus datos personales frente al acceso, la alteración, la divulgación o la destrucción no autorizados, entre ellas:

  • Cifrado en tránsito: TLS 1.3 para toda la transmisión de datos
  • Cifrado en reposo: cifrado AES-256 para los datos almacenados
  • Autenticación: hashing seguro de contraseñas (bcrypt), cookies de sesión httpOnly
  • Control de acceso: políticas de seguridad a nivel de fila que garantizan que los usuarios solo accedan a sus propios datos
  • Cabeceras de seguridad: Content Security Policy (CSP), protección contra XSS, prevención de clickjacking
  • Sin almacenamiento de credenciales: las credenciales de acceso al banco nunca se nos transmiten ni las almacenamos

A pesar de estas medidas, ningún método de transmisión por internet ni de almacenamiento electrónico es 100% seguro. No podemos garantizar una seguridad absoluta, pero nos comprometemos a abordar con prontitud cualquier incidente de seguridad.

13. Notificación de violaciones de datos

En caso de una violación de la seguridad de los datos personales que pueda entrañar un riesgo para tus derechos y libertades, lo notificaremos a la Autoridad de Protección de Datos belga (Gegevensbeschermingsautoriteit) en un plazo de 72 horas desde que tengamos conocimiento de ella, tal como exige el artículo 33 del RGPD. Si la violación puede entrañar un alto riesgo para tus derechos y libertades, también te lo notificaremos directamente sin dilación indebida, tal como exige el artículo 34 del RGPD.

14. Privacidad de los menores

El Servicio no está destinado a personas menores de 18 años. No recopilamos conscientemente datos personales de menores. Si crees que hemos recopilado por error datos de un menor, contáctanos de inmediato para que podamos eliminarlos.

15. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas, requisitos legales u otros motivos operativos. Cuando hagamos cambios sustanciales:

  • Actualizaremos la fecha de "Última actualización" en la parte superior de esta política
  • Para cambios importantes que afecten a tus derechos, te lo notificaremos por correo electrónico con al menos 30 días de antelación a su entrada en vigor
  • Cuando la ley lo exija, obtendremos tu consentimiento para los cambios sustanciales

Te animamos a revisar esta política periódicamente. Si sigues usando el Servicio después de que los cambios entren en vigor, ello constituye la aceptación de la política revisada, salvo cuando se requiera consentimiento.

16. Derecho a presentar una reclamación

Si consideras que nuestro tratamiento de tus datos personales infringe el RGPD, tienes derecho a presentar una reclamación ante una autoridad de control.

Para Bélgica, la autoridad competente es:

Gegevensbeschermingsautoriteit (GBA)
Drukpersstraat 35
1000 Brussels
Belgium

Sitio web: www.gegevensbeschermingsautoriteit.be
Correo electrónico: contact@apd-gba.be

También puedes presentar una reclamación ante la autoridad de control del Estado miembro de la UE de tu residencia habitual o de tu lugar de trabajo.

17. Disposiciones varias

17.1 Legislación aplicable

Esta Política de Privacidad y cualquier controversia que se derive de ella se rigen por la legislación belga, sin tener en cuenta los principios de conflicto de leyes. Esta elección de la ley aplicable no te priva de la protección que ofrecen las disposiciones que no pueden excluirse mediante acuerdo con arreglo a la ley de tu país de residencia habitual.

17.2 Divisibilidad

Si un tribunal competente declara inválida o inaplicable alguna disposición de esta Política de Privacidad, dicha disposición se limitará o se eliminará en la medida mínima necesaria, y las disposiciones restantes seguirán en pleno vigor y efecto.

17.3 Ausencia de renuncia

El hecho de que no exijamos el cumplimiento de algún derecho o disposición de esta Política de Privacidad no constituirá una renuncia a ese derecho o disposición.

17.4 Idioma

Esta Política de Privacidad está disponible en inglés, neerlandés y español. En caso de conflicto entre la versión en inglés y una traducción, prevalecerá la versión en inglés, sin perjuicio de cualquier derecho imperativo que tengas a acogerte a la versión en tu propia lengua conforme a la legislación de protección de datos y de protección de los consumidores de tu país de residencia.

18. Contáctanos

Para cualquier pregunta sobre esta Política de Privacidad o nuestras prácticas de datos, contacta con:

NOVA V
Onze Lieve Vrouwestraat 63
8770 Ingelmunster
Belgium
Número de empresa (KBO): 1026.507.349
IVA: BE 1026.507.349

Correo electrónico: hello@briliza.com