Ir al contenido

Tus datos en Chequea (ARCO)

Chequea opera el Banco de Datos Personales PN-2026-79 inscrito ante la Autoridad de Protección de Datos Personales (APDP). Como titular de tus datos, la Ley 29733 te otorga cuatro derechos — Acceso, Rectificación, Cancelación, Oposición — y la API expone los dos más operativos directamente.

DerechoEndpointEstado
Acceso (descargar todo)GET /v1/me/export
Cancelación (borrar cuenta)DELETE /v1/me
Rectificación (corregir)PATCH /v1/me
Oposiciónescribe a privacidad@chequea.pemanual

Todos requieren JWT del propio usuario (no API key). Los endpoints están disponibles también desde el dashboard en chequea.pe/legal/arco.


Descarga todo lo que Chequea sabe de vos en un JSON único.

Ventana de terminal
curl https://api.chequea.pe/api/v1/me/export \
-H "Authorization: Bearer <JWT>" \
-o mis-datos-chequea.json
MétodoGET
AuthJWT (no API key)
Throttle1 export cada 24 h por usuario
FormatoJSON (UTF-8)
{
"exportedAt": "2026-05-20T17:00:00.000Z",
"format": "v1",
"compliance": {
"registroAPDP": "PN-2026-79",
"constancia": "INS-2026-XXXX",
"responsableTratamiento": { "nombre": "...", "documento": "...", "email": "...", "domicilio": "..." },
"transferenciasInternacionales": [
{ "pais": "EE.UU.", "entidad": "Cloudflare, Inc.", "finalidad": "CDN + edge runtime" },
{ "pais": "EE.UU.", "entidad": "Supabase, Inc.", "finalidad": "DB + auth" }
],
"comoEjercerARCO": "https://chequea.pe/legal/arco · privacidad@chequea.pe"
},
"user": { /* perfil */ },
"auth": { "profile": {}, "identities": [], "sessions": [], "mfaFactors": [], "pendingTokens": [], "oauthAuthorizations": [] },
"apiKeys": [ /* tus keys, sin secretos */ ],
"subscription": { /* tu plan + historia */ },
"webhooks": [ /* endpoints + últimas entregas */ ],
"auditLog": [ /* hasta 10.000 eventos, últimos 12 meses */ ],
"currentUsage": { "monthlyQuota": {}, "rateLimitRpm": 600 },
"_meta": { "truncated": { "auditLog": false } }
}

Para evitar abuso del endpoint (es caro), está limitado a 1 export cada 24 horas. Si pedís uno antes, responde 429 Too Many Requests con Retry-After en segundos.


Borra tu cuenta de forma permanente. Esta acción no se puede deshacer.

Ventana de terminal
curl -X DELETE https://api.chequea.pe/api/v1/me \
-H "Authorization: Bearer <JWT>" \
-H "Content-Type: application/json" \
-d '{ "confirmation": "BORRAR MI CUENTA" }'
MétodoDELETE
AuthJWT (no API key)
Body{ "confirmation": "BORRAR MI CUENTA" } (literal exacto, sin tildes opcionales)
Respuesta éxito204 No Content
IdempotenciaSegunda llamada → 410 Gone con la fecha original de borrado

En el momento de la llamada (síncrono):

  1. Soft-delete del usuario — se setea users.deleted_at. La cuenta queda inaccesible.
  2. Revocación de API keys — todas tus keys quedan inválidas; las próximas requests con esas keys responden 401.
  3. Borrado de sesionesauth.sessions y auth.refresh_tokens se eliminan. Cualquier dispositivo con sesión activa pierde acceso al refrescar.
  4. Borrado de auth.users — CASCADE elimina identities, mfa_factors, autorizaciones OAuth.
  5. Revocación del JWT actual — el token con el que hiciste el DELETE queda en denylist; no podés usarlo otra vez.
  6. Anonimización del audit log — las filas históricas conservan timestamps y acciones (para fiscalización APDP) pero los campos user_id, ip, user_agent quedan en NULL.

A los 30 días (cron PurgeDeletedAccounts):

  1. Purge físico — la fila de users se elimina, igual que cualquier dato remanente (webhooks, intentos de delivery, snapshots de suscripción).

La ventana de 30 días existe para reversión por error o disputa. Si necesitás reactivar antes de los 30 días, escribí a privacidad@chequea.pe con prueba de identidad.

CódigotypeCuándo
400validation_errorLa frase de confirmation no coincide exactamente
401unauthorizedJWT inválido o expirado
410goneLa cuenta ya fue borrada antes (incluye deletedAt)

  • Rectificación: usá PATCH /v1/me o el dashboard para editar tus datos.
  • Oposición: escribí a privacidad@chequea.pe indicando qué tratamiento querés que se detenga. Te respondemos dentro de los plazos legales (Ley 29733).

Si detectamos una brecha que afecte datos personales, notificamos a la APDP y a los titulares afectados dentro de 48 horas, conforme al DS 016-2024-JUS.