Tus datos en Chequea (ARCO)
Chequea opera el Banco de Datos Personales PN-2026-79 inscrito ante la Autoridad de Protección de Datos Personales (APDP). Como titular de tus datos, la Ley 29733 te otorga cuatro derechos — Acceso, Rectificación, Cancelación, Oposición — y la API expone los dos más operativos directamente.
Auto-servicio vía API
Sección titulada «Auto-servicio vía API»| Derecho | Endpoint | Estado |
|---|---|---|
| Acceso (descargar todo) | GET /v1/me/export | ✅ |
| Cancelación (borrar cuenta) | DELETE /v1/me | ✅ |
| Rectificación (corregir) | PATCH /v1/me | ✅ |
| Oposición | escribe a privacidad@chequea.pe | manual |
Todos requieren JWT del propio usuario (no API key). Los endpoints están disponibles también desde el dashboard en chequea.pe/legal/arco.
GET /v1/me/export — Acceso
Sección titulada « GET /v1/me/export — Acceso»Descarga todo lo que Chequea sabe de vos en un JSON único.
curl https://api.chequea.pe/api/v1/me/export \ -H "Authorization: Bearer <JWT>" \ -o mis-datos-chequea.json| Método | GET |
| Auth | JWT (no API key) |
| Throttle | 1 export cada 24 h por usuario |
| Formato | JSON (UTF-8) |
Estructura del payload
Sección titulada «Estructura del payload»{ "exportedAt": "2026-05-20T17:00:00.000Z", "format": "v1", "compliance": { "registroAPDP": "PN-2026-79", "constancia": "INS-2026-XXXX", "responsableTratamiento": { "nombre": "...", "documento": "...", "email": "...", "domicilio": "..." }, "transferenciasInternacionales": [ { "pais": "EE.UU.", "entidad": "Cloudflare, Inc.", "finalidad": "CDN + edge runtime" }, { "pais": "EE.UU.", "entidad": "Supabase, Inc.", "finalidad": "DB + auth" } ], "comoEjercerARCO": "https://chequea.pe/legal/arco · privacidad@chequea.pe" }, "user": { /* perfil */ }, "auth": { "profile": {}, "identities": [], "sessions": [], "mfaFactors": [], "pendingTokens": [], "oauthAuthorizations": [] }, "apiKeys": [ /* tus keys, sin secretos */ ], "subscription": { /* tu plan + historia */ }, "webhooks": [ /* endpoints + últimas entregas */ ], "auditLog": [ /* hasta 10.000 eventos, últimos 12 meses */ ], "currentUsage": { "monthlyQuota": {}, "rateLimitRpm": 600 }, "_meta": { "truncated": { "auditLog": false } }}Throttle
Sección titulada «Throttle»Para evitar abuso del endpoint (es caro), está limitado a 1 export cada 24 horas. Si pedís uno antes, responde 429 Too Many Requests con Retry-After en segundos.
DELETE /v1/me — Cancelación
Sección titulada « DELETE /v1/me — Cancelación»Borra tu cuenta de forma permanente. Esta acción no se puede deshacer.
curl -X DELETE https://api.chequea.pe/api/v1/me \ -H "Authorization: Bearer <JWT>" \ -H "Content-Type: application/json" \ -d '{ "confirmation": "BORRAR MI CUENTA" }'| Método | DELETE |
| Auth | JWT (no API key) |
| Body | { "confirmation": "BORRAR MI CUENTA" } (literal exacto, sin tildes opcionales) |
| Respuesta éxito | 204 No Content |
| Idempotencia | Segunda llamada → 410 Gone con la fecha original de borrado |
Qué pasa exactamente
Sección titulada «Qué pasa exactamente»En el momento de la llamada (síncrono):
- Soft-delete del usuario — se setea
users.deleted_at. La cuenta queda inaccesible. - Revocación de API keys — todas tus keys quedan inválidas; las próximas requests con esas keys responden
401. - Borrado de sesiones —
auth.sessionsyauth.refresh_tokensse eliminan. Cualquier dispositivo con sesión activa pierde acceso al refrescar. - Borrado de auth.users — CASCADE elimina
identities,mfa_factors, autorizaciones OAuth. - Revocación del JWT actual — el token con el que hiciste el
DELETEqueda en denylist; no podés usarlo otra vez. - Anonimización del audit log — las filas históricas conservan timestamps y acciones (para fiscalización APDP) pero los campos
user_id,ip,user_agentquedan enNULL.
A los 30 días (cron PurgeDeletedAccounts):
- Purge físico — la fila de
usersse elimina, igual que cualquier dato remanente (webhooks, intentos de delivery, snapshots de suscripción).
La ventana de 30 días existe para reversión por error o disputa. Si necesitás reactivar antes de los 30 días, escribí a privacidad@chequea.pe con prueba de identidad.
Códigos de error
Sección titulada «Códigos de error»| Código | type | Cuándo |
|---|---|---|
400 | validation_error | La frase de confirmation no coincide exactamente |
401 | unauthorized | JWT inválido o expirado |
410 | gone | La cuenta ya fue borrada antes (incluye deletedAt) |
Rectificación y Oposición
Sección titulada «Rectificación y Oposición»- Rectificación: usá
PATCH /v1/meo el dashboard para editar tus datos. - Oposición: escribí a
privacidad@chequea.peindicando qué tratamiento querés que se detenga. Te respondemos dentro de los plazos legales (Ley 29733).
Brechas y notificación
Sección titulada «Brechas y notificación»Si detectamos una brecha que afecte datos personales, notificamos a la APDP y a los titulares afectados dentro de 48 horas, conforme al DS 016-2024-JUS.