Política de privacidad
1. Responsable del tratamiento
[[RAZÓN SOCIAL]], NIF [[NIF/CIF]], domicilio en [[DOMICILIO]], correo de contacto en materia de protección de datos: [[EMAIL DPO/PRIVACIDAD]]. [[Delegado de Protección de Datos (DPO), si procede: nombre/contacto.]]
2. Doble rol
Cuando tratamos los datos de quienes contratan y usan la Plataforma (cuenta, facturación), actuamos como responsables del tratamiento. Respecto a los datos personales que nuestros clientes gestionan a través de la Plataforma (datos de sus empleados, clientes y proveedores), actuamos como encargados del tratamiento por cuenta del cliente, según el correspondiente acuerdo de encargo (DPA).
3. Datos que tratamos y finalidades
- Cuenta y autenticación: nombre, email, contraseña (cifrada) — para prestar el servicio.
- Facturación y pago: datos fiscales y de pago — para gestionar la suscripción.
- Uso de la Plataforma: datos técnicos y registros de actividad — para seguridad y mejora del servicio.
- Comunicaciones: email — para notificaciones del servicio y, con tu consentimiento, comerciales.
4. Bases jurídicas
Ejecución del contrato (prestación del servicio, facturación), cumplimiento de obligaciones legales (fiscales, contables), interés legítimo (seguridad, mejora) y consentimiento (para comunicaciones comerciales, revocable en cualquier momento).
5. Conservación
Conservamos los datos mientras exista la relación contractual y, después, durante los plazos legales aplicables (fiscales, mercantiles). Transcurridos, se suprimen o bloquean con medidas de seguridad adecuadas.
6. Encargados y proveedores (subencargados)
Para prestar el servicio recurrimos a proveedores que tratan datos por nuestra cuenta, con contrato de encargo y garantías conforme al RGPD:
- Verifacti (Bilbabit, S.L.): emisión verificable de facturas (Veri*factu) — servidores en la UE.
- Anthropic: lectura/extracción de datos de facturas (OCR) — EE. UU. (SCC).
- Nordigen / GoCardless: agregación bancaria (Open Banking) — UE/EEE.
- Square: pagos / TPV — EE. UU. (SCC).
- Stripe: cobro de la suscripción — EE. UU./Irlanda (EU-US DPF / SCC).
- Cloudflare R2: almacenamiento de documentos (facturas) — EE. UU./global (EU-US DPF / SCC; configurable a la UE).
- Hetzner: alojamiento e infraestructura — Alemania (UE).
- Resend: envío de correo transaccional — EE. UU. (EU-US DPF / SCC).
[[Mantener esta lista alineada con el registro de actividades de tratamiento.]]
7. Transferencias internacionales
Cuando un proveedor esté fuera del EEE, la transferencia se ampara en Cláusulas Contractuales Tipo (SCC) y/o marcos de adecuación. Priorizamos proveedores y regiones de la UE.
8. Tus derechos
Puedes ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, y revocar el consentimiento, escribiendo a [[EMAIL PRIVACIDAD]] acreditando tu identidad. También puedes reclamar ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es.
9. Seguridad
Aplicamos medidas técnicas y organizativas conforme al art. 32 RGPD: cifrado de datos sensibles, control de accesos, aislamiento por organización y registro de auditoría.