Plantilla. Completa los campos marcados como [[…]] con tus datos reales y haz revisar este texto por un asesor legal antes de publicarlo. No constituye asesoramiento jurídico.

Política de privacidad

1. Responsable del tratamiento

[[RAZÓN SOCIAL]], NIF [[NIF/CIF]], domicilio en [[DOMICILIO]], correo de contacto en materia de protección de datos: [[EMAIL DPO/PRIVACIDAD]]. [[Delegado de Protección de Datos (DPO), si procede: nombre/contacto.]]

2. Doble rol

Cuando tratamos los datos de quienes contratan y usan la Plataforma (cuenta, facturación), actuamos como responsables del tratamiento. Respecto a los datos personales que nuestros clientes gestionan a través de la Plataforma (datos de sus empleados, clientes y proveedores), actuamos como encargados del tratamiento por cuenta del cliente, según el correspondiente acuerdo de encargo (DPA).

3. Datos que tratamos y finalidades

  • Cuenta y autenticación: nombre, email, contraseña (cifrada) — para prestar el servicio.
  • Facturación y pago: datos fiscales y de pago — para gestionar la suscripción.
  • Uso de la Plataforma: datos técnicos y registros de actividad — para seguridad y mejora del servicio.
  • Comunicaciones: email — para notificaciones del servicio y, con tu consentimiento, comerciales.

4. Bases jurídicas

Ejecución del contrato (prestación del servicio, facturación), cumplimiento de obligaciones legales (fiscales, contables), interés legítimo (seguridad, mejora) y consentimiento (para comunicaciones comerciales, revocable en cualquier momento).

5. Conservación

Conservamos los datos mientras exista la relación contractual y, después, durante los plazos legales aplicables (fiscales, mercantiles). Transcurridos, se suprimen o bloquean con medidas de seguridad adecuadas.

6. Encargados y proveedores (subencargados)

Para prestar el servicio recurrimos a proveedores que tratan datos por nuestra cuenta, con contrato de encargo y garantías conforme al RGPD:

  • Verifacti (Bilbabit, S.L.): emisión verificable de facturas (Veri*factu) — servidores en la UE.
  • Anthropic: lectura/extracción de datos de facturas (OCR) — EE. UU. (SCC).
  • Nordigen / GoCardless: agregación bancaria (Open Banking) — UE/EEE.
  • Square: pagos / TPV — EE. UU. (SCC).
  • Stripe: cobro de la suscripción — EE. UU./Irlanda (EU-US DPF / SCC).
  • Cloudflare R2: almacenamiento de documentos (facturas) — EE. UU./global (EU-US DPF / SCC; configurable a la UE).
  • Hetzner: alojamiento e infraestructura — Alemania (UE).
  • Resend: envío de correo transaccional — EE. UU. (EU-US DPF / SCC).

7. Transferencias internacionales

Cuando un proveedor esté fuera del EEE, la transferencia se ampara en Cláusulas Contractuales Tipo (SCC) y/o marcos de adecuación. Priorizamos proveedores y regiones de la UE.

8. Tus derechos

Puedes ejercer los derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición, y revocar el consentimiento, escribiendo a [[EMAIL PRIVACIDAD]] acreditando tu identidad. También puedes reclamar ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es.

9. Seguridad

Aplicamos medidas técnicas y organizativas conforme al art. 32 RGPD: cifrado de datos sensibles, control de accesos, aislamiento por organización y registro de auditoría.

Política de privacidad · Día Veinte