Política de Privacidad
Última actualización: 28 de noviembre de 2025
1. Responsable del tratamiento
De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), le informamos que los datos personales que nos facilite serán tratados por:
2. Datos personales que recopilamos
En función de cómo utilice nuestros servicios, podemos recopilar las siguientes categorías de datos personales:
2.1 Datos de registro y cuenta
- Nombre y apellidos o razón social
- NIF/CIF/NIE
- Dirección de correo electrónico
- Contraseña (almacenada de forma cifrada)
- Número de teléfono
- Dirección postal
- Sector de actividad
2.2 Datos fiscales y de facturación
- Facturas emitidas y recibidas
- Datos de clientes y proveedores
- Importes, bases imponibles, cuotas de IVA y retenciones
- Información de deducibilidad fiscal
- Historial de comunicaciones con AEAT
2.3 Datos financieros (opcional)
- Información de cuentas bancarias (mediante Tink)
- Transacciones bancarias para conciliación
- Datos de pago para suscripciones (procesados por Stripe)
2.4 Datos de certificados digitales
- Certificados digitales para firma electrónica y comunicación AEAT
- Almacenados con cifrado AES-256
2.5 Datos de comunicaciones
- Mensajes enviados a través de WhatsApp Business
- Documentos firmados electrónicamente
- Notificaciones enviadas
2.6 Datos de uso del asistente IA
- Consultas fiscales realizadas al asistente
- Historial de conversaciones con la IA
2.7 Datos técnicos y de uso
- Dirección IP
- Tipo de navegador y dispositivo
- Registros de acceso y actividad (logs)
- Preferencias de configuración
3. Finalidades del tratamiento
Tratamos sus datos personales para las siguientes finalidades:
| Finalidad | Base legal | Datos |
|---|---|---|
| Gestión de la cuenta de usuario | Ejecución del contrato (Art. 6.1.b RGPD) | Registro, contacto |
| Prestación del servicio de facturación | Ejecución del contrato (Art. 6.1.b RGPD) | Fiscales, certificados |
| Comunicación con AEAT (VeriFactu) | Obligación legal (Art. 6.1.c RGPD) - RD 1007/2023 | Facturas, NIF |
| Procesamiento de pagos | Ejecución del contrato (Art. 6.1.b RGPD) | Pago (vía Stripe) |
| Conexión bancaria | Consentimiento (Art. 6.1.a RGPD) | Bancarios (vía Tink) |
| Asistente IA fiscal | Ejecución del contrato (Art. 6.1.b RGPD) | Consultas |
| Envío de comunicaciones comerciales | Consentimiento (Art. 6.1.a RGPD) | |
| Seguridad y prevención de fraude | Interés legítimo (Art. 6.1.f RGPD) | Técnicos, logs |
| Cumplimiento de obligaciones legales | Obligación legal (Art. 6.1.c RGPD) | Según normativa |
| Publicidad y remarketing | Consentimiento (Art. 6.1.a RGPD) | Navegación, dispositivo |
| Análisis y mejora del servicio | Interés legítimo (Art. 6.1.f RGPD) | Analítica web |
4. Transferencias internacionales de datos
Para prestar nuestros servicios, trabajamos con proveedores que pueden procesar datos fuera del Espacio Económico Europeo (EEE). Garantizamos que estas transferencias cumplen con las exigencias del RGPD mediante las siguientes salvaguardas:
| Proveedor | País | Finalidad | Garantías |
|---|---|---|---|
| Stripe | USA | Procesamiento de pagos | SCCs + Data Privacy Framework |
| OpenAI | USA | Asistente IA fiscal | SCCs + Data Privacy Framework |
| Modal | USA | OCR de documentos | Standard Contractual Clauses (SCCs) |
| Meta (WhatsApp) | USA | Notificaciones WhatsApp | SCCs + Data Privacy Framework |
| Vercel | USA/EU | Hosting de la aplicación | SCCs + procesamiento en EU |
| Tink | Suecia (EU) | Conexión bancaria (Open Banking) | RGPD directo (dentro EEE) |
| Mindee | Francia (EU) | OCR de documentos (fallback) | RGPD directo (dentro EEE) |
| Signaturit | España (EU) | Firma electrónica | RGPD directo (dentro EEE) |
| Supabase | EU | Base de datos y autenticación | RGPD directo (dentro EEE) |
| Google (Analytics/Ads) | USA | Analítica web y publicidad | SCCs + Data Privacy Framework |
| Meta (Facebook/Instagram) | USA | Publicidad y remarketing | SCCs + Data Privacy Framework |
| TikTok | USA/Singapur | Publicidad y remarketing | SCCs + procesamiento en EU |
| LinkedIn (Microsoft) | USA | Publicidad B2B | SCCs + Data Privacy Framework |
SCCs: Standard Contractual Clauses (Cláusulas Contractuales Tipo) aprobadas por la Comisión Europea.
Data Privacy Framework: Acuerdo UE-EEUU de protección de datos.
5. Destinatarios de los datos
Sus datos personales podrán ser comunicados a:
- Agencia Estatal de Administración Tributaria (AEAT): Para el cumplimiento de las obligaciones derivadas del Real Decreto 1007/2023 (VeriFactu)
- Proveedores de servicios: Los indicados en la sección anterior, que actúan como encargados del tratamiento
- Autoridades públicas: Cuando exista obligación legal
- Asesorías: Si su empresa está vinculada a una asesoría a través del panel de gestión multi-empresa
No vendemos, alquilamos ni compartimos sus datos personales con terceros para fines de marketing.
6. Plazos de conservación
Conservamos sus datos personales durante los siguientes plazos:
| Tipo de datos | Plazo de conservación | Base legal |
|---|---|---|
| Datos de cuenta | Mientras dure la relación contractual + 5 años | Art. 1964 Código Civil |
| Facturas y datos fiscales | 4 años desde la última declaración | Art. 66 Ley General Tributaria |
| Documentación mercantil | 6 años | Art. 30 Código de Comercio |
| Consentimientos | Mientras se mantenga el consentimiento + 3 años | Prescripción acciones RGPD |
| Logs de seguridad | 12 meses | LSSI-CE |
| Consultas IA fiscal | 12 meses o hasta eliminación por el usuario | Interés legítimo |
Transcurridos estos plazos, sus datos serán eliminados o anonimizados de forma irreversible.
7. Derechos del interesado
De conformidad con el RGPD, usted tiene derecho a:
Acceso
Obtener confirmación de si tratamos sus datos y acceder a ellos.
Rectificación
Solicitar la corrección de datos inexactos o incompletos.
Supresión
Solicitar la eliminación de sus datos cuando ya no sean necesarios.
Oposición
Oponerse al tratamiento basado en interés legítimo.
Limitación
Solicitar la limitación del tratamiento en determinadas circunstancias.
Portabilidad
Recibir sus datos en formato estructurado y legible por máquina.
Para ejercer estos derechos, puede enviarnos una solicitud a privacidad@verifacturing.com adjuntando copia de su documento de identidad. Responderemos en un plazo máximo de 30 días.
7.1 Derecho a retirar el consentimiento
Cuando el tratamiento se base en su consentimiento, puede retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
7.2 Derecho a presentar una reclamación
Si considera que el tratamiento de sus datos personales vulnera la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
8. Medidas de seguridad
Implementamos medidas técnicas y organizativas apropiadas para proteger sus datos personales contra el acceso no autorizado, la alteración, divulgación o destrucción:
- Cifrado en tránsito: Todas las comunicaciones se realizan mediante HTTPS/TLS
- Cifrado en reposo: Los datos sensibles (certificados digitales, contraseñas) se almacenan cifrados con AES-256
- Autenticación segura: Contraseñas hasheadas con bcrypt, soporte para 2FA
- Row Level Security (RLS): Aislamiento de datos a nivel de base de datos
- Auditoría: Registro de accesos y modificaciones
- Backups: Copias de seguridad cifradas y georedundantes
- Hash chaining: Integridad de facturas mediante cadena SHA-256
9. Publicidad y redes sociales
Utilizamos plataformas publicitarias de terceros para mostrar anuncios relevantes y medir la efectividad de nuestras campañas de marketing. Estas plataformas pueden recopilar información sobre su actividad en nuestro sitio web.
9.1 Plataformas publicitarias que utilizamos
Google Ads y Google Analytics
Utilizamos Google Ads para mostrar anuncios en la red de búsqueda y display de Google, así como Google Analytics para analizar el tráfico web. Google puede recopilar:
- Información sobre su dispositivo y navegador
- Dirección IP (anonimizada)
- Páginas visitadas y tiempo de permanencia
- Interacciones con anuncios
- Datos de conversión (registro, suscripción)
Política de privacidad: policies.google.com/privacy
Opt-out: adssettings.google.com
Meta (Facebook e Instagram)
Utilizamos el píxel de Meta para mostrar anuncios personalizados en Facebook e Instagram y crear audiencias similares. Meta puede recopilar:
- Información sobre acciones en nuestro sitio (visitas, registros)
- Datos del dispositivo y navegador
- Información para crear audiencias personalizadas
Política de privacidad: facebook.com/privacy/policy
Configuración de anuncios: facebook.com/adpreferences
TikTok
Utilizamos el píxel de TikTok para mostrar anuncios en la plataforma y medir conversiones. TikTok puede recopilar:
- Información sobre su actividad en nuestro sitio
- Datos del dispositivo
- Eventos de conversión
Política de privacidad: tiktok.com/legal/privacy-policy
Configuración: tiktok.com/setting
Utilizamos LinkedIn Insight Tag para publicidad B2B dirigida a profesionales y empresas. LinkedIn puede recopilar:
- Información profesional de su perfil
- Datos de navegación en nuestro sitio
- Información para segmentación por empresa, cargo o sector
Política de privacidad: linkedin.com/legal/privacy-policy
Configuración: linkedin.com/psettings/advertising
9.2 Base legal para publicidad
El tratamiento de datos para fines publicitarios se basa en:
- Consentimiento (Art. 6.1.a RGPD): Para cookies publicitarias y de seguimiento, solicitamos su consentimiento previo a través de nuestro banner de cookies.
- Interés legítimo (Art. 6.1.f RGPD): Para publicidad contextual no personalizada que no requiere seguimiento.
9.3 Cómo gestionar sus preferencias de publicidad
Puede gestionar sus preferencias de publicidad de las siguientes formas:
- Banner de cookies: Al visitar nuestro sitio, puede aceptar o rechazar las cookies publicitarias.
- Configuración del navegador: Puede bloquear cookies de terceros en la configuración de su navegador.
- Herramientas de las plataformas: Use los enlaces de opt-out de cada plataforma indicados anteriormente.
- Your Online Choices: youronlinechoices.com/es para gestionar preferencias de múltiples anunciantes.
- Digital Advertising Alliance: optout.aboutads.info
9.4 Remarketing y audiencias similares
Podemos utilizar técnicas de remarketing para mostrar anuncios a usuarios que han visitado previamente nuestro sitio web. También podemos crear "audiencias similares" basadas en las características de nuestros usuarios para llegar a nuevos clientes potenciales.
Puede excluirse del remarketing utilizando las herramientas de opt-out mencionadas anteriormente.
10. Datos de terceros
Cuando introduzca en el sistema datos de terceros (clientes, proveedores, empleados), usted actúa como Responsable del Tratamiento de dichos datos y nosotros como Encargado del Tratamiento.
En este caso, usted garantiza que:
- Ha obtenido el consentimiento de los terceros o dispone de otra base legal para el tratamiento
- Ha informado a los terceros sobre el tratamiento de sus datos
- Los datos proporcionados son exactos y están actualizados
11. Menores de edad
Nuestros servicios están dirigidos exclusivamente a empresas y profesionales (B2B). No recopilamos intencionadamente datos personales de menores de 18 años.
Si tiene conocimiento de que un menor nos ha proporcionado datos personales, póngase en contacto con nosotros para proceder a su eliminación.
12. Decisiones automatizadas
No tomamos decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente.
El asistente IA fiscal proporciona información orientativa, pero las decisiones fiscales finales corresponden al usuario o a su asesor fiscal profesional.
13. Modificaciones de esta política
Nos reservamos el derecho a modificar esta Política de Privacidad para adaptarla a novedades legislativas o jurisprudenciales, así como a prácticas de la industria.
En caso de modificaciones sustanciales, le notificaremos por email o mediante un aviso destacado en la plataforma antes de que los cambios entren en vigor.
La fecha de última actualización se indica al principio de este documento.
14. Contacto
Para cualquier consulta relacionada con esta Política de Privacidad o el ejercicio de sus derechos, puede contactarnos en:
Nos comprometemos a responder a sus consultas en un plazo máximo de 30 días.