Política de privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recabados a través de este sitio web y del servicio FacturaBot es:

• Denominación comercial: FacturaBot.es
• Razón social: [REEMPLAZAR: razón social legal]
• NIF: [REEMPLAZAR: NIF/CIF]
• Domicilio social: [REEMPLAZAR: dirección postal completa]
• Email de contacto en materia de protección de datos: privacidad@facturabot.es

No estamos legalmente obligados a designar un Delegado de Protección de Datos (DPO), pero hemos habilitado un canal único de contacto (privacidad@facturabot.es) para cualquier cuestión relativa al tratamiento de tus datos.

2. Datos que recopilamos y finalidades

Tratamos distintas categorías de datos en función del momento y del uso que hagas del servicio:

2.1 Datos de cuenta

Al registrarte recopilamos: email, número de teléfono asociado a WhatsApp, nombre y apellidos o denominación social, y datos fiscales (NIF, razón social, domicilio fiscal). Finalidad: creación y gestión de tu cuenta, autenticación, soporte y facturación.

2.2 Facturas que emites a través del servicio

Tratamos el contenido completo de las facturas que emites desde FacturaBot, incluidos los datos de tus clientes (NIF, denominación social, domicilio, concepto e importe). Respecto a estos datos tú actúas como responsable del tratamiento y FacturaBot.es como encargado del tratamiento (RGPD art. 28). Las condiciones de este encargo se regulan en el acuerdo de encargo de tratamiento incluido en nuestros términos.

2.3 Datos de pago

Los pagos se gestionan a través de Stripe Payments Europe Ltd. (Irlanda). FacturaBot.es no almacena ni tiene acceso a los datos completos de tu tarjeta bancaria. Sólo recibimos metadatos del pago: plan contratado, fecha, importe, estado del pago y los últimos cuatro dígitos de la tarjeta.

2.4 Logs técnicos e interacciones con el bot

Conservamos información técnica derivada del uso del servicio: dirección IP, identificador de dispositivo, user-agent del navegador, marcas de tiempo, mensajes intercambiados con el bot de WhatsApp y respuestas del sistema. Finalidad: depuración, mejora del servicio, prevención de fraude y cumplimiento de las obligaciones de trazabilidad impuestas por la normativa Verifactu (RD 1007/2023).

2.5 Cookies

Usamos cookies estrictamente necesarias para mantener tu sesión y, previo consentimiento, cookies analíticas. Toda la información está detallada en nuestra política de cookies.

3. Base jurídica del tratamiento

Cada tratamiento se apoya en una base jurídica concreta del RGPD:

• Ejecución del contrato (art. 6.1.b RGPD): tratar tus datos de cuenta y de facturación es imprescindible para prestarte el servicio contratado.
• Cumplimiento de una obligación legal (art. 6.1.c RGPD): las facturas y registros contables se conservan en los plazos exigidos por la Ley General Tributaria (art. 66 LGT) y el Código de Comercio (art. 30), así como por el Reglamento Verifactu (RD 1007/2023).
• Interés legítimo (art. 6.1.f RGPD): seguridad del servicio, prevención de fraude, mantenimiento de logs técnicos y mejora del producto. Hemos realizado el correspondiente juicio de ponderación.
• Consentimiento (art. 6.1.a RGPD): cookies analíticas (cuando se activen) y comunicaciones comerciales opcionales. Puedes retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.

4. Encargados del tratamiento y cesiones a terceros

Para prestar el servicio nos apoyamos en proveedores tecnológicos que actúan como encargados del tratamiento, sujetos por contrato (DPA) a las obligaciones del art. 28 RGPD. Estos son los actuales (las menciones “DPA firmado” corresponden al DPA estándar incluido en las condiciones de cada proveedor, suscrito automáticamente al activar la cuenta o pendiente de firma manual según el caso):

Esta lista se mantiene actualizada. Cualquier nuevo encargado se comunicará con antelación razonable a través del email asociado a tu cuenta.

5. Transferencias internacionales de datos

Algunos de nuestros proveedores tienen su matriz fuera del Espacio Económico Europeo (Stripe, Meta, Vercel, Sentry, PostHog). En todos los casos las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea mediante Decisión de Ejecución (UE) 2021/914, complementadas con las medidas técnicas y organizativas adicionales recomendadas por el Comité Europeo de Protección de Datos (EDPB) tras la sentencia Schrems II. Puntualmente, el enrutamiento de tráfico de Vercel y Resend puede dirigirse a regiones fuera de la UE; en ningún caso se almacena información personal de forma persistente fuera del EEE sin estas garantías.

6. Plazos de conservación

Conservamos tus datos durante el tiempo estrictamente necesario para cada finalidad:

• Datos de cuenta: mientras la cuenta permanezca activa y durante 12 meses adicionales tras la cancelación, para gestionar incidencias o reactivar la cuenta a tu solicitud.
• Facturas emitidas y registros contables: 6 años desde la fecha de emisión, conforme al art. 30 del Código de Comercio (libros y documentación contable) y a las obligaciones del Reglamento Verifactu. La Ley General Tributaria fija el plazo general de prescripción tributaria en 4 años (art. 66 LGT), pero el plazo contable de 6 años es el que aplicamos por ser el mayor.
• Logs técnicos: 90 días por defecto. Los logs relacionados con incidentes de seguridad pueden conservarse durante un periodo superior si así lo requiere la investigación.
• Datos de pago (Stripe): 5 años por obligación de la Directiva PSD2 y hasta 10 años en aplicación de la normativa AML/CFT (Directivas 2015/849 y 2018/843) que obliga a las entidades de pago a conservar registros de operaciones para la prevención del blanqueo de capitales.
• Comunicaciones de soporte: 3 años desde la última interacción.

7. Tus derechos

Como interesado tienes los derechos reconocidos en los artículos 15 a 22 del RGPD:

• Acceso: a confirmar si tratamos datos personales sobre ti y, en su caso, a obtener una copia.
• Rectificación: a corregir datos inexactos o incompletos.
• Supresión (“derecho al olvido”): a solicitar la eliminación de tus datos cuando ya no sean necesarios, salvo que exista una obligación legal de conservación (por ejemplo, la conservación contable de las facturas).
• Limitación del tratamiento: a restringir el tratamiento en determinados supuestos.
• Oposición: a oponerte al tratamiento basado en interés legítimo o en mercadotecnia directa.
• Portabilidad: a recibir tus datos en un formato estructurado, de uso común y lectura mecánica (CSV/JSON) y a transmitirlos a otro responsable.
• No ser objeto de decisiones automatizadas con efectos jurídicos.

Para ejercer estos derechos envíanos un email a privacidad@facturabot.es adjuntando copia de un documento identificativo (DNI, NIE o pasaporte) para verificar tu identidad. Responderemos en un plazo máximo de un mes, ampliable a dos meses adicionales en casos de especial complejidad (art. 12.3 RGPD).

Si consideras que no hemos atendido correctamente tu solicitud, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan 6, 28001 Madrid, o a través de su sede electrónica www.aepd.es.

8. Decisiones automatizadas y elaboración de perfiles

FacturaBot.es no toma decisiones automatizadas que produzcan efectos jurídicos significativos sobre ti. La emisión de cada factura es siempre iniciada y confirmada explícitamente por el usuario emisor a través del bot de WhatsApp; la transmisión a la AEAT se ejecuta tras la confirmación manual y no constituye una decisión automatizada en el sentido del art. 22 RGPD.

9. Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas al riesgo, entre otras:

• Row Level Security (RLS) activada sobre todas las tablas de la base de datos: cada usuario sólo puede acceder a sus propios datos.
• Cifrado en tránsito (TLS 1.2+) y en reposo de las bases de datos y del storage, gestionado por nuestros proveedores de infraestructura.
• Control de accesos basado en roles (RBAC) internos. Ningún miembro del equipo accede a los datos de un usuario sin un procedimiento de soporte explícito autorizado por el propio usuario o exigido por una autoridad competente.
• Copias de seguridad diarias y procedimientos de recuperación ante desastres.
• Verificación de firmas en todos los webhooks externos (Meta, Stripe, Verifacti) y rate limiting en rutas públicas.

10. Datos de menores

FacturaBot.es es un servicio dirigido exclusivamente a profesionales (autónomos y empresas) mayores de edad. No recogemos ni tratamos deliberadamente datos personales de menores de 14 años. Si detectamos que se han facilitado datos de un menor sin consentimiento parental válido, procederemos a su eliminación inmediata.

11. Modificaciones de esta política

Podemos actualizar esta política para reflejar cambios legales, técnicos u operativos. Cuando la modificación sea sustancial, te avisaremos por email con al menos 30 días de antelación a su entrada en vigor, de forma que puedas ejercer tus derechos antes de que los cambios resulten aplicables.

12. Contacto

Para cualquier cuestión relativa a esta política o al tratamiento de tus datos personales, puedes contactarnos:

• Email: privacidad@facturabot.es
• Dirección postal: [REEMPLAZAR: dirección postal completa]
• Autoridad de control: Agencia Española de Protección de Datos — www.aepd.es