Índice
1. Responsable del tratamiento
| Denominación | — |
|---|---|
| NIF / CIF | — |
| Domicilio | — |
| Email de privacidad | privacidad@factea.es |
| Delegado de Protección de Datos (DPO) | — |
| Autoridad de control competente | Agencia Española de Protección de Datos (AEPD) — www.aepd.es |
2. Doble rol: responsable y encargado del tratamiento
En el contexto de un software SaaS de facturación, Factea actúa en un doble rol con arreglo al RGPD, que conviene distinguir:
2.1 Factea como Responsable del Tratamiento
Cuando tratamos los datos personales del usuario de la plataforma (nombre, email, contraseña, datos de pago, historial de uso), actuamos como Responsable del Tratamiento conforme al artículo 4.7 del RGPD, determinando los fines y medios del tratamiento. Esta Política de Privacidad regula específicamente este tratamiento.
2.2 Factea como Encargado del Tratamiento
Cuando el usuario, en el ejercicio de su actividad empresarial o profesional, introduce en la Plataforma datos personales de sus propios clientes (nombre, NIF, dirección de terceros que aparecen en facturas), Factea actúa como Encargado del Tratamiento conforme al artículo 4.8 y al artículo 28 del RGPD. En este caso, el usuario es el Responsable del Tratamiento de dichos datos, y Factea únicamente los trata siguiendo sus instrucciones y para la prestación del Servicio.
3. Finalidades y bases legales del tratamiento
| Finalidad | Base legal (art. 6 RGPD) | Datos tratados |
|---|---|---|
| Registro y gestión de la cuenta de usuario | Ejecución de contrato (art. 6.1.b) | Nombre, email, contraseña (hash), fecha de registro |
| Prestación del servicio de facturación | Ejecución de contrato (art. 6.1.b) | Datos de empresas, facturas, clientes, ejercicios fiscales |
| Verificación del email y seguridad de la cuenta | Interés legítimo (art. 6.1.f) / Ejecución de contrato | Email, tokens de verificación y recuperación |
| Gestión de pagos y suscripciones | Ejecución de contrato (art. 6.1.b) | Plan activo, fechas, historial de pagos, datos de Stripe/PayPal |
| Facturación de la suscripción y cumplimiento fiscal | Obligación legal (art. 6.1.c) — Ley 37/1992 IVA, RD 1619/2012 | NIF/CIF, datos fiscales del suscriptor |
| Envío de comunicaciones de servicio (confirmaciones, alertas de cuenta, cambios de plan) | Ejecución de contrato (art. 6.1.b) | Email, nombre |
| Envío de comunicaciones comerciales (novedades, ofertas) — solo con consentimiento expreso | Consentimiento (art. 6.1.a) | Email, nombre |
| Atención al cliente y soporte técnico | Interés legítimo (art. 6.1.f) / Ejecución de contrato | Email, nombre, descripción de la incidencia |
| Análisis de uso y mejora del servicio (datos anonimizados o seudónimos) | Interés legítimo (art. 6.1.f) | Datos de navegación anonimizados, métricas de uso |
| Cumplimiento de requerimientos legales y atención de derechos de los interesados | Obligación legal (art. 6.1.c) | Los necesarios según el requerimiento |
| Prevención del fraude y seguridad del sistema | Interés legítimo (art. 6.1.f) | IP de acceso, logs de seguridad, intentos de autenticación |
4. Categorías de datos tratados
Factea trata las siguientes categorías de datos personales:
4.1 Datos de identificación y cuenta
- Nombre y apellidos (o denominación social en caso de personas jurídicas)
- Dirección de correo electrónico
- Contraseña (almacenada únicamente en formato hash bcrypt — no recuperable)
- Fecha y hora de registro, último acceso
- Dirección IP de conexión (logs de acceso)
4.2 Datos de facturación y empresas
- Datos de las empresas registradas: nombre, NIF/CIF, domicilio fiscal, datos de contacto, logotipo
- Datos de clientes de facturas: nombre o razón social, NIF/CIF, dirección (tratados como encargado del tratamiento, no como responsable)
- Contenido de facturas: conceptos, importes, fechas, referencias
4.3 Datos de pago y suscripción
- Plan contratado, fechas de vigencia, historial de pagos
- Identificador de cliente en Stripe (stripe_customer_id) — Factea no almacena datos de tarjetas; el procesamiento es íntegramente realizado por Stripe conforme a PCI DSS nivel 1
- En pagos por PayPal: email de PayPal del pagador, según comunique PayPal
Factea no trata categorías especiales de datos (datos de salud, ideología, religión, orientación sexual, etc.) ni datos de menores de 14 años.
5. Plazos de conservación
| Categoría de datos | Plazo de conservación | Justificación |
|---|---|---|
| Datos de cuenta activa | Mientras dure la relación contractual | Ejecución del contrato de suscripción |
| Datos de cuenta cancelada / baja | 90 días tras la cancelación (acceso de solo lectura) + bloqueo y supresión | Posibilidad de reactivación o exportación por el usuario |
| Facturas emitidas (datos fiscales) | 6 años desde la emisión | Art. 30 Código de Comercio · Art. 70 Ley General Tributaria · Art. 19 Ley del IVA |
| Datos de pago / suscripción | 5 años desde el último pago | Ley 58/2003 General Tributaria · prescripción de derechos |
| Logs de acceso y seguridad | 12 meses | LSSI-CE art. 12 · seguridad del sistema |
| Consentimiento para comunicaciones comerciales | Hasta revocación + 3 años para acreditar el consentimiento | LSSI-CE art. 21 · carga de la prueba |
6. Destinatarios y transferencias internacionales
6.1 Encargados del tratamiento (subencargados)
Factea utiliza los siguientes prestadores de servicios como encargados del tratamiento, con los que se ha suscrito el correspondiente contrato conforme al artículo 28 del RGPD:
| Proveedor | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Stripe | Procesamiento de pagos con tarjeta | UE / EE.UU. | Cláusulas Contractuales Tipo (CCT) · Política de privacidad |
| PayPal | Procesamiento de pagos por PayPal | Luxemburgo (UE) | Dentro del EEE · Política de privacidad |
| — | Alojamiento de servidores y base de datos | — | — |
| — | Envío de correos transaccionales | — | — |
6.2 No cesión a terceros con fines comerciales
Factea no vende, alquila ni cede los datos personales de sus usuarios a terceros con fines de marketing, publicidad o cualquier otra finalidad comercial ajena a la prestación del Servicio.
6.3 Transferencias internacionales
En los casos en que los datos se transfieran a proveedores ubicados fuera del Espacio Económico Europeo (como Stripe en EE.UU.), Factea garantiza que dicha transferencia cuenta con las salvaguardas apropiadas, especialmente las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea conforme al artículo 46 del RGPD.
7. Sus derechos
En virtud del RGPD y la LOPDGDD, usted tiene derecho a:
| Derecho | Descripción |
|---|---|
| ✅ Acceso (art. 15 RGPD) | Obtener confirmación sobre si tratamos sus datos y acceder a los mismos. |
| ✏️ Rectificación (art. 16 RGPD) | Solicitar la corrección de datos inexactos o incompletos. |
| 🗑️ Supresión («derecho al olvido») (art. 17 RGPD) | Solicitar la eliminación de sus datos cuando ya no sean necesarios o retire su consentimiento, salvo que exista una obligación legal de conservación. |
| ⏸️ Limitación del tratamiento (art. 18 RGPD) | Solicitar que suspendamos el tratamiento en determinadas circunstancias. |
| 📦 Portabilidad (art. 20 RGPD) | Recibir sus datos en un formato estructurado, de uso común y lectura mecánica (JSON/CSV), y transmitirlos a otro responsable. |
| 🚫 Oposición (art. 21 RGPD) | Oponerse al tratamiento basado en interés legítimo o con fines de marketing directo. |
| 🤖 No decisión automatizada (art. 22 RGPD) | No ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos. |
| ↩️ Revocación del consentimiento (art. 7.3 RGPD) | Retirar en cualquier momento el consentimiento prestado, sin que ello afecte a la licitud del tratamiento previo. |
Cómo ejercer sus derechos
Puede ejercer cualquiera de estos derechos enviando un correo electrónico a privacidad@factea.es, indicando el derecho que desea ejercer y adjuntando una copia de su DNI/NIE u otro documento identificativo. Responderemos en el plazo máximo de un mes desde la recepción de su solicitud (art. 12.3 RGPD), prorrogable dos meses adicionales en casos de especial complejidad.
Si considera que el tratamiento de sus datos vulnera la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de www.aepd.es.
8. Medidas de seguridad técnicas y organizativas
Factea aplica medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD, entre las que se incluyen:
- Cifrado en tránsito: todas las comunicaciones se realizan mediante protocolo HTTPS/TLS.
- Cifrado de contraseñas: almacenadas exclusivamente en formato hash bcrypt (coste 12), sin posibilidad de recuperación.
- Hashing de facturas Veri*Factu: cadena SHA-256 que garantiza la integridad de los registros de facturación.
- Control de acceso: autenticación por sesión con tokens CSRF, expiración automática y regeneración periódica de identificador de sesión.
- Separación lógica de datos: cada usuario accede únicamente a los datos de sus propias empresas y ejercicios.
- Copias de seguridad: —
- Gestión de incidencias: protocolo de notificación de brechas de seguridad a la AEPD en el plazo de 72 horas (art. 33 RGPD) y a los afectados si procede (art. 34 RGPD).
9. Menores de edad
El Servicio está dirigido exclusivamente a personas mayores de 18 años. Factea no recaba conscientemente datos personales de menores. Si tuviéramos conocimiento de haber recabado datos de un menor de 14 años sin el consentimiento de sus padres o tutores, procederíamos a su supresión inmediata. Si usted tiene conocimiento de tal situación, le rogamos que lo comunique a privacidad@factea.es.
10. Cambios en esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas o en la normativa vigente. Cuando los cambios sean sustanciales, lo notificaremos por email con un mínimo de 15 días de antelación. La versión actualizada estará siempre disponible en esta página con su fecha de última actualización.
11. Contacto y reclamaciones
| Consultas de privacidad | privacidad@factea.es |
|---|---|
| Soporte general | soporte@factea.es |
| Autoridad de control | AEPD · C/ Jorge Juan 6, 28001 Madrid · www.aepd.es |