1. Responsable del tratamiento
HaciendaFacil S.L. (en constitución), domicilio social y NIF pendientes de registro mercantil. Email: [email protected].
2. Datos que recogemos
- Datos de cuenta: nombre, email y foto de perfil (vía Google OAuth).
- Datos fiscales de la empresa: NIF/CIF, razón social, dirección fiscal, teléfono.
- Datos de clientes y proveedores: NIF, nombre, dirección, email, teléfono.
- Datos de facturación: facturas emitidas y recibidas, importes, líneas de detalle.
- Datos técnicos: dirección IP, user agent, timestamps de sesión.
- Certificado digital: clave privada cifrada para firma electrónica VeriFactu.
3. Finalidad del tratamiento
- Prestación del servicio de facturación electrónica.
- Cumplimiento de obligaciones fiscales (envío a AEAT vía VeriFactu).
- Gestión de la suscripción y cobros (vía Stripe).
- Envío de comunicaciones transaccionales (facturas, recordatorios de pago, notificaciones AEAT).
- Mejora del servicio y soporte técnico.
4. Base jurídica
- Ejecución del contrato: prestación del servicio contratado (Art. 6.1.b RGPD).
- Obligación legal: cumplimiento normativa fiscal VeriFactu (Art. 6.1.c RGPD).
- Interés legítimo: seguridad del servicio, prevención de fraude (Art. 6.1.f RGPD).
5. Destinatarios de los datos
- AEAT: facturas enviadas vía VeriFactu (obligación legal).
- Stripe: datos de pago para gestión de suscripciones.
- Google: autenticación OAuth (solo nombre y email).
- Amazon Web Services: infraestructura cloud (hosting, SES para email, S3 para almacenamiento).
- OVH: servidor VPS donde se aloja la aplicación.
- Cloudflare: CDN y protección DDoS.
No vendemos ni compartimos datos con terceros con fines comerciales.
6. Transferencias internacionales
Algunos proveedores (AWS, Google, Stripe, Cloudflare) pueden procesar datos fuera del EEE. En todos los casos existen garantías adecuadas: decisiones de adecuación de la Comisión Europea o cláusulas contractuales tipo.
7. Conservación de datos
- Facturas: 4 años (obligación fiscal, Art. 29 LGT).
- Datos de cuenta: mientras la cuenta esté activa + 30 días tras la baja.
- Logs de acceso: 12 meses.
- Certificados digitales: eliminados inmediatamente al solicitar la baja.
8. Derechos del usuario
Puedes ejercer tus derechos de acceso, rectificación, supresión, portabilidad, limitación y oposición enviando un email a [email protected] con una copia de tu DNI. Responderemos en un plazo máximo de 30 días.
También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
9. Seguridad
Implementamos medidas técnicas y organizativas para proteger los datos: cifrado en tránsito (TLS), cifrado en reposo (certificados con Fernet/AES), hash de contraseñas y API keys (SHA-256), control de acceso por roles, rate limiting, y backups periódicos.