Politica de Privacidad — FacturaOk.es

1. Responsable del tratamiento

Los datos personales recabados a traves de FacturaOk son tratados por:

Responsable: Nicolas Cieri (NIE: Z2248368P)
Nombre comercial: FacturaOk
Domicilio fiscal: Avenida Espana 230, local derecha, 29680 Estepona, Malaga, Espana
Correo de contacto: privacidad@facturaok.es
Delegado de Proteccion de Datos (DPO): dpo@facturaok.es

2. Datos que tratamos

Categoria	Datos	Finalidad
Registro	Nombre, email, contrasena (hash)	Crear y gestionar tu cuenta
Facturacion	NIF/CIF, razon social, direccion fiscal, datos de facturas	Emision de facturas y cumplimiento fiscal
Tecnico	IP, user-agent, logs de acceso	Seguridad, deteccion de fraude, rendimiento
Pago	Email de pago (Stripe gestiona datos de tarjeta)	Gestion de suscripcion

Nunca recopilamos datos biometricos, geneticos, de salud, orientacion sexual ni afiliacion politica o sindical.

3. Base legal del tratamiento (Art.6 RGPD)

Ejecucion de contrato: datos necesarios para prestar el servicio contratado.
Obligacion legal: datos fiscales requeridos por la normativa tributaria espanola (LGT, RD 1619/2012, Orden HAC/1177/2024).
Interes legitimo: seguridad del sistema, prevencion de fraude, mejora del servicio.
Consentimiento: comunicaciones comerciales (siempre opcional y revocable).

4. Conservacion de datos

Datos de cuenta: mientras la cuenta este activa + 30 dias tras solicitar eliminacion.
Datos fiscales y facturas: minimo 4 anos (Art.66 LGT) o hasta 10 anos si hay obligaciones mercantiles vigentes.
Registros VeriFactu: segun plazos establecidos por la AEAT (Art.9 Orden HAC/1177/2024).
Logs tecnicos: maximo 12 meses.
Tras la baja de la cuenta: los datos no fiscales se eliminan en un plazo maximo de 30 dias naturales. Las copias de seguridad cifradas se purgan en un plazo maximo de 90 dias adicionales. Los datos sujetos a obligacion legal de conservacion se mantienen bloqueados hasta el cumplimiento del plazo y se destruyen de forma segura inmediatamente despues.

5. Destinatarios y encargados del tratamiento

Proveedor	Finalidad	Ubicacion	Garantias
Amazon Web Services EMEA SARL (AWS)	Infraestructura cloud, almacenamiento (S3), base de datos (RDS), KMS	UE (eu-west-1, Irlanda)	DPA de AWS, ISO 27001/27017/27018, SOC 2, clausulas contractuales tipo
Amazon SES (AWS)	Envio de emails transaccionales	UE (eu-west-1, Irlanda)	DPA de AWS
Stripe Payments Europe Ltd.	Procesamiento de pagos y suscripciones	UE (Irlanda) con tratamiento por Stripe Inc. en EE.UU.	PCI-DSS Nivel 1, DPA de Stripe, EU-US Data Privacy Framework
Anthropic, PBC	OCR de facturas recibidas (Claude Vision): el usuario puede subir un PDF/imagen y los bytes se envian a Anthropic para extraer datos del documento	EE.UU.	Anthropic Commercial Terms y DPA, EU-US Data Privacy Framework. Anthropic no entrena modelos con datos enviados via API.
AEAT (Agencia Tributaria)	Comunicacion de registros de facturacion VeriFactu (cuando el usuario activa el modo live)	Espana	Obligacion legal (RD 1007/2023, Orden HAC/1177/2024)
FACe / Plataforma B2B publica	Presentacion de facturas a la Administracion Publica cuando el usuario asi lo solicita	Espana	Obligacion legal (Ley 25/2013, Ley 18/2022)

No vendemos ni compartimos datos personales con terceros para fines publicitarios. La funcion de OCR con Anthropic es opcional: si no subes facturas al modulo de gastos, no se realiza ninguna transferencia a Anthropic.

6. Transferencias internacionales

El tratamiento principal y el almacenamiento se realizan en servidores de AWS en la Union Europea (Irlanda, eu-west-1). Existen transferencias internacionales a Estados Unidos en los siguientes supuestos:

Stripe Inc. (EE.UU.): tratamiento de datos de pago. Garantia: EU-US Data Privacy Framework (Decision de adecuacion de la Comision Europea de 10 de julio de 2023) y clausulas contractuales tipo como salvaguarda adicional.
Anthropic, PBC (EE.UU.): solo si el usuario utiliza la funcion de OCR. Garantia: EU-US Data Privacy Framework. Anthropic se compromete contractualmente a no usar los datos enviados por API para entrenar modelos.

Puedes ejercer tus derechos sobre estas transferencias o solicitar copia de las garantias escribiendo a dpo@facturaok.es.

7. Derechos del usuario (Arts. 15-22 RGPD)

Puedes ejercer en cualquier momento tus derechos de:

Acceso: conocer que datos tenemos sobre ti.
Rectificacion: corregir datos inexactos.
Supresion: solicitar la eliminacion de tus datos (salvo obligaciones legales de conservacion fiscal).
Limitacion: restringir el tratamiento en determinados supuestos.
Portabilidad: recibir tus datos en formato estructurado (JSON/CSV).
Oposicion: oponerte al tratamiento basado en interes legitimo.

Para ejercer cualquier derecho, escribe a privacidad@facturaok.es. Responderemos en un plazo maximo de 30 dias.

Tambien puedes presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD).

8. Medidas de seguridad

Cifrado en transito (TLS 1.2+) y en reposo (AES-256 via AWS KMS)
Contrasenas almacenadas con BCrypt (nunca en texto plano)
Autenticacion JWT con expiracion
API keys con hash SHA-256 (clave raw nunca almacenada)
Rate limiting para prevencion de abuso
Copias de seguridad cifradas con retencion de 5 anos
Logs de auditoria para trazabilidad completa

9. Cookies

FacturaOk utiliza unicamente cookies tecnicas esenciales. Consulta nuestra Politica de Cookies para mas informacion.

10. Contacto

Privacidad: privacidad@facturaok.es
DPO: dpo@facturaok.es

shield Politica de Privacidad