Política de Privacidad

Resumen rápido Recopilamos solo los datos imprescindibles para prestarte el servicio. No vendemos ni compartimos tus datos con terceros. Tienes control total sobre tu información. Preguntas: [email protected]

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es el titular de FactuChat™, con dirección de contacto en [email protected].

1.b Delegado de Protección de Datos (DPO)

De conformidad con el artículo 37 y siguientes del Reglamento (UE) 2016/679 (RGPD), se ha previsto la figura del Delegado de Protección de Datos como punto de contacto cualificado en materia de privacidad.

El interesado podrá dirigirse al Delegado de Protección de Datos en cualquier momento a través de las siguientes vías:

Correo electrónico principal: [email protected]
Vía alternativa: mientras se completa el proceso formal de designación, las consultas pueden remitirse a [email protected] con el asunto «RGPD», y serán atendidas con el mismo nivel de garantías y plazos.

El responsable del tratamiento garantiza la confidencialidad de las comunicaciones dirigidas al DPO, así como su independencia funcional en el ejercicio de sus competencias, conforme al artículo 38 del RGPD.

De forma adicional, el interesado podrá presentar reclamación ante la autoridad de control competente, la Agencia Española de Protección de Datos (AEPD), a través de la sede electrónica disponible en sede.aepd.gob.es, sin perjuicio del derecho a la tutela judicial efectiva (art. 79 RGPD).

2. Qué datos recopilamos

Para prestarte el servicio, recopilamos únicamente:

Datos de identificación fiscal: nombre o razón social, NIF/NIE/CIF, dirección fiscal.
Datos de facturación: los datos de tus clientes y las facturas que generas.
Datos de cuenta Telegram: tu ID de usuario de Telegram (no tu número de teléfono).
Datos de pago: procesados directamente por Monei (proveedor de pagos español). No almacenamos datos de tarjeta.
Datos de uso: historial de facturas y actividad del bot para mejorar el servicio.

3. Para qué usamos tus datos

Generar y almacenar tus facturas electrónicas VeriFactu.
Gestionar tu suscripción y procesar pagos.
Cumplir con las obligaciones legales de conservación documental.
Enviarte notificaciones del servicio a través del bot (nunca publicidad de terceros).
Mejorar y desarrollar el servicio.

4. Base legal del tratamiento

El tratamiento de tus datos se fundamenta en:

Ejecución del contrato: para prestarte el servicio que has contratado.
Obligación legal: conservación de facturas durante 6 años (art. 30 Código de Comercio) — prevalece sobre los 4 años de prescripción AEAT (art. 66 LGT).
Interés legítimo: mejorar la seguridad y calidad del servicio.

5. Con quién compartimos tus datos (categorías de subprocesadores)

Tus datos solo se comparten con proveedores técnicos imprescindibles para operar el servicio, todos bajo contrato de tratamiento (DPA) y con las garantías exigidas por el RGPD. Operamos con las siguientes categorías de subprocesadores:

Procesador de pagos PSD2: tratamiento de pagos con tarjeta, Bizum y wallets (Apple Pay, Google Pay). No almacenamos datos de tarjeta en nuestros sistemas.
Proveedor de envío fiscal a AEAT y Hacienda Foral: intermediación técnica autorizada para presentación VeriFactu y TicketBAI conforme a RD 254/2025 y normativa foral.
Proveedores de inteligencia artificial: extracción automática de datos de facturas (texto e imagen) y transcripción de voz a texto. Procesamiento efímero, sin almacenamiento persistente, opt-out de entrenamiento activado.
Plataforma de mensajería: base sobre la que opera el bot. Comunicación cifrada cliente-servidor (TLS).
Proveedor de email transaccional: envío de notificaciones operativas, recibos y avisos fiscales (proveedor con sede en la Unión Europea).
Proveedor de hosting y base de datos: alojamiento de la aplicación y de los datos de tus facturas, cifrados en tránsito (TLS 1.3) y en reposo.
Proveedor de CDN y mitigación DDoS (Cloudflare): distribución de assets estáticos vía red de borde global. Trata únicamente la IP del visitante y User-Agent en tránsito, sin acceso al contenido de la aplicación ni a datos de facturas.
Herramientas de CI/CD (GitHub Actions): pipeline de integración y despliegue continuo para tests, análisis de seguridad y publicación de nuevas versiones. Solo accede a código fuente y secrets de deploy cifrados; no procesa datos de usuarios en producción.
Proveedor de caché y almacenamiento temporal: almacenamiento volátil para optimizar tiempos de respuesta y aplicar límites de uso.
Proveedor de monitorización de errores: detección y resolución de incidencias técnicas con eliminación previa (PII scrubbing) de datos personales.
Proveedor de analítica de producto: medición agregada y anonimizada del uso del servicio para mejorar la experiencia (proveedor con sede en la Unión Europea).
Integración Stripe Connect: cuando enlazas voluntariamente tu cuenta Stripe vía OAuth oficial, FactuChat recibe eventos webhook (charge.succeeded, account.updated) para auto-emitir facturas VeriFactu de tus cobros entrantes. Datos tratados: account_id, charges_enabled / payouts_enabled, país, divisa, importe del cobro, NIF del cliente cuando Stripe lo expone. Base legal: art. 6.1.b RGPD (ejecución del contrato). Marco DPF + CCE para transferencia EEUU.
Atribución publicitaria server-to-server (Meta Conversions API): cuando llegas a FactuChat desde un anuncio de Meta (Facebook/Instagram), enviamos eventos de conversión (registro, suscripción) a Meta vía API server-to-server con identificadores cifrados con HMAC-SHA256 + sal interna. Los datos personales nunca se envían en claro. Base legal: art. 6.1.f RGPD (interés legítimo en atribución publicitaria). Puedes objetar contactando a [email protected].

La identidad concreta de cada proveedor, su localización geográfica, los datos tratados y los mecanismos de transferencia internacional están disponibles en la página de Subprocesadores, donde se actualiza la información en tiempo real.

No vendemos, alquilamos ni cedemos tus datos a terceros con fines comerciales. Los DPA firmados están disponibles bajo solicitud escribiendo a [email protected].

Notificamos con 30 días de antelación cualquier incorporación o sustitución de subprocesador que trate datos personales, conforme al artículo 28.2 del RGPD.

5b. Tratamiento automatizado de datos

FactuChat™ utiliza procesamiento automatizado de datos para:

Extraer datos de facturas a partir de texto, imágenes y notas de voz (importe, fecha, concepto, NIF, tipo de IVA e IRPF).
Análisis fiscal automatizado (semáforo semanal, guardián anti-inspección) para usuarios de plan Pro.
Detección forense de irregularidades en facturas recibidas.
Predicción 303/130 con intervalos de confianza: estimación de tu IVA e IRPF a pagar el próximo trimestre, calculada exclusivamente sobre tus facturas confirmadas históricas. El modelo es estadístico (residuos móviles + Laplace 80%), no se transfieren datos a terceros para esta predicción.
Guardián de anomalías: ocho reglas deterministas (NIF inválido, IVA descuadrado, totales que no cuadran, duplicados, fechas anómalas, recurrentes olvidadas) que vigilan tus facturas y avisan ANTES del envío a AEAT. Los avisos se basan únicamente en tus propios datos, no en machine learning.

Los datos no se utilizan para entrenar modelos externos ni se retienen en los servidores de los proveedores después del procesamiento en tiempo real. Siempre se te muestra un resumen de los datos extraídos para que puedas verificarlos y corregirlos antes de generar la factura final.

Tienes derecho a no estar sujeto a decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos (art. 22 RGPD). Puedes solicitar la intervención humana contactando a [email protected].

5c. Transferencias internacionales de datos

Algunos proveedores técnicos pueden tratar datos fuera del Espacio Económico Europeo (EEE). Todas las transferencias internacionales están protegidas por las garantías legales adecuadas, incluyendo:

Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea.
EU-U.S. Data Privacy Framework (DPF) cuando aplique al país de destino.
Medidas suplementarias técnicas: cifrado en tránsito (TLS 1.3) y en reposo, procesamiento efímero sin almacenamiento donde aplique, y minimización de datos transferidos.

El detalle completo de qué proveedores tratan datos fuera del EEE, sus localizaciones específicas y los mecanismos de transferencia aplicables a cada uno está disponible en la página de Subprocesadores.

Los Acuerdos de Procesamiento de Datos (DPA) con todos los proveedores están disponibles bajo solicitud escribiendo a [email protected].

5d. Notificación de brechas de seguridad

En caso de brecha de seguridad que afecte a tus datos personales, te notificaremos a través de Telegram en un plazo máximo de 72 horas desde su detección, conforme al artículo 33 del RGPD. También notificaremos a la Agencia Española de Protección de Datos (AEPD) cuando la brecha suponga un riesgo para tus derechos.

6. Cuánto tiempo conservamos tus datos

Conservamos tu historial de facturas durante 6 años desde el cierre del ejercicio (art. 30 Código de Comercio), plazo que prevalece sobre los 4 años de prescripción de la Ley General Tributaria (art. 66 LGT). Los datos de cuenta se eliminan en un plazo máximo de 30 días tras la cancelación del servicio, salvo los requeridos legalmente.

La evidencia de aceptación de presupuestos (firma electrónica simple eIDAS Art. 3.9 — fecha, hora, IP, user-agent, hash SHA-256 y sello temporal RFC 3161 cuando esté disponible) se conserva durante 5 años desde la aceptación, plazo alineado con la prescripción general de acciones personales (art. 1964 CC). Esta retención es necesaria como prueba contractual frente a terceros y ante los tribunales y se basa en la obligación legal y el interés legítimo del responsable.

7. Tus derechos

Tienes los siguientes derechos sobre tus datos:

✓ AccesoSolicitar una copia de tus datos

✓ RectificaciónCorregir datos incorrectos

✓ SupresiónEliminar tus datos (con excepciones legales)

✓ PortabilidadRecibir tus datos en formato CSV estructurado

✓ OposiciónOponerte a determinados tratamientos

✓ LimitaciónLimitar el tratamiento en ciertos casos

Para ejercer cualquiera de estos derechos, escríbenos a [email protected] con el asunto "Derechos RGPD". Responderemos en un plazo máximo de 30 días.

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): C/ Jorge Juan 6, 28001 Madrid · Tel: +34 91 266 35 17 · www.aepd.es.

8. Seguridad

Aplicamos medidas técnicas y organizativas para proteger tus datos:

Cifrado TLS en todas las comunicaciones.
Acceso restringido y autenticado a los sistemas.
Auditorías de seguridad periódicas.
Copias de seguridad cifradas en infraestructura europea.

9. Cookies y analítica

FactuChat™ opera principalmente a través de Telegram. Nuestra web utiliza:

Analítica propia (sin cookies): recopilamos datos de navegación anónimos (página visitada, referrer, tipo de dispositivo) mediante una baliza (beacon) sin cookies, exclusivamente para mejorar el servicio. No se comparten con terceros.
Cookies técnicas esenciales: necesarias para el funcionamiento básico de la web (identificador de sesión temporal).
Píxel publicitario de TikTok: en las páginas públicas integramos el píxel de TikTok (analytics.tiktok.com) para medir la efectividad de campañas en TikTok Ads. Registra PageView, ClickButton y Lead. Con Emparejamiento Automático Avanzado (AAM) la información de formularios se transmite en hash SHA-256 (irreversible). Responsable: TikTok Technology Limited (Irlanda, UE) bajo RGPD. Detalles completos y opt-out en nuestra política de cookies.

Aparte del píxel de TikTok descrito arriba, no utilizamos otros sistemas de publicidad, perfilado o analítica de terceros en la web pública. Los datos de navegación se almacenan de forma anónima en nuestros propios servidores.

10. Cambios en esta política

Podemos actualizar esta política para reflejar cambios legales o en el servicio. Te notificaremos cambios significativos a través del bot con al menos 15 días de antelación.

11. Contacto

Para cualquier consulta sobre privacidad o protección de datos: [email protected]