Política de Privacidad

El Operador no ha designado un Delegado de Protección de Datos (DPD) conforme al artículo 37 del RGPD, al no cumplirse los supuestos del citado artículo. Para cualquier consulta sobre protección de datos, contacte con contact@facturaauto.es.

Recopilamos los siguientes datos personales:

• Datos de cuenta: dirección de correo electrónico, nombre (si se proporciona), contraseña (almacenada de forma cifrada mediante hash). Base legal: ejecución del contrato. Retención: hasta eliminación de la cuenta por el usuario o tras 24 meses de inactividad (sin inicio de sesión).
• Datos de pago: ID de cliente de Stripe, estado de suscripción, historial de facturas. Base legal: ejecución del contrato y obligación legal (legislación fiscal española, 5 años de retención).
• Analítica de uso: identificador de usuario, identificador de caso, número de páginas procesadas, marca temporal, consumo de créditos. Base legal: interés legítimo. Retención: 2 años.
• Cookies de autenticación: tokens de sesión de Supabase (esenciales para el funcionamiento del servicio, no requieren consentimiento).
• Cookies de analítica: PostHog (UE Cloud) (solo con consentimiento previo del usuario). Detalle en la Política de Cookies (/cookies).
• Preferencias de comunicación: idioma, estado de suscripción al newsletter. Base legal: ejecución del contrato.
• Registro del consentimiento de marketing: cuando el usuario otorga su consentimiento para comunicaciones promocionales, registramos la marca temporal, la dirección IP y el agente de usuario (user-agent) en ese momento, como prueba del consentimiento conforme a las directrices de la AEPD. Base legal: cumplimiento de una obligación legal (acreditación del consentimiento). Estos datos solo se capturan si el consentimiento de marketing es afirmativo.

• Contenido de facturas: las imágenes, PDFs y datos extraídos (nombres de proveedores, importes, NIFs) se procesan íntegramente en el navegador del usuario y a través de un proxy edge sin estado (Cloudflare Workers). Los datos transitan en memoria durante el ciclo de la solicitud y nunca se escriben en almacenamiento, logs ni disco. Nuestro servidor de aplicaciones nunca recibe, procesa ni almacena el contenido de las facturas.
• Cuerpos de solicitud/respuesta de IA: el proxy edge reenvía las solicitudes al proveedor de IA sin registrar el contenido. Ningún dato de facturas se persiste en nuestra infraestructura.

Compartimos datos con los siguientes proveedores (encargados del tratamiento, salvo que se indique otra cosa):

• Supabase Inc. (UE — París, región eu-west-3): autenticación y base de datos. Datos compartidos: email, perfil, métricas de uso. Garantías: SCCs como respaldo (matriz en EE.UU.).
• Vercel Inc. (cómputo en la UE — París, cdg1; matriz en EE.UU.): alojamiento de la aplicación web. Garantías: SCCs.
• Resend: envío de correos transaccionales de inicio de sesión (enlaces mágicos / magic links). Datos compartidos: dirección de correo electrónico. Los datos y registros se almacenan en EE.UU. Garantías: EU-US Data Privacy Framework (DPF) + SCCs.
• Microsoft Azure OpenAI ("Azure AI Foundry"): extracción de datos de facturas mediante IA (modelo gpt-4.1). Despliegue DataZoneStandard en la zona de datos de la Unión Europea (recurso en West Europe); el procesamiento permanece en la UE. Datos compartidos: imágenes de facturas y texto (a través del proxy de Cloudflare). Microsoft no utiliza el contenido para entrenar sus modelos; por defecto puede retener una muestra durante un máximo de ~30 días, dentro de la UE, únicamente para la detección de usos indebidos. Garantías: DPA de Microsoft (aka.ms/DPA) y EU Data Boundary.
• Cloudflare, Inc. (red edge global; matriz en EE.UU.): proxy sin estado para las llamadas de IA. Las solicitudes se sirven desde el centro de datos más cercano al usuario, que puede estar fuera de la UE. Los datos de facturas transitan en memoria durante el ciclo de la solicitud y nunca se escriben en almacenamiento, logs ni disco. Garantías: SCCs (DPA de Cloudflare: cloudflare.com/cloudflare-customer-dpa).
• Brevo (Sendinblue) SAS (UE — Francia): comunicaciones por email. Datos compartidos: dirección de correo electrónico, nombre, preferencia de idioma.
• PostHog (UE Cloud): analítica de producto. Datos compartidos: datos de uso del servicio. Solo con consentimiento del usuario.
• Functional Software, Inc. (Sentry): monitorización de errores y rendimiento de la aplicación. Datos compartidos: datos de diagnóstico de errores (dirección IP, URL, metadatos técnicos). Región de datos en la UE (Sentry, región UE). Base legal: interés legítimo (seguridad y estabilidad del servicio); sin Session Replay y con la captura de datos personales innecesarios desactivada.
• Stripe Payments Europe, Ltd.: procesamiento de pagos. Stripe actúa como responsable independiente del tratamiento respecto de los datos de pago (no como encargado nuestro). Datos: email, método de pago, dirección de facturación. Procesa datos en la UE y EE.UU. Garantías: SCCs + DPF (DPA de Stripe).

Proveedores de IA alternativos: el Operador puede utilizar de forma alternativa OpenAI, L.L.C. (EE.UU., con SCCs) o Google Gemini (EE.UU., con SCCs) como proveedores de extracción. En todos los casos, el contenido de las facturas no se utiliza para entrenar modelos. El listado de proveedores se actualiza cuando se producen cambios y se notifica conforme al DPA (/dpa).

Las imágenes de facturas se envían desde el navegador del usuario a través de un Cloudflare Worker (proxy sin estado) al proveedor de IA. Nuestro servidor de aplicaciones (Vercel) nunca recibe ni procesa el contenido de las facturas.

El Cloudflare Worker no tiene almacenamiento persistente: no guarda logs de los cuerpos de solicitud ni de respuesta.

El proveedor de IA principal es Microsoft Azure OpenAI (modelo gpt-4.1), con despliegue en la zona de datos de la Unión Europea (recurso en West Europe): el procesamiento se realiza dentro de la UE. Microsoft no utiliza el contenido para entrenar sus modelos y los modelos no almacenan las solicitudes. Por defecto, Azure puede retener una muestra de las solicitudes durante un máximo de ~30 días, dentro de la UE, únicamente para la detección de usos indebidos (abuse monitoring); no se utiliza para ninguna otra finalidad.

No utilizamos datos de facturas para entrenar modelos de IA ni permitimos que nuestros proveedores de IA lo hagan.

Uso de inteligencia artificial (transparencia): la extracción de datos se realiza mediante un sistema de IA. Los resultados se generan automáticamente, pueden contener errores y requieren la revisión y validación del usuario antes de su uso. El servicio no adopta decisiones automatizadas con efectos jurídicos sobre los interesados sin intervención humana (artículo 22 del RGPD; artículo 50 del Reglamento de IA de la UE).

Cuando el usuario sube facturas que contienen datos personales de terceros, el usuario actúa como responsable del tratamiento y el Operador como encargado del tratamiento conforme al artículo 28 del RGPD.

Origen de los datos (artículo 14 del RGPD): los datos personales de terceros (clientes, proveedores o empleados del usuario) que aparecen en las facturas proceden de la documentación aportada por el propio usuario. El usuario garantiza disponer de una base jurídica válida para su tratamiento y comunicación al Operador.

El Acuerdo de Encargo del Tratamiento (DPA) está disponible en /dpa y se incorpora por referencia a estos términos.

Subencargados del tratamiento: el Operador utiliza proveedores externos como subencargados para la extracción de datos. La lista completa de subencargados se encuentra en el DPA (sección 4) y en la sección 3 de esta Política de Privacidad. Cualquier cambio se notificará por correo electrónico con 30 días de antelación.

Confirmamos que los datos de facturas procesados no se utilizan para entrenar modelos de IA.

El servicio utiliza Brevo (Sendinblue) SAS, con sede en la UE (Francia), para el envío de correos.

Tipos de comunicaciones:
• Comunicaciones de servicio (transaccionales): información de cuenta, facturación, seguridad, cambios en términos. Base legal: ejecución del contrato. No se pueden desactivar.
• Comunicaciones de producto (promocionales): consejos, nuevas funcionalidades, promociones. Base legal: consentimiento del usuario (artículo 6.1.a del RGPD). El usuario solo se añade a la lista de marketing si marca explícitamente la casilla de consentimiento (desmarcada por defecto) en el momento del registro. El consentimiento puede retirarse en cualquier momento mediante el enlace de cancelación incluido en cada email o desde la configuración de la cuenta.

Datos compartidos con Brevo: email, nombre, idioma.
Retención: hasta la eliminación de la cuenta o la retirada del consentimiento.

Tiene derecho a:
• Acceso a sus datos personales
• Rectificación de datos inexactos
• Supresión de sus datos ("derecho al olvido")
• Portabilidad de datos
• Limitación del tratamiento
• Oposición al tratamiento
• Retirada del consentimiento

Para ejercer cualquier derecho, envíe un email a contact@facturaauto.es. Responderemos en un plazo máximo de un mes. Este plazo podrá prorrogarse dos meses adicionales en caso de solicitudes complejas o numerosas, conforme al artículo 12.3 del RGPD, informando al interesado de dicha prórroga en el plazo de un mes.

Tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): https://www.aepd.es

Para solicitar la eliminación de su cuenta, envíe un correo a contact@facturaauto.es. Tramitaremos la solicitud en un plazo máximo de 30 días: cancelaremos cualquier suscripción activa y borraremos de nuestros servidores su email, perfil, datos de suscripción, analítica de uso y datos de las listas de comunicaciones de Brevo.

Los datos de facturas se almacenan localmente en el navegador del usuario (IndexedDB) — borrar los datos del navegador o desinstalar la aplicación los elimina.

Stripe retiene los registros de pago por obligación legal (5 años según la legislación fiscal española), lo que constituye una excepción lícita al derecho de supresión.

Utilizamos cookies esenciales para el funcionamiento del servicio (sesión de autenticación de Supabase) y analítica de producto de terceros (PostHog, UE Cloud) para entender el uso del servicio y mejorarlo.

La analítica solo se activa con el consentimiento previo del usuario, conforme al artículo 22.2 de la LSSI-CE. Su preferencia de consentimiento se guarda en el almacenamiento local del navegador (localStorage), no en una cookie HTTP.

Para más información, consulte nuestra Política de Cookies en /cookies.

La mayor parte del tratamiento se realiza en la Unión Europea: base de datos y autenticación (Supabase, París), cómputo de la aplicación (Vercel, París), extracción con IA (Azure OpenAI, zona de datos de la UE), email (Brevo, Francia) y analítica (PostHog, UE).

Se producen transferencias fuera de la UE en los siguientes casos: Resend (envío de correos de inicio de sesión) y Stripe (procesamiento de pagos); el proxy edge de Cloudflare, cuya red mundial puede enrutar las solicitudes de forma transitoria (en memoria, sin almacenamiento) a través de centros de datos situados fuera de la UE; así como, con carácter de respaldo, las matrices estadounidenses de Supabase, Vercel y Cloudflare. Dichas transferencias se amparan en el EU-US Data Privacy Framework (DPF) y/o en las Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea.

Si el Operador utilizara un proveedor de IA alternativo (OpenAI o Google Gemini), el tratamiento podría realizarse en EE.UU. al amparo de las SCCs.

Notificaremos a los usuarios por email con 30 días de antelación antes de realizar cambios sustanciales. El uso continuado del servicio tras el periodo de notificación constituye la aceptación de los cambios.

Cambios menores (correcciones tipográficas, reformateo) no requieren notificación previa.