Política de privacidad

Política de privacidad

1. Responsable

Responsable en el sentido del Reglamento General de Protección de Datos (RGPD) para este sitio web y la plataforma SaaS:

Florian Berwald, Kleppingstraße 10, 44135 Dortmund, Deutschland

Correo: [email protected]

2. Ámbito de aplicación y fines del tratamiento

Esta política informa sobre el tratamiento de datos personales al visitar nuestro sitio web, utilizar nuestra plataforma para la emisión automatizada de facturas y utilizar nuestros planes gratuitos y de pago.

Nuestra plataforma se utiliza para crear, enviar y gestionar facturas. Tratamos datos de nuestros usuarios (p. ej., datos de cuenta, contractuales y de facturación) y, por encargo de estos, datos de sus clientes/destinatarios de facturas.

3. Roles según el RGPD

  • Para el tratamiento de datos personales de nuestros usuarios (registro, gestión de cuenta, facturación, comunicación) somos el responsable (art. 4.7 RGPD).
  • Para el tratamiento de datos personales de los clientes de nuestros usuarios en el marco de la emisión de facturas, actuamos generalmente como encargado del tratamiento (art. 28 RGPD). Para ello se celebra un contrato de encargo de tratamiento.

4. Actividades de tratamiento

A continuación se describen las actividades de tratamiento esenciales de nuestra plataforma con su finalidad, categorías de datos, bases jurídicas, destinatarios, plazos de conservación y medidas técnicas y organizativas.

Gestión de clientes

  • Finalidad: Gestión de datos de clientes para identificar al destinatario de la factura
  • Personas afectadas: Clientes
  • Categorías de datos: Nombre, Empresa, Correo electrónico, Número de teléfono, Número de cliente
  • Base(s) jurídica(s): Art. 6 apdo. 1 letra b) RGPD (cumplimiento del contrato), Art. 6 apdo. 1 letra c) RGPD (obligaciones legales de conservación)
  • Destinatarios: Personal interno, MongoDB Atlas (proveedor de alojamiento)
  • Encargados del tratamiento: MongoDB Atlas (Fráncfort)
  • Transferencia a terceros países: No
  • Plazo de conservación: 10 años tras la finalización del contrato (legislación mercantil y fiscal)
  • Medidas técnicas y organizativas:
    • Control de accesos
    • Cifrado TLS
    • Sistema de roles y permisos
    • Hash de contraseñas
    • Copias de seguridad y planes de recuperación

Emisión de facturas

  • Finalidad: Creación y archivo de facturas de clientes
  • Personas afectadas: Clientes
  • Categorías de datos: Número de cliente, Número de factura, Nombre, Descripción, Importe, Fecha de factura, Moneda, Estado del pago, Conceptos de la factura
  • Base(s) jurídica(s): Art. 6 apdo. 1 letra b) RGPD (cumplimiento del contrato), Art. 6 apdo. 1 letra c) RGPD (obligaciones legales fiscales y mercantiles)
  • Destinatarios: Stripe Payments Europe Ltd., Google Cloud Storage, MongoDB Atlas (proveedor de alojamiento)
  • Encargados del tratamiento: MongoDB Atlas (Fráncfort), Stripe Payments Europe Ltd., Google Cloud Storage (con DPA)
  • Transferencia a terceros países: Sí – EE. UU. (Stripe Inc.) – con garantías adecuadas (p. ej., Cláusulas Contractuales Tipo / decisión de adecuación)
  • Plazo de conservación: 10 años conforme a § 147 AO / § 257 HGB (Alemania)
  • Medidas técnicas y organizativas:
    • Cifrado TLS
    • Registro de cambios
    • Permisos basados en roles
    • Cifrado en reposo en Google Cloud Storage (SSE)

Gestión de usuarios y autenticación

  • Finalidad: Provisión de cuentas de usuario y autenticación para el acceso al sistema
  • Personas afectadas: Clientes
  • Categorías de datos: Correo electrónico, Hash de contraseña, Permisos/roles
  • Base(s) jurídica(s): Art. 6 apdo. 1 letra b) RGPD (cumplimiento del contrato), Art. 6 apdo. 1 letra f) RGPD (seguridad de cuentas y sistemas)
  • Destinatarios: MongoDB Atlas (proveedor de alojamiento)
  • Encargados del tratamiento: MongoDB Atlas (Fráncfort)
  • Transferencia a terceros países: No
  • Plazo de conservación: Mientras la cuenta esté activa; posteriormente supresión o anonimización salvo obligaciones legales
  • Medidas técnicas y organizativas:
    • Hash de contraseñas
    • Restricción de acceso a los datos del usuario correspondiente

Registro de sistemas y seguridad

  • Finalidad: Trazabilidad de eventos del sistema, inicios de sesión y cambios para garantizar la integridad y seguridad
  • Personas afectadas: Usuarios del sistema, Administradores
  • Categorías de datos: Identificador de usuario, Marca temporal, Operación en base de datos, Componente del sistema
  • Base(s) jurídica(s): Art. 6 apdo. 1 letra f) RGPD (interés legítimo en seguridad y prevención de abusos)
  • Destinatarios: MongoDB Atlas (proveedor de alojamiento)
  • Encargados del tratamiento: MongoDB Atlas (Fráncfort)
  • Transferencia a terceros países: No
  • Plazo de conservación: 6 meses (concepto de seguridad), salvo conservación más prolongada para investigar incidentes
  • Medidas técnicas y organizativas:
    • Asignación inequívoca de registros
    • Acceso restringido a logs
    • Protección contra manipulaciones (p. ej., sumas de comprobación)

Procesamiento de pagos

  • Finalidad: Procesamiento de pagos a través de Stripe (p. ej., para el plan Gold o pagos de clientes finales)
  • Personas afectadas: Clientes, Personas pagadoras
  • Categorías de datos: Nombre, Correo electrónico, ID de transacción, ID de cliente de Stripe, Importe, Medio de pago (procesado por Stripe)
  • Base(s) jurídica(s): Art. 6 apdo. 1 letra b) RGPD (ejecución del contrato de pago/uso), Art. 6 apdo. 1 letra c) RGPD (obligaciones fiscales), Art. 6 apdo. 1 letra f) RGPD (interés legítimo en un pago seguro)
  • Destinatarios: Stripe Payments Europe Ltd.
  • Encargados del tratamiento: Stripe Payments Europe Ltd., MongoDB Atlas (Fráncfort)
  • Transferencia a terceros países: Sí – EE. UU. (Stripe Inc.) – con garantías adecuadas (Cláusulas Contractuales Tipo / decisión de adecuación)
  • Plazo de conservación: 10 años (obligaciones de conservación fiscales)
  • Medidas técnicas y organizativas:
    • Cifrado TLS
    • Protección del acceso a la API
    • No almacenar datos completos de tarjetas en nuestro sistema

Boletín y comunicaciones por correo (opcional)

  • Finalidad: Envío de boletines, actualizaciones de producto y ofertas con consentimiento expreso (doble opt-in)
  • Personas afectadas: Interesados, Clientes
  • Categorías de datos: Dirección de correo electrónico, Nombre (opcional), Fecha/hora e IP del opt-in (prueba), Interacciones con el correo (tasas de apertura/clic, opcional)
  • Base(s) jurídica(s): Art. 6 apdo. 1 letra a) RGPD (consentimiento), § 7 UWG (en la medida aplicable, Derecho alemán)
  • Destinatarios: Proveedor de envío de correos electrónicos
  • Encargados del tratamiento: Proveedor de envío de correos electrónicos (encargo de tratamiento, art. 28 RGPD)
  • Transferencia a terceros países: Según el proveedor; transferencia solo con garantías adecuadas (arts. 44 y ss. RGPD: p. ej., Cláusulas Contractuales Tipo de la UE / Decisión de adecuación)
  • Plazo de conservación: Hasta la revocación del consentimiento; prueba del opt-in hasta el fin de los plazos de prescripción
  • Medidas técnicas y organizativas:
    • Doble opt-in y registro del consentimiento
    • Enlace de baja en cada correo
    • Cifrado TLS en el envío
    • Contrato de encargo de tratamiento con el proveedor

5. Registro y uso de la plataforma

Para utilizar nuestra plataforma es necesaria una cuenta de usuario. Tratamos especialmente datos básicos y de contacto, datos de acceso, roles y datos de uso. El tratamiento sirve para proporcionar y gestionar la cuenta y para ejecutar el contrato de uso (incl. planes Free y Gold).

Base jurídica: art. 6 apdo. 1 letra b) RGPD (ejecución del contrato) y art. 6 apdo. 1 letra f) RGPD (seguridad de cuentas y sistemas).

6. Datos de los destinatarios de facturas (encargo de tratamiento)

Los datos de sus clientes (destinatarios de facturas) tratados en el marco de la emisión automatizada de facturas se tratan exclusivamente según sus instrucciones. Usted sigue siendo el responsable de dichos datos. Informe a sus clientes en su propia política de privacidad sobre el uso de nuestra plataforma como proveedor de servicios.

7. Boletín y comunicaciones por correo (opcional)

Si se suscribe a nuestro boletín, tratamos su dirección de correo electrónico y, en su caso, su nombre para enviarle periódicamente información sobre productos, funciones y ofertas. El envío se realiza únicamente tras su consentimiento expreso mediante doble opt-in. Puede revocar su consentimiento en cualquier momento con efectos futuros, por ejemplo a través del enlace de baja en cada correo o escribiendo a [email protected].

Base jurídica: art. 6 apdo. 1 letra a) RGPD (consentimiento) y, en la medida aplicable, § 7 UWG (Derecho alemán). Para acreditar el opt-in almacenamos la fecha/hora, la IP y el contenido del consentimiento.

Para el envío utilizamos un Proveedor de envío de correos electrónicos (encargo de tratamiento, art. 28 RGPD). La transferencia a terceros países solo se realiza bajo las condiciones de los arts. 44 y ss. RGPD (p. ej., Cláusulas Contractuales Tipo de la UE / Decisión de adecuación).

Para optimizar nuestro boletín podemos analizar estadísticamente si se abren los correos y qué enlaces se clican (tasas de apertura y clic). Este análisis es opcional y sirve para mejorar nuestra oferta. Puede oponerse en cualquier momento dándose de baja.

Conservamos sus datos del boletín hasta la revocación del consentimiento. La prueba del opt-in se conserva hasta el final de los plazos legales de prescripción.

8. Uso de Google Analytics

En nuestro sitio web utilizamos el servicio de análisis web Google Analytics. El proveedor es Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda («Google»). Google Analytics nos permite analizar el comportamiento de uso en nuestro sitio web para optimizar técnicamente nuestra oferta y hacerla más fácil de usar.

Google Analytics se activa únicamente tras su consentimiento expreso a través de nuestro banner de cookies/consentimiento (opt-in). Sin su consentimiento no se realiza ningún análisis mediante Google Analytics. La base jurídica es el art. 6 apdo. 1 letra a del RGPD (consentimiento).

Google procesa en nuestro encargo información sobre cómo utiliza usted nuestro sitio web, por ejemplo: páginas visitadas, marcas de tiempo, información aproximada de ubicación (en función de la dirección IP), información técnica sobre los dispositivos y navegadores utilizados, así como interacciones (por ejemplo, clics, movimientos de desplazamiento). Los datos recopilados por Google Analytics se procesan, por regla general, en servidores de Google.

Utilizamos Google Analytics en la versión actual proporcionada por Google, Google Analytics 4 (GA4). Según la información facilitada por Google, las direcciones IP no se almacenan de forma permanente al usar GA4, sino que solo se utilizan de forma breve para derivar datos de ubicación aproximados y posteriormente se eliminan o se anonimizan. Nosotros no tenemos acceso a direcciones IP en texto claro.

No puede descartarse que Google transmita datos a empresas del grupo en terceros países (en particular a Estados Unidos). En estos casos, según Google, el tratamiento se basa en garantías adecuadas conforme a los arts. 44 y ss. del RGPD (por ejemplo, cláusulas contractuales tipo y, en su caso, decisiones de adecuación).

Usted puede revocar su consentimiento en cualquier momento con efecto para el futuro modificando los ajustes de cookies a través de nuestro banner de consentimiento (por ejemplo, volviendo a abrir el banner o mediante la función correspondiente en el pie de página, en caso de estar disponible). Además, puede impedir la recopilación y el tratamiento de sus datos por parte de Google Analytics mediante un complemento de navegador ofrecido por Google: https://tools.google.com/dlpage/gaoptout .

Encontrará más información sobre el tratamiento de datos por parte de Google en la política de privacidad de Google: https://policies.google.com/privacy .

9. Procesamiento de pagos con Stripe

Para pagos digitales (p. ej., transacciones, planes como «Gold») utilizamos el proveedor de pagos Stripe. El tratamiento incluye, entre otros, importes, identificadores de transacción y la asignación a su cuenta.

Stripe trata los datos de pago bajo su propia responsabilidad según sus condiciones. No almacenamos datos completos de tarjetas de crédito en nuestro sistema.

Bases jurídicas: art. 6 apdo. 1 letra b) RGPD (contrato/pago), art. 6 apdo. 1 letra c) RGPD (obligaciones fiscales) y art. 6 apdo. 1 letra f) RGPD (interés en un procesamiento de pagos seguro).

10. Destinatarios de datos personales

Los datos solo se transfieren a terceros cuando sea necesario para los fines mencionados, exista obligación legal, medie consentimiento o prevalezca un interés legítimo.

  • Proveedores de alojamiento e infraestructura (p. ej., MongoDB Atlas, cloud)
  • Proveedores de servicios de pago (especialmente Stripe)
  • Proveedores de envío de correos para boletines/correos transaccionales
  • Servicios de comunicación y soporte
  • Asesores fiscales, abogados, autoridades en el marco de obligaciones legales

11. Transferencia de datos a terceros países

Solo se transfiere a países fuera de la UE/EEE si existe una decisión de adecuación de la Comisión Europea, garantías adecuadas (p. ej., Cláusulas Contractuales Tipo) o se aplica una excepción legal.

12. Plazos de conservación

Conservamos los datos personales únicamente mientras sea necesario para los fines respectivos. Además, se aplican los plazos de conservación conforme a la normativa mercantil y fiscal (por lo general, de 6 a 10 años) y los plazos legales de prescripción.

13. Medidas técnicas y organizativas

Implementamos medidas técnicas y organizativas adecuadas para proteger los datos personales, entre ellas restricciones de acceso, cifrado, actualizaciones periódicas y políticas internas. Las medidas concretas se desprenden adicionalmente de las actividades de tratamiento descritas.

14. Derechos de las personas interesadas

Las personas afectadas tienen derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y oposición a determinados tratamientos.

El consentimiento otorgado puede revocarse en cualquier momento con efecto futuro.

Dirija sus solicitudes a [email protected] .

Asimismo, tiene derecho a presentar una reclamación ante una autoridad de control en materia de protección de datos.

16. Última actualización

09.11.2025