Política de Privacidad

Información sobre el tratamiento de datos personales conforme al RGPD (UE) 2016/679 y la LOPDGDD (LO 3/2018)

Última actualización: Enero 2025 Normativa: LSSI-CE · RGPD · LOPDGDD Aplicable en España / Unión Europea

🔒 Resumen ejecutivo: FactuLove trata sus datos para prestarle el servicio de facturación, gestionar su cuenta y cumplir obligaciones legales. No vendemos ni cedemos sus datos a terceros con fines comerciales. Sus datos se almacenan en servidores ubicados en la Unión Europea. Puede ejercer sus derechos en cualquier momento escribiendo a privacidad@factulove.es.

1. Responsable del tratamiento

Denominación	[NOMBRE O RAZÓN SOCIAL]
NIF / CIF	[X0000000X]
Domicilio	[Dirección completa, CP, Municipio, Provincia, España]
Email de privacidad	privacidad@factulove.es
Delegado de Protección de Datos (DPO)	[Nombre del DPO, si aplica] — Para empresas sin obligación legal de DPO, indicar «No designado»
Autoridad de control competente	Agencia Española de Protección de Datos (AEPD) — www.aepd.es

2. Doble rol: responsable y encargado del tratamiento

En el contexto de un software SaaS de facturación, FactuLove actúa en un doble rol con arreglo al RGPD, que conviene distinguir:

2.1 FactuLove como Responsable del Tratamiento

Cuando tratamos los datos personales del usuario de la plataforma (nombre, email, contraseña, datos de pago, historial de uso), actuamos como Responsable del Tratamiento conforme al artículo 4.7 del RGPD, determinando los fines y medios del tratamiento. Esta Política de Privacidad regula específicamente este tratamiento.

2.2 FactuLove como Encargado del Tratamiento

Cuando el usuario, en el ejercicio de su actividad empresarial o profesional, introduce en la Plataforma datos personales de sus propios clientes (nombre, NIF, dirección de terceros que aparecen en facturas), FactuLove actúa como Encargado del Tratamiento conforme al artículo 4.8 y al artículo 28 del RGPD. En este caso, el usuario es el Responsable del Tratamiento de dichos datos, y FactuLove únicamente los trata siguiendo sus instrucciones y para la prestación del Servicio.

📌 Contrato de Encargo de Tratamiento (art. 28 RGPD): La aceptación de los Términos y Condiciones de Uso en el momento del registro implica la celebración del contrato de encargo de tratamiento entre el usuario (responsable) y FactuLove (encargado). Las condiciones detalladas de dicho encargo se recogen en los Términos y Condiciones, Sección 9.

3. Finalidades y bases legales del tratamiento

Finalidad	Base legal (art. 6 RGPD)	Datos tratados
Registro y gestión de la cuenta de usuario	Ejecución de contrato (art. 6.1.b)	Nombre, email, contraseña (hash), fecha de registro
Prestación del servicio de facturación	Ejecución de contrato (art. 6.1.b)	Datos de empresas, facturas, clientes, ejercicios fiscales
Verificación del email y seguridad de la cuenta	Interés legítimo (art. 6.1.f) / Ejecución de contrato	Email, tokens de verificación y recuperación
Gestión de pagos y suscripciones	Ejecución de contrato (art. 6.1.b)	Plan activo, fechas, historial de pagos, datos de Stripe/PayPal
Facturación de la suscripción y cumplimiento fiscal	Obligación legal (art. 6.1.c) — Ley 37/1992 IVA, RD 1619/2012	NIF/CIF, datos fiscales del suscriptor
Envío de comunicaciones de servicio (confirmaciones, alertas de cuenta, cambios de plan)	Ejecución de contrato (art. 6.1.b)	Email, nombre
Envío de comunicaciones comerciales (novedades, ofertas) — solo con consentimiento expreso	Consentimiento (art. 6.1.a)	Email, nombre
Atención al cliente y soporte técnico	Interés legítimo (art. 6.1.f) / Ejecución de contrato	Email, nombre, descripción de la incidencia
Análisis de uso y mejora del servicio (datos anonimizados o seudónimos)	Interés legítimo (art. 6.1.f)	Datos de navegación anonimizados, métricas de uso
Cumplimiento de requerimientos legales y atención de derechos de los interesados	Obligación legal (art. 6.1.c)	Los necesarios según el requerimiento
Prevención del fraude y seguridad del sistema	Interés legítimo (art. 6.1.f)	IP de acceso, logs de seguridad, intentos de autenticación

4. Categorías de datos tratados

FactuLove trata las siguientes categorías de datos personales:

4.1 Datos de identificación y cuenta

Nombre y apellidos (o denominación social en caso de personas jurídicas)
Dirección de correo electrónico
Contraseña (almacenada únicamente en formato hash bcrypt — no recuperable)
Fecha y hora de registro, último acceso
Dirección IP de conexión (logs de acceso)

4.2 Datos de facturación y empresas

Datos de las empresas registradas: nombre, NIF/CIF, domicilio fiscal, datos de contacto, logotipo
Datos de clientes de facturas: nombre o razón social, NIF/CIF, dirección (tratados como encargado del tratamiento, no como responsable)
Contenido de facturas: conceptos, importes, fechas, referencias

4.3 Datos de pago y suscripción

Plan contratado, fechas de vigencia, historial de pagos
Identificador de cliente en Stripe (stripe_customer_id) — FactuLove no almacena datos de tarjetas; el procesamiento es íntegramente realizado por Stripe conforme a PCI DSS nivel 1
En pagos por PayPal: email de PayPal del pagador, según comunique PayPal

FactuLove no trata categorías especiales de datos (datos de salud, ideología, religión, orientación sexual, etc.) ni datos de menores de 14 años.

5. Plazos de conservación

Categoría de datos	Plazo de conservación	Justificación
Datos de cuenta activa	Mientras dure la relación contractual	Ejecución del contrato de suscripción
Datos de cuenta cancelada / baja	90 días tras la cancelación (acceso de solo lectura) + bloqueo y supresión	Posibilidad de reactivación o exportación por el usuario
Facturas emitidas (datos fiscales)	6 años desde la emisión	Art. 30 Código de Comercio · Art. 70 Ley General Tributaria · Art. 19 Ley del IVA
Datos de pago / suscripción	5 años desde el último pago	Ley 58/2003 General Tributaria · prescripción de derechos
Logs de acceso y seguridad	12 meses	LSSI-CE art. 12 · seguridad del sistema
Consentimiento para comunicaciones comerciales	Hasta revocación + 3 años para acreditar el consentimiento	LSSI-CE art. 21 · carga de la prueba

6. Destinatarios y transferencias internacionales

6.1 Encargados del tratamiento (subencargados)

FactuLove utiliza los siguientes prestadores de servicios como encargados del tratamiento, con los que se ha suscrito el correspondiente contrato conforme al artículo 28 del RGPD:

Proveedor	Servicio	Ubicación	Garantías
Stripe	Procesamiento de pagos con tarjeta	UE / EE.UU.	Cláusulas Contractuales Tipo (CCT) · Política de privacidad
PayPal	Procesamiento de pagos por PayPal	Luxemburgo (UE)	Dentro del EEE · Política de privacidad
[Proveedor de hosting]	Alojamiento de servidores y base de datos	[España / UE]	[Certificación ISO 27001 / etc.]
[Proveedor SMTP / email]	Envío de correos transaccionales	[UE]	[CCT / adecuación]

6.2 No cesión a terceros con fines comerciales

FactuLove no vende, alquila ni cede los datos personales de sus usuarios a terceros con fines de marketing, publicidad o cualquier otra finalidad comercial ajena a la prestación del Servicio.

6.3 Transferencias internacionales

En los casos en que los datos se transfieran a proveedores ubicados fuera del Espacio Económico Europeo (como Stripe en EE.UU.), FactuLove garantiza que dicha transferencia cuenta con las salvaguardas apropiadas, especialmente las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea conforme al artículo 46 del RGPD.

7. Sus derechos

En virtud del RGPD y la LOPDGDD, usted tiene derecho a:

Derecho	Descripción
✅ Acceso (art. 15 RGPD)	Obtener confirmación sobre si tratamos sus datos y acceder a los mismos.
✏️ Rectificación (art. 16 RGPD)	Solicitar la corrección de datos inexactos o incompletos.
🗑️ Supresión («derecho al olvido») (art. 17 RGPD)	Solicitar la eliminación de sus datos cuando ya no sean necesarios o retire su consentimiento, salvo que exista una obligación legal de conservación.
⏸️ Limitación del tratamiento (art. 18 RGPD)	Solicitar que suspendamos el tratamiento en determinadas circunstancias.
📦 Portabilidad (art. 20 RGPD)	Recibir sus datos en un formato estructurado, de uso común y lectura mecánica (JSON/CSV), y transmitirlos a otro responsable.
🚫 Oposición (art. 21 RGPD)	Oponerse al tratamiento basado en interés legítimo o con fines de marketing directo.
🤖 No decisión automatizada (art. 22 RGPD)	No ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos.
↩️ Revocación del consentimiento (art. 7.3 RGPD)	Retirar en cualquier momento el consentimiento prestado, sin que ello afecte a la licitud del tratamiento previo.

Cómo ejercer sus derechos

Puede ejercer cualquiera de estos derechos enviando un correo electrónico a privacidad@factulove.es, indicando el derecho que desea ejercer y adjuntando una copia de su DNI/NIE u otro documento identificativo. Responderemos en el plazo máximo de un mes desde la recepción de su solicitud (art. 12.3 RGPD), prorrogable dos meses adicionales en casos de especial complejidad.

Si considera que el tratamiento de sus datos vulnera la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de www.aepd.es.

8. Medidas de seguridad técnicas y organizativas

FactuLove aplica medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD, entre las que se incluyen:

Cifrado en tránsito: todas las comunicaciones se realizan mediante protocolo HTTPS/TLS.
Cifrado de contraseñas: almacenadas exclusivamente en formato hash bcrypt (coste 12), sin posibilidad de recuperación.
Hashing de facturas Veri*Factu: cadena SHA-256 que garantiza la integridad de los registros de facturación.
Control de acceso: autenticación por sesión con tokens CSRF, expiración automática y regeneración periódica de identificador de sesión.
Separación lógica de datos: cada usuario accede únicamente a los datos de sus propias empresas y ejercicios.
Copias de seguridad: [frecuencia y política de backup a completar por el titular].
Gestión de incidencias: protocolo de notificación de brechas de seguridad a la AEPD en el plazo de 72 horas (art. 33 RGPD) y a los afectados si procede (art. 34 RGPD).

9. Menores de edad

El Servicio está dirigido exclusivamente a personas mayores de 18 años. FactuLove no recaba conscientemente datos personales de menores. Si tuviéramos conocimiento de haber recabado datos de un menor de 14 años sin el consentimiento de sus padres o tutores, procederíamos a su supresión inmediata. Si usted tiene conocimiento de tal situación, le rogamos que lo comunique a privacidad@factulove.es.

10. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas o en la normativa vigente. Cuando los cambios sean sustanciales, lo notificaremos por email con un mínimo de 15 días de antelación. La versión actualizada estará siempre disponible en esta página con su fecha de última actualización.

11. Contacto y reclamaciones

Consultas de privacidad	privacidad@factulove.es
Soporte general	soporte@factulove.es
Autoridad de control	AEPD · C/ Jorge Juan 6, 28001 Madrid · www.aepd.es

📋 Versión del documento: v1.0 · Enero 2025 · Los campos marcados en amarillo deben completarse antes de la publicación.