Saltar al contenido principal

Política de Privacidad

Última actualización: abril 2026

1. Responsable del tratamiento

Autonomio Digital S.L., con CIF [pendiente], domicilio en España. Correo de contacto: privacidad@whatthefactura.com.

2. Datos que recogemos

  • Datos de registro: nombre, email, contraseña (cifrada)
  • Datos de empresa: razón social, CIF/NIF, dirección fiscal, teléfono
  • Datos de facturación: facturas emitidas y recibidas, clientes, proveedores, importes
  • Datos de uso: interacciones con la plataforma, funciones utilizadas
  • Datos de pago: procesados por Stripe, no almacenamos datos de tarjeta

3. Finalidad del tratamiento

  • Prestación del servicio de facturación electrónica
  • Cumplimiento de obligaciones legales (VeriFactu, Ley Crea y Crece)
  • Comunicaciones relacionadas con el servicio
  • Mejora del servicio y análisis de uso

4. Base legal

  • Ejecución del contrato: para la prestación del servicio
  • Obligación legal: para el cumplimiento de la normativa fiscal española
  • Interés legítimo: para la mejora del servicio y comunicaciones
  • Consentimiento: para el uso de cookies no esenciales

5. Conservación de datos

Los datos se conservarán mientras dure la relación contractual y, una vez finalizada, durante los plazos legalmente exigidos: 4 años (Ley General Tributaria), 6 años (Código de Comercio), hasta 10 años para facturas de bienes inmuebles.

6. Encargados del tratamiento

  • Supabase Inc.: alojamiento de base de datos y autenticación (servidores en la UE)
  • Vercel Inc.: alojamiento de la aplicación web
  • Stripe Inc.: procesamiento de pagos (certificado PCI DSS)
  • Anthropic PBC y OpenAI (vía OpenRouter): procesamiento de IA para clasificación y OCR de facturas. Los proveedores no almacenan los datos enviados (zero data retention).
  • Google LLC: proveedor de la Gmail API cuando el usuario conecta su cuenta de Gmail (ver sección 7-bis).
  • Microsoft Corporation: proveedor de la Microsoft Graph API cuando el usuario conecta su cuenta de Outlook.
  • Resend Inc.: envío de correos electrónicos transaccionales

7. Transferencias internacionales

Algunos de nuestros encargados del tratamiento están ubicados en Estados Unidos. Las transferencias se realizan bajo las Cláusulas Contractuales Tipo de la Comisión Europea y el EU-US Data Privacy Framework.

7-bis. Datos obtenidos a través de Google API Services (Gmail)

Cuando un usuario conecta voluntariamente su cuenta de Gmail desde /ajustes/email, What The Factura solicita los siguientes permisos OAuth (scopes) de Google:

  • openid, https://www.googleapis.com/auth/userinfo.email, https://www.googleapis.com/auth/userinfo.profile — para identificar al usuario.
  • https://www.googleapis.com/auth/gmail.readonly — para leer únicamente los adjuntos PDF, imagen y Excel de los mensajes recibidos en los últimos 90 días, con el fin exclusivo de extraer datos fiscales para la facturación.

El uso, almacenamiento y transferencia de los datos de Google API recibidos por What The Factura se ajusta a la Google API Services User Data Policy, incluidos los requisitos de Limited Use. Específicamente:

  • NO usamos los datos de Gmail para publicidad, ni propia ni de terceros.
  • NO transferimos los datos de Gmail a terceros, salvo que sea estrictamente necesario para prestar el servicio (procesamiento OCR), por motivos legales, o con consentimiento explícito del usuario.
  • NO usamos los datos de Gmail para entrenar, mejorar o desarrollar modelos de inteligencia artificial generales o personalizados.
  • NO permitimos que humanos lean los datos de Gmail, salvo: (a) con consentimiento explícito del usuario para soporte específico; (b) por motivos de seguridad (e.g. investigación de abuso); (c) por obligación legal; o (d) cuando los datos hayan sido agregados y anonimizados para uso interno.
  • Sólo descargamos los adjuntos clasificados como factura o albarán mediante heurística + LLM. No leemos, indexamos ni almacenamos el cuerpo de los correos electrónicos.
  • Los tokens OAuth se almacenan cifrados en reposo con AES-256-GCM en Supabase (servidores en la UE).
  • El usuario puede revocar el acceso en cualquier momento desde /ajustes/email (los tokens se eliminan inmediatamente) o desde la página de permisos de su cuenta Google.

El mismo principio de uso mínimo y limitado se aplica a la integración con Microsoft Outlook (Microsoft Graph API).

8. Derechos del interesado

Conforme al RGPD (Artículos 15-22) y la LOPDGDD, tiene derecho a:

  • Acceso a sus datos personales
  • Rectificación de datos inexactos
  • Supresión (derecho al olvido), sin perjuicio de las obligaciones legales de conservación fiscal
  • Limitación del tratamiento
  • Portabilidad de los datos
  • Oposición al tratamiento

Para ejercer estos derechos, envíe un correo a privacidad@whatthefactura.com adjuntando copia de su DNI/NIE.

9. Seguridad

Implementamos medidas técnicas y organizativas de seguridad: cifrado en tránsito (TLS 1.3) y en reposo (AES-256-GCM para tokens OAuth y contraseñas IMAP, AES-256 para el resto), control de acceso basado en roles, Row-Level Security en la base de datos por organización, y auditoría de accesos.

10. Cookies

Consulte nuestra Política de Cookies para información detallada.

11. Autoridad de control

Puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

¿Dudas? Pregunta a Facturito