Política de privacidad

La presente Política de Privacidad regula el tratamiento de los datos personales recabados por FactuPoints, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

1. Responsable del tratamiento

• Responsable: Points2Control Informática, S.L. (titular de la marca FactuPoints)
• NIF: B67331249
• Domicilio social: Riera Cuitora, 7 — 08712 Sant Martí de Tous (Barcelona), España
• Teléfono: +34 621 252 664
• Email de contacto: marc@points2control.com

Dada la naturaleza y volumen del tratamiento, FactuPoints no está obligada a designar un Delegado de Protección de Datos (DPO). No obstante, el canal de contacto anterior funciona como punto único para cualquier cuestión relativa a la protección de datos personales.

2. Datos que recogemos

En función del uso que el usuario haga del servicio, FactuPoints puede recoger las siguientes categorías de datos:

2.1. Datos de registro y cuenta

• Nombre y apellidos o razón social.
• NIF/CIF.
• Dirección postal, código postal, municipio y provincia.
• Dirección de correo electrónico.
• Contraseña (almacenada cifrada mediante hash).
• Teléfono (opcional).

2.2. Datos fiscales y de facturación

• Datos de clientes y proveedores gestionados por el usuario.
• Facturas emitidas, presupuestos, recibos y gastos.
• Importes, conceptos, bases imponibles, IVA e IRPF.
• Certificados digitales para la firma y envío a la AEAT (cuando el usuario los aporte).

2.3. Datos técnicos

• Dirección IP.
• Tipo de navegador, sistema operativo y versión.
• Fecha y hora de acceso.
• Cookies técnicas (véase la Política de cookies).
• Registros (logs) de acceso y uso del servicio.

3. Finalidades del tratamiento

• Prestación del servicio de facturación electrónica contratado.
• Gestión de la cuenta de usuario, autenticación y soporte.
• Emisión, almacenamiento y envío de facturas, presupuestos y documentos fiscales.
• Cumplimiento de las obligaciones derivadas del sistema Verifactu y comunicación con la AEAT.
• Envío de notificaciones operativas relacionadas con el servicio (verificación de email, recuperación de contraseña, estado de la suscripción, recordatorios).
• Facturación del propio servicio FactuPoints al usuario y gestión del cobro por domiciliación bancaria (SEPA).
• Cumplimiento de obligaciones legales, contables y fiscales.
• Prevención del fraude y seguridad del sistema.

4. Base legal del tratamiento

• Ejecución del contrato: la base principal para el tratamiento de los datos del usuario es la ejecución del contrato de prestación del servicio SaaS de facturación (art. 6.1.b RGPD).
• Obligación legal: el tratamiento de datos relativos a la emisión, conservación y envío de facturas a la AEAT responde al cumplimiento de obligaciones legales fiscales y contables (art. 6.1.c RGPD), en particular las derivadas de la Ley General Tributaria, la Ley del IVA y el Reglamento de Facturación, así como de la normativa Verifactu.
• Consentimiento: el uso de cookies no estrictamente necesarias, cuando las haya, y el envío de comunicaciones comerciales se basan en el consentimiento expreso del usuario (art. 6.1.a RGPD), el cual puede retirarse en cualquier momento.
• Interés legítimo: la prevención del fraude y la mejora del servicio se amparan en el interés legítimo del responsable (art. 6.1.f RGPD).

5. Plazo de conservación

Los datos personales se conservarán durante el tiempo estrictamente necesario para cumplir con la finalidad para la que fueron recabados:

• Datos de cuenta: mientras el usuario mantenga activa su cuenta. Una vez solicitada la cancelación, los datos de acceso se eliminarán o bloquearán.
• Facturas y documentos fiscales: se conservarán durante un mínimo de 6 años desde su emisión, en cumplimiento del artículo 30 del Código de Comercio y de la normativa tributaria aplicable. Durante ese periodo los datos permanecerán debidamente bloqueados y sólo serán accesibles a requerimiento de las Administraciones Públicas competentes.
• Logs técnicos: durante el plazo necesario para garantizar la seguridad y detectar incidentes, con un máximo orientativo de 12 meses.

6. Destinatarios de los datos

Los datos personales podrán ser comunicados a los siguientes destinatarios, siempre bajo los correspondientes contratos de encargo de tratamiento cuando proceda:

• Agencia Estatal de Administración Tributaria (AEAT): en el marco del sistema Verifactu y del resto de obligaciones fiscales.
• Proveedor de hosting: infraestructura ubicada en la Unión Europea.
• Proveedor de envío de correo (SMTP): para el envío de notificaciones, recuperación de contraseña y comunicación al usuario.
• Entidades financieras: para la gestión del cobro del servicio mediante domiciliación bancaria (SEPA).
• Asesoría contable, fiscal o jurídica del Titular, cuando resulte necesario.
• Autoridades públicas cuando exista obligación legal.

No se realizan transferencias internacionales de datos fuera del Espacio Económico Europeo. En caso de que en el futuro alguna fuera necesaria, se informará específicamente al usuario y se adoptarán las garantías adecuadas previstas en el RGPD.

7. Derechos del usuario

El usuario puede ejercer, en cualquier momento y de forma gratuita, los siguientes derechos reconocidos por el RGPD:

• Derecho de acceso a sus datos personales.
• Derecho de rectificación de los datos inexactos o incompletos.
• Derecho de supresión ("derecho al olvido"), con las limitaciones derivadas de las obligaciones legales de conservación.
• Derecho a la limitación del tratamiento.
• Derecho a la portabilidad de los datos en formato estructurado y de uso común.
• Derecho de oposición al tratamiento.
• Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
• Derecho a no ser objeto de decisiones automatizadas con efectos jurídicos significativos.

Para ejercer estos derechos, el usuario puede enviar una comunicación al correo electrónico marc@points2control.com, indicando el derecho que desea ejercer y adjuntando copia de un documento identificativo. Igualmente, dentro del panel de usuario existe la opción "Eliminar cuenta" para solicitar la baja del servicio.

8. Reclamación ante la autoridad de control

El usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con domicilio en C/ Jorge Juan, 6, 28001 Madrid, y sitio web www.aepd.es, si considera que el tratamiento de sus datos personales infringe la normativa aplicable, en particular cuando no haya obtenido satisfacción en el ejercicio de sus derechos.

9. Medidas de seguridad

El Titular implementa, conforme al artículo 32 del RGPD, medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, evaluadas y revisadas periódicamente. Sin ánimo limitativo, dichas medidas incluyen:

• Cifrado en tránsito: conexiones HTTPS (TLS 1.2+) en todas las comunicaciones, con HTTP Strict Transport Security (HSTS) activo.
• Cifrado en reposo: contraseñas hasheadas con bcrypt (coste 12); credenciales de servicios externos, certificados digitales y números IBAN cifrados con AES-256-GCM con claves derivadas independientes.
• Autenticación robusta: bloqueo automático tras intentos fallidos, opción de doble factor (TOTP) y soporte para passkeys WebAuthn.
• Aislamiento multi-tenant: separación lógica estricta entre los datos de cada cliente a nivel de aplicación y base de datos, verificada mediante pruebas automáticas.
• Registro inmutable de auditoría (append-only) de operaciones críticas (logins, emisión de facturas, modificaciones, accesos administrativos), conservado durante el plazo legalmente exigido.
• Cabeceras de seguridad HTTP: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
• Protección frente a OWASP Top 10: validación estricta de entradas, prepared statements para todas las consultas a base de datos, tokens CSRF en todos los formularios, control de acceso verificado endpoint a endpoint, escape contextual de salidas.
• Copias de seguridad cifradas con rotación periódica y retención mínima de 30 días.
• Pruebas continuas de seguridad: escaneo automático de dependencias, ejecución periódica de baterías de pruebas (más de 700 tests automatizados) que cubren OWASP Top 10, fuzzing, IDOR, integridad de datos, criptografía y aislamiento multi-tenant.
• Acceso restringido a entornos de producción mediante credenciales personales, autenticación de dos factores en el panel de administración y registro de todas las operaciones administrativas.

El usuario reconoce y acepta que ningún sistema informático puede considerarse absolutamente invulnerable, especialmente frente a vulnerabilidades de día cero, ataques sofisticados de actores estatales o ingeniería social dirigida al propio usuario. El Titular asume las obligaciones técnicas de protección que la normativa le impone, pero el usuario es corresponsable de mantener la confidencialidad de sus credenciales, no compartirlas con terceros, mantener actualizados sus dispositivos y reportar inmediatamente cualquier sospecha de compromiso.

10. Notificación de brechas de datos personales

En caso de que se produzca una brecha de seguridad que afecte a los datos personales tratados (por ejemplo, acceso no autorizado, divulgación, alteración o pérdida), el Titular se compromete a:

• Notificar a la AEPD en un plazo máximo de 72 horas desde que tenga conocimiento de la brecha, conforme al artículo 33 RGPD, incluyendo la naturaleza de la brecha, las categorías y número aproximado de afectados, las consecuencias probables y las medidas adoptadas o propuestas.
• Comunicar la brecha al usuario afectado sin dilación indebida cuando esta entrañe un alto riesgo para sus derechos y libertades, conforme al artículo 34 RGPD, mediante correo electrónico a la dirección registrada y/o aviso destacado dentro de la aplicación.
• Documentar la brecha, sus efectos y las medidas correctoras adoptadas, manteniendo dicha documentación a disposición de la AEPD.
• Cooperar con las autoridades competentes y, en su caso, con otros responsables y encargados afectados, para minimizar el impacto.

La comunicación al usuario incluirá información clara y comprensible sobre: la naturaleza de la brecha, los datos afectados, las consecuencias probables, las medidas adoptadas, las recomendaciones para minimizar los efectos (cambio de contraseña, alerta sobre intentos de phishing, etc.) y los datos de contacto del Delegado de Protección de Datos o persona designada.

El usuario podrá solicitar información adicional sobre la brecha, así como ejercer los derechos previstos en el RGPD (incluido el derecho a indemnización del artículo 82). Sin perjuicio de dicho derecho legal, son de aplicación las limitaciones de responsabilidad establecidas en los Términos del servicio en lo no contrario a la normativa imperativa.

11. Modificaciones

El Titular se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas o cambios en el servicio. Cualquier modificación será notificada al usuario con la debida antelación.