AutonomoPerezosoVolver al inicio

Política de privacidad y protección de datos

Versión 1.1 · Última actualización: 2026-05-26

En AutonomoPerezoso (en adelante, el Servicio o la Plataforma) tomamos en serio la privacidad de los datos que nos confías. La presente política se elabora conforme al Reglamento (UE) 2016/679, General de Protección de Datos (RGPD), la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI-CE) y demás normativa de aplicación, e informa con detalle de los tratamientos que realizamos en el marco de la prestación del Servicio.

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de la Plataforma es la persona física o jurídica titular del Servicio identificada en el Aviso legal, donde figuran su denominación, ubicación y email de contacto en materia de protección de datos.

Para cualquier asunto relacionado con esta política o con el ejercicio de derechos puedes escribir a [email protected]. Tratamos las solicitudes en el plazo máximo de un (1) mes, prorrogable a dos (2) meses adicionales en supuestos de elevada complejidad o alto volumen, comunicándolo previamente al interesado.

2. Categorías de interesados

La presente política se dirige a las personas físicas que tengan relación con AutonomoPerezoso en alguna de las siguientes condiciones:

  • Usuarios titulares de cuentas (autónomos, micro y pequeñas empresas, profesionales).
  • Colaboradores invitados al área privada de un Usuario titular (gestores, contables, empleados, auditores).
  • Clientes finales y proveedores introducidos por los Usuarios titulares en la Plataforma para emitir facturas, gestionar gastos, proyectos, presupuestos, contratos o nóminas. En este caso, AutonomoPerezoso actúa como encargado del tratamiento conforme al art. 28 RGPD, siendo el responsable el Usuario titular que introduce los datos.
  • Visitantes que accedan al sitio web público sin registrarse, o que utilicen el formulario de contacto.

3. Datos personales tratados

Tratamos las siguientes categorías de datos:

3.1. Datos de registro y autenticación

  • Datos identificativos: nombre, primer y segundo apellido, fecha de nacimiento, NIF/NIE/CIF, teléfono.
  • Datos de contacto: email, domicilio fiscal, código postal, ciudad, provincia, país.
  • Datos de cuenta: contraseña (hasheada con bcrypt — no almacenamos la contraseña en claro en ningún momento), métodos 2FA, secretos TOTP cifrados con AES-256-GCM, códigos de respaldo hasheados, tokens de sesión, dispositivos conectados, IP de registro, IP de cada inicio de sesión, agente de usuario.
  • Datos de marca y plantilla de facturación: logotipo, color de marca, IBAN.

3.2. Datos económicos y de facturación

  • Datos identificativos y fiscales de tus clientes y proveedores: nombre/razón social, NIF, domicilio, email, teléfono, condición de intracomunitario.
  • Datos económicos: facturas emitidas y recibidas, importes, métodos de pago, IBAN, presupuestos, contratos, suscripciones, recordatorios de cobro, links de pago.
  • Datos laborales (si gestionas empleados): nombre y apellidos, NIF, número de la Seguridad Social, fechas de alta/baja, tipo de contrato, categoría profesional, grupo de cotización, salario, situación familiar (estado civil, número de hijos, discapacidad declarada únicamente para el cálculo de IRPF).

3.3. Datos técnicos y de uso

  • Logs de acceso (IP, user-agent, marca temporal, ruta solicitada, código de respuesta), eventos relevantes (login fallido, activación de 2FA, exportaciones masivas, descargas de backup, etc.).
  • Cookies estrictamente necesarias y, si las aceptas, cookies de analítica anónima — detalle en la Política de cookies.

3.4. Datos de pago

Los datos de tarjeta no se almacenan en nuestros sistemas: la pasarela de pago utilizada (por defecto, Stripe Payments Europe Ltd.) procesa directamente el medio de pago con sus propias medidas PCI-DSS. Sólo recibimos un identificador de cliente, los últimos cuatro dígitos y un token para procesar renovaciones.

3.5. Categorías especiales

Salvo el dato relativo a discapacidad declarada por el propio empleado para el cálculo del IRPF (que el Usuario titular es libre de introducir si gestiona nóminas), no solicitamos categorías especiales de datos (origen racial o étnico, opiniones políticas, convicciones religiosas, datos de salud, biométricos, genéticos u orientación sexual). Si decides introducir alguno por iniciativa propia, lo tratamos con las garantías reforzadas del art. 9 RGPD.

4. Finalidades del tratamiento

  1. Prestación del Servicio: alta y mantenimiento de la cuenta, generación de facturas, gestión de clientes, gastos, proyectos, contratos, nóminas, declaraciones fiscales y demás funcionalidades contratadas.
  2. Autenticación y seguridad: verificación de credenciales, 2FA, prevención de accesos no autorizados, identificación de dispositivos y geolocalización aproximada por IP, detección de fraude.
  3. Cumplimiento de obligaciones legales: conservación de documentación contable y fiscal según la Ley General Tributaria (4 años para Hacienda y, en general, 6 años conforme al Código de Comercio), atención a requerimientos de autoridades competentes, remisión de información a la AEAT cuando Verifactu sea exigible.
  4. Facturación a nosotros mismos: emisión y gestión de las facturas que te emitimos por tu suscripción, contabilidad interna, prevención de impagos.
  5. Soporte y atención al usuario: respuesta a consultas, tickets, solicitudes de ejercicio de derechos y comunicaciones operativas (avisos de mantenimiento, cambios de términos, vencimiento de suscripción).
  6. Mejora del Servicio: análisis estadístico agregado y anonimizado, detección de errores, optimización del rendimiento.
  7. Comunicaciones comerciales (sólo si has dado tu consentimiento marcando la casilla correspondiente): newsletter, novedades del producto, ofertas, contenidos formativos. Puedes retirar el consentimiento en cualquier momento desde tu perfil o haciendo clic en "darse de baja" al pie de cada email.
  8. Cumplimiento de obligaciones contractuales: ejecución del contrato suscrito al aceptar los Términos, gestión de renovaciones, suspensiones e incidencias.

5. Bases jurídicas que legitiman el tratamiento

  • Ejecución del contrato (art. 6.1.b RGPD) para las finalidades 1, 4 y 8.
  • Cumplimiento de una obligación legal (art. 6.1.c RGPD) para la finalidad 3.
  • Interés legítimo (art. 6.1.f RGPD) para las finalidades 2, 5 y 6: garantizar la seguridad del Servicio, atender incidencias y mejorar la calidad del producto. Hemos realizado el oportuno juicio de ponderación.
  • Consentimiento (art. 6.1.a RGPD) para la finalidad 7 (comunicaciones comerciales) y para las cookies no estrictamente necesarias. Es libre, informado y revocable en cualquier momento.

6. Plazos de conservación

  • Datos de cuenta: mientras la cuenta permanezca activa. Tras la baja, los mantenemos durante un plazo de treinta (30) días para permitir su exportación; transcurrido este plazo, se anonimizan o eliminan.
  • Datos de facturación y contabilidad: seis (6) años desde la emisión de la última factura (Código de Comercio), sin perjuicio de los plazos específicos de la normativa tributaria (4 años con carácter general).
  • Datos laborales (nóminas y empleados): diez (10) años desde el último alta/baja conforme al art. 21 del Real Decreto Legislativo 5/2000.
  • Logs de acceso y eventos de seguridad: doce (12) meses, salvo que la investigación de un incidente requiera mayor plazo.
  • Tickets de soporte: dos (2) años desde el último contacto.
  • Comunicaciones comerciales: hasta que el interesado revoque su consentimiento.

7. Destinatarios y encargados del tratamiento

No cedemos tus datos a terceros salvo en los siguientes supuestos:

  • A las Administraciones Públicas competentes cuando medie obligación legal: AEAT (Verifactu, modelos tributarios), Tesorería General de la Seguridad Social, juzgados, fuerzas y cuerpos de seguridad ante requerimiento debidamente motivado.
  • A los encargados del tratamiento que prestan servicios técnicos o auxiliares al Prestador. Todos están vinculados por contratos de encargo conforme al art. 28 RGPD. Principales encargados:
    • Proveedor de hosting/cloud (servidores en la UE/EEE).
    • Stripe Payments Europe Ltd. (Irlanda), pasarela de pago.
    • Proveedores de email transaccional (Resend, Postmark, SendGrid) o el SMTP propio del Usuario cuando esté configurado.
    • Vercel Inc. u otro CDN/edge cuando se utilice, con cláusulas estándar y régimen Data Privacy Framework.
  • A los colaboradores que tú mismo invites a tu cuenta (gestor, contable, empleados, auditores). En este caso, eres tú quien decide qué datos comparte y bajo qué permisos.

8. Transferencias internacionales

Por defecto, los datos se almacenan y procesan en servidores ubicados en el Espacio Económico Europeo. En aquellos casos en los que algún encargado procese datos fuera del EEE, se garantizan las salvaguardas previstas por el RGPD: cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión 2021/914), adhesión al Data Privacy Framework UE-EEUU (cuando aplique) o decisiones de adecuación. Puedes solicitar copia de las garantías aplicables escribiendo a la dirección indicada en la cláusula 1.

9. Decisiones automatizadas y elaboración de perfiles

El Servicio utiliza heurísticas automatizadas para tareas como la priorización de facturas vencidas, la detección de gastos potencialmente duplicados, la propuesta de borradores de modelos tributarios o el reconocimiento óptico de tickets (OCR). Estas decisiones tienen carácter orientativo, no producen efectos jurídicos ni te afectan significativamente, y siempre podrás revisar y modificar manualmente sus resultados antes de aceptarlos. No elaboramos perfiles con fines publicitarios ni cedemos información a redes externas con tal finalidad.

10. Derechos del interesado

  • Acceso · Rectificación · Supresión ("derecho al olvido") · Limitación · Oposición · Portabilidad · No ser objeto de decisiones automatizadas con efectos jurídicos significativos · Revocar el consentimiento prestado, en cualquier momento y sin que ello afecte a la licitud del tratamiento previo.

Para ejercerlos puedes escribir a [email protected], adjuntando copia del DNI o documento equivalente que acredite tu identidad. Si consideras que hemos vulnerado tus derechos, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es, C/ Jorge Juan, 6 — 28001 Madrid).

11. Medidas de seguridad

  • Cifrado en tránsito mediante TLS 1.2+ con cifrados modernos.
  • Cifrado en reposo de credenciales y secretos sensibles (AES-256-GCM derivado de una clave principal y bcrypt para contraseñas).
  • Verificación en dos pasos compatible con apps autenticadoras (Google Authenticator, Authy, 1Password, Bitwarden) y/o email.
  • Registro y revocación granular de dispositivos y sesiones desde la sección de seguridad.
  • Aislamiento lógico estricto entre tenants (una cuenta nunca puede ver datos de otra salvo a través del sistema explícito de invitaciones y permisos).
  • Registro auditable de acciones administrativas.
  • Backup automático cifrado y exportable bajo demanda en formato abierto.
  • Procedimiento de notificación de brechas de seguridad a la AEPD y a los afectados, en su caso, en el plazo de 72 horas conforme al art. 33 RGPD.

12. Menores de edad

El Servicio se dirige exclusivamente a personas físicas mayores de 16 años en términos de capacidad para prestar consentimiento al tratamiento de datos personales (art. 7 LOPDGDD), y mayores de 18 años cuando se trate de contratar productos o servicios que requieran capacidad jurídica plena.

13. Modificaciones de esta política

Esta política puede actualizarse cuando se produzcan cambios normativos, jurisprudenciales o en el propio Servicio. Las modificaciones materiales se anunciarán mediante aviso visible en la Plataforma y/o por correo electrónico, con la antelación que resulte razonable.

14. Contacto y consultas

Para cualquier consulta, queja o solicitud relativa al tratamiento de tus datos personales, puedes contactarnos en [email protected] o utilizando el formulario de la sección Contacto.

El presente documento se ofrece a efectos meramente informativos y se elabora sobre la base de la normativa vigente a su fecha de actualización. Las cláusulas particulares aplicables a cada plan, Acuerdo de Encargo de Tratamiento (DPA), Acuerdo de Nivel de Servicio (SLA) o cláusulas específicas pactadas con clientes empresariales podrán complementar o concretar el contenido de esta política. En caso de discrepancia, prevalecerá la normativa imperativa aplicable.