Política de Privacidad

Última actualización: [FECHA_PUBLICACION]

Versión: 1.0

Vigencia: desde la fecha indicada

Índice

Responsable del tratamiento
Categorías de datos tratados
Finalidades y base jurídica
Plazos de conservación
Destinatarios y subencargados
Transferencias internacionales
Uso de inteligencia artificial
Derechos del interesado
Medidas de seguridad
Menores de edad
Cambios en esta política
Contacto y reclamaciones

Doble rol del Titular: SuitePro actúa como responsable del tratamiento respecto de sus propios usuarios (clientes B2C y staff de despachos B2B) y como encargado del tratamiento respecto de los datos de los clientes finales que las gestorías introducen en la plataforma. Esta política regula el primer rol; el segundo se rige por el Contrato de Encargo de Tratamiento entre SuitePro y la gestoría correspondiente.

1. Responsable del tratamiento

Identidad	[NOMBRE_SOCIEDAD_LIMITADA] («SuitePro»)
CIF	[CIF_SOCIEDAD]
Dirección postal	[DOMICILIO_SOCIAL_COMPLETO]
Correo electrónico de privacidad	[EMAIL_PRIVACIDAD]
Delegado de Protección de Datos (DPO)	No designado por no ser obligatorio conforme al artículo 37 RGPD. Para consultas en materia de protección de datos, dirigirse al correo anterior.

2. Categorías de datos tratados

SuitePro trata las siguientes categorías de datos personales en función del tipo de Usuario:

2.1. Datos del Usuario directo (titular de la cuenta)

Datos identificativos: nombre completo, NIF/NIE, fecha de alta.
Datos de contacto: dirección postal, correo electrónico, teléfono.
Datos de acceso: nombre de usuario, contraseña (almacenada con hash bcrypt, no recuperable), claves de doble factor (TOTP) cifradas, registros de acceso (logs de IP, timestamps, user-agent).
Datos económicos y financieros: información de facturación, IBAN (cifrado en columna mediante AES-256), datos de tarjeta (no almacenados por SuitePro; gestionados directamente por Stripe).

2.2. Datos profesionales y fiscales del Usuario

Identificación fiscal: NIF/CIF de empresa, denominación social, forma jurídica, epígrafes IAE.
Información fiscal-contable: facturas emitidas y recibidas, asientos contables, libros oficiales, modelos tributarios (130, 303, 200, 100, 190, 349, 180), cálculos de IRPF, IVA, IS y otros tributos.
Documentos asociados: PDFs de facturas y documentos cargados por el Usuario para procesamiento.
Comunicaciones internas: mensajes intercambiados con la gestoría (en modo B2B) o con el equipo de soporte de SuitePro, tickets de incidencias.

2.3. Datos de terceros incorporados por el Usuario

Cuando un Usuario (típicamente una gestoría) introduce en la plataforma datos relativos a sus propios clientes, terceros, proveedores o empleados, SuitePro no es responsable de la legitimidad de dicha incorporación. El Usuario garantiza que dispone de la base legal adecuada para tratar esos datos y, mediante la utilización del Servicio, designa a SuitePro como Encargado del Tratamiento conforme al artículo 28 RGPD.

Los datos típicamente tratados en este contexto incluyen: nombre, NIF, dirección, datos de contacto, información económica y operaciones realizadas con terceros del Usuario.

2.4. Datos de uso y telemetría técnica

Datos de navegación: páginas visitadas dentro de la plataforma, módulos utilizados, frecuencia y duración de uso.
Datos técnicos: dirección IP, identificador de sesión, tipo de navegador, sistema operativo.
Logs de eventos: registro de acciones críticas (alta/baja de clientes, presentación de modelos, cambios de configuración) por motivos de auditoría y seguridad.

SuitePro no trata categorías especiales de datos (datos relativos a salud, origen étnico, opiniones políticas, religión, vida sexual, datos genéticos o biométricos) en el curso normal del Servicio. Si el Usuario introduce tales datos por su propia iniciativa, lo hace bajo su entera responsabilidad y con la obligación de disponer de la base legal reforzada que exige el artículo 9 RGPD.

3. Finalidades del tratamiento y base jurídica

Cada categoría de datos se trata con finalidades específicas, amparadas por una base jurídica concreta del artículo 6 RGPD:

Finalidad	Base jurídica (art. 6 RGPD)
Prestación del Servicio contratado: alta, mantenimiento de la cuenta, ejecución de funciones de la plataforma.	Ejecución de contrato (art. 6.1.b)
Facturación, cobro de la suscripción y gestión administrativa.	Ejecución de contrato (art. 6.1.b)
Cumplimiento de obligaciones tributarias, contables y mercantiles del propio SuitePro.	Obligación legal (art. 6.1.c)
Atención al usuario: gestión de tickets de soporte, mensajería, consultas técnicas.	Ejecución de contrato (art. 6.1.b) e interés legítimo (art. 6.1.f)
Seguridad de la plataforma: control de acceso, detección de fraudes, auditoría de eventos críticos, copias de seguridad.	Interés legítimo (art. 6.1.f) en garantizar la seguridad del Servicio.
Análisis de uso agregado y anónimo para mejora del producto.	Interés legítimo (art. 6.1.f).
Envío de comunicaciones operativas (alertas técnicas, vencimientos, recordatorios fiscales, notificaciones de la cuenta).	Ejecución de contrato (art. 6.1.b).
Envío de comunicaciones comerciales sobre productos del Titular, novedades del Servicio o promociones.	Consentimiento (art. 6.1.a), revocable en cualquier momento.
Procesamiento de datos mediante servicios de inteligencia artificial (Asesor Fiscal IA, lectura asistida de facturas).	Consentimiento (art. 6.1.a) específico, separado y revocable. Véase sección 7.
Atención de requerimientos legales, judiciales o administrativos.	Obligación legal (art. 6.1.c).

El Usuario puede revocar en cualquier momento los consentimientos prestados (envío comercial, uso de IA) sin que ello afecte a la legitimidad del tratamiento previo, conforme al artículo 7.3 RGPD.

4. Plazos de conservación

Los datos personales se conservarán durante el tiempo estrictamente necesario para cada finalidad:

Categoría de datos	Plazo de conservación
Datos de la cuenta de Usuario activa.	Durante toda la vigencia del contrato.
Datos de la cuenta tras la baja (información de contacto, configuración).	30 días desde la baja, para permitir reactivación. Después, anonimización irreversible.
Datos fiscales y contables (facturas, libros, modelos).	6 años, conforme al artículo 30 del Código de Comercio y al artículo 66 LGT, salvo indicación distinta del Usuario.
Datos de facturación y pago de la suscripción.	6 años, conforme a obligaciones contables y tributarias del Titular.
Logs de acceso y eventos de seguridad.	1 año, salvo en caso de incidente de seguridad acreditado.
Comunicaciones de soporte y tickets.	3 años desde el cierre del ticket.
Conversaciones con servicios de IA.	2 años desde la última interacción, salvo solicitud anticipada de supresión por parte del Usuario.
Consentimientos y revocaciones.	4 años tras la revocación, como prueba de su otorgamiento conforme al artículo 7 RGPD.

Transcurridos los plazos anteriores, los datos serán anonimizados de forma irreversible o suprimidos, conforme a la política interna de retención del Titular.

5. Destinatarios y subencargados de tratamiento

SuitePro no cede ni vende los datos personales de los Usuarios a terceros para finalidades comerciales. Los datos pueden ser comunicados a las siguientes categorías de destinatarios, exclusivamente cuando sea necesario para la prestación del Servicio o por exigencia legal:

5.1. Encargados de tratamiento (proveedores de SuitePro)

Los siguientes proveedores tecnológicos prestan servicios necesarios para el funcionamiento de la plataforma. Todos ellos están vinculados al Titular mediante el correspondiente Contrato de Encargo de Tratamiento (Data Processing Agreement) conforme al artículo 28 RGPD:

Proveedor	Finalidad	Ubicación principal
Supabase, Inc.	Almacenamiento de la base de datos PostgreSQL, autenticación.	Frankfurt, Irlanda (eu-west-1)
Cloudflare, Inc.	Hosting, distribución global del front-end (Pages), ejecución de Workers.	Red global de centros de datos. No almacena datos persistentes; solo ejecuta cómputo efímero.
Stripe Payments Europe, Ltd.	Procesamiento de pagos de suscripciones B2C.	Irlanda (Stripe EU). Cumple PCI-DSS Nivel 1.
Resend, Inc.	Envío de correos electrónicos transaccionales (códigos OTP, notificaciones, recordatorios).	Estados Unidos. Véase sección 6 sobre transferencias internacionales.
Anthropic, PBC	Procesamiento del Asesor Fiscal IA y lectura asistida de facturas mediante el modelo Claude.	Estados Unidos. Véase sección 6 sobre transferencias y sección 7 sobre uso de IA.

5.2. Comunicaciones a Administraciones Públicas

Cuando el Usuario utilice las funciones de presentación telemática de modelos tributarios o de envío de información a la AEAT (sistemas SII y VeriFactu), los datos correspondientes se transmiten a la Agencia Estatal de Administración Tributaria. Estas comunicaciones se realizan por iniciativa del propio Usuario, en cumplimiento de sus obligaciones tributarias.

5.3. Otras comunicaciones legales

SuitePro podrá comunicar datos a Juzgados, Tribunales, Fuerzas y Cuerpos de Seguridad, organismos de protección de datos u otras Administraciones competentes cuando exista requerimiento legal vinculante.

6. Transferencias internacionales de datos

La mayoría de los datos personales tratados por SuitePro se almacenan dentro del Espacio Económico Europeo (EEE), concretamente en infraestructuras de Supabase ubicadas en Irlanda. Sin embargo, dos servicios concretos pueden implicar la transferencia de datos personales a Estados Unidos:

Servicio	Datos transferidos	Garantías aplicadas
Resend (envío de email)	Dirección de correo del destinatario, asunto del mensaje, contenido transaccional (códigos OTP, notificaciones).	Adhesión al EU-U.S. Data Privacy Framework y/o cláusulas contractuales tipo de la Comisión Europea (Decisión 2021/914).
Anthropic (servicios de IA)	Texto del prompt enviado por el Usuario al Asesor Fiscal IA, contenido extraído de PDFs procesados por la lectura asistida.	Cláusulas contractuales tipo de la Comisión Europea, junto con compromiso contractual de Anthropic de no usar los datos para entrenamiento de sus modelos (zero data retention en la API empresarial).

El Usuario puede solicitar copia de las garantías aplicadas a estas transferencias mediante escrito dirigido al correo de privacidad indicado en la sección 1.

Importante respecto al uso de IA: los servicios del Asesor Fiscal IA y de lectura asistida de facturas requieren consentimiento explícito y separado del Usuario, dado que implican una transferencia internacional. Este consentimiento se solicita la primera vez que se accede a estas funciones y puede revocarse en cualquier momento desde la configuración del perfil. Los demás módulos de la plataforma (facturación, contabilidad, modelos, etc.) no requieren esta transferencia y pueden utilizarse sin que ningún dato salga del EEE.

7. Uso de inteligencia artificial

SuitePro integra servicios de inteligencia artificial proporcionados por Anthropic, PBC (modelo Claude) para ofrecer al Usuario las siguientes funcionalidades:

Asesor Fiscal IA: respuestas a consultas fiscales formuladas por el Usuario en lenguaje natural.
Lectura asistida de facturas: extracción automatizada de datos estructurados (NIF, importes, fecha, líneas) desde archivos PDF cargados por el Usuario.
Análisis asistido de tickets (uso interno del Titular, no expuesto al Usuario).

7.1. Información proporcionada al sistema de IA

Cuando el Usuario utiliza una de las funciones anteriores, los siguientes datos pueden ser transmitidos a Anthropic:

El texto del prompt o consulta formulada por el Usuario.
El contexto necesario para responder (por ejemplo, una pregunta puede implicar enviar el extracto del modelo 303 que el Usuario está revisando).
El contenido íntegro de los PDFs cargados para lectura asistida.

SuitePro no transmite al sistema de IA: la lista íntegra de clientes del Usuario, las contraseñas, los datos bancarios cifrados, ni la información de cuentas de pago.

7.2. Compromisos de Anthropic

Conforme al contrato de prestación de servicios suscrito con Anthropic en su modalidad empresarial (API):

Anthropic no entrena sus modelos con los datos enviados por SuitePro a través de la API.
Los datos se conservan durante un máximo de 30 días en los sistemas de Anthropic con fines exclusivamente operativos (tales como abuso, prevención de fraude y cumplimiento legal); transcurrido este plazo se suprimen.
Anthropic implementa medidas técnicas y organizativas conformes al RGPD y publica un Informe SOC 2 Tipo II.

7.3. Decisiones automatizadas

Las respuestas del Asesor Fiscal IA tienen carácter orientativo y no producen efectos jurídicos sobre el Usuario en sí mismas. La presentación de modelos tributarios o cualquier otra decisión vinculante requiere siempre la revisión y validación humana por parte del Usuario o de su asesor profesional, no procediéndose en ningún caso a decisiones automatizadas en el sentido del artículo 22 RGPD.

7.4. Revocación del consentimiento

El Usuario puede revocar en cualquier momento su consentimiento al uso de los servicios de IA accediendo a su perfil dentro de la plataforma. La revocación implica la imposibilidad de utilizar las funcionalidades dependientes de IA, sin afectar al resto del Servicio.

8. Derechos del interesado

De conformidad con los artículos 15 a 22 RGPD y 13 a 18 LOPDGDD, el Usuario puede ejercitar los siguientes derechos:

Acceso (art. 15 RGPD): obtener confirmación sobre si se están tratando sus datos y, en caso afirmativo, acceder a ellos.
Rectificación (art. 16 RGPD): solicitar la corrección de datos inexactos o incompletos. Muchos datos pueden corregirse directamente desde el perfil del Usuario.
Supresión (art. 17 RGPD), conocido como «derecho al olvido»: solicitar la eliminación de los datos personales cuando ya no sean necesarios o se haya revocado el consentimiento.
Limitación del tratamiento (art. 18 RGPD): solicitar la suspensión del tratamiento mientras se verifica la exactitud o legitimidad.
Portabilidad (art. 20 RGPD): recibir los datos en formato estructurado, de uso común y lectura mecánica (por ejemplo, JSON o CSV) y transmitirlos a otro responsable.
Oposición (art. 21 RGPD): oponerse al tratamiento basado en interés legítimo, salvo motivos imperiosos en contrario.
No ser objeto de decisiones automatizadas (art. 22 RGPD): SuitePro no toma decisiones automatizadas significativas, según se ha indicado en la sección 7.
Revocación del consentimiento (art. 7.3 RGPD): retirar en cualquier momento los consentimientos prestados, sin efectos retroactivos.

8.1. Cómo ejercitar estos derechos

El Usuario puede ejercitar sus derechos por cualquiera de los siguientes medios, gratuitamente y aportando documento que acredite su identidad:

Mediante correo electrónico a [EMAIL_PRIVACIDAD], indicando en el asunto el derecho que desea ejercer.
Por correo postal a la dirección señalada en la sección 1.
Para algunos derechos (acceso, portabilidad, supresión), también desde el panel de privacidad del propio Usuario en la plataforma.

SuitePro responderá a la solicitud en el plazo de un mes desde su recepción, prorrogable a tres meses en supuestos de especial complejidad. Si la respuesta no fuera satisfactoria, el Usuario puede presentar una reclamación ante la Autoridad de Control conforme a la sección 12.

9. Medidas de seguridad

SuitePro aplica las medidas técnicas y organizativas apropiadas conforme al artículo 32 RGPD, atendidas la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos de los interesados. Estas medidas incluyen, entre otras:

Medidas técnicas

Cifrado de datos en tránsito mediante TLS 1.3.
Cifrado de datos sensibles en columna mediante AES-256 (NIFs y datos bancarios).
Hashing de contraseñas con bcrypt.
Autenticación de dos factores (2FA) basada en TOTP, obligatoria para cuentas administrativas.
Aislamiento por tenant a nivel de base de datos: cada gestoría y cliente B2C tiene sus datos lógicamente separados con políticas de acceso a fila (RLS).
Auditoría de accesos y eventos críticos.
Copias de seguridad automatizadas con replicación geográfica dentro del EEE.

Medidas organizativas

Acceso a los datos limitado al personal estrictamente necesario.
Compromiso contractual de confidencialidad.
Procedimientos de notificación de violaciones de seguridad conforme a los artículos 33 y 34 RGPD.
Revisión periódica de políticas y de proveedores.

En caso de violación de seguridad de datos personales que entrañe riesgo para los derechos de los interesados, SuitePro lo notificará a la Autoridad de Control en el plazo de 72 horas y, cuando proceda, comunicará la incidencia a los afectados sin dilación indebida.

10. Menores de edad

Los Servicios de SuitePro están dirigidos exclusivamente a personas mayores de 18 años o personas jurídicas. SuitePro no recoge intencionadamente datos personales de menores de 14 años conforme al artículo 7 LOPDGDD.

Si SuitePro tuviera conocimiento de haber recogido datos de menores sin el consentimiento adecuado, procederá a su supresión inmediata. Cualquier persona que considere que un menor ha facilitado datos puede comunicarlo al correo de privacidad indicado en la sección 1.

11. Cambios en esta política

SuitePro podrá modificar la presente Política de Privacidad para adaptarla a cambios legislativos, jurisprudenciales o de prácticas de la industria. Cualquier modificación sustancial será notificada al Usuario mediante:

Aviso destacado en la plataforma al iniciar sesión.
Comunicación al correo electrónico de la cuenta cuando los cambios afecten significativamente al tratamiento de los datos.

Cuando los cambios alteren la base jurídica o introduzcan nuevas finalidades que requieran consentimiento, este se solicitará de forma expresa.

12. Contacto y reclamaciones

Para cualquier consulta o reclamación en materia de protección de datos:

Correo electrónico de privacidad: [EMAIL_PRIVACIDAD]
Correo postal: [DOMICILIO_SOCIAL_COMPLETO]

Asimismo, todo Usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), autoridad de control competente en España:

Sede electrónica: https://sedeagpd.gob.es/
Dirección postal: C/ Jorge Juan, 6. 28001 Madrid.

Es recomendable, antes de presentar reclamación ante la AEPD, dirigir la consulta directamente al correo de privacidad de SuitePro para intentar una resolución amistosa.