Política de Privacidad

1. Identidad del responsable

2. Principios en el tratamiento de datos

El tratamiento de datos personales se rige por los siguientes principios:

• Licitud, lealtad y transparencia: los datos se tratan únicamente con consentimiento previo e informado del usuario.
• Minimización de datos: se solicita exclusivamente la información estrictamente necesaria para la prestación del servicio.
• Limitación temporal: los datos se conservan el tiempo estrictamente necesario conforme a la finalidad y a los plazos legales.
• Integridad y confidencialidad: se aplican medidas técnicas y organizativas para garantizar la seguridad de los datos.

3. Obtención de datos personales

Para navegar por el sitio web no es necesario facilitar ningún dato personal. Los datos se recaban cuando el usuario:

• Contacta a través de los formularios del sitio web
• Se registra como usuario de la plataforma ERP
• Contrata alguno de los servicios ofrecidos
• Solicita soporte técnico

Los datos recabados incluyen: dirección IP, nombre, domicilio, correo electrónico, teléfono y, en su caso, datos empresariales (razón social, CIF, dirección). El sitio está alojado en Hostinger.

4. Finalidad del tratamiento

Los datos personales se tratan para las siguientes finalidades:

• Gestionar el alta y acceso a la plataforma presupuestaIA.es
• Prestar el servicio ERP / LegalBase contratado
• Atender solicitudes de información, soporte y contacto
• Enviar comunicaciones relacionadas con el servicio
• Generar y entregar informes de auditoría gratuita (LegalBase) solicitados desde los wizards públicos
• Archivar y verificar documentos firmados con sello de tiempo eIDAS (RFC 3161) por requerimiento del propio usuario
• Cumplir con las obligaciones legales aplicables

Los datos personales no serán cedidos a terceras organizaciones, salvo obligación legal o cuando sea estrictamente necesario para la prestación del servicio contratado.

5. Legitimación

La base jurídica del tratamiento es el consentimiento del interesado y, en su caso, la ejecución del contrato de prestación del servicio (art. 6.1.a y 6.1.b del RGPD).

6. Categorías de datos tratados

Se tratan datos identificativos (nombre, apellidos, correo electrónico, teléfono) y datos empresariales (razón social, CIF, dirección, CCAA, tamaño de empresa). No se procesan categorías especialmente protegidas de datos personales.

Auditorías gratuitas LegalBase: al completar el formulario público se recogen las respuestas al cuestionario (sí/no/no aplica), el sector seleccionado, la URL de origen y el navegador, junto con los datos de contacto facilitados. Estas respuestas se utilizan exclusivamente para generar el informe personalizado y para análisis estadístico interno (sin difusión a terceros).

Documentos sellados eIDAS: cuando el usuario solicita sellar un documento, se calcula su huella criptográfica SHA-256 y se envía a una Autoridad de Sellado de Tiempo (TSA) externa que devuelve un TimeStampToken firmado conforme al RFC 3161. El documento PDF, su huella y el token de sellado se conservan en almacenamiento cifrado y son accesibles públicamente vía la URL de verificación únicamente por quien posea el token de verificación correspondiente.

7. Conservación de datos

Los datos personales se conservarán mientras persista la relación comercial con el usuario y, posteriormente, durante los plazos legalmente establecidos o hasta que el interesado solicite su supresión.

Leads de auditoría LegalBase: se conservan durante un máximo de 24 meses desde su recepción salvo que el usuario manifieste interés comercial o pase a ser cliente. Documentos sellados eIDAS: se conservan durante toda la vigencia de la relación contractual y un mínimo de 6 años posterior por razones contables, salvo que el cliente solicite su supresión previa baja, en cuyo caso se elimina del almacenamiento dejando constancia del hash original con fines de verificación.

7-bis. Encargados del tratamiento

Para la prestación del servicio se utilizan los siguientes encargados de tratamiento, todos ellos con contrato suscrito conforme al art. 28 RGPD:

• Supabase Inc. (EE.UU. / UE) — alojamiento de base de datos, autenticación y almacenamiento de documentos sellados, bajo Cláusulas Contractuales Tipo aprobadas por la Comisión Europea
• Hostinger Operations UAB (Lituania, UE) — alojamiento web del frontal público
• FreeTSA.org / FNMT-RCM (España, UE) — Autoridad de Sellado de Tiempo (TSA) para sellado eIDAS conforme al Reglamento UE 910/2014
• Stripe Payments Europe Ltd. (Irlanda, UE) — procesamiento de pagos cuando proceda

8. Derechos del usuario

El usuario puede ejercer los siguientes derechos dirigiéndose por escrito a soporte@erpbox.es, acompañando copia de su documento de identidad:

• Acceso: conocer qué datos personales se tratan.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión: solicitar el borrado de los datos cuando ya no sean necesarios.
• Limitación del tratamiento: solicitar la restricción del tratamiento en determinados supuestos.
• Oposición: oponerse al tratamiento en determinadas circunstancias.
• Portabilidad: recibir los datos en formato estructurado y de uso común.

Asimismo, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

9. Seguridad

El Titular toma todas las precauciones razonables para evitar la pérdida, mal uso, acceso indebido, divulgación, alteración o destrucción de los datos personales. Se utiliza infraestructura con cifrado en tránsito (HTTPS/TLS) y en reposo, autenticación segura y control de acceso por roles.

10. Cambios en la política de privacidad

El responsable puede modificar la presente política para adaptarla a cambios legislativos o a sus prácticas en materia de privacidad. En caso de modificaciones sustanciales, se informará a los usuarios con antelación suficiente a través del sitio web o por correo electrónico.