Aviso de privacidad

Cuando los datos los aporta directamente el usuario de la plataforma (alta de cuenta, soporte, facturación), gestoia actúa como responsable del tratamiento. Sus datos de contacto como responsable son:

• Denominación: TODO · razón social definitiva
• NIF: TODO · NIF definitivo
• Domicilio: TODO · domicilio social
• Correo de privacidad: privacidad@gestoia.es
• Delegado de protección de datos (DPD): TODO · designación pendiente

Cuando los datos llegan dentro de los documentos que una gestoría procesa con gestoia (facturas, nóminas, contratos de sus clientes finales), gestoia actúa como encargado del tratamiento de esa gestoría y trata los datos exclusivamente bajo sus instrucciones, conforme al contrato de encargo (DPA) suscrito en el alta del servicio.

Tratamos datos personales con las siguientes finalidades, cada una con su base jurídica del artículo 6 RGPD:

• Datos identificativos y de contacto del usuario de la gestoría: nombre, email, teléfono.
• Datos identificativos contenidos en los documentos procesados (clientes finales de la gestoría): nombre, NIF/NIE/CIF, dirección fiscal, número de cuenta.
• Datos económicos: facturas, importes, impuestos, asientos contables generados.
• Datos técnicos: dirección IP, fecha y hora de acceso, identificador de sesión, eventos de auditoría.

No tratamos categorías especiales de datos del art. 9 RGPD ni datos de menores de edad. Si una gestoría sube por error un documento que los contenga, debe avisarlo en privacidad@gestoia.es para su borrado inmediato.

Para prestar el servicio recurrimos a proveedores que actúan como subencargados del tratamiento, todos ellos contractualmente vinculados mediante DPA conforme al art. 28 RGPD. La lista completa, actualizada, se publica en /subprocesadores. Las altas y bajas se notifican con al menos 30 días de antelación por correo y mediante actualización de esa página.

No cedemos datos a terceros con fines comerciales. Únicamente comunicamos datos a autoridades cuando exista obligación legal (requerimientos judiciales, Agencia Tributaria, AEPD).

La totalidad de la infraestructura está alojada en la Unión Europea: AWS (regiones eu-west-1 Irlanda y eu-west-3 París), Neon (Frankfurt), Langfuse Cloud EU y Amazon SES (eu-west-1). La inferencia de inteligencia artificial (la extracción de datos de los documentos mediante el modelo Claude) se ejecuta en AWS Bedrock, región eu-central-1 (Frankfurt), dentro de la Unión Europea, de modo que los datos contenidos en los documentos no salen del territorio de la Unión para su procesado por IA.

Toda la infraestructura, incluida la inferencia de IA, permanece por tanto en la Unión Europea. La única transferencia internacional potencial es la asociada a la pasarela de pagos, que se detalla a continuación:

• Datos de la cuenta: durante toda la relación contractual y, tras su baja, durante el plazo de 4 años establecido por la Ley General Tributaria para la conservación de justificantes.
• Documentos y asientos contables procesados por cuenta de la gestoría: durante el plazo que la gestoría determine como responsable, con un mínimo legal de 6 años (art. 30 Código de Comercio).
• Registros de auditoría: 6 años, conforme al artículo 32 del RGPD y al deber de bloqueo del art. 32 LOPDGDD, ampliable hasta los 4 años adicionales de prescripción de acciones de la LGT cuando el dato sea necesario para acreditar el cumplimiento normativo.
• Datos de marketing: hasta la revocación del consentimiento, momento en el que se bloquean y se conservan únicamente para acreditar el ejercicio del derecho.

En cualquier momento puede ejercer los siguientes derechos reconocidos en los arts. 15 a 22 RGPD:

• Acceso a sus datos personales.
• Rectificación de datos inexactos.
• Supresión cuando ya no sean necesarios para la finalidad.
• Limitación del tratamiento.
• Portabilidad en formato estructurado y de uso común.
• Oposición, incluida la oposición a comunicaciones comerciales.
• A no ser objeto de decisiones automatizadas con efectos significativos (art. 22). En gestoia ningún asiento contable se confirma o exporta sin la acción explícita de un usuario humano de la gestoría — la IA propone, la persona decide.

Para ejercerlos, escriba a privacidad@gestoia.es. Respondemos en el plazo máximo de un mes (art. 12.3 RGPD), prorrogable a dos meses más cuando la complejidad o el número de solicitudes lo justifique.

Si los datos los aportó a través de su gestoría, deberá dirigirse a ella en primera instancia como responsable del tratamiento; gestoia, como encargado, no puede atender directamente derechos sobre datos incluidos en los documentos procesados sin instrucción previa de la gestoría.

Si considera que el tratamiento no se ajusta a la normativa, puede presentar una reclamación ante la Agencia Española de Protección de Datos (C/ Jorge Juan, 6 · 28001 Madrid), preferentemente tras intentar la resolución directa con nosotros.

Aplicamos medidas técnicas y organizativas conformes al art. 32 RGPD: cifrado en tránsito (TLS 1.3) y en reposo (AES-256 en S3 y Neon), control de accesos por roles, autenticación con AWS Cognito, auditoría de exportaciones contables, backups gestionados por los proveedores cloud, retención corta de logs sensibles y revisión periódica del Registro de Actividades de Tratamiento.

Este aviso se actualiza cuando varían las finalidades, los subencargados o el marco normativo. Las versiones anteriores se mantienen archivadas internamente. Los cambios sustanciales se notifican por correo a los usuarios activos.