Política de Privacidad

Fecha de última actualización: 17/11/2025

1. Responsable

Manuel Galobart Rubio, NIF 50720610K.
Contacto: info@efacturas.online
Delegado de Protección de Datos (si aplica): Sergio Huertas Sánchez, rgpd@efacturas.online.

2. Datos tratados

Datos de registro y facturación del Usuario; datos de uso del servicio; comunicaciones; y, cuando el Usuario lo incorpore, datos de terceros necesarios para emitir o gestionar facturas.

  • Datos de seguridad de acceso: estado del 2FA (activado/desactivado) y tipo (TOTP).
  • Metadatos de dispositivos confiables: identificador de dispositivo (UUID), nombre opcional, primera IP, huella del navegador (hash), fechas de creación/último uso/expiración y estado (revocado).
  • Códigos de recuperación: almacenamos únicamente su huella criptográfica (hash), nunca los códigos en claro.
  • Secreto TOTP cifrado en reposo.
  • Resultados de verificación censal de NIF/CIF con la AEAT (identificado/no identificado). Solo se conservará si el usuario la aplica a la factura.

El Servicio genera y remite a la Agencia Estatal de Administración Tributaria (AEAT) los registros de facturación exigidos por la normativa aplicable, que contienen datos identificativos del obligado tributario, de sus clientes y de las operaciones facturadas, en los términos previstos legalmente.

3. Finalidades y bases jurídicas

(i) Prestación del servicio y gestión de la cuenta (art. 6.1.b RGPD)
(ii) Cumplimiento de obligaciones legales (contables/tributarias) (art. 6.1.c RGPD)
(iii) Prevención del fraude y seguridad (art. 6.1.f RGPD – interés legítimo)
(iv) Comunicaciones comerciales por medios electrónicos, solo con consentimiento (art. 6.1.a RGPD)
(v) Gestión de autenticación reforzada (2FA), dispositivos confiables y prevención de accesos no autorizados — art. 6.1.b RGPD (ejecución del contrato) y 6.1.f RGPD (interés legítimo en la seguridad) El consentimiento puede retirarse en cualquier momento.

(vi) En su caso, la generación y remisión de registros de facturación a la AEAT en modalidad VERI*FACTU, cuando el Usuario la active, con base en el cumplimiento de obligaciones legales de facturación y tributarias (art. 6.1.c RGPD) y, en su caso, en la ejecución del contrato con el Usuario (art. 6.1.b RGPD).

4. Conservación

Mientras dure la relación contractual y, posteriormente, durante los plazos legales de conservación o prescripción de responsabilidades.

Los “dispositivos confiables” se conservan como máximo 30 días o hasta su revocación manual. Los códigos de recuperación permanecen hasta que el usuario los regenere o desactive el 2FA. Los metadatos de seguridad vinculados al acceso se conservan mientras la cuenta esté activa y durante los plazos necesarios para la atención de incidencias de seguridad.

La denominación social devuelta por la AEAT no se conserva salvo que el usuario la incorpore a la factura; en ese caso se conservará junto con la factura durante los plazos legales aplicables.

5. Destinatarios y encargados

No compartimos datos personales con terceros para la prestación del servicio; no utilizamos subencargados que traten datos por nuestra cuenta. Cualquier cesión de datos se realizará únicamente cuando exista obligación legal o medie el consentimiento del interesado.

Se producirán comunicaciones de datos a la Agencia Estatal de Administración Tributaria (AEAT), como autoridad tributaria competente, en cumplimiento de la normativa sobre sistemas informáticos de facturación y VERI*FACTU.

6. Transferencias internacionales

No realizamos transferencias internacionales de datos. En caso de que en el futuro fueran necesarias, se adoptarán previamente las garantías adecuadas (p. ej., cláusulas contractuales tipo) y se informará a los usuarios en esta Política.

7. Derechos

Los derechos que asisten al USUARIO son:
• Derecho a retirar el consentimiento en cualquier momento.
• Derecho de acceso, rectificación, portabilidad y supresión de sus datos.
• Derecho a la limitación u oposición a su tratamiento.
• Derecho a no ser objeto de decisiones individualizadas automatizadas, incluida la elaboración de perfiles, en los casos previstos en la normativa.

El USUARIO puede ejercer sus derechos dirigiendo una comunicación escrita a Manuel Galobart Rubio (efacturas.online), San Lamberto, 6 - 28017 Madrid (Madrid), o mediante correo electrónico a info@efacturas.online.

Asimismo, el USUARIO tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) (www.aepd.es) si considera que el tratamiento de sus datos no se ajusta a la normativa vigente.

Datos de contacto del Delegado de Protección de Datos (DPD):
CUOTA LEGAL, Cuesta de la Unión nº 3, Bajo, 15005 A Coruña
E-mail: sergio.huertas@cuotalegal.com.

8. Datos de terceros introducidos por el Usuario

Respecto de los datos de clientes del Usuario, éste actúa como Responsable y Manuel Galobart Rubio como Encargado, conforme al Anexo I de las Condiciones de uso y contratación. El Usuario garantiza haber obtenido las bases jurídicas necesarias para tratar dichos datos en el Servicio.

En el contexto de VERI*FACTU, la remisión de datos de terceros a la AEAT se realiza por cuenta del Usuario y bajo su responsabilidad, en su condición de obligado tributario, actuando el proveedor del Servicio como encargado del tratamiento.

9. Seguridad

De conformidad con las normativas vigentes en materia de protección de datos personales, el RESPONSABLE cumple con lo dispuesto en el Reglamento (UE) 2016/679 (RGPD) y en la Ley Orgánica 3/2018 (LOPDGDD) en el tratamiento de los datos personales bajo su responsabilidad, aplicando en todo momento los principios del artículo 5 RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; así como el principio de responsabilidad proactiva. El RESPONSABLE garantiza que ha implantado políticas técnicas y organizativas apropiadas para aplicar medidas de seguridad adecuadas y proteger los derechos y libertades de los USUARIOS, a quienes se ha facilitado información suficiente para que puedan ejercer sus derechos.

Aplicamos medidas técnicas y organizativas proporcionales al riesgo, entre ellas el cifrado en tránsito (TLS) y el cifrado en reposo de las bases de datos (TDE AES-256), controles de acceso y registros de actividad. Realizamos copias de seguridad cifradas con periodicidad cada 3 horas y una retención técnica no inferior a 90 días y no superior a 180, destinada exclusivamente a recuperación ante desastres.

El secreto TOTP del usuario se cifra en reposo; las verificaciones de dispositivo y los códigos de recuperación se guardan mediante hash criptográfico. El token de “dispositivo confiable” se firma (HMAC) y no contiene datos personales.

10. Cookies y tecnologías similares

Ver la Política de Cookies.

11. Actualizaciones

Esta política puede actualizarse para reflejar cambios normativos o del servicio; se publicará la versión vigente en el sitio.

12. Carácter obligatorio o facultativo de la información facilitada por el Usuario

Los USUARIOS, mediante la marcación de las casillas correspondientes y la introducción de datos en los campos marcados con un asterisco (*) en los formularios del sitio web, aceptan de forma expresa, libre e inequívoca que dichos datos son necesarios para atender su petición o para la prestación del servicio solicitado por parte del RESPONSABLE, siendo voluntaria la inclusión de datos en los campos restantes.

El USUARIO garantiza que los datos personales facilitados al RESPONSABLE son veraces y se compromete a comunicar cualquier modificación de los mismos. El RESPONSABLE informa de que todos los datos solicitados a través del sitio web que aparezcan marcados como obligatorios son necesarios para prestar un servicio óptimo al USUARIO; en caso de no facilitarse, no se garantiza que la información y los servicios ofrecidos se ajusten completamente a sus necesidades.

2026 © efacturas.online
Aviso Legal
Codigo Conducta
Condiciones
Cookies
Privacidad
Declaración Responsable SIF