Política de privacidad

1. Responsable del tratamiento

Nombre comercial: Autónomo Factura
Responsable: Jésica Carballo Yanes
NIF: 78633820-V
Domicilio: Calle Santa Rosalía, 49, 1C, 38002, Santa Cruz de Tenerife.
Correo electrónico: info@autonomofactura.com
Delegado de Protección de Datos (DPD/DPO): No aplica

Información facilitada conforme a los arts. 13 y 14 del Reglamento (UE) 2016/679 (RGPD) y, en España, arts. 11 y 12 de la Ley Orgánica 3/2018 (LOPDGDD).

2. Datos personales que tratamos

2.1. Todos los visitantes

Cuando navegas por la web, aunque no te registres, podemos tratar:

• Formulario de contacto: nombre, correo electrónico, teléfono, asunto, mensaje y dirección de la página desde la que se envía el formulario.
• Datos de navegación (reCAPTCHA): datos técnicos recogidos por Google reCAPTCHA v3 en los formularios de registro y contacto.
• Datos de navegación y analítica: cuando aceptes las cookies correspondientes, podremos recoger datos como páginas visitadas, tiempo de permanencia, tipo de dispositivo y resolución de pantalla. Se recogen de forma seudonimizada y se utilizan exclusivamente con las finalidades descritas en las secciones 3.7 y 3.8.
• Datos de seguridad: datos técnicos de conexión seudonimizados para la prevención de accesos no autorizados y usos abusivos.

2.2. Usuarios registrados

Si te registras en la plataforma, además de los anteriores, trataremos:

• Identificativos y de contacto: nombre o razón social, NIF/CIF/NIE, correo electrónico, teléfono.
• Datos de cuenta: identificadores internos, credenciales de acceso cifradas, estado de la cuenta.
• Datos fiscales: dirección, código postal, ciudad, provincia.
• Datos de suscripción: plan contratado, estado de la suscripción e identificadores de transacción.
• Datos de pago: gestionados directamente por el proveedor externo de pagos. No almacenamos datos completos de tarjeta ni cuentas bancarias.
• Certificado digital: metadatos identificativos del certificado (sin clave privada).
• Datos de facturación de clientes: datos de terceros introducidos en las facturas. El usuario actúa como responsable del tratamiento y Autónomo Factura como encargado (art. 28 RGPD).
• Registros de sesión: fecha y resultado de inicio de sesión y tokens de sesión, con fines de seguridad.
• Soporte: contenido de consultas y solicitudes de soporte técnico.

3. Finalidades y base jurídica

Tratamos tus datos para las siguientes finalidades, con las bases jurídicas del art. 6 RGPD que se indican:

3.1. Gestión de cuenta y prestación del servicio

• Finalidad: alta, autenticación, gestión de cuenta, uso de funcionalidades y soporte asociado.
• Base jurídica: ejecución de un contrato o aplicación de medidas precontractuales (art. 6.1.b RGPD).

3.2. Gestión de suscripciones, pagos y facturación

• Finalidad: gestionar cobros recurrentes, facturación, cambios de plan y atención de incidencias de pago.
• Base jurídica: ejecución del contrato (art. 6.1.b RGPD) y, cuando proceda, cumplimiento de obligaciones legales (art. 6.1.c RGPD).

3.3. Atención de consultas y soporte técnico

• Finalidad: responder solicitudes de información y soporte técnico.
• Base jurídica: ejecución del contrato (art. 6.1.b RGPD) para usuarios registrados, o interés legítimo del prestador en atender la consulta (art. 6.1.f RGPD) para visitantes no registrados.

3.4. Cumplimiento de obligaciones legales

• Finalidad: conservar registros de facturación, atender requerimientos de autoridades y cumplir las obligaciones derivadas del marco SIF/VERI*FACTU, la normativa fiscal y la legislación aplicable.
• Base jurídica: cumplimiento de una obligación legal (art. 6.1.c RGPD).

3.5. Seguridad, prevención de fraude y registro de accesos

• Finalidad: proteger la plataforma frente a accesos no autorizados, bots y usos abusivos, mediante medidas técnicas de seguridad y verificación mediante Google reCAPTCHA v3 en los formularios de registro y contacto.
• Base jurídica: interés legítimo en garantizar la seguridad del servicio (art. 6.1.f RGPD). El prestador ha verificado que este interés legítimo no prevalece sobre los derechos y libertades de los interesados, dado el carácter técnico y no invasivo de los datos tratados y las medidas de seudonimización aplicadas.

3.6. Procesamiento automatizado de documentos

• Finalidad: funcionalidades de asistencia automatizada integradas en el servicio (por ejemplo, extracción de campos de documentos para prellenar formularios del usuario).
• Base jurídica: ejecución del contrato (art. 6.1.b RGPD), como funcionalidad integrada en el servicio contratado.
• Decisiones automatizadas: estas funcionalidades tienen carácter asistencial. El resultado es siempre revisable y modificable por el usuario antes de su confirmación, y no producen decisiones automatizadas con efectos jurídicos o significativos sobre él (art. 22 RGPD).

3.7. Marketing y comunicaciones comerciales

• Finalidad: enviarte comunicaciones sobre novedades, actualizaciones y promociones del servicio y medir su eficacia mediante el registro de aperturas, clics e interacciones posteriores en la web (páginas visitadas, eventos de formulario, llegada a la pantalla de pago), con el fin de atribuir conversiones, segmentar audiencias y mejorar futuras comunicaciones.
• Base jurídica — dos tratamientos diferenciados:
  • Métrica agregada del canal (entregas, aperturas y clics asociados al envío a efectos estadísticos y de reputación del remitente): interés legítimo del prestador (art. 6.1.f RGPD) en medir la eficacia de sus propias comunicaciones y cumplir las buenas prácticas del canal de correo.
  • Registro individualizado de interacciones en la web asociadas al destinatario del correo: consentimiento expreso (art. 6.1.a RGPD), otorgado a través del banner de cookies (categoría marketing). El envío del propio correo requiere adicionalmente el consentimiento previo del destinatario en los términos de la sección 9.
• Atribución en la web: cuando aceptas las cookies de marketing, se utiliza una cookie propia (duración 30 días) para registrar las interacciones posteriores al clic en un correo. Si no aceptas esa categoría, no se instala la cookie ni se registran las interacciones, aunque los enlaces del correo seguirán funcionando con normalidad.
• Origen de la visita (referer): cuando accedes a la web desde un enlace externo, tu navegador transmite la dirección desde la que has llegado. Este dato se registra asociado a la visita con la finalidad de atribución descrita en esta sección y se conserva en los plazos indicados arriba. Si no aceptas las cookies de la categoría correspondiente, el dato no se utiliza para vincular tu navegación con campañas concretas.
• Medición técnica de entrega: el proveedor de envío de correo electrónico registra los eventos técnicos del mensaje (entrega, apertura, clic, rebote, queja). Estos registros se tratan con base en el interés legítimo del prestador en la gestión de la reputación del envío, con independencia del consentimiento de cookies. Pueden aplicarse filtros técnicos para excluir del cómputo interacciones ejecutadas automáticamente por sistemas corporativos de seguridad del correo, sin efectos jurídicos sobre el destinatario.
• Plazo de conservación: los datos de interacción se conservan mientras exista relación comercial o consentimiento activo y, como máximo, treinta y seis (36) meses desde la última interacción del destinatario, transcurridos los cuales se eliminan o anonimizan.
• Derechos de oposición: puedes (i) darte de baja en cualquier momento mediante el enlace incluido en cada correo, (ii) rechazar o modificar las cookies de marketing desde el banner, y (iii) ejercer en todo momento los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad descritos en la sección de derechos.

3.8. Analítica web, medición de campañas y publicidad

• Finalidad: analizar el uso de la web y de la plataforma para mejorar el servicio, medir la eficacia de campañas de marketing y publicitarias y, en su caso, mostrar publicidad personalizada o crear audiencias de remarketing en plataformas de terceros.
• Base jurídica: consentimiento expreso (art. 6.1.a RGPD), otorgado a través del banner de cookies por categorías (funcional, preferencias, estadísticas, marketing, redes sociales). Ninguna cookie de analítica, marketing o publicidad —propia o de terceros— se instalará sin la aceptación previa y específica de la categoría correspondiente en el banner de cookies.
• Decisiones automatizadas: la segmentación de audiencias y las valoraciones de interés comercial (lead scoring) son orientativas y se utilizan internamente para priorizar comunicaciones. No producen efectos jurídicos ni significativos sobre el interesado (art. 22 RGPD): no condicionan el acceso al servicio ni las condiciones contractuales.

3.9. Solicitudes precontractuales de vinculación

• Finalidad: tramitar solicitudes de vinculación y recomendaciones entre autónomos y asesorías durante el proceso de registro, incluyendo el envío de un email a la asesoría indicada por el solicitante para facilitar el código de vinculación o invitarla a registrarse en la plataforma.
• Datos tratados: nombre y email del solicitante (autónomo) y email de la asesoría destinataria.
• Base jurídica: consentimiento expreso (art. 6.1.a RGPD), otorgado mediante la aceptación del checkbox de privacidad en el formulario correspondiente.
• Nota sobre datos de terceros: el email de la asesoría es facilitado por el solicitante, quien declara mantener una relación profesional con ella. La asesoría destinataria recibe información conforme al art. 14 RGPD en el propio email que le es remitido.

3.10. Prospección comercial previa al contacto

• Finalidad: identificar asesorías y profesionales del sector de la gestoría fiscal y contable que puedan estar interesados en el servicio, con el fin de dirigirles comunicaciones comerciales puntuales en el marco del art. 21.2 de la Ley 34/2002 (LSSI-CE).
• Fuentes de obtención de los datos: fuentes profesionales públicas en internet, en particular el sitio web corporativo de la propia asesoría y directorios profesionales públicos activos. El prestador aplica criterios internos documentados de curado de fuentes y excluye aquellas cuya reutilización no sea compatible con el RGPD. No se adquieren ficheros de terceros ni se extraen datos de plataformas que requieran autenticación. El registro interno de fuentes evaluadas y excluidas está disponible para la autoridad de control si lo requiere.
• Datos tratados: denominación comercial de la asesoría, provincia o comunidad autónoma, dirección de correo electrónico profesional publicada y, en su caso, persona de contacto cuando aparezca publicada como tal en la fuente.
• Base jurídica: interés legítimo del prestador (art. 6.1.f RGPD, considerando 47) en dar a conocer su servicio a profesionales potencialmente interesados, tratándose de comunicaciones dirigidas a profesionales sobre un servicio relacionado con la actividad que efectivamente desarrollan (art. 21.2 LSSI-CE). El prestador ha realizado y documentado el correspondiente análisis de balanceo de intereses, que puede ser solicitado escribiendo a info@autonomofactura.com.
• Derecho de oposición: el destinatario puede oponerse en cualquier momento al tratamiento (art. 21 RGPD) y a la recepción de futuras comunicaciones comerciales (art. 22 LSSI-CE), con efecto inmediato y sin necesidad de justificar su solicitud, mediante el enlace de baja incluido en cada comunicación o escribiendo a info@autonomofactura.com. El dato queda además incorporado a una lista de exclusión para evitar futuros contactos.
• Plazo de conservación: los datos de prospección se conservan durante un máximo de 12 meses desde su recogida si no se produce interacción del destinatario; si el destinatario interactúa (apertura, clic, respuesta), se rigen por los plazos de la sección 3.7. En caso de oposición, se conserva únicamente el identificador mínimo necesario en la lista de exclusión.
• Información al interesado (art. 14 RGPD): por tratarse de datos no obtenidos directamente del interesado, la información prevista en el art. 14 RGPD se proporciona en la primera comunicación que se le dirige, mediante enlace visible a esta Política.

3.11. Notificaciones opcionales del servicio

Determinadas comunicaciones electrónicas relacionadas con el uso del servicio no son imprescindibles para su prestación y se envían únicamente cuando el usuario las activa de forma expresa.

• Finalidad: facilitar la información que el usuario decide recibir voluntariamente sobre la operativa del servicio.
• Base jurídica: consentimiento del interesado (art. 6.1.a RGPD), prestado en el momento de la activación.
• Datos tratados: dirección de correo electrónico del destinatario y los datos estrictamente necesarios para identificar la operación a la que se refiere la notificación.
• Plazo de conservación: los registros técnicos asociados se conservan conforme a la sección 6. La preferencia de activación se mantiene mientras la cuenta esté activa o hasta que el usuario la modifique.
• Retirada del consentimiento: el usuario puede desactivar este tipo de comunicaciones en cualquier momento desde su cuenta, con efecto inmediato y sin que ello afecte a la licitud del tratamiento previo (art. 7.3 RGPD).

4. Destinatarios y encargados del tratamiento

Tus datos podrán ser tratados por los siguientes proveedores, que actúan como encargados del tratamiento (art. 28 RGPD) o como responsables independientes, según se indica en cada caso:

• Stripe Payments Europe, Ltd. (Irlanda, UE) — procesamiento de pagos y gestión de suscripciones.
• OVH SAS (Francia, UE) — alojamiento e infraestructura de servidores.
• Amazon Web Services EMEA SARL (Luxemburgo, UE) — infraestructura cloud para envío de correo electrónico, almacenamiento y distribución de contenido, procesada en la Unión Europea, al amparo del AWS GDPR Data Processing Addendum.
• Mistral AI (Francia, UE) — proveedor de inteligencia artificial utilizado para tareas de procesamiento automatizado dentro del servicio (por ejemplo, extracción de campos de documentos para prellenar formularios). Los datos se procesan en la Unión Europea y no se utilizan para entrenar sus modelos.
• Google Ireland Limited (Irlanda, UE, con posibles subprocesos técnicos en Google LLC, EE. UU.) — Google Analytics 4 y Google Tag Manager, activados únicamente tras la aceptación de la categoría correspondiente en el banner de cookies. Los datos se recogen de forma seudonimizada.
• Google LLC (EE. UU.) — servicio antifraude reCAPTCHA v3 en formularios de registro y contacto; y servicios de motor de búsqueda y procesamiento de lenguaje utilizados puntualmente para la prospección comercial descrita en la sección 3.10, contratados bajo una modalidad en la que los contenidos de las consultas al servicio de procesamiento de lenguaje no se utilizan para entrenar sus modelos.
• Meta Platforms Ireland Limited (Irlanda, UE, con subprocesos técnicos en Meta Platforms, Inc., EE. UU.) — Meta Pixel para medición de campañas de marketing y publicidad en las plataformas del grupo (Facebook, Instagram, Threads), activado únicamente tras la aceptación de la categoría correspondiente en el banner de cookies. Meta actúa como responsable independiente del tratamiento respecto de los datos que recoge a través de sus cookies y píxeles, conforme a sus propios términos para herramientas de negocio.
• Otros proveedores de analítica, publicidad y redes sociales: cuando el usuario acepte las cookies correspondientes, podremos utilizar herramientas adicionales de terceros para medición de campañas, remarketing o integración de redes sociales (por ejemplo, Google Ads, LinkedIn, TikTok Ads u otras plataformas equivalentes). Estos proveedores actúan como responsables independientes o corresponsables del tratamiento respecto de los datos que recogen a través de sus cookies y píxeles. La lista actualizada de proveedores activos y sus políticas de privacidad estará disponible en la Política de Cookies.

El servicio permite la vinculación entre usuarios. Cuando un usuario autoriza el acceso a otro (por ejemplo, un autónomo a su asesoría), este accederá a los datos fiscales y operativos en calidad de tercero autorizado, conforme a los Términos y Condiciones.

Los datos también podrán ser comunicados a administraciones públicas, autoridades tributarias o judiciales cuando exista obligación legal.

5. Transferencias internacionales

La mayor parte de los proveedores utilizados están establecidos en la Unión Europea y no implican transferencias fuera del Espacio Económico Europeo (EEE).

Los tratamientos de Google LLC (reCAPTCHA, motor de búsqueda y API de procesamiento de lenguaje), Meta Platforms, Inc. (subprocesos técnicos del Meta Pixel) y determinados subprocesos técnicos de Google Ireland Limited y de Amazon Web Services pueden implicar la comunicación puntual de datos a servidores en EE. UU., así como las herramientas adicionales de terceros que puedan activarse con tu consentimiento para analítica, publicidad o email marketing. Estas transferencias se realizan al amparo del Marco de Privacidad de Datos UE-EE. UU. (Data Privacy Framework, Decisión de adecuación de la Comisión Europea de 10 de julio de 2023) y, subsidiariamente, de las cláusulas contractuales tipo aprobadas por la Comisión Europea. Solo se activan transferencias a proveedores que ofrezcan garantías adecuadas conforme al capítulo V del RGPD.

6. Plazos de conservación

Conservaremos los datos mientras sean necesarios para las finalidades descritas y, una vez finalizada la relación contractual, durante los plazos legalmente exigidos:

• Registros de facturación y evidencias fiscales (incluyendo evidencias VERI*FACTU cuando aplique): mínimo 4 años, conforme a la Ley 58/2003, de 17 de diciembre, General Tributaria, y el Real Decreto 1619/2012, de 30 de noviembre.
• Datos operativos de cuenta: durante la vigencia de la cuenta y hasta 90 días tras la baja, periodo durante el cual el usuario puede exportar sus datos. Transcurrido ese plazo, se procederá a la supresión o anonimización.
• Registros de seguridad y acceso: durante el periodo necesario para la detección de incidentes de seguridad, con un máximo orientativo de 12 meses, salvo obligación legal o proceso en curso que requiera su conservación.
• Datos del formulario de contacto: durante el tiempo necesario para gestionar la consulta y, en su caso, durante los plazos de prescripción aplicables.
• Datos de marketing (comunicaciones): hasta que retires el consentimiento o solicites la baja de las comunicaciones.
• Datos de analítica y publicidad: mientras el usuario mantenga activas las cookies correspondientes. La revocación del consentimiento a través del banner de cookies interrumpirá la recogida de nuevos datos. Los datos ya recogidos por los proveedores de analítica o publicidad se conservarán conforme a sus propias políticas de retención.
• Evidencias de consentimiento: durante el tiempo necesario para acreditar su obtención, en cumplimiento del principio de responsabilidad proactiva (art. 5.2 RGPD).
• Datos identificativos tras la baja (NIF/CIF y correo electrónico): durante 3 meses desde la solicitud de baja, a efectos de control de re-registro y verificación de elegibilidad para periodos promocionales, conforme a las secciones 14 y 20.7 de los Términos y Condiciones. Aplica tanto a cuentas de autónomo como de asesoría.
• Datos procesados por servicios automatizados: procesados en tiempo real y no almacenados por el prestador una vez obtenido el resultado. La política de retención del proveedor se rige por su propio contrato de encargo de tratamiento.
• Datos de solicitudes precontractuales de vinculación: cuando un visitante no registrado utiliza los formularios de solicitud de código de vinculación o recomendación de asesoría, los datos facilitados (nombre, email del solicitante, email de la asesoría) se conservarán durante un máximo de 30 días desde el envío. Si el solicitante no completa el registro en ese plazo, los datos serán suprimidos.
• Datos de prospección comercial previa (sección 3.10): máximo 12 meses desde la recogida si no hay interacción. Si se produce interacción o el destinatario ejerce oposición, se rige por el plazo específico indicado en la sección 3.10.
• Lista de exclusión (suppression list): el identificador mínimo (hash del correo electrónico, o correo en su caso) necesario para garantizar que no se vuelva a contactar a quien ha ejercido su derecho de oposición se conserva de forma indefinida, como medida de responsabilidad proactiva (art. 5.2 RGPD) y único mecanismo técnico que permite respetar la oposición a lo largo del tiempo.
• Eventos técnicos de entrega de comunicaciones por correo electrónico: los registros técnicos de envío, entrega, rebote o queja se conservan durante un máximo de 24 meses para la gestión de la reputación del remitente, transcurridos los cuales se eliminan o anonimizan.

7. Derechos

Puedes ejercer los derechos reconocidos por el RGPD: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como retirar el consentimiento cuando proceda (arts. 15 a 22 RGPD).

Para ejercer tus derechos, escribe a info@autonomofactura.com indicando el derecho que deseas ejercer y adjuntando una copia de tu documento de identidad u otro medio que permita verificar tu identidad. Responderemos en el plazo máximo de un mes, prorrogable en los casos previstos por el RGPD.

8. Reclamaciones

Si consideras que el tratamiento de tus datos no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de su sede electrónica en aepd.es, sin perjuicio de cualquier otro recurso administrativo o acción judicial.

9. Marketing y comunicaciones comerciales

9.1. Comunicaciones a usuarios registrados y suscriptores (consentimiento)

El envío de comunicaciones comerciales a usuarios registrados en la plataforma o a personas que se hayan suscrito voluntariamente (por ejemplo, a través de formularios específicos o casillas opt-in) se basa en el consentimiento expreso del interesado, solicitado de forma específica e inequívoca conforme al art. 6.1.a RGPD y al art. 21.1 de la Ley 34/2002 (LSSI-CE). La retirada del consentimiento no afecta a la licitud de los envíos realizados con anterioridad.

9.2. Comunicaciones de prospección inicial a profesionales (interés legítimo)

El envío de comunicaciones comerciales dirigidas a profesionales del sector que no mantienen una relación previa con el prestador, con la finalidad y los demás elementos descritos en la sección 3.10, se ampara en el interés legítimo del prestador (art. 6.1.f RGPD) y en la excepción prevista en el art. 21.2 de la Ley 34/2002 (LSSI-CE) para comunicaciones comerciales dirigidas a profesionales sobre productos o servicios relacionados con la actividad que efectivamente desarrollan. Esta modalidad no requiere consentimiento previo, sin perjuicio del derecho de oposición, que puede ejercerse con efectos inmediatos desde la primera comunicación recibida.

9.3. Baja (opt-out) — aplica a ambos casos

Con independencia de la base jurídica aplicable, en cada comunicación comercial incluimos un mecanismo sencillo y gratuito para darte de baja. También puedes solicitarlo escribiendo a info@autonomofactura.com con el asunto «Baja comunicaciones». El ejercicio de la oposición tiene efecto inmediato y determina la supresión del dato de los sistemas de envío y su incorporación a una lista de exclusión para evitar futuros contactos.

10. Cookies

La web y la plataforma utilizan cookies técnicas (estrictamente necesarias) y, con tu consentimiento, cookies de analítica y de marketing. Ninguna cookie no esencial se instala sin tu aceptación previa a través del banner de cookies. Puedes aceptar, rechazar o configurar cada categoría de forma independiente, y modificar tu elección en cualquier momento desde el enlace de gestión de cookies en el pie de página.

Para conocer en detalle las cookies utilizadas, su finalidad, proveedor, duración y cómo gestionarlas, consulta nuestra Política de Cookies.

11. Datos no obtenidos directamente del interesado

El usuario es responsable del tratamiento de los datos de sus propios clientes y debe informarles conforme al art. 13 o 14 del RGPD. Cuando un usuario autoriza la vinculación con otro usuario dentro de la plataforma, los datos se comparten con el consentimiento expreso otorgado durante dicho proceso.

Durante el proceso de registro, un visitante no registrado puede facilitar el email de una asesoría para solicitar un código de vinculación o recomendar su registro en la plataforma. En estos casos, la dirección de correo de la asesoría constituye un dato personal proporcionado por un tercero (el solicitante). El solicitante declara, mediante la aceptación del checkbox correspondiente, que mantiene una relación profesional con la asesoría destinataria. La asesoría recibe, en el propio email que le es remitido, la información prevista en el art. 14 RGPD (identidad del responsable, finalidad del tratamiento, origen de los datos y derechos del interesado).

12. Aplicación móvil oficial

El prestador publica una aplicación móvil oficial en las tiendas de aplicaciones (Google Play y, en su caso, otras tiendas oficiales) que permite acceder al servicio desde dispositivos móviles compatibles. La aplicación se ofrece bajo la marca Autónomo Factura y, cuando el usuario opta por la firma de facturas mediante certificado digital propio, mediante una aplicación complementaria denominada Agente VERI*FACTU. Cualquier aplicación que no se distribuya a través de las tiendas oficiales o no figure publicada por el responsable indicado en la sección 1 no es una aplicación oficial del servicio.

El uso de la aplicación móvil no añade nuevas finalidades ni nuevas categorías de datos respecto de las descritas en las secciones 2 y 3. La base jurídica del tratamiento es la misma que en la versión web: ejecución del contrato o aplicación de medidas precontractuales (art. 6.1.b RGPD) y, cuando proceda, cumplimiento de obligaciones legales (art. 6.1.c RGPD).

Cuando el usuario decide firmar electrónicamente sus facturas con un certificado digital propio (FNMT, Camerfirma u otro prestador cualificado de servicios de confianza), el certificado se gestiona exclusivamente en el almacén de credenciales del dispositivo del usuario, conforme a las medidas de seguridad provistas por el sistema operativo. La clave privada del certificado no se transmite, copia ni almacena en los sistemas del prestador en ningún momento: las firmas se calculan localmente en el dispositivo del usuario, y al servidor del prestador y, en su caso, a la Agencia Estatal de Administración Tributaria, únicamente se remiten los documentos firmados resultantes a través de un canal cifrado. La gestión, renovación o revocación del certificado corresponde al usuario y a la entidad que lo emitió.

La sesión iniciada desde la aplicación móvil utiliza los mismos mecanismos de autenticación y los mismos identificadores técnicos que la versión web del servicio, conforme a lo descrito en la sección 10. La aplicación no instala cookies ni identificadores adicionales más allá de los necesarios para mantener la sesión y para identificar de forma agregada que el acceso se realiza desde la aplicación oficial, con fines de seguridad, soporte y mejora del servicio (art. 6.1.f RGPD, interés legítimo en garantizar el correcto funcionamiento del canal).

Los permisos del dispositivo que la aplicación pueda solicitar (por ejemplo, acceso a la cámara o al almacenamiento local) tienen carácter opcional y están vinculados a funcionalidades concretas iniciadas por el propio usuario, como la incorporación de documentos a la plataforma. El usuario puede denegar o revocar estos permisos en cualquier momento desde los ajustes de su dispositivo, sin que ello impida el uso de las funcionalidades que no los requieren. La aplicación no envía notificaciones push a la fecha de la última actualización de esta Política; cualquier incorporación futura de este tipo de comunicaciones se reflejará mediante actualización del presente texto, conforme a la sección 13.

La distribución de la aplicación a través de las tiendas oficiales implica el tratamiento por parte del proveedor de la tienda (por ejemplo, Google Ireland Limited en el caso de Google Play) de determinados datos técnicos asociados a la descarga, instalación, actualización y uso básico de la aplicación. Dicho proveedor actúa como responsable independiente del tratamiento, conforme a sus propias políticas de privacidad y a los términos de uso de su plataforma de distribución, sin que el prestador acceda a esos datos más allá de la información estadística e informes técnicos (incluyendo, en su caso, informes de fallos y reseñas públicas) que la tienda pone a disposición del desarrollador.

Si la aplicación móvil oficial dejara de estar disponible en alguna tienda o quedara temporalmente fuera de servicio, el acceso al servicio se mantendrá a través de la versión web descrita en esta Política, sin afectación de los datos del usuario ni de los plazos de conservación previstos en la sección 6. Los derechos del interesado y los mecanismos de reclamación se ejercen en los mismos términos descritos en las secciones 7 y 8 con independencia del canal (web o aplicación móvil) desde el que se acceda al servicio.

13. Cambios en esta Política

Podremos actualizar esta Política de Privacidad para adaptarla a cambios legales, técnicos o del servicio. La versión vigente estará publicada en esta página con su fecha de última actualización. Cuando los cambios sean relevantes, te lo comunicaremos por los medios habilitados en la plataforma.