Esta Política de Privacidad describe cómo Martin Schenk S.L., titular y responsable del servicio contix, recoge, trata y protege los datos personales de los usuarios, en cumplimiento del Reglamento (UE) 2016/679 (RGPD), de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y de la legislación complementaria.
1. Responsable del tratamiento
- Responsable: Martin Schenk S.L.
- NIF: B84645654
- Domicilio: Calle Claudio Coello 14, 28001 Madrid
- Contacto: a través del formulario de contacto
2. Datos que tratamos
Al utilizar contix tratamos las siguientes categorías de datos:
2.1 Datos de cuenta
- Nombre y apellidos (o razón social en caso de SL unipersonal)
- NIF / CIF
- Dirección fiscal
- Correo electrónico y teléfono de contacto
- Contraseña (almacenada de forma irreversible mediante hashing)
2.2 Datos de facturación y contabilidad
- Datos de tus clientes (nombre, NIF, dirección, email)
- Facturas emitidas y recibidas
- Presupuestos, gastos, tickets y justificantes
- Modelos fiscales generados
2.3 Datos bancarios (opcional, solo si conectas tu cuenta)
- Nombre del banco, IBAN y titular de la cuenta
- Transacciones de los últimos 90 días (saldo, fecha, importe, concepto)
contix no almacena credenciales bancarias. La conexión se realiza mediante PSD2 a través de GoCardless Ltd. (AISP autorizado), que gestiona la autenticación directamente con tu banco.
2.4 Datos técnicos
- Dirección IP y logs de acceso (con fines de seguridad)
- Navegador, sistema operativo y tipo de dispositivo
- Cookies técnicas necesarias para el funcionamiento del servicio
3. Finalidades y base jurídica
| Finalidad | Base jurídica |
|---|---|
| Prestación del servicio de facturación | Ejecución del contrato (art. 6.1.b RGPD) |
| Cumplimiento de obligaciones fiscales (Veri*factu, modelos) | Obligación legal (art. 6.1.c RGPD) |
| Conciliación bancaria vía PSD2 | Consentimiento explícito (art. 6.1.a RGPD) |
| Lectura automática de tickets con IA | Ejecución del contrato + consentimiento (art. 6.1.a y 6.1.b RGPD) |
| Envío de recordatorios a tus clientes | Interés legítimo del usuario (art. 6.1.f RGPD) |
| Comunicaciones operativas del servicio | Ejecución del contrato |
| Seguridad y prevención de fraude | Interés legítimo del responsable |
4. Conservación de los datos
Conservamos tus datos mientras tengas una cuenta activa en contix. Tras la baja, algunos datos se conservarán durante los plazos legales aplicables:
- Datos de facturación y fiscales: 6 años (art. 30 Código de Comercio, art. 29 LGT)
- Datos de facturas emitidas: hasta 10 años para obligaciones contables
- Logs de acceso y seguridad: hasta 12 meses
- Datos de cuenta tras baja: anonimizados o eliminados en un plazo máximo de 30 días, salvo los anteriores
5. Destinatarios y encargados del tratamiento
Para prestar el servicio, contix recurre a los siguientes proveedores, todos ellos bajo contrato de encargado de tratamiento conforme al art. 28 RGPD:
- Hetzner Online GmbH (Alemania) — hosting de la aplicación y base de datos. Infraestructura en el territorio de la UE.
- GoCardless Ltd. (Reino Unido, con reconocimiento de adecuación) — proveedor AISP autorizado para PSD2. Solo se activa si conectas tu cuenta bancaria.
- Google LLC (Estados Unidos) — API Gemini para lectura automática de tickets. Transferencia internacional cubierta por el EU-US Data Privacy Framework (Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023). Google ha firmado la certificación DPF y no utiliza los datos para entrenar sus modelos (modo Business API).
- Proveedor de email transaccional (UE) — envío de correos del sistema y recordatorios a tus clientes.
Además, podremos comunicar tus datos a:
- La Agencia Tributaria y otros organismos públicos cuando exista obligación legal
- Tu gestoría, únicamente si tú le concedes acceso
- Jueces y tribunales en los casos legalmente establecidos
6. Transferencias internacionales
Los datos tratados por contix se alojan en servidores ubicados en la Unión Europea (Alemania). La única transferencia internacional relevante es el envío de imágenes de tickets a la API de Google Gemini (Estados Unidos), amparada por el EU-US Data Privacy Framework.
Si prefieres que tus tickets no se procesen mediante un proveedor estadounidense, puedes desactivar la lectura automática de tickets en los ajustes de tu cuenta e introducir los datos manualmente. Esta elección no afecta al resto de funcionalidades.
7. Tus derechos
Como titular de los datos, dispones de los siguientes derechos:
- Acceso: conocer qué datos tratamos sobre ti
- Rectificación: corregir datos inexactos
- Supresión: eliminar tus datos cuando ya no sean necesarios
- Oposición: oponerte a ciertos tratamientos
- Limitación: solicitar la restricción temporal del tratamiento
- Portabilidad: recibir tus datos en formato estructurado y reutilizable
- Retirada del consentimiento: sin efecto retroactivo
Puedes ejercer estos derechos a través del formulario de contacto, adjuntando copia de un documento identificativo. Responderemos en un plazo máximo de un mes.
Si consideras que no hemos tratado tus datos conforme a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
8. Medidas de seguridad
Aplicamos medidas técnicas y organizativas proporcionadas al riesgo del tratamiento: cifrado TLS en todas las comunicaciones, cifrado en reposo de datos sensibles, autenticación mediante tokens firmados, control de accesos por rol, logs de auditoría y copias de seguridad periódicas.
9. Cambios en esta política
Podemos actualizar esta Política de Privacidad para reflejar cambios en la legislación, en nuestros proveedores o en el servicio. Los cambios sustanciales se comunicarán por correo electrónico con antelación razonable.