Política de Privacidad
Última actualización: marzo de 2026
De conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos, "RGPD"), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), Vanty Technologies S.L. le informa sobre el tratamiento de sus datos personales.
1. Responsable del tratamiento
- Identidad: Vanty Technologies S.L.
- CIF: B27523265
- Domicilio: Calle Príncipe de Vergara 258, 2H, 28016, Madrid
- Correo electrónico: privacidad@vanty.es
- Sitio web: https://vanty.es
- Delegado de Protección de Datos (DPO): dpo@vanty.es
2. Datos personales que recopilamos
2.1. Datos proporcionados directamente por el usuario
a) Datos de registro y cuenta:
- Correo electrónico y contraseña (cifrada con bcrypt).
- Nombre de usuario, nombre de empresa, NIF/CIF.
- Dirección postal (calle, código postal, ciudad, provincia).
- Teléfono de contacto.
b) Datos de facturación (Compras y Ventas):
- Imágenes y archivos PDF de facturas subidos por el usuario.
- Datos extraídos de facturas: proveedor/cliente, NIF/CIF, importes, IVA, fechas, líneas de detalle, números de factura.
- Categorías asignadas a facturas.
- Presupuestos y tickets emitidos.
c) Datos de clientes y proveedores:
- Nombre o razón social, tipo (empresa/autónomo/particular), NIF/CIF/NIE.
- Dirección postal, email, teléfono.
- IBAN y BIC (datos bancarios de proveedores para pagos).
d) Datos de empleados (introducidos por el administrador):
- Nombre, email, teléfono, puesto, departamento, tipo de contrato.
- Salario bruto, horas semanales, días de vacaciones.
- Horarios de trabajo, horas extraordinarias, ausencias y solicitudes.
- PIN de acceso al Portal del Empleado.
e) Datos contables y financieros:
- Asientos contables, plan de cuentas personalizado.
- Informes financieros (Balance, PyG, Sumas y Saldos).
- Datos de modelos fiscales (303, 111).
f) Datos de inventario:
- Productos: nombre, SKU, código de barras, precios, IVA, stock, almacén.
- Movimientos de stock: entradas, salidas, ajustes, devoluciones.
- Almacenes: nombre, dirección.
g) Datos de suministros energéticos:
- Facturas de electricidad y gas subidas para análisis de ahorro.
- Datos extraídos: tarifa, consumo por períodos, potencia contratada, comercializadora.
2.2. Datos recopilados automáticamente
- Dirección IP y datos de conexión.
- Tipo de dispositivo, sistema operativo y versión de la app.
- Datos de uso de la aplicación (funciones utilizadas, frecuencia, navegación).
- Datos biométricos (Face ID / Touch ID): procesados exclusivamente en el dispositivo del usuario. Vanty NO accede ni almacena datos biométricos.
- Datos de auditoría VeriFactu: timestamp, IP y agente de usuario de cada operación sobre facturas emitidas.
2.3. Datos de terceros
- Gmail / Outlook / IMAP: Si el usuario conecta su cuenta de correo, accedemos únicamente a los correos que contengan facturas en sus adjuntos. No leemos ni almacenamos el contenido de los correos; solo extraemos los datos de facturación de los archivos adjuntos (PDF/imagen).
- Entidades bancarias (Open Banking / PSD2): Accedemos a los movimientos bancarios de las cuentas que el usuario seleccione. Nunca accedemos ni almacenamos las credenciales bancarias; la autenticación se realiza directamente con la entidad bancaria a través de proveedores AISP autorizados.
- Microsoft (OAuth): Si el usuario utiliza el inicio de sesión con Microsoft, recibimos nombre, email e identificador de usuario. No accedemos a otros datos de la cuenta Microsoft.
3. Finalidades del tratamiento
- Gestión de la cuenta de usuario, autenticación y control de acceso (incluida autenticación biométrica local).
- Prestación del servicio de gestión financiera: registro, categorización, análisis y almacenamiento de facturas.
- Emisión de facturas con cumplimiento VeriFactu: hash SHA-256, código QR y log de auditoría.
- Gestión de clientes y proveedores: CRM, historiales de facturación y gasto.
- Conexión bancaria y conciliación: sincronización de movimientos y vinculación con facturas.
- Gestión de recursos humanos: directorio, horarios, horas extra, vacaciones y portal del empleado.
- Contabilidad: asientos contables, informes financieros y modelos fiscales (303, 111).
- Tesorería: previsión de caja, vencimientos, conciliación bancaria y reglas automáticas.
- Inventario: control de stock, movimientos, alertas y valoración.
- Comparación de tarifas energéticas y cálculo de ahorros potenciales.
- Extracción automática de datos de facturas mediante IA (OCR con GPT-4o Vision).
- Envío de notificaciones: vencimiento de facturas, alertas de stock, períodos contables.
- Mejora del servicio mediante análisis agregado y anonimizado.
- Gestión de la suscripción y procesamiento de pagos.
- Gestión de organizaciones multi-usuario: invitaciones, roles y permisos.
- Cumplimiento de obligaciones legales y fiscales aplicables.
4. Base jurídica del tratamiento
| Base jurídica | Artículo RGPD | Tratamientos |
|---|
| Ejecución del contrato | Art. 6.1.b | Prestación del servicio: facturación, contabilidad, tesorería, inventario, empleados, etc. |
| Consentimiento explícito | Art. 6.1.a | Acceso a email (Gmail/Outlook), conexión bancaria Open Banking, comunicaciones comerciales |
| Interés legítimo | Art. 6.1.f | Mejora y seguridad del servicio, prevención de fraude, análisis agregado de uso |
| Obligación legal | Art. 6.1.c | Conservación de datos de facturación, registros VeriFactu, modelos fiscales |
5. Conservación de los datos
| Tipo de dato | Plazo de conservación | Base legal |
|---|
| Datos de cuenta | Mientras esté activa + 30 días tras baja | Contrato |
| Datos de facturación y contables | Mínimo 5 años | Art. 30 Código de Comercio |
| Registros VeriFactu | Mínimo 4 años | Ley 58/2003, General Tributaria |
| Datos de empleados | Activo + 4 años tras baja | Legislación laboral |
| Movimientos bancarios | Conectado + 5 años tras desconexión | Normativa mercantil |
| Datos de uso (anonimizados) | Indefinido | Interés legítimo |
6. Destinatarios de los datos (encargados del tratamiento)
Compartimos datos con los siguientes proveedores, exclusivamente para la prestación del servicio:
| Proveedor | Función | Datos compartidos | Garantías |
|---|
| Supabase Inc. | Base de datos, autenticación, almacenamiento de archivos | Credenciales, facturas, datos financieros | Servidores UE / DPF |
| OpenAI Inc. | OCR de facturas (GPT-4o Vision) | Imágenes de facturas (zero-retention) | EU-US Data Privacy Framework |
| Stripe Inc. | Procesamiento de pagos | Email, datos de tarjeta (gestionados por Stripe) | PCI DSS Nivel 1 / DPF |
| GoCardless / Tink / Salt Edge | Open Banking (PSD2) | Movimientos bancarios seleccionados | Proveedores AISP autorizados |
| Google LLC | Gmail API (lectura de adjuntos con facturas) | Adjuntos de emails con facturas | Consentimiento explícito |
| Microsoft Corp. | Autenticación OAuth | Nombre, email, ID de usuario | Consentimiento del usuario |
| Replit Inc. | Alojamiento del servidor backend | Datos en tránsito y procesamiento | Cláusulas contractuales tipo (SCC) |
NO vendemos, alquilamos ni compartimos datos personales con terceros para fines de marketing, publicidad o perfilado comercial.
7. Transferencias internacionales de datos
Cuando los datos se transfieran fuera del Espacio Económico Europeo (EEE), se aplican las garantías adecuadas conforme al Capítulo V del RGPD:
- Decisión de adecuación: EU-US Data Privacy Framework para proveedores certificados en EEUU (OpenAI, Stripe).
- Cláusulas contractuales tipo (SCC): Aprobadas por la Comisión Europea (Decisión 2021/914) para el resto de proveedores fuera del EEE.
El usuario puede solicitar copia de las garantías aplicables contactando con privacidad@vanty.es.
8. Derechos del usuario
De conformidad con los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la LOPDGDD:
| Derecho | Artículo RGPD | Descripción |
|---|
| Acceso | Art. 15 | Conocer qué datos tratamos y obtener una copia |
| Rectificación | Art. 16 | Corregir datos inexactos o incompletos |
| Supresión | Art. 17 | Solicitar la eliminación cuando ya no sean necesarios |
| Oposición | Art. 21 | Oponerse al tratamiento en determinados supuestos |
| Limitación | Art. 18 | Solicitar la limitación del tratamiento |
| Portabilidad | Art. 20 | Recibir datos en formato estructurado (CSV, JSON) |
| Retirada del consentimiento | Art. 7.3 | En cualquier momento, sin efecto retroactivo |
| No decisiones automatizadas | Art. 22 | La IA requiere siempre revisión y confirmación del usuario |
Para ejercer estos derechos: privacidad@vanty.es
Plazo de respuesta: 30 días (ampliable a 60 en casos complejos).
9. Derecho de reclamación
El usuario tiene derecho a presentar una reclamación ante la autoridad de control:
- Agencia Española de Protección de Datos (AEPD)
- C/ Jorge Juan, 6 — 28001 Madrid
- Teléfono: 901 100 099
- Web: www.aepd.es
10. Medidas de seguridad
De conformidad con el artículo 32 del RGPD, implementamos medidas técnicas y organizativas apropiadas:
- Cifrado en tránsito: Todas las comunicaciones mediante HTTPS/TLS 1.3.
- Cifrado en reposo: Bases de datos cifradas con AES-256.
- Contraseñas: Almacenamiento con hash bcrypt con salt único.
- Control de acceso RBAC: 5 niveles de permisos diferenciados.
- Autenticación biométrica: Procesada exclusivamente en el dispositivo (Face ID/Touch ID).
- Autenticación bancaria PSD2: Credenciales gestionadas por la entidad bancaria, nunca por Vanty.
- Tokens JWT: Con expiración y renovación automática.
- Protección contra inyección: Consultas parametrizadas en todas las operaciones.
- Auditoría VeriFactu: Registro inmutable con timestamp, IP y agente de usuario.
- Backups: Copias de seguridad automáticas diarias.
11. Datos de menores
Vanty es un servicio dirigido exclusivamente a profesionales, empresas y mayores de edad. No recopilamos conscientemente datos de menores de 16 años.
12. Cookies y tecnologías similares
- La versión web utiliza cookies técnicas estrictamente necesarias para el funcionamiento del servicio (sesión, autenticación, preferencias). Conforme al artículo 22.2 de la LSSI-CE, estas cookies están exentas del requisito de consentimiento previo.
- Además, utilizamos Google Analytics (cookie analítica de terceros) para analizar el tráfico y el uso del sitio web. Esta cookie solo se activa si el usuario acepta expresamente a través del banner de cookies mostrado en la primera visita.
- El usuario puede revocar su consentimiento en cualquier momento borrando las cookies del navegador o la preferencia almacenada localmente (
vanty_cookies).
- NO utilizamos cookies de seguimiento publicitario ni cookies de terceros con fines de marketing.
13. Evaluación de impacto
De conformidad con el artículo 35 del RGPD, se ha realizado una Evaluación de Impacto relativa a la Protección de Datos (EIPD) para los tratamientos que implican procesamiento de datos financieros a gran escala, uso de inteligencia artificial y acceso a datos bancarios.
14. Modificaciones
Los cambios significativos serán notificados con al menos 30 días de antelación a través de la aplicación o por correo electrónico.
15. Contacto
- Correo general: info@vanty.es
- Delegado de Protección de Datos: info@vanty.es
- Web: https://vanty.es
© 2026 Vanty Technologies S.L. Todos los derechos reservados.