Política de privacidad

XRechnungs

Esta declaración te informa sobre la naturaleza, el alcance y la finalidad del tratamiento de datos personales al usar XRechnungs.

1. Responsable

El responsable en el sentido del Reglamento General de Protección de Datos (RGPD) es:

Geury Roustand

Empresario individual

que opera bajo el nombre "XRechnungs"

Bahnhofstraße 24

73033 Göppingen

Alemania

Correo electrónico: info@xrechnungs.de

No se ha designado un delegado de protección de datos, ya que no existe obligación legal de hacerlo.

2. Información general sobre el tratamiento de datos

Tratamos datos personales exclusivamente de conformidad con el RGPD y la normativa nacional aplicable en materia de protección de datos (en particular la BDSG).

El tratamiento se realiza para:

Prestación de nuestros servicios SaaS
Ejecución del contrato
Garantizar la seguridad informática
Mejora de nuestra oferta

3. Tipos de datos tratados

3.1 Datos de registro y cuenta

Nombre
Dirección de correo electrónico
Contraseña (almacenada como hash)
Datos de la empresa (p. ej. nombre, dirección, NIF-IVA)

Finalidad: gestión de la cuenta y uso de la aplicación

Base jurídica: art. 6(1)(b) RGPD

3.2 Datos de facturación y negocio

Nombres y direcciones de clientes, proveedores y socios comerciales
Direcciones de correo electrónico y números de teléfono
Números de identificación a efectos de IVA
Datos de facturación y pago (importes, datos bancarios, estado del pago)
Descripciones de servicios y números de factura
Datos de empleados (cuando figuren en facturas o documentos)

Finalidad: creación, validación y puesta a disposición de facturas electrónicas (XRechnung, ZUGFeRD)

Base jurídica:

Art. 6(1)(b) RGPD (ejecución del contrato con el usuario)
Art. 6(1)(f) RGPD (interés legítimo en proporcionar la plataforma SaaS)

3.3 Datos técnicos de uso

Dirección IP
Fecha y hora de acceso
Información del navegador y dispositivo
Horas de inicio de sesión y registros de actividad
Archivos de registro

Finalidad: seguridad operativa, análisis de errores, detección de abuso

Base jurídica: art. 6(1)(f) RGPD (interés legítimo)

4. Alojamiento y encargados del tratamiento

Los datos personales se tratan por regla general en servidores dentro de la Unión Europea (UE) o del Espacio Económico Europeo (EEE). Para la prestación técnica utilizamos los siguientes encargados del tratamiento conforme al art. 28 RGPD:

Proveedor de servicios	Ubicación	Finalidad	Base jurídica
Hetzner Online GmbH	Alemania (UE)	Alojamiento de infraestructura de servidores (VPS)	Art. 28 RGPD
Hetzner Object Storage	Alemania (UE)	Almacenamiento de objetos para documentos y adjuntos	Art. 28 RGPD
Vercel Inc.	EE. UU. (ubicación del servidor: UE)	Alojamiento de la aplicación web (frontend)	SCC conforme al art. 46 RGPD
Stripe Payments Europe Ltd.	Irlanda (UE)	Procesamiento de pagos y suscripciones	Art. 28 RGPD
Resend Inc.	EE. UU. (ubicación del servidor: UE)	Envío de correos transaccionales	SCC conforme al art. 46 RGPD
Cloudinary Ltd.	EE. UU.	Tratamiento de datos multimedia	SCC conforme al art. 46 RGPD
Railway Corp.	EE. UU. (ubicación del servidor: UE)	Alojamiento backend y operaciones de base de datos	SCC conforme al art. 46 RGPD
OpenAI, Inc.	EE. UU.	Reconocimiento de texto con IA (OCR) al usar la función de conversión PDF a XRechnung/ZUGFeRD	SCC conforme al art. 46 RGPD

Existen acuerdos escritos de tratamiento de datos con todos los proveedores de servicios. Cuando los proveedores están fuera de la UE/EEE, las transferencias de datos se realizan exclusivamente sobre la base de garantías adecuadas conforme al art. 46 RGPD, en particular las cláusulas contractuales tipo de la UE (SCC).

5. Reconocimiento de texto con IA (OCR)

Al utilizar la función de conversión PDF a XRechnung/ZUGFeRD, los documentos de factura subidos (PDF o archivos de imagen) se transmiten a la API de OpenAI, Inc., EE. UU. para la extracción automatizada de datos de factura.

Esto puede implicar la transferencia de datos personales contenidos en el documento (p. ej. nombres, direcciones, NIF-IVA, datos de pago).

OpenAI no utiliza las entradas de API para mejorar ni entrenar modelos. Según las propias declaraciones de OpenAI, los datos se eliminan tras un máximo de 30 días.

La transferencia a EE. UU. se basa en las cláusulas contractuales tipo de la UE (SCC) conforme al art. 46 RGPD.

Base jurídica: art. 6(1)(b) RGPD (ejecución del contrato).

Más información: openai.com/policies/privacy-policy

6. Validación de facturas

Para la validación técnica de documentos de factura (XRechnung, ZUGFeRD) utilizamos el KoSIT Validator y el Mustang Validator. La validación se realiza del lado del servidor. Los datos contenidos en los documentos de factura se verifican técnicamente.

Base jurídica: art. 6(1)(b) RGPD (ejecución del contrato).

7. Procesamiento de pagos

Para tramitar suscripciones y pagos utilizamos Stripe Payments Europe Ltd., Irlanda.

Los datos de pago (p. ej. nombre, dirección de facturación, información de pago) son tratados directamente por Stripe. XRechnungs no almacena datos de pago completos.

Base jurídica: art. 6(1)(b) RGPD.

Más información: stripe.com/en/privacy

8. Analítica web – Google Analytics

Si has dado tu consentimiento, utilizamos Google Analytics, un servicio de analítica web de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlanda.

Google Analytics utiliza cookies que permiten analizar el uso de nuestro sitio web. Hemos activado la anonimización de IP, por lo que tu dirección IP se acorta dentro de la UE.

Base jurídica: art. 6(1)(a) RGPD y § 25(1) TTDSG (consentimiento).

No puede excluirse la transferencia de datos a servidores de Google en EE. UU. Esto se basa en SCC conforme al art. 46 RGPD. Puedes revocar tu consentimiento en cualquier momento mediante la configuración de cookies.

Más información: policies.google.com/privacy

9. Cookies

Utilizamos:

Cookies técnicamente necesarias (inicio de sesión, sesión, seguridad)
Cookies de analítica o estadísticas (solo con consentimiento)

Cookies técnicamente necesarias: § 25(2) TTDSG; art. 6(1)(f) RGPD (interés legítimo)

Cookies de analítica/estadísticas: § 25(1) TTDSG; art. 6(1)(a) RGPD (consentimiento)

10. Plazo de conservación y eliminación de datos

Los datos personales solo se almacenan durante el tiempo necesario para la ejecución del contrato o mientras lo exijan obligaciones legales de conservación.

Los datos de factura y cuenta permanecen almacenados mientras exista una cuenta activa.

Eliminación de datos al finalizar

Tras la cancelación de la cuenta de usuario o la finalización del acuerdo de uso, ponemos tus documentos y datos almacenados a disposición para su descarga durante un período de 30 días naturales.

Te avisaremos por correo al menos 7 días antes del vencimiento de este período sobre la próxima eliminación de datos.
Tras el período de 30 días, todos los datos y documentos almacenados se eliminarán de forma irrevocable. La recuperación no es técnicamente posible.
La eliminación se registra internamente.

Ten en cuenta: XRechnungs almacena tus documentos durante la duración del uso activo de la cuenta. Como usuario, eres el único responsable de cumplir tus obligaciones fiscales y mercantiles de conservación (§§ 147 AO, 257 HGB). Recomendamos crear regularmente tus propias copias de seguridad fuera de la plataforma.

En la medida en que obligaciones legales de conservación por nuestra parte impidan una eliminación inmediata, los datos pertinentes se almacenarán hasta que expire dicha obligación y luego se eliminarán sin demora.

11. Acuerdo de tratamiento de datos (DPA)

En el contexto del uso de XRechnungs, tratamos datos personales por cuenta de nuestros clientes (art. 28 RGPD). El correspondiente Acuerdo de tratamiento de datos (DPA) forma parte del acuerdo de uso.

Al registrarte y utilizar la plataforma, aceptas electrónicamente el DPA. El DPA (XRechnungs – Data Processing Agreement (DPA)) está disponible tras el registro en el área de usuario de la plataforma.

El DPA regula en particular la naturaleza, el alcance y la finalidad del tratamiento, los subencargados utilizados y las medidas técnicas y organizativas (TOM) conforme al art. 32 RGPD.

12. Tus derechos según el RGPD

Tienes los siguientes derechos:

Derecho de acceso (art. 15 RGPD)
Derecho de rectificación (art. 16 RGPD)
Derecho de supresión (art. 17 RGPD)
Derecho a la limitación del tratamiento (art. 18 RGPD)
Derecho a la portabilidad de los datos (art. 20 RGPD)
Derecho de oposición al tratamiento (art. 21 RGPD)
Derecho a retirar el consentimiento (art. 7(3) RGPD)

Para ejercer tus derechos, ponte en contacto con: info@xrechnungs.de

13. Derecho a presentar una reclamación

Tienes derecho a presentar una reclamación ante la autoridad supervisora competente en materia de protección de datos:

El comisionado estatal de protección de datos y libertad de información de Baden-Württemberg

www.baden-wuerttemberg.datenschutz.de

14. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas conforme al art. 32 RGPD, en particular:

Cifrado TLS/HTTPS de todas las transmisiones de datos
Autenticación de dos factores (2FA) para el acceso al sistema
Control de acceso basado en roles
Separación lógica por inquilinos de los datos de usuario
Copias de seguridad de datos cifradas
Supervisión y registro de eventos relevantes para la seguridad
Actualizaciones de seguridad periódicas

La descripción completa de nuestras medidas técnicas y organizativas (TOM) está disponible en el anexo 3 del DPA.

A pesar de todas las medidas técnicas y organizativas, no puede garantizarse por completo una protección absoluta de los datos frente al acceso de terceros.

15. Toma de decisiones automatizada

No se realiza toma de decisiones automatizada, incluida la elaboración de perfiles, conforme al art. 22 RGPD.

16. Cambios en esta política de privacidad

Esta política de privacidad puede actualizarse cuando sea necesario. La versión actual está siempre disponible en esta página. Te informaremos por correo electrónico de cualquier cambio significativo.

Última actualización: marzo de 2026 | Versión 1.1 | XRechnungs – Geury Roustand, Bahnhofstraße 24, 73033 Göppingen