Politica de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recabados a traves de la Plataforma es:

En relacion con los datos personales que los Clientes (gestorias, asesorias o empresas) carguen en la Plataforma relativos a sus propios clientes, proveedores o empleados, el Cliente actua como Responsable del tratamiento y ESPHERA como Encargado del tratamiento, conforme al articulo 28 del RGPD.

2. Datos personales que tratamos

2.1 Datos del usuario registrado (Cliente)

Al registrarse y utilizar la Plataforma, recabamos:

• Datos identificativos: nombre, apellidos, cargo, denominacion social.
• Datos de contacto: correo electronico, telefono, direccion.
• Datos fiscales: CIF/NIF.
• Datos de acceso: credenciales de la cuenta (contrasena cifrada).
• Datos de uso: registros de actividad, conexiones, funcionalidades utilizadas.
• Datos de facturacion: informacion relativa a pagos y transacciones.

2.2 Datos tratados como Encargado del tratamiento

En el marco de la prestacion de servicios, ESPHERA puede acceder y tratar, por cuenta del Cliente, las siguientes categorias de datos que el Cliente cargue en la Plataforma:

• Datos identificativos y de contacto de empleados, clientes y proveedores del Cliente.
• Datos laborales.
• Datos economicos, contables y financieros.
• Informacion de facturacion, cobros y pagos.
• Documentacion fiscal y tributaria.
• Comunicaciones vinculadas a la actividad contable.

Las categorias de interesados incluyen: empleados, directivos, administrativos, clientes, proveedores y otros terceros del Cliente.

3. Finalidades del tratamiento

3.1 Datos tratados como Responsable

ESPHERA trata los datos personales del Cliente para las siguientes finalidades:

• Gestion del registro y la cuenta de usuario en la Plataforma.
• Prestacion, mantenimiento y mejora de los Servicios contratados.
• Facturacion y gestion de cobros.
• Comunicaciones operativas y de soporte tecnico.
• Cumplimiento de obligaciones legales y regulatorias.
• Gestion de la relacion comercial.
• Seguridad y prevencion de fraude.

3.2 Datos tratados como Encargado

Los datos cargados por el Cliente se tratan exclusivamente para:

• Automatizacion de procesos contables y fiscales.
• Procesamiento y conciliacion de facturas.
• Generacion de asientos contables y reportes.
• Soporte al cumplimiento tributario.
• Deteccion de errores, duplicidades y anomalias.
• Monitorizacion, soporte tecnico y optimizacion del rendimiento del servicio.

4. Base juridica del tratamiento

Ejecucion contractual (art. 6.1.b RGPD): El tratamiento es necesario para la prestacion de los Servicios contratados.

Interes legitimo (art. 6.1.f RGPD): Mejora y seguridad de la Plataforma, prevencion de fraude, analisis estadisticos con datos agregados y anonimizados.

Obligacion legal (art. 6.1.c RGPD): Cumplimiento de obligaciones fiscales, mercantiles y de conservacion de datos.

Consentimiento (art. 6.1.a RGPD): Cuando sea necesario para finalidades especificas, como comunicaciones comerciales.

5. Destinatarios de los datos

Los datos personales podran ser comunicados a:

• Proveedores de servicios tecnologicos (infraestructura cloud, hosting, seguridad, backup) que actuan como subencargados del tratamiento, con contratos que imponen obligaciones equivalentes de proteccion de datos.
• Proveedores de herramientas de procesamiento y analisis, incluidos proveedores de IA.
• Administraciones publicas y autoridades competentes cuando exista obligacion legal.
• Asesores profesionales (legal, fiscal, auditoria) sujetos a obligaciones de confidencialidad.

ESPHERA mantiene un registro actualizado de subencargados del tratamiento disponible previa solicitud del Cliente. Cualquier cambio significativo de subencargados sera comunicado al Cliente, quien dispondra de oportunidad razonable de objecion por motivos justificados de proteccion de datos.

6. Transferencias internacionales

ESPHERA no realizara transferencias internacionales de datos personales a paises que no cuenten con un nivel de proteccion adecuado reconocido por la Comision Europea, salvo que se adopten garantias adecuadas conforme al RGPD (como clausulas contractuales tipo o normas corporativas vinculantes).

En caso de ser necesaria alguna transferencia internacional, el Cliente sera informado previamente con indicacion de las garantias adoptadas.

7. Plazos de conservacion

Los datos personales se conservaran durante el tiempo necesario para cumplir con la finalidad para la que fueron recabados:

Datos de la cuenta de usuario: Durante la vigencia de la relacion contractual y, una vez finalizada, durante los plazos legales de prescripcion aplicables.

Datos tratados como Encargado: Durante la vigencia de la prestacion de servicios. A la finalizacion, ESPHERA suprimira o devolvera los datos al Cliente, segun su eleccion, salvo obligacion legal de conservacion.

Datos de facturacion: Durante los plazos exigidos por la normativa fiscal y mercantil (minimo 6 anos).

Registros de actividad y logs: Conforme a la politica de retencion y la normativa aplicable.

8. Derechos del interesado

Conforme al RGPD y la LOPDGDD, el usuario tiene derecho a:

• Acceso: Conocer que datos personales tratamos sobre usted.
• Rectificacion: Solicitar la correccion de datos inexactos o incompletos.
• Supresion: Solicitar la eliminacion de sus datos cuando ya no sean necesarios para los fines recabados.
• Limitacion: Solicitar la restriccion del tratamiento en determinadas circunstancias.
• Portabilidad: Recibir sus datos en formato estructurado, de uso comun y lectura mecanica.
• Oposicion: Oponerse al tratamiento de sus datos por motivos relacionados con su situacion particular.
• No ser objeto de decisiones automatizadas: Incluida la elaboracion de perfiles con efectos juridicos significativos.

Para ejercer estos derechos, puede dirigirse a nuestro correo electronico de privacidad indicando su identidad y el derecho que desea ejercer. Responderemos en el plazo maximo de un mes, prorrogable en dos meses adicionales en funcion de la complejidad.

Si considera que el tratamiento de sus datos no se ajusta a la normativa, tiene derecho a presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (www.aepd.es).

9. Medidas de seguridad

ESPHERA aplica medidas tecnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluyendo:

• Cifrado en transito (TLS 1.2+) y en reposo (AES-256).
• Control de accesos basado en roles, con principio de minimo privilegio y autenticacion multifactor (MFA).
• Registro y trazabilidad de eventos de seguridad y actividad.
• Copias de seguridad periodicas cifradas, con pruebas de restauracion.
• Arquitectura redundante y planes de continuidad del negocio.
• Gestion de vulnerabilidades, escaneos periodicos y pruebas de penetracion.
• Proceso de gestion de incidentes con notificacion en un maximo de 24 horas.
• Separacion logica de entornos y segregacion de datos por cliente.
• Desarrollo seguro con revisiones de codigo y analisis de seguridad.
• Formacion periodica del personal en proteccion de datos y seguridad.

10. Uso de inteligencia artificial

La Plataforma utiliza tecnologias de inteligencia artificial para la automatizacion de procesos contables y fiscales. En relacion con el tratamiento de datos personales mediante IA:

• ESPHERA informa al Cliente de los componentes de IA materialmente relevantes para la prestacion.
• No se emplean datos personales del Cliente para entrenar modelos de proposito general sin base juridica adecuada y, cuando aplique, anonimizacion efectiva.
• ESPHERA aplica protecciones frente a ataques de extraccion de modelos, envenenamiento de datos y prompt injection.
• Los resultados de la IA son asistivos y requieren validacion humana para decisiones con efectos significativos.
• ESPHERA facilita informacion sobre los factores principales del modelo y mecanismos de revision humana cuando sea razonable.

11. Notificacion de violaciones de seguridad

En caso de producirse una violacion de seguridad que afecte a datos personales, ESPHERA lo notificara al Cliente sin dilacion indebida y en un plazo maximo de 24 horas desde que tenga conocimiento, proporcionando la informacion disponible para que el Cliente pueda cumplir sus obligaciones de notificacion ante la autoridad de control y, en su caso, ante los interesados afectados.

12. Contacto del Delegado de Proteccion de Datos

Para cualquier cuestion relativa al tratamiento de sus datos personales, puede ponerse en contacto con nuestro responsable de privacidad en: