Política de Privacidad

Última actualización: 15 de mayo de 2026

1. Responsable del tratamiento

  • Titular: Carlos Gálvez Carrillo
  • NIF: 49080222Q
  • Domicilio: Calle Museo 4, 21840 Niebla (Huelva), España
  • Email: info@marsof.es

2. Datos que tratamos

En Saldea tratamos dos tipos de datos personales claramente diferenciados:

2.1. Datos de tu cuenta (eres el interesado)

  • Email de registro (obligatorio).
  • Contraseña (almacenada cifrada con bcrypt por Supabase Auth, nunca legible).
  • Nombre y, opcionalmente, nombre de tu empresa u organización.
  • Datos de uso (facturas creadas, configuración, fechas de inicio de sesión).
  • Datos de facturación de la suscripción (procesados por Stripe; nosotros solo guardamos el ID de cliente).
  • Si conectas tu Stripe vía Stripe Connect: ID de tu cuenta de Stripe (account_id), país, estado de habilitación de cobros y fecha de conexión. No almacenamos ni accedemos a tus credenciales ni a tu saldo.
  • Si invitas miembros a tu organización: email del invitado, rol asignado, fecha de invitación y aceptación.

2.2. Datos de tus clientes (tú eres el responsable, nosotros encargados)

  • Nombre, email, empresa y teléfono de los clientes que tú añades.
  • Datos de las facturas que tú emites (número, importe, fecha, descripción).
  • Pagos registrados (importe, fecha, método, referencia y notas).
  • PDFs de factura que subas al sistema (almacenados en Supabase Storage con acceso restringido a tu organización).
  • Contenido de los recordatorios enviados (email y, si lo accionas manualmente, plantillas para WhatsApp) y las respuestas recibidas.
  • Notas internas asociadas a clientes o facturas (visibles solo para los miembros de tu organización).

Sobre los datos del punto 2.2 actúas como Responsable del Tratamiento conforme al RGPD; Saldea actúa como Encargado del Tratamiento, tratándolos exclusivamente para prestar el servicio según tus instrucciones. Si tu organización tiene varios miembros, todos ellos acceden a estos datos en virtud de la autorización que tú, como titular, les otorgas al invitarles.

2.3. Datos de pago de los deudores (Stripe Connect)

Cuando un cliente paga una factura a través del botón "Pagar ahora" (Stripe Payment Link generado con tu cuenta de Stripe Connect), los datos de tarjeta los recoge y procesa directamente Stripe en tu cuenta — Saldea nunca ve, almacena ni transmite datos bancarios. Saldea solo recibe a través del webhook de Stripe la confirmación del pago (importe, fecha, ID del payment_intent) para marcar la factura como cobrada automáticamente.

3. Finalidad y base jurídica

FinalidadBase jurídica
Crear y gestionar tu cuentaEjecución de contrato (art. 6.1.b RGPD)
Prestación del servicio SaldeaEjecución de contrato
Gestión de pagos vía StripeEjecución de contrato
Envío de emails transaccionales (alertas, resúmenes)Interés legítimo
Cumplimiento de obligaciones legales (fiscal, contable)Obligación legal (art. 6.1.c)
Mejora del servicio y soporteInterés legítimo

4. Conservación de los datos

  • Datos de cuenta activa: mientras mantengas tu cuenta.
  • Tras cancelar tu cuenta: se eliminan en un máximo de 30 días, salvo datos requeridos por ley.
  • Datos fiscales y contables: conservados durante el plazo legal (mínimo 4 años en España).
  • Logs técnicos: hasta 90 días.

5. Destinatarios (encargados del tratamiento)

Para prestar el servicio compartimos algunos datos con los siguientes proveedores. Todos cuentan con garantías adecuadas (DPA firmado y, cuando aplica, cláusulas contractuales tipo de la UE):

  • Supabase (Supabase Inc., USA · servidores en UE) — base de datos, autenticación y almacenamiento de PDFs.
  • Vercel (Vercel Inc., USA + CDN global) — hosting y servidores de aplicación.
  • Stripe (Stripe Payments Europe, Ltd., Irlanda) — procesamiento de la suscripción a Saldea Pro y, mediante Stripe Connect, procesamiento de los cobros de tus facturas a tus clientes.
  • Resend (Resend Inc., USA · servidores en UE) — envío de emails (recordatorios a tus clientes, invitaciones a miembros, resúmenes a ti).
  • Cloudflare (Cloudflare Inc., USA) — DNS, email routing y seguridad.
  • Anthropic (Anthropic PBC, USA) — proveedor de la IA Claude que genera los recordatorios. Los datos enviados a Anthropic no se utilizan para entrenar modelos. Le pasamos: nombre/empresa del cliente, número e importe de factura y días de vencimiento. No le enviamos tu base de datos completa ni datos bancarios.

WhatsApp. Saldea no envía mensajes a WhatsApp directamente. La función de WhatsApp genera un enlace wa.me con el texto pre-rellenado para que tú, manualmente, abras tu propia cuenta de WhatsApp y lo envíes. Saldea no transmite datos a Meta/WhatsApp.

No vendemos, alquilamos ni cedemos tus datos a terceros con fines comerciales.

6. Transferencias internacionales

Algunos de los proveedores indicados están establecidos en Estados Unidos. Las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, en su caso, el EU-US Data Privacy Framework, garantizando un nivel de protección equivalente al europeo.

7. Tus derechos

Como interesado puedes ejercer en cualquier momento los siguientes derechos, conforme a los arts. 15-22 del RGPD:

  • Acceso a los datos personales que tratamos.
  • Rectificación de datos inexactos.
  • Supresión ("derecho al olvido").
  • Limitación del tratamiento.
  • Portabilidad (recibir tus datos en formato estructurado).
  • Oposición al tratamiento basado en interés legítimo.
  • Retirar el consentimiento cuando este sea la base jurídica.

Para ejercer cualquiera de ellos, escribe a info@marsof.es. Responderemos en un máximo de 1 mes.

Si consideras que no hemos atendido correctamente tu solicitud, puedes reclamar ante la Agencia Española de Protección de Datos (aepd.es).

8. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas para garantizar la seguridad de tus datos:

  • Cifrado en tránsito (HTTPS/TLS) y en reposo de la base de datos.
  • Contraseñas hasheadas con bcrypt, autenticación gestionada por Supabase Auth.
  • Separación estricta entre datos de cada organización mediante Row Level Security a nivel de PostgreSQL.
  • PDFs de facturas almacenados con políticas RLS que limitan el acceso a los miembros de cada organización.
  • Webhooks de Stripe firmados con HMAC; rechazamos cualquier evento sin firma válida.
  • Tokens de invitación generados con crypto.randomBytes(24) y caducidad de 7 días.

9. Menores

Saldea no está dirigido a menores de 18 años y no tratamos a sabiendas datos de menores. Si detectas que un menor ha creado una cuenta, contacta con nosotros para proceder a su eliminación.

10. Cambios en esta política

Podemos actualizar esta política puntualmente. Los cambios entrarán en vigor desde su publicación. Si los cambios son sustanciales, te lo notificaremos por email con al menos 15 días de antelación.

11. Contacto

Para cualquier consulta sobre tus datos personales puedes escribir a: info@marsof.es