Política de privacidad
Última actualización: 20 de mayo de 2026
1. Responsable del tratamiento
Alastia SLU (en adelante, "nosotros" o "Tributs") es el responsable del tratamiento de tus datos personales cuando utilizas el servicio a través del dominio tributs.ad y sus subdominios.
Identificación: sociedad de responsabilidad limitada andorrana, NRT L-720150-X, domicilio fiscal en C/ Prat de la Creu 96, 4-1, AD500 Andorra la Vella (Principat d'Andorra). Contacto para consultas de privacidad: hola@tributs.ad.
2. Qué datos tratamos
Datos de cuenta: nombre completo, email, contraseña (cifrada con bcrypt), fecha de alta.
Datos de la empresa: razón social, NRT, parroquia, fecha de constitución, datos fiscales.
Datos contables y tributarios: facturas emitidas y recibidas, movimientos bancarios, declaraciones fiscales, cuentas anuales.
Imágenes y documentos adjuntos: fotos y PDFs de facturas que escanees con la función de captura por IA.
Datos técnicos: logs de acceso (IP, navegador, timestamps), cookies de sesión.
3. Finalidades del tratamiento
Prestarte el servicio contratado (gestión fiscal y contable de una empresa andorrana).
Generar modelos tributarios a partir de tus datos contables.
Extraer datos estructurados de las facturas que escanees mediante un proveedor de IA generativa (sección 5).
Enviarte notificaciones transaccionales (verificación, facturas pendientes, recordatorios del calendario fiscal).
Gestionar la facturación de tu suscripción a Tributs.
Cumplir las obligaciones legales que nos correspondan.
4. Base legal del tratamiento
Ejecución del contrato: para todos los tratamientos necesarios para prestarte el servicio.
Cumplimiento de obligaciones legales: para la conservación de comprobantes fiscales durante los plazos exigidos (Decret 595/2023 art. 35 — 5 años mínimo).
Consentimiento: para envíos comerciales no relacionados con el servicio.
Interés legítimo: para mejora del servicio y prevención de fraude.
5. Sub-encargados del tratamiento
Para prestarte el servicio contratamos proveedores externos que actúan como sub-encargados. Todos tienen firmado un acuerdo de encargo (DPA) con nosotros y, cuando es aplicable, cláusulas contractuales tipo (SCCs) aprobadas por la Comisión Europea.
| Proveedor | Finalidad | Ubicación | Garantía |
|---|---|---|---|
| Anthropic, PBC | Extracción estructurada de datos de facturas vía IA (Claude Vision). | Estats Units · EEUU | Standard Contractual Clauses (SCCs) |
| Hetzner Online GmbH | Alojamiento de servidores y bases de datos. | Alemanya · UE | Adequació RGPD (UE) |
| Resend, Inc. | Envío de correos transaccionales (verificación, notificaciones, facturas). | Estats Units · EEUU | Standard Contractual Clauses (SCCs) |
| Cloudflare, Inc. | DNS, CDN y mitigación DDoS de nuestros dominios. | Estats Units · EEUU | Standard Contractual Clauses (SCCs) |
| Vercel, Inc. | Alojamiento de la landing tributs.ad y analítica anónima. | Estats Units · EEUU | Standard Contractual Clauses (SCCs) |
| Functional Software, Inc. (Sentry) | Diagnóstico de errores JavaScript del SPA (stack traces, URL, navegador). Ningún dato del contenido de tus documentos. Configurable desde /perfil → Diagnóstico de errores. | Regió UE (ingest a Frankfurt). Empresa matriu EEUU. | Standard Contractual Clauses (SCCs) + regió d'ingest UE |
6. Transferencias internacionales
Algunos sub-encargados (sección 5) están ubicados fuera del Espacio Económico Europeo (Estados Unidos). Para estas transferencias nos basamos en cláusulas contractuales tipo (SCCs) aprobadas por la Comisión Europea.
Anthropic (proveedor de IA de nuestro escáner) también está certificado bajo el Data Privacy Framework UE-EEUU.
Puedes solicitar una copia de las SCCs aplicables escribiendo a hola@tributs.ad.
7. Plazo de conservación
Datos de cuenta: mientras tengas cuenta activa + 30 días post-baja.
Documentos fiscales y contables: 5 años después del cierre del periodo fiscal (obligación legal LQPD art. 12.4 + Decret 595/2023).
Logs técnicos: 6 meses.
Backups: 30 días (rotación automática).
Antes del cierre del compte puedes exportar todos tus datos en formato estándar.
8. Medidas de seguridad
Cifrado en tránsito: TLS 1.3 en toda la comunicación.
Cifrado at-rest: contraseñas con bcrypt. Migración a Hetzner Object Storage con SSE AES-256 prevista antes de la apertura comercial.
Aislamiento físico: cada empresa cliente tiene su propia base de datos (multi-site).
Control de acceso: 2FA obligatorio para personal interno.
Backups: copias automáticas diarias con retención rotativa.
9. Derechos del interesado
En aplicación de la LQPD arts. 19-25 y RGPD arts. 15-22, tienes los siguientes derechos: acceso, rectificación, supresión, limitación, portabilidad, oposición y decisiones automatizadas.
Para ejercer cualquier derecho, escribe a hola@tributs.ad. Te responderemos en un máximo de un mes.
Si consideras que vulneramos la normativa, puedes reclamar ante la Agencia Andorrana de Protección de Datos (APDA): www.apda.ad.
10. Notificación de brechas
En caso de violación de seguridad con riesgo significativo, te notificaremos en un máximo de 72 horas (LQPD art. 38) junto con la notificación obligatoria a la APDA.
11. Cambios en esta política
Si modificamos esta política de manera sustancial, te avisaremos por email con al menos 30 días de antelación.
12. Contacto
Consultas de protección de datos: hola@tributs.ad.
Cuando tengamos un DPO designado publicaremos su contacto aquí.