Información legal

Política de privacidad

Última actualización:

En Elevem nos tomamos la privacidad en serio. Esta política describe, en lenguaje claro, qué datos personales tratamos cuando usas el servicio, por qué los tratamos y qué derechos tienes sobre ellos.

El servicio se opera desde Andorra y se rige por la Llei 29/2021, del 28 d'octubre, qualificada de protecció de dades personals y por su normativa de desarrollo. Como nos dirigimos a usuarios residentes en la Unión Europea, también aplicamos el Reglamento (UE) 2016/679 (RGPD) en virtud de su artículo 3.2, así como la legislación nacional aplicable de cada usuario (en particular, la LOPDGDD 3/2018 para usuarios residentes en España).

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

  • Razón social: Ementh Software SLU
  • NRT: L-720749-L
  • Dirección: Carrer Esteve Albert 12, Edifici "La Roureda", Bloc A, 1-2ª, AD500 Santa Coloma, Principat d'Andorra
  • Email de contacto en materia de privacidad: soporte@elevem.io

No estamos obligados a designar un Delegado de Protección de Datos (DPO) y, a fecha de esta política, no hemos designado uno voluntariamente. Para cualquier cuestión sobre tus datos puedes escribir directamente al correo indicado.

2. Qué datos tratamos y de dónde proceden

2.1. Datos que nos das directamente

  • Datos de cuenta: dirección de correo electrónico, nombre y foto de perfil que nos comparte Google al iniciar sesión.
  • Datos de facturación: nombre o razón social, NIF, dirección postal y país que introduces al suscribirte. La tarjeta o medio de pago se procesa directamente por nuestro proveedor de pagos (Creem); Elevem nunca almacena el número de tarjeta.
  • Comunicaciones: los correos o mensajes que nos envías a soporte y nuestras respuestas.

2.2. Datos que generamos al prestarte el servicio

  • Datos de Google Workspace (Gmail y Drive), con tu autorización OAuth y con los scopes mínimos imprescindibles. En concreto:
    • Lectura de los mensajes de Gmail estrictamente necesarios para identificar facturas recibidas (asunto, remitente, fecha y adjuntos PDF). No leemos correos no relacionados con facturación, no enviamos correos en tu nombre y no usamos estos datos para perfilado ni publicidad.
    • Escritura en una carpeta dentro de tu Google Drive (/Elevem) donde archivamos los PDFs ordenados por año y mes. No accedemos a otras carpetas ni a archivos que no hayamos subido nosotros.
  • Datos bancarios obtenidos a través de Tink (compañía del grupo Visa): información de cuentas y movimientos, exclusivamente de las cuentas que tú enlaces y mientras dure la autorización PSD2 que firmes con tu banco. Solo lectura: ni Elevem ni Tink pueden ordenar pagos.
  • Resultados de la conciliación: emparejamientos entre movimientos y facturas, su nivel de confianza, las decisiones que hayas tomado manualmente y los metadatos de cada PDF archivado.
  • Datos técnicos: dirección IP, user-agent y registros mínimos de actividad para mantener la sesión, prevenir abusos y depurar incidencias.

3. Finalidades del tratamiento y base legal

FinalidadDatos implicadosBase legal
Crear y mantener tu cuenta y autenticarte mediante GoogleEmail, nombre, foto, identificador GoogleEjecución del contrato (RGPD art. 6.1.b)
Sincronizar tu Gmail y banco, emparejar movimientos con facturas y archivar PDFs en tu DriveMensajes y adjuntos de Gmail, transacciones bancarias, archivos en DriveEjecución del contrato (RGPD art. 6.1.b) + consentimiento explícito otorgado en el flujo OAuth (RGPD art. 6.1.a)
Cobrar la suscripción y emitir recibosEmail, datos de facturación, historial de pagosEjecución del contrato (RGPD art. 6.1.b) y obligación legal contable y tributaria (RGPD art. 6.1.c)
Atender tus consultas y dar soporteEmail y contenido de los mensajesEjecución del contrato (RGPD art. 6.1.b)
Enviar comunicaciones de servicio (avisos de fallos, expiraciones de OAuth, vencimientos de pago)EmailInterés legítimo (RGPD art. 6.1.f) en mantener operativo el servicio que has contratado
Prevenir fraude, proteger la seguridad y cumplir auditorías técnicasLogs, IP, user-agentInterés legítimo (RGPD art. 6.1.f) en la seguridad del servicio
Gestionar el programa de partners y atribuir comisionesIdentificador del partner, organización referida y pagos asociadosEjecución del contrato con el partner (RGPD art. 6.1.b)

No usamos tus datos para enviarte publicidad de terceros ni los cedemos para esa finalidad. No tomamos decisiones automatizadas con efectos jurídicos significativos: la IA propone emparejamientos, pero la responsabilidad sobre la contabilidad final es siempre tuya.

4. Plazos de conservación

  • Datos de cuenta y de uso: mientras tengas una cuenta activa. Si nos pides eliminarla, los borramos en un plazo máximo de 30 días, salvo aquellos datos que debamos conservar por obligación legal.
  • Tokens OAuth de Google y Tink: hasta que los revoques o caduquen. Cuando desconectas una integración, los borramos de inmediato.
  • Mensajes de Gmail y adjuntos PDF cacheados: los procesamos para extraer la información de la factura y subir el PDF a tu Drive. La copia temporal en nuestro almacenamiento se borra una vez completado el archivado en tu Drive (máximo 30 días).
  • Datos contables y de facturación: 6 años desde la finalización del ejercicio, conforme al artículo 30 del Código de Comercio español y la normativa tributaria equivalente en Andorra.
  • Logs técnicos: 90 días.

5. Encargados del tratamiento (subprocesadores)

Para prestar el servicio nos apoyamos en los siguientes proveedores. Todos están sujetos a contratos de tratamiento de datos (DPA) que les obligan a tratar los datos únicamente siguiendo nuestras instrucciones y con garantías de seguridad adecuadas.

ProveedorFunciónDatos tratadosUbicación
NeonHosting de la base de datos PostgreSQL principalCuenta, organizaciones, conexiones, transacciones bancarias, metadatos de email, conciliacionesUnión Europea (Frankfurt)
Google Ireland Ltd. (Google Workspace APIs)Login con Google y acceso de solo lectura a Gmail y de escritura a una carpeta de Drive del usuarioIdentificador de la cuenta Google, email, nombre, foto de perfil, mensajes y adjuntos de Gmail estrictamente necesarios para detectar facturasUnión Europea / EE.UU. (cláusulas contractuales tipo + DPF)
Tink AB (compañía del grupo Visa)Proveedor de servicios de información sobre cuentas (AISP) regulado por la Finansinspektionen y autorizado en España bajo PSD2 para la lectura de cuentas y movimientos. Adquirido por Visa en 2022.Identificadores de cuentas y transacciones bancarias del usuarioUnión Europea (Suecia)
OpenRouter (Open Router, Inc.)Pasarela hacia modelos de lenguaje (OpenAI y Anthropic) para emparejar cada movimiento bancario con la factura correspondienteImportes, fechas, contraparte y conceptos de movimientos y facturas estrictamente necesarios para el emparejamiento. Sin entrenamiento sobre los datos.EE.UU. (cláusulas contractuales tipo)
Cloudflare, Inc. (R2)Almacenamiento temporal de los PDFs de facturas antes de subirlos a tu Google DriveAdjuntos PDF de facturas, sin metadatos personalesGlobal (cláusulas contractuales tipo + DPF)
Resend, Inc.Envío de correos transaccionales (verificación, avisos de cobro, fallos de sincronización)Email del destinatario y contenido del mensaje transaccionalEE.UU. (cláusulas contractuales tipo)
Inngest, Inc.Orquestación de tareas en segundo plano (sincronizaciones programadas, reintentos)Identificadores de organización y de ejecución; no procesa datos bancarios ni PDFs en su contenido, solo los referenciaEE.UU. (cláusulas contractuales tipo)
Creem Technologies, Inc. (Creem.io)Procesamiento de pagos, suscripciones y portal de clienteEmail, datos de facturación (nombre, dirección, NIF) y referencia del medio de pago. Los datos de la tarjeta se procesan directamente por Creem y sus pasarelas — Elevem nunca los almacena.EE.UU. / UE (cláusulas contractuales tipo)

Algunos de estos proveedores tratan datos fuera del Espacio Económico Europeo. En esos casos, las transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando aplica, en el Data Privacy Framework EE.UU.–UE. Andorra cuenta con decisión de adecuación de la Comisión Europea, lo que permite las transferencias entre la UE y Andorra sin garantías adicionales.

6. Seguridad

Aplicamos medidas técnicas y organizativas razonables para proteger tus datos. En particular:

  • Cifrado en tránsito mediante TLS 1.2+ en todas las conexiones.
  • Cifrado en reposo de los tokens de OAuth de Google y Tink mediante AES-256-GCM. La clave maestra se gestiona como secreto fuera de la base de datos.
  • Acceso restringido a entornos de producción. Las credenciales del personal están protegidas por autenticación multifactor.
  • Registro auditable de operaciones críticas y revisiones periódicas.

Si detectamos una violación de seguridad que pueda afectar tus derechos, te lo notificaremos sin demora indebida y, en su caso, comunicaremos a las autoridades competentes en los plazos previstos por la normativa.

7. Tus derechos

Tienes derecho a:

  • Acceso: obtener confirmación de si tratamos tus datos y, en su caso, una copia.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión: pedir que borremos tus datos cuando ya no sean necesarios o retires el consentimiento, sin perjuicio de las obligaciones de conservación legales.
  • Oposición y limitación: oponerte al tratamiento basado en interés legítimo o limitar su uso mientras se resuelva una reclamación.
  • Portabilidad: recibir en formato estructurado los datos que nos has proporcionado para transmitirlos a otro responsable.
  • Retirada del consentimiento: en cualquier momento, sin que afecte a la licitud del tratamiento previo. Puedes desconectar Google y Tink desde tu cuenta y revocar las autorizaciones también desde Google y desde la app de tu banco.

Para ejercerlos, escríbenos a soporte@elevem.io indicando tu solicitud y adjuntando, si fuera necesario para identificarte, copia de tu documento de identidad. Atenderemos tu petición dentro del mes siguiente.

Si consideras que no hemos respondido correctamente, puedes presentar una reclamación ante:

  • La Agència Andorrana de Protecció de Dades (APDA) apda.ad.
  • Tu autoridad de control nacional en la UE (por ejemplo, la Agencia Española de Protección de Datos — AEPD, aepd.es, si resides en España).

8. Política de uso limitado de datos de Google

El uso por Elevem de la información recibida de las APIs de Google se atendrá a la Google API Services User Data Policy, incluidos los requisitos de uso limitado (Limited Use). En particular, no usamos los datos de Gmail ni de Drive obtenidos vía Google Workspace APIs para servir publicidad, no los vendemos, no los cedemos a terceros salvo en la medida estrictamente necesaria para prestar el servicio que has contratado y no permitimos que ningún ser humano los lea, salvo (i) con tu consentimiento explícito, (ii) para fines de seguridad (por ejemplo, investigar abusos), (iii) para cumplir la ley o (iv) cuando los datos hayan sido agregados y anonimizados de forma irreversible.

9. Menores

Elevem es un servicio profesional dirigido a personas mayores de 18 años. No tratamos conscientemente datos de menores. Si crees que un menor nos ha facilitado datos sin la autorización adecuada, escríbenos y los eliminaremos.

10. Cambios en esta política

Podemos actualizar esta política para reflejar cambios legales o del propio servicio. La fecha de la última actualización aparece arriba. Si los cambios son sustanciales, te avisaremos con antelación razonable por email o desde la propia aplicación.

11. Contacto

Si tienes cualquier duda sobre esta política o sobre cómo tratamos tus datos, escríbenos a soporte@elevem.io.