Saltar al contenido

Legal

Política de Privacidad

Última actualización: 5 de mayo de 2026

Última actualización:  ·  Lectura de 4 minuto(s)

01.

Resumen

FreeBillGen es un servicio de facturación gratuito alojado en freebillgen.com. Esta política explica qué datos personales recopilamos, con qué finalidad, quién más tiene acceso a ellos, durante cuánto tiempo los conservamos y qué derechos te asisten conforme al derecho de la UE.

Ha sido redactada para cumplir con los artículos 13 y 14 del Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679, «RGPD») y con la Ley de la República de Lituania sobre Protección Jurídica de Datos Personales. El apartado siguiente identifica al responsable del tratamiento; el resto de la página desarrolla cada tema por separado.

02.

Quién es el responsable del tratamiento

El servicio es operado por MB Libranet, una pequeña sociedad de personas con sede en Vilnius, Lithuania, que actúa como único responsable del tratamiento en virtud del artículo 4(7) del RGPD. Para consultas sobre privacidad, escribí a [email protected]. Los datos completos de la entidad legal, incluidos los códigos de registro y de IVA, figuran en la página de información de la empresa.

No hemos designado un Delegado de Protección de Datos porque nuestro tratamiento no alcanza los umbrales del artículo 37. La persona responsable de protección de datos puede ser contactada en la dirección de correo electrónico indicada más arriba.

03.

Qué datos tratamos

Tratamos las siguientes categorías limitadas de datos personales, sobre las bases jurídicas que se indican:

  • Datos de la cuenta. Tu nombre, dirección de correo electrónico y una contraseña cifrada con bcrypt (o clave pública de passkey). Base jurídica: Ejecución de un contrato — art. 6(1)(b) RGPD.
  • Datos de facturas y clientes que vos creás. Únicamente los datos que decidís introducir: nombres de clientes, domicilios, números de IVA, líneas de concepto, totales y estado del pago. Base jurídica: Ejecución de un contrato — art. 6(1)(b) RGPD.
  • Cookies de sesión y seguridad. Una cookie de sesión firmada y una cookie de token CSRF utilizadas para mantener la sesión iniciada y bloquear solicitudes falsificadas. Base jurídica: Estrictamente necesarias — art. 6(1)(f), intereses legítimos.
  • Registros del servidor. Dirección IP, agente de usuario y metadatos de solicitudes, conservados brevemente para la prevención de abusos y la depuración de errores. Base jurídica: Intereses legítimos — art. 6(1)(f) RGPD.
  • Registro de auditoría VIES. Cuando validás un NIF-IVA de un comprador de la UE, almacenamos el identificador de la solicitud, el país y número consultados, y la respuesta obtenida, como evidencia en virtud del artículo 31 del Reglamento (UE) 904/2010 del Consejo. Base jurídica: Obligación legal — art. 6(1)(c) RGPD.

Parte de estos datos no te pertenecen a vos, sino a tus clientes de facturación (art. 14 RGPD). La fuente sos vos: los recibimos únicamente porque los introducís en tus facturas. Los tratamos sobre la base jurídica de nuestro contrato con vos y de tu interés legítimo como operador de un negocio en mantener un registro de facturas conforme a la normativa fiscal.

Nunca vendemos tus datos. No los compartimos con anunciantes, intermediarios ni redes de análisis, y no realizamos ningún seguimiento, elaboración de perfiles ni publicidad conductual.

04.

Encargados del tratamiento

Recurrimos a un conjunto deliberadamente reducido de encargados del tratamiento. Ninguno de ellos es una red publicitaria o de análisis. Cada uno está vinculado por un Acuerdo de Encargado del Tratamiento y solo procesa los datos mínimos necesarios para su función.

SMTP2GO (correo electrónico transaccional)

Cuando enviás una factura por correo electrónico o recibís una notificación del sistema, el mensaje se envía a través de SMTP2GO mediante su región de la UE (mail-eu.smtp2go.com). Datos compartidos: remitente, dirección del destinatario, asunto, cuerpo y cualquier PDF adjunto. SMTP2GO Inc. está establecida en Nueva Zelanda con infraestructura en la UE; las transferencias están amparadas por Cláusulas Contractuales Tipo.

Cloudflare Turnstile (protección contra bots)

Los formularios de /login y /register muestran un desafío de Cloudflare Turnstile para bloquear el uso automatizado abusivo. El widget se carga desde challenges.cloudflare.com e intercambia un token de corta duración con el endpoint de verificación de Cloudflare. Datos compartidos: tu dirección IP, agente de usuario y un token de desafío de un solo uso. Turnstile no establece cookies de rastreo y no se utiliza con fines publicitarios. Cloudflare, Inc. tiene su sede en EE. UU.; las transferencias están amparadas por el Marco de Privacidad de Datos UE-EE. UU. y las Cláusulas Contractuales Tipo.

bunny.net (CDN de fuentes tipográficas)

El sitio carga dos fuentes web desde fonts.bunny.net, una CDN de fuentes respetuosa con la privacidad operada por BunnyWay d.o.o. (Eslovenia, UE). Datos compartidos: tu dirección IP y agente de usuario durante la solicitud de la fuente. Consultá su declaración de privacidad.

VIES de la Comisión Europea (validación de IVA)

Cuando validás un NIF-IVA de un comprador, el código de país y el número de IVA que ingresaste se envían al Sistema de Intercambio de Información sobre el IVA (VIES) de la Comisión Europea en ec.europa.eu. El destinatario es una institución de la UE; el tratamiento se rige por el Reglamento (UE) 2018/1725.

Alojamiento y generación de PDF (propio)

La aplicación se ejecuta en infraestructura dedicada dentro de la Unión Europea. Los PDF de facturas se generan internamente con mPDF en nuestros propios servidores. No interviene ningún servicio externo de generación de PDF ni proveedor de alojamiento de reventa.

Sin servicios de Google. Sin píxeles de Meta o Facebook. Sin SDK de análisis. Sin servicios de informes de errores de terceros.

05.

Cookies

Solo establecemos cookies estrictamente necesarias. En virtud del artículo 5(3) de la Directiva sobre privacidad electrónica (2002/58/CE), las cookies estrictamente necesarias no requieren consentimiento, por eso no verás un banner de cookies.

Cookie de sesión

Mantiene la sesión iniciada y recuerda el idioma de interfaz elegido durante la sesión. Expira al cerrar sesión o al alcanzarse el tiempo de vida de la sesión.

HTTP-only · Secure · SameSite=Lax
Cookie de token CSRF (XSRF-TOKEN)

Contiene un token antifalsificación por sesión utilizado para verificar que las solicitudes que modifican el estado provienen de este sitio. Requerida por el framework para cualquier acción con sesión iniciada.

Secure · SameSite=Lax

Sin cookies de análisis. Sin cookies publicitarias. No establecemos cookies de terceros. El desafío de Cloudflare Turnstile descrito en la Sección 04 puede establecer su propia cookie de corta duración limitada a challenges.cloudflare.com; dicha cookie es estrictamente necesaria para el desafío de protección contra bots y no se utiliza para rastreo.

06.

Plazos de conservación

Los datos de cuenta y de facturas se conservan mientras la cuenta esté activa. Al eliminar la cuenta, todos los datos personales estándar se suprimen en un plazo de 30 días, salvo que la legislación contable lituana (que establece un período de conservación de 10 años para los registros de facturas) nos exija conservar documentos específicos por más tiempo, en cuyo caso dichos registros se trasladan a un archivo con acceso restringido y se conservan únicamente durante el tiempo que la ley exija.

Los registros del servidor se conservan hasta 30 días, salvo que sean necesarios durante más tiempo para una investigación de seguridad activa. Las filas del registro de auditoría VIES se conservan durante al menos 10 años para satisfacer los requisitos probatorios del Reglamento (UE) 904/2010 del Consejo.

07.

Tus derechos según el RGPD

En virtud del RGPD, gozás de los derechos de acceso (art. 15), rectificación (art. 16), supresión (art. 17), limitación del tratamiento (art. 18), portabilidad de datos (art. 20) y oposición (art. 21). Cuando el tratamiento se base en el consentimiento, podés retirarlo en cualquier momento (art. 7(3)).

También tenés derecho, en virtud del artículo 77 del RGPD, a presentar una reclamación ante una autoridad de control, normalmente la del país de la UE/EEE en el que residás, trabajés o donde se haya producido la supuesta infracción. Dado que el operador está establecido en Lituania, la autoridad de control principal es la Inspección Estatal de Protección de Datos (State Data Protection Inspectorate of Lithuania, VDAI).

Para una guía paso a paso sobre cómo ejercer cada derecho, incluidos los plazos y el contenido de una solicitud, consultá la página de derechos RGPD dedicada.

08.

Decisiones automatizadas

FreeBillGen no utiliza decisiones automatizadas ni elaboración de perfiles en el sentido del artículo 22 del RGPD. Ninguna decisión que produzca efectos jurídicos o igualmente significativos sobre vos se adopta exclusivamente por medios automatizados. No puntuamos, clasificamos ni elaboramos perfiles de usuarios con fines publicitarios, crediticios, de detección de fraudes ni para ningún otro propósito.

09.

Seguridad de los datos

Medidas técnicas y organizativas (art. 32 RGPD):

  • Contraseñas almacenadas como hashes bcrypt; passkeys (WebAuthn) admitidas.
  • 2FA opcional basado en el tiempo mediante cualquier aplicación autenticadora compatible con TOTP.
  • Tokens CSRF en cada solicitud que modifique el estado.
  • Consultas parametrizadas en todo el código: sin concatenación de cadenas SQL.
  • HTTPS/TLS en tránsito; HTTP Strict Transport Security habilitado.
  • Content Security Policy y otras cabeceras de refuerzo de seguridad.
  • Registro de auditoría en capa de aplicación para acciones sensibles en materia de seguridad.
  • Copias de seguridad de la base de datos cifradas con acceso restringido.
10.

Transferencias internacionales

Los datos personales se tratan de forma predeterminada dentro de la Unión Europea. Dos de los encargados del tratamiento mencionados en la Sección 04 pueden implicar una transferencia a un tercer país:

  • Cloudflare Turnstile — transferencias a los Estados Unidos, amparadas por el Marco de Privacidad de Datos UE-EE. UU. y las Cláusulas Contractuales Tipo de la Comisión Europea.
  • SMTP2GO — la empresa operadora está establecida en Nueva Zelanda (país con decisión de adecuación de la Comisión Europea) y utiliza infraestructura en la región de la UE para la entrega. Cuando se producen transferencias, están amparadas por Cláusulas Contractuales Tipo.

No se realizan otras transferencias a terceros países. Si esto cambia, nos apoyaremos en el mecanismo de transferencia adecuado del Capítulo V del RGPD y actualizaremos esta política antes de que comience la nueva transferencia.

11.

Menores

FreeBillGen es una herramienta empresarial y no está dirigida a menores de 16 años. No recopilamos datos personales de menores de forma deliberada.

12.

Modificaciones de esta política

Si realizamos cambios sustanciales, publicaremos el texto actualizado en esta página con una nueva fecha de «última actualización» y notificaremos a las cuentas activas por correo electrónico. La versión vigente se identifica por la fecha que figura al inicio de la página.

13.

Contacto

Consultas sobre privacidad y solicitudes de derechos: [email protected]. El domicilio postal y los datos completos de la entidad legal figuran en la página de información de la empresa.