Ir al contenido

Información legal

Política de Privacidad

Última actualización: 5 de mayo de 2026

Última actualización:  ·  Lectura de 4 minutos

01.

Resumen

FreeBillGen es un servicio gratuito de facturación en línea disponible en freebillgen.com. Esta política explica qué datos personales recopilamos, con qué finalidad, quién más tiene acceso a ellos, durante cuánto tiempo los conservamos y los derechos que le asisten en virtud del Derecho de la UE.

Ha sido redactada para dar cumplimiento a los artículos 13 y 14 del Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679, «RGPD») y a la Ley de la República de Lituania sobre protección jurídica de los datos personales. La sección siguiente identifica al responsable del tratamiento; el resto de la página aborda cada cuestión por separado.

02.

Quién es el responsable del tratamiento

El servicio es operado por MB Libranet, una pequeña sociedad con domicilio en Vilnius, Lithuania, que actúa como único responsable del tratamiento en virtud del artículo 4, apartado 7, del RGPD. Para consultas sobre privacidad, escriba a [email protected]. Los datos completos de la entidad jurídica, incluidos los códigos de registro y de IVA, figuran en la página de información sobre la empresa.

No hemos designado un Delegado de Protección de Datos porque nuestro tratamiento no alcanza los umbrales del artículo 37. La persona responsable de la protección de datos puede ser contactada en la dirección de correo electrónico indicada anteriormente.

03.

Qué datos tratamos

Tratamos las siguientes categorías limitadas de datos personales, con las bases jurídicas que se indican:

  • Datos de la cuenta. Su nombre, dirección de correo electrónico y una contraseña con hash bcrypt (o clave pública de passkey). Base jurídica: Ejecución de un contrato - Art. 6(1)(b) RGPD.
  • Datos de facturas y clientes que usted introduce. Únicamente los datos que usted decida introducir: nombres de clientes, direcciones, números de IVA, líneas de detalle, importes totales y estado del pago. Base jurídica: Ejecución de un contrato - Art. 6(1)(b) RGPD.
  • Cookies de sesión y seguridad. Una cookie de sesión firmada y una cookie de token CSRF utilizadas para mantener la sesión iniciada y bloquear solicitudes falsificadas. Base jurídica: Estrictamente necesarias - Art. 6(1)(f), interés legítimo.
  • Registros del servidor. Dirección IP, agente de usuario y metadatos de solicitud, conservados brevemente para la prevención de abusos y la resolución de incidencias. Base jurídica: Interés legítimo - Art. 6(1)(f) RGPD.
  • Registro de auditoría VIES. Cuando se valida un número de IVA de un comprador de la UE, almacenamos el identificador de la solicitud, el país y número consultados y la respuesta obtenida, como prueba documental en virtud del artículo 31 del Reglamento (UE) 904/2010 del Consejo. Base jurídica: Obligación jurídica - Art. 6(1)(c) RGPD.

Parte de estos datos no le pertenecen a usted, sino a los clientes a quienes emite facturas (art. 14 RGPD). La fuente es usted mismo: los recibimos únicamente porque los introduce en sus facturas. Los tratamos en virtud de la relación contractual que nos une y del interés legítimo que usted, como operador económico, tiene en mantener un registro de facturas conforme a la normativa fiscal.

Nunca vendemos sus datos. No los compartimos con anunciantes, intermediarios ni redes de análisis estadístico, ni realizamos ningún tipo de seguimiento, elaboración de perfiles ni segmentación comportamental.

04.

Encargados del tratamiento

Recurrimos a un conjunto deliberadamente reducido de encargados del tratamiento. Ninguno de ellos es una red publicitaria ni de análisis estadístico. Cada uno está vinculado por un Addendum de Tratamiento de Datos y trata únicamente los datos mínimos necesarios para su función.

SMTP2GO (correo electrónico transaccional)

Cuando envía una factura por correo electrónico o recibe una notificación del sistema, el mensaje se envía a través de SMTP2GO mediante su región europea (mail-eu.smtp2go.com). Datos compartidos: remitente, dirección del destinatario, asunto, cuerpo del mensaje y cualquier PDF adjunto. SMTP2GO Inc. está establecida en Nueva Zelanda con infraestructura en la UE; las transferencias están amparadas por Cláusulas Contractuales Tipo.

Cloudflare Turnstile (protección contra bots)

Los formularios de /login y /register muestran un desafío Cloudflare Turnstile para bloquear el abuso automatizado. El widget se carga desde challenges.cloudflare.com e intercambia un token de corta duración con el endpoint siteverify de Cloudflare. Datos compartidos: su dirección IP, agente de usuario y un token de desafío de un solo uso. Turnstile no establece cookies de seguimiento y no se utiliza con fines publicitarios. Cloudflare, Inc. tiene sede en EE. UU.; las transferencias están cubiertas por el Marco de Privacidad de Datos UE-EE. UU. y las Cláusulas Contractuales Tipo.

bunny.net (CDN de fuentes tipográficas)

El sitio carga dos fuentes web desde fonts.bunny.net, una CDN de fuentes respetuosa con la privacidad operada por BunnyWay d.o.o. (Eslovenia, UE). Datos compartidos: su dirección IP y agente de usuario durante la solicitud de las fuentes. Consulte su declaración de privacidad.

VIES de la Comisión Europea (validación de IVA)

Cuando valida un número de IVA de un comprador, el código de país y el número de IVA introducidos se envían al Sistema de Intercambio de Información sobre el IVA (VIES) de la Comisión Europea en ec.europa.eu. El destinatario es una institución de la UE; el tratamiento se rige por el Reglamento (UE) 2018/1725.

Alojamiento y generación de PDF (propio)

La aplicación se ejecuta en infraestructura dedicada dentro de la Unión Europea. Las facturas en PDF se generan internamente mediante mPDF en nuestros propios servidores. No interviene ningún servicio externo de PDF como servicio ni ningún revendedor de alojamiento.

Sin servicios de Google. Sin píxeles de Meta o Facebook. Sin SDK de análisis estadístico. Sin servicios externos de notificación de errores.

05.

Cookies

Solo utilizamos cookies estrictamente necesarias. Con arreglo al artículo 5, apartado 3, de la Directiva sobre privacidad electrónica (2002/58/CE), las cookies estrictamente necesarias no requieren consentimiento, por lo que no verá ningún banner de cookies.

Cookie de sesión

Mantiene la sesión iniciada y recuerda el idioma de interfaz seleccionado durante la sesión. Expira al cerrar sesión o al alcanzarse el tiempo de vida de la sesión.

HTTP-only · Secure · SameSite=Lax
Cookie de token CSRF (XSRF-TOKEN)

Contiene un token antifalsificación por sesión que verifica que las solicitudes de cambio de estado proceden de este sitio. Requerida por el framework para cualquier acción en sesión iniciada.

Secure · SameSite=Lax

Sin cookies analíticas. Sin cookies publicitarias. No establecemos cookies de terceros. El desafío Cloudflare Turnstile descrito en la sección 04 puede establecer su propia cookie de corta duración con ámbito limitado a challenges.cloudflare.com; dicha cookie es estrictamente necesaria para el desafío de protección contra bots y no se utiliza con fines de seguimiento.

06.

Plazos de conservación

Los datos de la cuenta y de las facturas se conservan mientras la cuenta esté activa. Tras la eliminación de la cuenta, todos los datos personales estándar se suprimen en un plazo de 30 días, salvo que la legislación contable lituana (que establece un período de conservación de 10 años para los registros de facturas) nos obligue a conservar documentos específicos durante un período mayor; en tal caso, dichos registros se trasladan a un archivo de acceso restringido y se conservan únicamente durante el tiempo legalmente exigido.

Los registros del servidor se conservan hasta 30 días, salvo que sean necesarios durante más tiempo para una investigación de seguridad activa. Las filas del registro de auditoría VIES se conservan durante al menos 10 años para satisfacer los requisitos probatorios del Reglamento (UE) 904/2010 del Consejo.

07.

Tus derechos según el RGPD

En virtud del RGPD, usted tiene derecho de acceso (art. 15), rectificación (art. 16), supresión (art. 17), limitación del tratamiento (art. 18), portabilidad de los datos (art. 20) y oposición (art. 21). Cuando el tratamiento se base en el consentimiento, podrá retirarlo en cualquier momento (art. 7, apartado 3).

Asimismo, tiene derecho, en virtud del artículo 77 del RGPD, a presentar una reclamación ante una autoridad de control, normalmente la del Estado miembro de la UE/EEE en el que resida, trabaje o en el que se haya producido la presunta infracción. Dado que el operador tiene su domicilio en Lituania, la autoridad principal es la Inspección Estatal de Protección de Datos (State Data Protection Inspectorate of Lithuania, VDAI).

Para una guía paso a paso sobre cómo ejercer cada derecho, incluyendo plazos y el contenido de las solicitudes, consulte la página de derechos RGPD específica.

08.

Decisiones automatizadas

FreeBillGen no utiliza decisiones automatizadas ni elaboración de perfiles en el sentido del artículo 22 del RGPD. Ninguna decisión que produzca efectos jurídicos o igualmente significativos sobre usted se adopta únicamente por medios automatizados. No puntuamos, clasificamos ni elaboramos perfiles de usuarios con fines publicitarios, crediticios, de detección de fraude ni de ningún otro tipo.

09.

Seguridad de los datos

Medidas técnicas y organizativas (art. 32 RGPD):

  • Contraseñas almacenadas como hashes bcrypt; se admiten passkeys (WebAuthn).
  • Doble factor de autenticación (2FA) opcional basado en tiempo mediante cualquier aplicación de autenticación compatible con TOTP.
  • Tokens CSRF en cada solicitud de cambio de estado.
  • Consultas parametrizadas en toda la aplicación; no se utiliza SQL construido por concatenación de cadenas.
  • HTTPS/TLS en tránsito; HTTP Strict Transport Security activado.
  • Política de Seguridad de Contenido (Content Security Policy) y otras cabeceras de refuerzo.
  • Registro de auditoría a nivel de aplicación para las acciones sensibles desde el punto de vista de la seguridad.
  • Copias de seguridad de la base de datos cifradas con acceso restringido.
10.

Transferencias internacionales

Los datos personales se tratan dentro de la Unión Europea de forma predeterminada. Dos de los encargados del tratamiento identificados en la sección 04 pueden implicar una transferencia a un tercer país:

  • Cloudflare Turnstile - transferencias a los Estados Unidos, amparadas por el Marco de Privacidad de Datos UE-EE. UU. y las Cláusulas Contractuales Tipo de la Comisión Europea.
  • SMTP2GO - la sociedad operadora está establecida en Nueva Zelanda (país con decisión de adecuación de la Comisión Europea) y utiliza infraestructura en la región de la UE para el envío. Cuando se producen transferencias, están amparadas por Cláusulas Contractuales Tipo.

No se realizan otras transferencias a terceros países. Si esto cambiase, recurriremos al mecanismo de transferencia apropiado del Capítulo V del RGPD y actualizaremos esta política antes del inicio de la nueva transferencia.

11.

Menores

FreeBillGen es una herramienta empresarial y no está dirigida a menores de 16 años. No recopilamos conscientemente datos personales de menores.

12.

Modificaciones de esta política

Si realizamos cambios sustanciales, publicaremos el texto actualizado en esta página con una nueva fecha de «última actualización» y notificaremos a las cuentas activas por correo electrónico. La versión vigente se identifica por la fecha que figura en la parte superior de la página.

13.

Contacto

Consultas sobre privacidad y solicitudes de ejercicio de derechos: [email protected]. La dirección postal y los datos completos de la entidad jurídica figuran en la página de información sobre la empresa.