Política de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales tratados en el contexto del servicio TaxPortugal es Robertino Martinez, con domicilio social en Oasis Mar, Lote 2, Portimao, Portugal, número de identificación fiscal 314033521. Puede contactar con nosotros en contact@taxportugal.com.

No se ha designado Delegado de Protección de Datos por no concurrir los criterios del artículo 37 del RGPD. Para cualquier cuestión relativa a la protección de datos o ejercicio de derechos, utilice la dirección de correo electrónico anterior.

2. Datos personales tratados

Datos de cuenta: su dirección de correo electrónico, su nombre (si lo proporciona Google al iniciar sesión) y metadatos de autenticación (fecha y hora de inicio de sesión, dirección IP, agente de usuario, emisión y consumo de magic link).

Datos de perfil: un perfil tributario opcional autodeclarado (residencia fiscal, régimen tributario, indicador de dependientes, estatus NHR/IFICI, idioma de trabajo, locale). No recopilamos su Número de Identificación Fiscal (NIF), número de cuenta bancaria (IBAN), importes monetarios ni documentos personales, y el sistema instruye al agente para no escribir tal información en la memoria a largo plazo.

Datos de conversación: las preguntas, mensajes y metadatos que envía al agente, las respuestas del agente y las notas que el agente guarda durante una conversación para mantener contexto dentro de la misma. Las conversaciones se almacenan en texto plano y vinculadas a su cuenta.

Datos de estado de facturación: nivel de suscripción, estado, ciclo de facturación, marca de tiempo del último pago, cuotas del plan y un identificador de cliente Stripe. Los datos completos de tarjeta y los demás datos de pago son tratados exclusivamente por Stripe; el Operador no los recibe ni los almacena.

Datos técnicos: registros estándar del servidor (dirección IP, ruta de la solicitud, código de estado, marca de tiempo) generados por el proveedor de alojamiento, utilizados para seguridad y prevención de abusos.

3. Finalidades y bases jurídicas

Tratamos sus datos personales para: (a) crear y autenticar su cuenta, prestar el Servicio y responder a sus consultas — base jurídica: ejecución de un contrato con usted (artículo 6, apartado 1, letra b), del RGPD); (b) procesar pagos, gestionar suscripciones y atender disputas de facturación — base jurídica: ejecución de un contrato (artículo 6, apartado 1, letra b)) y cumplimiento de nuestras obligaciones legales conforme a la legislación tributaria y mercantil portuguesa (artículo 6, apartado 1, letra c)); (c) mantener la seguridad, prevenir abusos, detectar fraude y hacer cumplir nuestros Términos — base jurídica: nuestro interés legítimo en operar un servicio seguro (artículo 6, apartado 1, letra f)); (d) comunicar información transaccional (enlaces de inicio de sesión, recibos de facturación, avisos de servicio) — base jurídica: ejecución de un contrato; (e) cumplir con obligaciones legales, incluido responder a requerimientos legítimos de las autoridades — base jurídica: cumplimiento de una obligación legal (artículo 6, apartado 1, letra c)).

No utilizamos sus datos para correos de marketing ni publicidad comportamental, y no vendemos sus datos.

4. Destinatarios y encargados del tratamiento

Recurrimos a los siguientes encargados del tratamiento para la operación del Servicio. Cada uno está vinculado por un contrato de encargo del tratamiento y trata sus datos únicamente conforme a las instrucciones documentadas del Operador.

Anthropic, PBC (Estados Unidos) — genera las respuestas de inteligencia artificial; recibe los mensajes de la conversación enviados al agente y el contexto de prompt necesario para responderlos.

Cohere, Inc. (Estados Unidos / Canadá) — genera embeddings exclusivamente del corpus legal. Cohere no recibe sus conversaciones ni datos de perfil.

Stripe Payments Europe, Limited (Irlanda) — procesa los pagos de la suscripción; recibe los datos de pago que proporciona en el checkout y su dirección de correo electrónico. El Operador no recibe los datos de su tarjeta.

Resend, Inc. (Estados Unidos) — entrega el magic link y los correos transaccionales; recibe su dirección de correo electrónico y el cuerpo del mensaje.

Railway Corp. (Estados Unidos, región UE/Frankfurt) — proporciona alojamiento de la aplicación y Postgres gestionado en la Unión Europea; trata todos los datos en reposo almacenados por el Servicio.

Google Ireland Limited (Irlanda) — proporciona el inicio de sesión con Google (OAuth); recibe una solicitud iniciada por el usuario y devuelve su perfil básico (correo electrónico, nombre, URL de imagen de perfil).

Google Ireland Limited / Google LLC — opera la medición de conversiones de Google Ads. Cuando llegas al Servicio desde una campaña de Google Ads y aceptas las cookies publicitarias mediante el banner, Google recibe un evento de conversión que incluye el importe y la moneda de la compra, el identificador de la Stripe Checkout Session y un hash SHA-256 de tu dirección de correo electrónico ("Enhanced Conversions"). Si rechazas, no se envía ningún dato de conversión a Google.

Google Ireland Limited / Google LLC — opera Google Analytics 4 para el análisis de la audiencia del sitio. Cuando aceptas las cookies de análisis mediante el banner, Google recibe señales estándar de páginas vistas, dispositivo y fuente de tráfico; no se transmiten correo electrónico, nombre ni identificador de Stripe. Google Ireland Limited es el responsable de tratamiento en la UE; algunos datos pueden ser transferidos a Google LLC (Estados Unidos) en virtud de las Cláusulas Contractuales Tipo y, cuando proceda, del Marco de Privacidad de Datos UE–EE. UU.

Meta Platforms Ireland Limited (Irlanda) — opera el Meta Pixel y la Meta Conversions API para la atribución y optimización de campañas publicitarias en Facebook e Instagram. Cuando aceptas las cookies publicitarias a través del banner, tu navegador instala las cookies de origen de Meta `_fbp` y (tras un clic en un anuncio) `_fbc`, y en una compra finalizada nuestro servidor transmite un evento "Purchase" que incluye el importe y la moneda de la compra, el identificador de la Stripe Checkout Session, tu dirección IP, tu user-agent, los valores `_fbp` y `_fbc`, un hash SHA-256 de tu dirección de correo electrónico y un hash SHA-256 de tu identificador interno de usuario. Si rechazas, no se instalan cookies del Pixel y no se transmite ningún evento desde el servidor. Meta Platforms Ireland es el responsable del tratamiento en la UE; algunos datos pueden transferirse a Meta Platforms, Inc. (Estados Unidos) en virtud de las Cláusulas Contractuales Tipo y, cuando proceda, del Marco de Privacidad de Datos UE–EE. UU.

Puede solicitarse una lista actualizada de encargados del tratamiento a contact@taxportugal.com.

5. Transferencias internacionales de datos

Algunos encargados del tratamiento están establecidos fuera del Espacio Económico Europeo, en particular en Estados Unidos. Cuando se transfieren datos personales fuera del EEE, recurrimos a las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914) y, cuando sea aplicable, a la decisión de adecuación del Marco de Privacidad de Datos UE-EE. UU., junto con medidas técnicas y organizativas suplementarias.

Los datos de la aplicación en reposo se alojan en la Unión Europea (Railway, región de Frankfurt). El contenido de las conversaciones enviado a Anthropic y el contenido de correo electrónico enviado a Resend pueden tratarse en infraestructura ubicada en Estados Unidos. Puede solicitar una copia del mecanismo de transferencia aplicable escribiendo a contact@taxportugal.com.

6. Tratamiento por inteligencia artificial y entrenamiento de modelos

El Servicio utiliza modelos de inteligencia artificial de terceros (actualmente la familia Claude de Anthropic) para generar respuestas. No autorizamos el uso de sus conversaciones u otros datos personales para entrenar, ajustar o mejorar ningún modelo de inteligencia artificial, y operamos bajo las condiciones comerciales de API de dichos proveedores.

Los encargados del tratamiento mantienen sus propias políticas publicadas que regulan cómo tratan los datos enviados a través de sus APIs. Le recomendamos consultar las políticas de Anthropic, Cohere, Stripe, Resend, Railway y Google para obtener información actualizada sobre el tratamiento y la conservación de los datos que les enviamos.

7. Conservación

Los datos de cuenta, perfil y conversación se conservan mientras exista su cuenta. Cuando elimina su cuenta, esos registros se eliminan en cascada (cuenta, sesiones, perfil, conversaciones, notas); las copias residuales en copias de seguridad operativas se sobrescriben conforme al calendario rotativo de copia de seguridad del proveedor de alojamiento.

Los registros de facturación (facturas, historial de suscripciones, registros de transacciones con relevancia tributaria) se conservan durante diez (10) años a contar desde el ejercicio fiscal correspondiente, conforme a la legislación tributaria y mercantil portuguesa (Código Comercial y Código do IRC).

Los registros de autenticación y demás registros técnicos relevantes para la seguridad se conservan durante un máximo de doce (12) meses con fines de prevención de fraude y respuesta a incidentes.

8. Sus derechos

Sujeto a las condiciones del RGPD, el interesado tiene derecho a: (a) acceder a sus datos personales y obtener una copia (artículo 15); (b) solicitar la rectificación de datos inexactos (artículo 16); (c) solicitar la supresión de sus datos (artículo 17), que puede ejercer inmediatamente eliminando su cuenta; (d) solicitar la limitación del tratamiento (artículo 18); (e) oponerse al tratamiento basado en interés legítimo (artículo 21); (f) solicitar la portabilidad de los datos que ha facilitado y que tratamos por medios automatizados sobre la base de contrato o consentimiento (artículo 20); (g) cuando el tratamiento se base en el consentimiento, retirarlo en cualquier momento sin afectar a la licitud del tratamiento previo a la retirada.

Para ejercer cualquiera de estos derechos, escriba a contact@taxportugal.com. Podremos solicitar la verificación de su identidad. Responderemos en el plazo de un mes, prorrogable por otros dos meses en caso de solicitudes complejas o numerosas, previa notificación.

9. Derecho a presentar una reclamación

Tiene derecho a presentar una reclamación ante una autoridad de control en materia de protección de datos. La autoridad competente en Portugal es la Comissão Nacional de Proteção de Dados (CNPD): https://www.cnpd.pt. También puede presentar una reclamación ante la autoridad de control de su residencia habitual o lugar de trabajo.

10. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas a los riesgos del tratamiento, incluidas el cifrado TLS en tránsito, el cifrado de credenciales en reposo, el control de acceso basado en roles, el alojamiento en la Unión Europea, las copias de seguridad automáticas del proveedor de alojamiento y el registro de acciones administrativas. Ningún sistema es totalmente seguro y no podemos garantizar la seguridad absoluta.

11. Cookies y tecnologías similares

Utilizamos cookies estrictamente necesarias para la autenticación, la gestión de sesión y la protección frente a CSRF. Estas cookies no requieren consentimiento conforme al régimen ePrivacy transpuesto en Portugal por ser esenciales para prestar el servicio solicitado.

Utilizamos también la medición de conversiones de Google Ads, que instala cookies publicitarias (la biblioteca gtag.js y cookies `_gcl_*`) en las páginas visitadas tras tu llegada desde un enlace de Google Ads, para medir las campañas de adquisición de pago y optimizar nuestras pujas. Funciona bajo tu consentimiento, otorgado a través del banner mostrado en la primera visita; puedes rechazarlo, en cuyo caso no se instalan cookies publicitarias en tu navegador y no se envía ninguna señal identificativa a Google.

Para la medición de conversiones de Google Ads podemos transmitir a Google un hash SHA-256 de tu dirección de correo electrónico ("Enhanced Conversions") para que Google pueda asociar tu compra al clic publicitario original incluso cuando las cookies de terceros están bloqueadas. El hash se calcula en tu navegador; el correo electrónico en claro no se transmite nunca y el hash no es almacenado por nosotros.

Utilizamos también Google Analytics 4 para el análisis de la audiencia del sitio. Bajo tu consentimiento, registra en tu navegador las cookies de origen `_ga` y `_ga_<contenedor>` para medir páginas vistas, sesiones, dispositivos y fuentes de tráfico. No tenemos activadas Google Signals, las integraciones de funciones publicitarias ni el seguimiento por User-ID; no transmitimos a Google Analytics ningún identificador personal (sin correo electrónico, sin nombre, sin identificador de Stripe). Si rechazas, no se instala ninguna cookie en tu navegador; en ese caso Google sólo recibe un ping modelado sin cookies, para estimación agregada del tráfico.

Utilizamos además el Meta Pixel y la Meta Conversions API para la atribución de campañas publicitarias en Facebook e Instagram. El Pixel instala la cookie de origen `_fbp` en tu navegador; tras un clic en un anuncio de Meta también instala `_fbc`. En una compra finalizada, además del evento en el navegador, nuestro servidor transmite un evento "Purchase" duplicado a la Meta Conversions API que incluye el importe y la moneda de la compra, el identificador de la Stripe Checkout Session, tu dirección IP, tu user-agent, los valores de las cookies `_fbp` y `_fbc`, un hash SHA-256 de tu dirección de correo electrónico y un hash SHA-256 de tu identificador interno de usuario. Los hashes se calculan en nuestro servidor antes de la transmisión; el correo electrónico en claro no se envía a Meta y los hashes no son almacenados por nosotros. Tanto el Pixel del navegador como el envío desde el servidor funcionan bajo tu consentimiento — si rechazas, no se instalan cookies del Pixel y no se transmite ningún evento. No utilizamos ninguna herramienta de grabación de sesión de terceros.

12. Menores

El Servicio no se dirige a menores de dieciocho (18) años. No recopilamos conscientemente datos personales de menores. Si tiene conocimiento de que un menor nos ha proporcionado datos personales, contacte con contact@taxportugal.com para que podamos eliminarlos.

13. Categorías especiales de datos y decisiones automatizadas

No debe enviar al Servicio categorías especiales de datos (artículo 9 del RGPD — salud, origen racial o étnico, opiniones políticas, convicciones religiosas, datos biométricos, vida u orientación sexual) ni datos relativos a condenas penales. El Servicio no está diseñado para tratar tales datos y carecemos de base jurídica para ello.

El Servicio no produce decisiones que produzcan efectos jurídicos en el usuario o le afecten significativamente de modo similar en el sentido del artículo 22 del RGPD. Los Resultados del Servicio tienen carácter informativo y no constituyen una determinación de la situación tributaria del usuario.

14. Notificación de violaciones de datos

En caso de violación de datos personales que pueda suponer un riesgo para los derechos y libertades de los interesados, notificaremos a la CNPD en un plazo de 72 horas desde que tengamos conocimiento, conforme al artículo 33 del RGPD. Cuando la violación pueda suponer un riesgo elevado para el interesado, también se la comunicaremos sin demora indebida conforme al artículo 34.

15. Eliminación de cuenta

Puede eliminar su cuenta en cualquier momento desde la página de perfil dentro del Servicio. La eliminación revoca inmediatamente todas las sesiones, elimina el registro de cuenta, su perfil, sus conversaciones y las notas guardadas durante sus conversaciones, y cancela cualquier suscripción activa. Las copias de seguridad que contengan datos residuales se rotan conforme a la política del proveedor de alojamiento y se sobrescriben con el tiempo. Los registros de facturación sujetos a obligaciones legales de conservación se mantienen durante los plazos descritos en el apartado 7.

16. Cambios en esta Política

Podemos actualizar esta Política de Privacidad para reflejar cambios en el Servicio, en nuestros encargados del tratamiento o en la legislación aplicable. Notificaremos las modificaciones materiales por correo electrónico o mediante aviso destacado en el Servicio antes de su entrada en vigor. La fecha de "Última actualización" en la parte superior de esta página indica la versión vigente.

17. Contacto

Para cualquier consulta o ejercicio de derechos, contacte con contact@taxportugal.com.