Política de privacidad
Última actualización: 2026-04-24 · Versión 2026.04
1. Responsable del tratamiento
Responsable: FamiTax, S.L., con CIF en trámite y domicilio en Calle pendiente, 28000 Madrid, España.
Delegado de Protección de Datos (DPO): dpo@famitax.es. Puedes contactarlo por email o por correo postal a la dirección del responsable, indicando en el sobre "A la atención del DPO".
Contacto general: hola@famitax.es.
2. Datos que tratamos
- Datos de contacto: email y, opcionalmente, teléfono cuando expresas interés en el servicio.
- Datos identificativos: nombre, apellidos, NIF, dirección, al registrarte y durante el onboarding.
- Datos fiscales: declaraciones de IRPF, certificados de retenciones, G306 y cualquier otra documentación fiscal que aportes, con tu consentimiento explícito.
- Datos de navegación: dirección IP, user-agent y datos técnicos mínimos necesarios para la seguridad y el registro de auditoría del servicio.
- Datos de analítica (sólo con consentimiento): métricas agregadas de uso de la web recogidas por Google Analytics 4 si aceptas la categoría "Analítica" en el banner de cookies.
3. Finalidades y bases jurídicas
Cada finalidad se sustenta en una base jurídica distinta (art. 6 RGPD):
| Finalidad | Base jurídica | Categoría de datos |
|---|---|---|
| Atención de tu solicitud de información previa al contrato (lead). | Medidas precontractuales a petición del interesado (art. 6.1.b RGPD). | Contacto. |
| Prestación del servicio de análisis y recuperación de ayudas o devoluciones fiscales. | Ejecución del contrato (art. 6.1.b RGPD). | Identificativos, fiscales, contacto. |
| Comunicaciones sobre el estado de tu expediente. | Ejecución del contrato (art. 6.1.b RGPD). | Contacto, identificativos. |
| Representación ante la AEAT (apoderamiento o colaboración social). | Ejecución del contrato + obligación legal específica. | Identificativos, fiscales. |
| Comunicaciones comerciales sobre novedades del servicio. | Consentimiento (art. 6.1.a RGPD), revocable en cualquier momento. | Contacto. |
| Cumplimiento de obligaciones legales fiscales y contables. | Obligación legal (art. 6.1.c RGPD). | Identificativos, fiscales, económicos. |
| Prevención de fraude y seguridad del sistema. | Interés legítimo (art. 6.1.f RGPD). | Navegación, identificativos. |
| Analítica agregada de uso de la web. | Consentimiento (art. 6.1.a RGPD + art. 22.2 LSSI). | Navegación. |
4. Destinatarios y encargados de tratamiento
No cedemos tus datos a terceros salvo obligación legal o cuando resulte imprescindible para prestarte el servicio (p. ej. AEAT o administraciones autonómicas para la tramitación de tu expediente). Los siguientes encargados acceden a datos estrictamente para las tareas que les corresponden, bajo contrato firmado al amparo del art. 28 RGPD:
| Categoría de encargado | Ubicación del tratamiento | Finalidad |
|---|---|---|
| Proveedor de hosting e infraestructura cloud. | Unión Europea (eu-west-1). | Ejecutar y almacenar la plataforma. |
| Proveedor de correo transaccional. | Unión Europea. | Enviar emails del servicio. |
| Proveedor de gestión de claves (KMS / HSM). | Unión Europea. | Custodiar las claves que cifran tus datos. |
| Proveedor anti-bot (Cloudflare Turnstile) para formularios públicos. | Cloudflare — red global; sin cookies persistentes. | Evitar ataques automatizados en formularios. |
| Proveedor de analítica web (Google Analytics 4, sólo con consentimiento). | Google LLC (EE.UU.) — ver sección 4.1. | Entender el uso agregado de la web. |
| Proveedor cualificado de firma electrónica del contrato (cuando se active). | Unión Europea. | Firma, custodia del PDF firmado y de la cadena de evidencias. |
4.1 Transferencias internacionales
Salvo la excepción de analítica web descrita a continuación, todos los tratamientos se llevan a cabo en el Espacio Económico Europeo.
Si aceptas la categoría Analítica en el banner de cookies, usamos Google Analytics 4 (vía Google Tag Manager), lo que implica una transferencia a Google LLC (Estados Unidos). La transferencia está amparada en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y complementada con las medidas técnicas y organizativas documentadas en nuestro Transfer Impact Assessment interno. Puedes retirar el consentimiento en cualquier momento desde "Preferencias de cookies" en el pie de página, sin que ello afecte a la licitud de los tratamientos realizados hasta ese momento.
5. Plazos de conservación
Aplicamos los siguientes plazos por categoría de datos. Todos los plazos son máximos: si la finalidad desaparece antes, los datos se bloquean o suprimen.
| Categoría | Plazo | Fundamento |
|---|---|---|
| Leads no confirmados. | 30 días desde el envío del formulario. | Minimización. |
| Cuenta activa del Cliente. | Mientras exista la relación contractual. | Ejecución del contrato. |
| Datos fiscales y contables del expediente. | 4 años desde el fin de la relación (hasta 6 si aplica el Código de Comercio). | Art. 66 LGT; art. 30 Código de Comercio. |
| Documentación de representación ante AEAT (modelo G306 de autorización/apoderamiento, tras su revocación o el cierre del expediente). | 4 años desde la revocación o cierre del expediente. | Art. 66 LGT; obligación de conservar los documentos que acrediten la representación durante el plazo de prescripción tributaria. |
| Contratos firmados y cadena de evidencias de firma. | 6 años desde el fin de la relación. | Prescripción civil / obligaciones mercantiles. |
| Logs de auditoría de acceso y acciones. | 2 años. | Interés legítimo / seguridad. |
| Datos de analítica web (agregados). | Máximo el plazo de las cookies (2 años) o hasta la retirada del consentimiento. | Consentimiento. |
6. Co-titular del expediente
Cuando el expediente se presenta conjuntamente con un co-titular (cónyuge/pareja), el titular principal nos facilita el nombre, NIF y email de éste para poder enviarle una invitación. Ese tratamiento inicial del nombre y email del co-titular, antes de su propio consentimiento, se ampara en el interés legítimo del responsable para formalizar la relación contractual conjunta (art. 6.1.f RGPD). El test de ponderación queda documentado en nuestro registro interno de actividades de tratamiento.
Derecho de información del co-titular. En el momento en que el co-titular recibe el enlace de invitación se le proporciona, de forma concisa y comprensible, la información prevista en el art. 14 RGPD: identidad del responsable, finalidades del tratamiento, base jurídica, destinatarios, plazos de conservación y derechos ejercitables. Esta información figura en la pantalla de aceptación del enlace antes de cualquier tratamiento adicional de sus datos.
A partir del momento en que el co-titular acepta el contrato y la política de privacidad mediante el enlace firmado que recibe, sus datos identificativos y fiscales se tratan con base en el consentimiento explícito (art. 6.1.a RGPD) y en la ejecución del contrato. El co-titular puede retirar el consentimiento y solicitar la supresión de sus datos en cualquier momento escribiendo a dpo@famitax.es. Si lo hace, el titular principal deberá decidir si continúa la tramitación en solitario (cuando normativamente sea posible) o retira el expediente.
7. Representación ante la AEAT
Dependiendo del flujo técnico y del perfil del proceso, FamiTax actúa ante la AEAT bajo una de las dos figuras reconocidas por la normativa tributaria:
- Apoderado (art. 46 LGT): cuando el Cliente otorga un poder específico mediante los canales electrónicos habilitados por la AEAT, FamiTax queda autorizada a actuar en nombre del Cliente ante esa administración para los actos expresamente delimitados en el poder.
- Colaborador Social (art. 92 LGT): cuando el expediente se tramita bajo el régimen de colaboración social, FamiTax actúa como entidad colaboradora autorizada por la AEAT, con los mismos efectos de representación pero bajo el régimen específico aplicable a este colectivo.
La figura concreta utilizada en cada expediente se indica en el contrato específico firmado con el Cliente antes de iniciar la tramitación. En cualquier caso, el apoderamiento o adhesión al régimen de colaboración es revocable en cualquier momento por el Cliente a través de los canales oficiales de la AEAT.
Cuando el expediente se presenta conjuntamente, cada titular necesita su propio apoderamiento ante la AEAT (la AEAT identifica por NIF). Ambos se registran en nuestro sistema vinculados al mismo expediente; cada titular conserva de forma independiente los derechos de consulta y revocación.
Este tratamiento se considera de especial sensibilidad y cuenta con medidas reforzadas: claves custodiadas en HSM, registros inmutables de cada invocación a servicios AEAT, revocación inmediata del apoderamiento con corte automático de tokens internos y ceremonias documentadas para la rotación de certificados. La documentación asociada al apoderamiento o colaboración social se conserva durante el plazo legalmente exigible (4 años desde la revocación o cierre del expediente, art. 66 LGT) y se suprime o bloquea tras él.
8. Seguridad
Aplicamos medidas técnicas y organizativas avanzadas: cifrado en tránsito (TLS 1.3) y en reposo, control de acceso basado en roles, autenticación multifactor para empleados, registro de auditoría inmutable y revisiones de seguridad periódicas. El detalle público de nuestra arquitectura de seguridad evoluciona; el registro interno de actividades de tratamiento (RAT) mantiene la trazabilidad completa.
9. Tus derechos
- Acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad.
- Retirada del consentimiento en cualquier momento (sin efectos retroactivos y sin coste), usando el mismo canal por el que se prestó o escribiendo a dpo@famitax.es.
- No ser objeto de decisiones basadas únicamente en tratamiento automatizado (ver sección 9).
- Presentar reclamación ante la Agencia Española de Protección de Datos (aepd.es).
Para ejercitar cualquiera de estos derechos escríbenos a dpo@famitax.es indicando el derecho que deseas ejercer y adjuntando, si procede, prueba de tu identidad. Te responderemos en el plazo máximo de un mes.
10. Decisiones automatizadas
El análisis inicial de ayudas recuperables se realiza mediante reglas fiscales automatizadas. La revisión y tramitación final siempre cuenta con intervención humana cualificada antes de cualquier actuación ante la AEAT, por lo que no se adoptan decisiones con efectos jurídicos ni similares significativos basadas únicamente en tratamiento automatizado.
11. Versiones y actualizaciones
Versión vigente: 2026.04. Si modificamos esta política de forma material, lo comunicaremos por email con preaviso razonable y, cuando la normativa lo exija, solicitaremos nuevo consentimiento.