Política de privacidad
Última actualización: 2026-05-21 · Versión 2026.05
1. Marco normativo
El tratamiento de los datos personales de los usuarios de FamiTax se rige por:
- El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
- La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- La Ley 58/2003, de 17 de diciembre, General Tributaria (LGT) y su Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria (RD 1065/2007), en particular en lo referente a las obligaciones de representación ante la AEAT (arts. 46 y 92 LGT).
- El Real Decreto 1720/2007 en lo no derogado por el RGPD.
- El Reglamento (UE) 910/2014 (eIDAS) sobre identificación electrónica y servicios de confianza.
- La Ley 7/2007, de 11 de julio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos y su normativa de desarrollo aplicable.
- Las directrices, recomendaciones y guías del Comité Europeo de Protección de Datos (CEPD) y de la Agencia Española de Protección de Datos (AEPD).
2. Responsable del tratamiento e identidad corporativa
Responsable: FamiTax, S.L., con CIF B88780135 y domicilio social en Calle Roma 3, P29, 28670 Villaviciosa de Odón, Madrid, España.
Inscrita en el Registro Mercantil de Madrid, Tomo en trámite, Libro en trámite, Folio en trámite, Hoja en trámite, Sección Sociedades.
Correo de contacto general: hola@famitax.es.
3. Delegado de Protección de Datos (DPO)
FamiTax ha designado un Delegado de Protección de Datos (DPO) conforme al art. 37 RGPD y al art. 34 LOPDGDD, cuya identidad ha sido comunicada a la AEPD en el Registro de Delegados de Protección de Datos.
Puedes contactar al DPO en: dpo@famitax.es, o por correo postal a la dirección del responsable indicando en el sobre «A la atención del Delegado de Protección de Datos». El DPO actúa con independencia funcional y reporta directamente a la dirección de la empresa; ningún empleado puede dar instrucciones al DPO en el ejercicio de sus funciones de supervisión.
4. Datos que tratamos
En función del momento de la relación con FamiTax, tratamos las siguientes categorías de datos:
| Categoría | Datos concretos | Momento de recogida |
|---|---|---|
| Datos de contacto (lead) | Email; teléfono (opcional); respuestas al cuestionario de precualificación (número de hijos a cargo, años de declaración). | Formulario público de contacto o precualificación. |
| Datos identificativos | Nombre, apellidos, NIF/NIE, fecha de nacimiento, dirección postal. | Registro en la plataforma y proceso de onboarding. |
| Datos fiscales | Declaraciones de IRPF (Modelo 100), certificados de retenciones, G306 (apoderamiento AEAT), documentación acreditativa del título de familia numerosa, rentas y deducciones aplicables. | Aportados por el usuario durante el proceso de tramitación. |
| Datos de co-titular | Nombre, NIF y email del cónyuge o co-titular del expediente. | Introducidos por el titular principal; el co-titular recibe información conforme al art. 14 RGPD. |
| Datos de representación | Código y número de poder otorgado en la sede electrónica de la AEAT; certificados de representante; referencias de expediente AEAT. | Generados durante la formalización del apoderamiento o colaboración social. |
| Datos de navegación | Dirección IP (no almacenada completa en GA4), user-agent, páginas visitadas, tiempo de permanencia, fuente de tráfico; logs de autenticación y acceso con timestamp, IP origen y acción. | Automáticamente en cada visita o acceso autenticado. |
| Datos de analítica web (sólo con consentimiento) | Seudónimos de sesión generados por GA4 (_ga, _ga_*); métricas de uso agregado. Sin cruce con datos identificativos. | Si el usuario acepta la categoría «Analítica» en el banner de cookies. |
FamiTax no trata categorías especiales de datos (art. 9 RGPD) salvo que el usuario las aporte voluntariamente en la documentación fiscal y ello sea estrictamente necesario para la tramitación de su expediente, en cuyo caso el tratamiento se ampara en el consentimiento explícito del interesado (art. 9.2.a RGPD) y en el art. 10 LOPDGDD.
5. Finalidades del tratamiento y bases jurídicas
Cada finalidad se sustenta en una base jurídica específica conforme al art. 6 RGPD. FamiTax no lleva a cabo ningún tratamiento sin base jurídica válida y documentada en su Registro de Actividades de Tratamiento (RAT).
| Finalidad | Base jurídica (art. 6 RGPD) | Categorías de datos |
|---|---|---|
| Responder a la solicitud de información previa al contrato (gestión del lead). | Art. 6.1.b — medidas precontractuales a petición del interesado. | Contacto. |
| Prestación del servicio de análisis, preparación y tramitación de ayudas o devoluciones fiscales. | Art. 6.1.b — ejecución del contrato. | Identificativos, fiscales, co-titular, representación. |
| Comunicaciones sobre el estado del expediente. | Art. 6.1.b — ejecución del contrato. | Contacto, identificativos. |
| Representación ante la AEAT mediante apoderamiento (art. 46 LGT) o colaboración social (art. 92 LGT). | Art. 6.1.b — ejecución del contrato; art. 6.1.c — obligación legal de identificación del representante ante la Administración. | Identificativos, fiscales, representación. |
| Firma electrónica del contrato de servicio (Firma Electrónica Avanzada, eIDAS). | Art. 6.1.b — ejecución del contrato. | Identificativos; metadatos de firma (timestamp, IP, huella del documento). |
| Cumplimiento de obligaciones legales fiscales, contables y mercantiles. | Art. 6.1.c — obligación legal (LGT, Código de Comercio, Ley del IVA, LIRPF). | Identificativos, fiscales, económicos, facturación. |
| Envío de comunicaciones comerciales sobre novedades del servicio. | Art. 6.1.a — consentimiento expreso, revocable en cualquier momento sin coste. | Contacto. |
| Prevención de fraude, seguridad del sistema y registro de auditoría. | Art. 6.1.f — interés legítimo (test de ponderación documentado en el RAT). | Navegación, identificativos, logs. |
| Analítica agregada de uso de la landing (GA4 vía GTM). | Art. 6.1.a — consentimiento (+ art. 22.2 LSSI-CE para la cookie). | Navegación (seudónimo). |
FamiTax no utiliza los datos para finalidades distintas de las anteriores sin recabar previamente el consentimiento del interesado o sin que concurra otra base jurídica que lo permita. Cuando la base jurídica sea el consentimiento, su retirada no afecta a la licitud de los tratamientos realizados con anterioridad (art. 7.3 RGPD).
6. Destinatarios y encargados de tratamiento
No cedemos datos personales a terceros salvo obligación legal o cuando sea imprescindible para la prestación del servicio. Todos los encargados de tratamiento están vinculados mediante contrato conforme al art. 28 RGPD, con cláusulas que obligan a aplicar medidas de seguridad equivalentes a las de FamiTax, a tratar los datos sólo por instrucción documentada del responsable y a suprimir o devolver los datos al término del encargo.
| Encargado / Categoría | País de tratamiento | Finalidad del encargo | Garantías de transferencia |
|---|---|---|---|
| Proveedor de infraestructura cloud (hosting, bases de datos, almacenamiento). | Unión Europea (eu-west-1 / Irlanda). | Alojar y ejecutar la plataforma. | Dentro del EEE — no aplica. |
| Proveedor de correo transaccional. | Unión Europea. | Envío de emails del servicio (bienvenida, estado del expediente, facturación). | Dentro del EEE — no aplica. |
| Proveedor de gestión de claves (KMS / HSM). | Unión Europea. | Custodia de claves criptográficas que cifran los datos fiscales y documentos. | Dentro del EEE — no aplica. |
| Proveedor anti-bot (Cloudflare Turnstile). | Servidores Cloudflare (EEE y EE.UU. en red global). | Verificación de que las solicitudes a formularios públicos son de humanos. | CCT (Módulo 2) + medidas complementarias documentadas. |
| Google LLC (GA4 vía GTM) — sólo con consentimiento. | EE.UU. | Analítica de uso de la landing web de forma seudónima y agregada. | Data Privacy Framework (DPF) UE-EE.UU. (Decisión 2023/1795) + CCT (Decisión 2021/914) + TIA interno. |
| Prestador cualificado de firma electrónica (eIDAS). | Unión Europea. | Firma electrónica avanzada del contrato de servicio; custodia del PDF firmado y cadena de evidencias. | Dentro del EEE — no aplica. |
| Agencia Estatal de Administración Tributaria (AEAT). | España. | Tramitación de expedientes fiscales, apoderamiento, presentación de escritos. | Cesión necesaria para el cumplimiento de la obligación legal y la ejecución del contrato; no es encargado sino destinatario. |
6.1 Transferencias internacionales — detalle
Con excepción de Google LLC y Cloudflare (según se detalla arriba), todos los tratamientos se realizan dentro del Espacio Económico Europeo (EEE).
La transferencia a Google LLC para servicios de analítica web está amparada en el Data Privacy Framework (DPF) UE-EE.UU. (Decisión de Adecuación de la Comisión Europea 2023/1795, de 10 de julio de 2023) y, como garantía adicional, en las Cláusulas Contractuales Tipo aprobadas por la Decisión 2021/914 (módulo 3: encargado→subencargado). FamiTax ha elaborado un Transfer Impact Assessment (TIA) que evalúa el régimen jurídico aplicable en EE.UU. y confirma que el tratamiento presenta un riesgo residual aceptable habida cuenta de la naturaleza seudónima de los datos y la ausencia de cruce con datos identificativos.
7. Plazos de conservación
Los datos se conservan durante el tiempo estrictamente necesario para la finalidad que los legitima. Transcurrido el plazo activo, los datos se bloquean —quedando disponibles sólo para su puesta a disposición de las autoridades competentes— y se suprimen definitivamente al vencimiento del plazo de prescripción o conservación legal aplicable.
| Categoría de datos | Plazo de conservación activa | Plazo de bloqueo (datos sólo accesibles a autoridades) | Fundamento legal |
|---|---|---|---|
| Lead no confirmado (sin registro). | 30 días desde el envío del formulario. | No aplica (supresión directa). | Principio de minimización (art. 5.1.e RGPD). |
| Cuenta activa y datos del expediente. | Mientras exista la relación contractual activa. | Hasta 4 años desde el fin de la relación. | Art. 66 LGT (prescripción tributaria general); art. 1964 CC (prescripción contractual de 5 años moderado a 4 por LGT). |
| Datos fiscales y documentos del expediente (declaraciones, certificados, G306). | Mientras exista la relación contractual. | 4 años desde el cierre del expediente (6 si aplica el art. 30 CCom). | Art. 66 LGT; art. 30 Código de Comercio. |
| Documentación de apoderamiento o colaboración social. | Hasta revocación del poder o cierre del expediente. | 4 años desde la revocación. | Art. 66 LGT — plazo de prescripción de la acción de la Administración para exigir responsabilidades derivadas del poder. |
| Contratos firmados y cadena de evidencias de firma electrónica. | Vigencia del contrato. | 6 años desde el fin de la relación. | Prescripción de acciones derivadas del contrato (art. 1964 CC, 5 años; se aplica plazo superior de 6 años de CCom como medida de cautela). |
| Logs de auditoría y seguridad (acceso, autenticación, IP). | 2 años. | No aplica (supresión directa). | Interés legítimo (detección de fraude y respuesta a incidentes); proporcionalidad. |
| Datos de analítica web (GA4, seudónimos). | 2 años o hasta retirada del consentimiento. | No aplica. | Duración máxima de las cookies GA4 + consentimiento (revocable en cualquier momento). |
8. Co-titular del expediente
Cuando el expediente se presenta conjuntamente con un co-titular (cónyuge, pareja de hecho u otro cotitular), el titular principal facilita a FamiTax el nombre, NIF y correo electrónico del co-titular con el fin de que este reciba el enlace de adhesión. Este tratamiento inicial (antes de que el co-titular decida) se ampara en el interés legítimo de FamiTax (art. 6.1.f RGPD) para poder formalizar la relación contractual conjunta que ha solicitado el titular principal. El test de ponderación realizado concluye que el interés legítimo prevalece, dado que: (i) el co-titular puede esperar razonablemente que sus datos sean comunicados al tramitador del expediente conjunto; (ii) el impacto sobre sus intereses fundamentales es mínimo ya que los datos tratados son exclusivamente identificativos básicos; y (iii) se le informa de forma activa e inmediata.
Información al co-titular (art. 14 RGPD). En el momento en que el co-titular recibe el enlace de adhesión, la pantalla de aceptación le proporciona, de forma concisa, transparente y comprensible, toda la información prevista en el art. 14.1 y 14.2 RGPD: identidad y datos de contacto del responsable y del DPO, finalidades y bases jurídicas, categorías de datos, destinatarios, plazos de conservación, derechos ejercitables y derecho a presentar reclamación ante la AEPD.
A partir de la aceptación del enlace, el tratamiento de los datos del co-titular se basa en el consentimiento explícito y en la ejecución del contrato. El co-titular puede retirar el consentimiento y solicitar la supresión de sus datos en cualquier momento. Si lo hace, FamiTax valorará con el titular principal si el expediente puede continuar en solitario (cuando la normativa fiscal lo permita) o si es necesaria su retirada.
9. Representación ante la AEAT
Dependiendo del perfil del expediente, FamiTax actúa ante la AEAT bajo una de estas figuras:
- Apoderado (art. 46 LGT): el Cliente otorga poder específico en la Sede Electrónica de la AEAT. FamiTax queda habilitada para actuar exclusivamente en los actos delimitados en el poder.
- Colaborador Social (art. 92 LGT): FamiTax actúa como entidad colaboradora autorizada por la AEAT bajo el régimen especial aplicable a este colectivo. El alcance de la representación y los expedientes cubiertos se documentan en cada caso.
Ambas figuras conllevan el tratamiento de datos de especial sensibilidad (datos fiscales y documentación de apoderamiento) amparado en el consentimiento explícito del interesado y en la ejecución del contrato. FamiTax aplica medidas reforzadas: cifrado de documentos en reposo mediante HSM, registros inmutables de cada consulta a la API de la AEAT, revocación inmediata del apoderamiento con corte automático de tokens internos, y procedimientos documentados para la rotación de certificados de representante.
10. Seguridad del tratamiento (art. 32 RGPD)
FamiTax aplica las medidas técnicas y organizativas que resultan apropiadas teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de los interesados:
- Cifrado en tránsito mediante TLS 1.3 en todas las comunicaciones externas.
- Cifrado en reposo de todos los documentos fiscales y datos personales almacenados, mediante claves gestionadas en HSM (Hardware Security Module).
- Control de acceso basado en roles (RBAC) con el principio de mínimo privilegio.
- Autenticación multifactor (MFA) obligatoria para todos los empleados con acceso a datos de producción.
- Registro inmutable de auditoría de accesos y modificaciones.
- Revisiones de seguridad periódicas y tests de penetración anuales.
- Plan de contingencia y recuperación ante desastres documentado.
- Formación continua del personal en materia de protección de datos y seguridad.
11. Gestión de brechas de seguridad (arts. 33-34 RGPD)
En caso de brecha de seguridad que afecte a datos personales, FamiTax:
- Notificará a la AEPD en el plazo máximo de 72 horas desde que tenga constancia del incidente, conforme al art. 33 RGPD, salvo que la brecha sea improbable que conlleve riesgo para los derechos de las personas.
- Notificará directamente a los interesados afectados cuando la brecha pueda suponer un alto riesgo para sus derechos y libertades (art. 34 RGPD), con lenguaje claro y con las medidas de mitigación recomendadas.
- Documentará todas las brechas de seguridad en el Registro interno de incidentes, incluyendo las que no requieran notificación, conforme al art. 33.5 RGPD.
12. Evaluación de Impacto (DPIA — art. 35 RGPD)
FamiTax ha evaluado sus actividades de tratamiento conforme a los criterios del art. 35 RGPD y a las directrices del CEPD sobre DPIA (WP 248 rev. 01). El tratamiento de datos fiscales en el contexto del apoderamiento ante la AEAT, por su naturaleza sensible y el alcance de la representación, ha sido objeto de una Evaluación de Impacto en la Protección de Datos (DPIA) específica. La DPIA documenta los riesgos identificados, las medidas de mitigación adoptadas y la evaluación residual. En ningún caso se han identificado riesgos altos residuales que exijan consulta previa a la AEPD.
13. Tratamiento automatizado y elaboración de perfiles (art. 22 RGPD)
El análisis inicial de la cuantía recuperable se realiza mediante reglas fiscales automatizadas que cruzan la información aportada con los umbrales y deducciones establecidos en la normativa del IRPF. Sin embargo, la revisión del análisis, la preparación de escritos y la tramitación ante la AEAT cuentan siempre con intervención humana cualificada antes de cualquier actuación con efectos jurídicos.
FamiTax no adopta decisiones basadas exclusivamente en tratamiento automatizado que produzcan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar (art. 22.1 RGPD). El interesado conserva en todo momento el derecho a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.
14. Tus derechos
Conforme al RGPD y a la LOPDGDD, el interesado tiene los siguientes derechos:
- Acceso (art. 15 RGPD): obtener confirmación de si se tratan datos sobre ti y recibir una copia.
- Rectificación (art. 16 RGPD): corregir datos inexactos o incompletos.
- Supresión o «derecho al olvido» (art. 17 RGPD): solicitar la eliminación cuando ya no sean necesarios o revoques el consentimiento, salvo que subsista una obligación legal de conservación.
- Limitación del tratamiento (art. 18 RGPD): suspender el tratamiento mientras se verifica una impugnación de exactitud o se tramita una oposición.
- Portabilidad (art. 20 RGPD): recibir los datos en formato estructurado y de uso común cuando el tratamiento se base en consentimiento o contrato y se realice por medios automatizados.
- Oposición (art. 21 RGPD): oponerte al tratamiento basado en interés legítimo, salvo que FamiTax acredite motivos legítimos imperiosos.
- Retirada del consentimiento (art. 7.3 RGPD): revocar en cualquier momento el consentimiento prestado, sin que ello afecte a la licitud del tratamiento anterior. Para las cookies: desde el panel de preferencias del pie de página. Para el envío de comunicaciones comerciales: mediante el enlace de baja incluido en cada email.
- No ser objeto de decisiones exclusivamente automatizadas (art. 22 RGPD).
- Derechos digitales (arts. 79-97 LOPDGDD): derecho a la seguridad digital, a la desconexión digital en el ámbito laboral (si aplica) y a la protección de menores en internet.
Para ejercitar cualquiera de estos derechos, dirígete al DPO en dpo@famitax.es, indicando: (i) el derecho que deseas ejercer; (ii) una descripción concisa de tu solicitud; y (iii) copia del documento que acredite tu identidad (DNI/NIE o pasaporte). FamiTax responderá en el plazo de un mes, prorrogable dos meses más en casos complejos, informando al interesado de la prórroga y sus motivos. La respuesta será gratuita; sólo podrán cobrar tasas razonables cuando las solicitudes sean manifiestamente infundadas o excesivas (art. 12.5 RGPD).
Si no recibes respuesta satisfactoria, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es, C/ Jorge Juan, 6, 28001 Madrid, Tel. 901 100 099.
15. Versiones y actualizaciones
Versión vigente: 2026.05 — última actualización: 21 de mayo de 2026. Cuando esta política se modifique de forma material, FamiTax lo comunicará a los usuarios registrados por email con antelación razonable y, cuando la normativa lo exija, solicitará nuevo consentimiento para los tratamientos que lo requieran.