Política de Privacidad

Versión 1.1.0 · Última actualización: 2026-05-14

Esta política explica qué datos recoge la aplicación CertApp (en adelante, "el software" o "la aplicación"), con qué finalidad y qué derechos tienes como usuario. La aplicación está diseñada para minimizar la recogida de datos personales y mantener los certificados digitales bajo tu control en todo momento.

1. Responsable del tratamiento

Responsable: [Razón social pendiente], con domicilio en [Dirección pendiente], España. Contacto: info@certapp.es.

Este documento es un borrador inicial. Antes de publicarlo a clientes finales, debe revisarse y completarse con un asesor legal especializado en GDPR y servicios SaaS.

2. Datos que la aplicación recoge

• Datos de contacto y facturación de la organización: nombre de la empresa o gestoría, CIF/NIF, email de contacto. Se recogen al crear la cuenta y al gestionar la suscripción.
• Identificador de máquina (fingerprint): hash SHA-256 generado a partir de un UUID aleatorio guardado localmente, combinado con metadatos del sistema (hostname, usuario, arquitectura). Se envía al servidor para vincular tu licencia con los puestos autorizados de tu organización.
• Nombre del puesto (opcional): etiqueta libre que tú o tu administrador asignáis a cada máquina (ej. "Despacho - Pedro") para identificarla en el portal de gestión.
• Clave de licencia: introducida por ti al activar la aplicación. Se almacena con permisos restrictivos en tu dispositivo y se envía al servidor sólo durante la activación y la renovación de sesión.
• Reportes de errores (crash reports): solo si das tu consentimiento explícito en "Mi cuenta". Si lo activas, cuando la aplicación se cierra inesperadamente se envía al servidor el tipo de error, el mensaje, un stack trace truncado y la versión de la aplicación. Estos reportes no contienen datos personales ni contenido de certificados.
• Datos de pago: gestionados íntegramente por Stripe, certificado PCI-DSS Level 1. CertApp no almacena ni accede a los datos de tu tarjeta. Solo guardamos un identificador opaco de cliente Stripe (stripeCustomerId) para vincular tu suscripción con tu organización.
• Registro de actividad (audit log) server-side: evento, IP de origen, prefijo de licencia, marca temporal. Se usa para detectar abuso de licencias y dar soporte.
• Logs locales: eventos técnicos guardados localmente en tu dispositivo durante 14 días. Sólo se envían al servidor si tú decides adjuntarlos manualmente a un email de soporte.

3. Datos que la aplicación NUNCA recoge

Esta es la diferencia más importante entre CertApp y otros productos similares: los datos de tus clientes finales (los contribuyentes que tu gestoría representa) nunca salen de tu máquina. Concretamente, el servidor de CertApp nunca recibe:

• Contenido de tus certificados .p12/.pfx.
• Contraseñas de certificados.
• NIF, datos fiscales, números de afiliación a la Seguridad Social ni cualquier otro dato personal de tus clientes finales.
• Documentos descargados durante las automatizaciones (justificantes, modelos AEAT, certificados de Seguridad Social, etc.).
• Historial de navegación dentro de la aplicación.

En esta arquitectura, CertApp es solo una herramienta que se ejecuta en tu máquina. Respecto a los datos de tus clientes finales, tú sigues siendo el único Responsable del Tratamiento; CertApp no actúa como Encargado del Tratamiento de esos datos porque no los procesa.

4. Finalidad y base legal

Los datos del apartado 2 se tratan para cumplir el contrato de licencia (artículo 6.1.b RGPD) y para mantener la seguridad del servicio (artículo 6.1.f RGPD: interés legítimo en prevenir el uso fraudulento de licencias). Los reportes de errores se tratan para diagnosticar fallos de la aplicación y mejorar su estabilidad.

5. Plazos de conservación

• Logs locales: 14 días, rotados automáticamente.
• Audit log server-side: hasta que ejerzas el derecho de supresión o tu licencia termine.
• Crash reports: hasta que se diagnostique el problema o se considere obsoleto el dato.

6. Encargados del Tratamiento (terceros)

Para prestar el servicio nos apoyamos en los siguientes proveedores, todos con garantías equivalentes al RGPD:

• Stripe Payments Europe, Ltd. (Irlanda) — procesamiento de pagos de suscripciones. Stripe es Responsable del Tratamiento independiente respecto a los datos de pago (PCI-DSS). Política de Stripe.
• Infraestructura cloud europea (servidores Hetzner / OVH, ambos en territorio UE) — alojamiento del servidor de licencias y del catálogo cifrado de automatizaciones.
• Cloudflare — DNS y health checks (sin almacenamiento de contenido).

No realizamos transferencias internacionales fuera del EEE. En particular, los servidores donde se almacenan tus datos están en la Unión Europea.

7. Tus derechos (RGPD)

Puedes ejercer los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad:

• Acceso (descarga de tus datos): desde el portal de gestión (botón "Exportar mis datos") obtienes un JSON con toda la información que tenemos sobre tu organización. También puedes solicitarlo por email.
• Supresión (borrar tu cuenta): desde el portal de gestión, una vez cancelada la suscripción, puedes solicitar la supresión de la cuenta. Se eliminan licencias, seats, logs y referencias salvo las que estemos legalmente obligados a conservar (facturación: 6 años por normativa fiscal española).
• Otros derechos: escribe a info@certapp.es.

Tienes también derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

8. Cambios en esta política

Si modificamos esta política, actualizaremos el número de versión arriba y te solicitaremos aceptación explícita en la próxima ejecución de la aplicación.