Política de Privacidad
Cómo recopilamos, usamos, protegemos y gestionamos sus datos en FACTURA-SV
Contenido
- Introducción
- Responsable del tratamiento
- Datos que recopilamos
- Cómo recopilamos los datos
- Finalidades del tratamiento
- Base legal del tratamiento
- Compartición de datos con terceros
- Transferencias internacionales
- Almacenamiento y retención
- Seguridad de los datos
- Derechos del usuario
- Cookies y tecnologías similares
- Datos de menores
- Cambios a esta política
- Contacto y reclamaciones
1. Introducción
Esta Política de Privacidad describe cómo Efficient AI Algorithms ("la Empresa", "nosotros") recopila, utiliza, almacena, protege y comparte la información personal y tributaria de los usuarios ("usted", "el Usuario") del servicio FACTURA-SV.
FACTURA-SV es una plataforma de facturación electrónica que procesa Documentos Tributarios Electrónicos (DTE) conforme a la normativa del Ministerio de Hacienda de El Salvador. Dada la naturaleza del servicio, procesamos información tributaria y comercial sensible, lo cual requiere estándares elevados de protección.
Esta política complementa nuestros Términos de Servicio y aplica a todo uso de la plataforma, incluyendo el sitio web, el dashboard, la API y cualquier servicio relacionado.
2. Responsable del tratamiento
| Razón social | Efficient AI Algorithms |
| Domicilio | Maricopa County, Arizona, Estados Unidos |
| Correo de privacidad | [email protected] |
| Sitio web | algoritmos.io |
3. Datos que recopilamos
Clasificamos los datos que procesamos en las siguientes categorías:
3.1 Datos de la cuenta
Información proporcionada al registrarse y gestionar su cuenta:
- Nombre completo o razón social
- Dirección de correo electrónico
- Número de teléfono (opcional)
- Contraseña (almacenada como hash criptográfico, nunca en texto plano)
- Plan contratado y método de pago
3.2 Datos tributarios del contribuyente
Información necesaria para configurar empresas y procesar DTEs:
- Número de Identificación Tributaria (NIT)
- Número de Registro de Contribuyente (NRC)
- Código de actividad económica (CAT-019)
- Dirección del establecimiento (departamento, municipio, complemento)
- Códigos de establecimiento y punto de venta
- Nombre comercial y razón social
3.3 Datos de los DTEs procesados
Contenido de los documentos tributarios que el Usuario carga y procesa:
- Datos del emisor y receptor (nombre, NIT, NRC, dirección, contacto)
- Detalle de bienes o servicios (descripción, cantidad, precio, IVA)
- Montos totales, tributos, condiciones de pago
- Códigos de generación, números de control, sellos de recepción
- Archivos originales subidos (PDF, imágenes, XML, JSON)
3.4 Datos del certificado de firma
- Certificado electrónico (.p12/.pfx) proporcionado por el Usuario para firma digital de DTEs
- El certificado se utiliza exclusivamente para firmar documentos en tránsito
- La clave privada se procesa en memoria y no se almacena de forma persistente en disco
3.5 Datos de uso y técnicos
- Dirección IP y ubicación aproximada
- Tipo de navegador, sistema operativo y dispositivo
- Páginas visitadas, acciones realizadas y marcas de tiempo
- Registros de uso de la API (endpoints consultados, volumen de solicitudes)
- Eventos de error y rendimiento del servicio
4. Cómo recopilamos los datos
Recopilamos información a través de los siguientes medios:
- Directamente del Usuario: al registrarse, configurar empresas, cargar documentos, utilizar la API o contactar a soporte.
- Automáticamente: al interactuar con la plataforma, mediante cookies, registros de servidor y herramientas de análisis.
- De terceros: información del procesador de pagos (datos parciales de tarjeta), y respuestas del Ministerio de Hacienda (sellos de recepción, observaciones de rechazo).
- Procesamiento OCR/AI: al cargar documentos, nuestro sistema de inteligencia artificial extrae datos automáticamente de los archivos proporcionados.
5. Finalidades del tratamiento
Utilizamos los datos recopilados para las siguientes finalidades:
| Finalidad | Datos utilizados |
|---|---|
| Prestar el servicio de facturación electrónica | Datos de cuenta, datos tributarios, DTEs, certificado de firma |
| Procesar documentos con OCR/AI | Archivos cargados por el Usuario |
| Firmar y transmitir DTEs al MH | DTEs procesados, certificado de firma |
| Almacenamiento regulatorio | DTEs aceptados (mínimo 10 años según normativa) |
| Gestión de la cuenta y facturación | Datos de cuenta, datos de pago |
| Soporte técnico | Datos de cuenta, registros de uso, DTEs afectados |
| Mejora del servicio | Datos de uso agregados y anonimizados |
| Seguridad y prevención de fraude | Datos técnicos, patrones de uso, dirección IP |
| Cumplimiento legal | Según sea requerido por ley o autoridad competente |
| Comunicaciones del servicio | Correo electrónico (alertas de estado, actualizaciones de catálogos, cambios en el servicio) |
6. Base legal del tratamiento
El tratamiento de datos se fundamenta en las siguientes bases legales:
- Ejecución del contrato: El procesamiento de datos es necesario para prestar el servicio contratado según los Términos de Servicio.
- Consentimiento: El Usuario consiente el tratamiento al registrarse y aceptar estos términos. Para comunicaciones de marketing (si las hubiere), se solicitará consentimiento expreso y separado.
- Obligación legal: Podemos procesar datos para cumplir con obligaciones legales aplicables, incluyendo requerimientos de autoridades tributarias o judiciales.
- Interés legítimo: Procesamos datos técnicos y de uso para la seguridad del servicio, prevención de fraude y mejora del producto, siempre que no prevalezcan los derechos del Usuario.
7. Compartición de datos con terceros
Compartimos datos del Usuario exclusivamente con las siguientes categorías de terceros y para las finalidades indicadas:
| Tercero | Datos compartidos | Propósito |
|---|---|---|
| Ministerio de Hacienda (DGII) | DTEs firmados completos | Transmisión obligatoria para obtener Sello de Recepción. Requerimiento legal. |
| Proveedores de infraestructura | Datos cifrados en tránsito y reposo | Alojamiento y procesamiento (servidores cloud). Sujetos a acuerdos de confidencialidad. |
| Procesador de pagos | Datos de pago (no almacenamos números completos de tarjeta) | Procesamiento de cobros. Cumple PCI DSS. |
| Servicios de análisis | Datos de uso anonimizados y agregados | Mejora del servicio y rendimiento. Sin datos personales identificables. |
| Autoridades competentes | Datos requeridos por ley | Cumplimiento de requerimientos legales, órdenes judiciales o solicitudes de autoridades tributarias. |
No compartimos datos con terceros para fines publicitarios. Todos nuestros proveedores están sujetos a acuerdos de procesamiento de datos que garantizan un nivel de protección equivalente al descrito en esta política.
8. Transferencias internacionales
Dado que Efficient AI Algorithms opera desde los Estados Unidos y nuestros servidores pueden estar ubicados fuera de El Salvador, los datos del Usuario pueden transferirse y procesarse fuera de su país de residencia.
Para proteger sus datos en estas transferencias, implementamos las siguientes salvaguardas:
- Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256)
- Acuerdos de procesamiento de datos con todos los proveedores de infraestructura
- Selección de proveedores que cumplan con estándares reconocidos de seguridad (SOC 2, ISO 27001)
- Minimización de datos: solo se transfiere la información estrictamente necesaria
9. Almacenamiento y retención
Aplicamos los siguientes períodos de retención:
| Tipo de dato | Período de retención | Justificación |
|---|---|---|
| DTEs aceptados por el MH | Mínimo 10 años | Obligación regulatoria (Art. 147 Código Tributario de El Salvador) |
| Datos de la cuenta | Mientras la cuenta esté activa + 30 días | Prestación del servicio |
| Archivos originales subidos | 12 meses desde el procesamiento | Referencia y reprocesamiento |
| Registros de uso / logs | 24 meses | Seguridad, auditoría y soporte técnico |
| Datos de pago | Según requerimientos del procesador de pagos | Cumplimiento fiscal y legal |
| Certificado de firma (.p12) | Mientras la empresa esté configurada en la cuenta | Firma de DTEs. Se elimina al desconfigurar la empresa. |
| Datos tras terminación de cuenta | 30 días para descarga + eliminación | Período de gracia para el Usuario (excepto DTEs bajo retención legal) |
Al finalizar el período de retención, los datos se eliminan de forma segura o se anonimizan de manera irreversible.
10. Seguridad de los datos
Implementamos medidas de seguridad técnicas y organizativas para proteger la información del Usuario:
10.1 Medidas técnicas
- Cifrado en tránsito: TLS 1.3 para todas las comunicaciones entre el navegador/API del Usuario y nuestros servidores.
- Cifrado en reposo: AES-256 para datos almacenados, incluyendo DTEs, certificados y bases de datos.
- Hashing de contraseñas: Algoritmo bcrypt con salt aleatorio. Nunca almacenamos contraseñas en texto plano.
- Aislamiento de datos: Los datos de cada cuenta están lógicamente separados. Un usuario no puede acceder a datos de otro.
- API Keys: Las claves de API se almacenan como hash. Solo se muestran completas una vez al momento de generarse.
- Certificados de firma: Almacenados con cifrado adicional por cuenta. La clave privada se descifra en memoria solo durante la firma.
- Monitoreo: Vigilancia continua de accesos, detección de anomalías y alertas automatizadas.
- Copias de seguridad: Respaldos cifrados diarios con verificación de integridad y almacenamiento geográficamente distribuido.
10.2 Medidas organizativas
- Acceso restringido a datos de producción basado en principio de mínimo privilegio
- Revisión periódica de accesos y permisos
- Acuerdos de confidencialidad con todo el personal
- Procedimientos de respuesta a incidentes de seguridad
10.3 Notificación de brechas
En caso de una brecha de seguridad que comprometa datos personales o tributarios del Usuario, nos comprometemos a: (a) notificar a los usuarios afectados en un plazo máximo de 72 horas tras la detección; (b) proporcionar información sobre la naturaleza de la brecha, los datos afectados y las medidas adoptadas; y (c) notificar a las autoridades competentes según la legislación aplicable.
11. Derechos del usuario
El Usuario tiene los siguientes derechos sobre sus datos personales:
- Acceso: Solicitar una copia de los datos personales que tenemos sobre usted.
- Rectificación: Corregir datos inexactos o incompletos. Puede actualizar muchos datos directamente desde el Dashboard.
- Eliminación: Solicitar la eliminación de datos personales cuando ya no sean necesarios para la finalidad para la que fueron recopilados, sujeto a obligaciones legales de retención (especialmente los DTEs bajo retención regulatoria de 10 años).
- Portabilidad: Recibir sus datos en un formato estructurado, de uso común y lectura mecánica (JSON). Los DTEs pueden descargarse en cualquier momento desde el Dashboard o la API.
- Oposición: Oponerse al tratamiento de datos basado en interés legítimo.
- Limitación: Solicitar la limitación del tratamiento en circunstancias específicas.
- Revocación del consentimiento: Retirar su consentimiento en cualquier momento, sin afectar la legalidad del tratamiento previo. La revocación puede implicar la imposibilidad de continuar utilizando el Servicio.
Para ejercer estos derechos, envíe una solicitud a [email protected] indicando su nombre, correo electrónico de la cuenta y el derecho que desea ejercer. Responderemos en un plazo máximo de 30 días.
12. Cookies y tecnologías similares
12.1 Qué usamos
FACTURA-SV utiliza las siguientes tecnologías:
- Cookies esenciales: Necesarias para el funcionamiento del servicio (sesión, autenticación, preferencias de idioma). No se pueden desactivar.
- Cookies de rendimiento: Nos ayudan a entender cómo se usa la plataforma para mejorar el servicio. Datos agregados y anonimizados.
- Almacenamiento local: Para mantener preferencias de interfaz (tema, columnas visibles, filtros recientes).
12.2 Qué NO usamos
- No utilizamos cookies de publicidad ni de rastreo de terceros
- No utilizamos píxeles de seguimiento de redes sociales
- No participamos en redes de publicidad programática
12.3 Control
Puede gestionar las cookies desde la configuración de su navegador. Tenga en cuenta que desactivar cookies esenciales impedirá el uso del servicio.
13. Datos de menores
FACTURA-SV no está dirigido a menores de 18 años y no recopilamos intencionalmente datos de menores. Si tenemos conocimiento de que hemos recopilado datos de un menor, procederemos a eliminarlos de inmediato. Si usted cree que un menor ha proporcionado datos a través de nuestro servicio, por favor contáctenos a [email protected].
14. Cambios a esta política
Nos reservamos el derecho de actualizar esta Política de Privacidad. Las modificaciones se publicarán en esta página con la nueva fecha de vigencia. Para cambios sustanciales que afecten el tratamiento de datos personales, notificaremos al Usuario por correo electrónico con al menos 30 días de anticipación.
Recomendamos revisar periódicamente esta página. La fecha de última actualización se indica al inicio del documento.
15. Contacto y reclamaciones
Para cualquier consulta, solicitud o reclamación relacionada con esta Política de Privacidad o con el tratamiento de sus datos, puede contactarnos a través de:
| Privacidad y datos personales | [email protected] |
| Soporte técnico | [email protected] |
| Asuntos legales | [email protected] |
| Dirección postal | Efficient AI Algorithms, Maricopa County, Arizona, USA |
Nos comprometemos a responder todas las solicitudes en un plazo máximo de 30 días. Si no está satisfecho con nuestra respuesta, puede presentar una reclamación ante la autoridad de protección de datos competente en su jurisdicción.