Política de privacidad

En cumplimiento del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), te informamos sobre el tratamiento de los datos personales recogidos a través de este sitio y del servicio GTG Facturas.

1. Responsable del tratamiento

Gesturas Technology Group, S.L.
NIF: B02943447
Domicilio: Calle España, 22 — Faro de Calaburras, 29649 Mijas (Málaga).
Contacto en materia legal y de protección de datos: legal@gtg-facturas.com

No estamos obligados a designar Delegado de Protección de Datos conforme al artículo 37 RGPD. Para cualquier cuestión sobre el tratamiento de tus datos puedes contactar directamente con la dirección indicada.

Doble rol funcional: Cuando utilizas GTG Facturas para emitir tus propias facturas y gestionar a tus clientes finales, GTG actúa como Encargado del Tratamiento y tú como Responsable; esa relación se rige por el Acuerdo de Encargo de Tratamiento (DPA).

2. Datos que recogemos

• Datos de contacto: nombre y email cuando nos escribes a través del formulario de contacto.
• Datos de registro: nombre, email, razón social, NIF, dirección fiscal, teléfono y datos del administrador cuando creas una cuenta en GTG Facturas.
• Datos de pago: los datos de tarjeta o cuenta bancaria los gestiona directamente Stripe (procesador de pagos PCI-DSS); nosotros solo recibimos un identificador y los últimos cuatro dígitos.
• Datos de uso del servicio: facturas emitidas, clientes y productos creados, gastos registrados.
• Datos técnicos automáticos: dirección IP, tipo de navegador, sistema operativo y páginas visitadas, registrados con fines de seguridad y prevención de fraude.
• Cookies estrictamente técnicas: ver política de cookies.

3. Finalidades y base jurídica

• Prestar el servicio contratado (gestión de cuenta, emisión de facturas, soporte técnico): ejecución de contrato, art. 6.1.b RGPD.
• Atender tus consultas y peticiones: consentimiento, art. 6.1.a RGPD.
• Cumplir obligaciones legales (fiscales, contables, antifraude, VeriFactu): obligación legal, art. 6.1.c RGPD.
• Garantizar la seguridad del servicio y prevenir el fraude: interés legítimo, art. 6.1.f RGPD.
• Comunicaciones comerciales propias (sobre productos y servicios similares al contratado): interés legítimo, art. 21.2 LSSI. Puedes oponerte en cualquier momento.

3 bis. Tracking de aperturas en facturas enviadas a tus clientes

Cuando un usuario de GTG Facturas envía una factura por email a sus propios clientes, la plataforma puede registrar el momento de apertura del correo (mediante una imagen de seguimiento de 1 píxel) y el primer acceso al portal web del cliente. Esta información se muestra al emisor en su panel para que pueda hacer seguimiento del cobro.

El usuario emisor (responsable del tratamiento frente a sus propios clientes) puede desactivar este registro en cualquier momento desde Configuración de empresa → Detectar aperturas de email. Cuando esté desactivado, los emails se envían sin pixel de seguimiento y el portal cliente no registrará el acceso. La base jurídica es el interés legítimo del emisor (art. 6.1.f RGPD) en gestionar el cobro de sus facturas; los datos no se comparten con terceros y se conservan junto con la factura conforme al apartado 4.

4. Plazos de conservación

• Datos de cuenta: mientras dure la relación contractual.
• Tras cancelación, datos no fiscales: 6 meses en modo solo-lectura para permitir exportación o reactivación, posteriormente supresión.
• Libros y documentación contable (incluye facturas emitidas): seis (6) años conforme al art. 30 del Código de Comercio.
• Registros del sistema verificable VeriFactu: mínimo cuatro (4) años conforme al art. 66 de la Ley General Tributaria 58/2003, y en cualquier caso durante el tiempo en que sean exigibles para procedimientos administrativos o judiciales en curso.
• Datos de formularios web sin contratación: máximo 2 años desde el último contacto.
• Logs técnicos y de seguridad: 12 meses.
• Comunicaciones comerciales: hasta retirada del consentimiento o ejercicio del derecho de oposición.

5. Destinatarios y encargados de tratamiento

Tus datos no se ceden a terceros, salvo obligación legal. Para la prestación del servicio contamos con encargados de tratamiento sujetos a contrato conforme al artículo 28 RGPD. El listado actualizado y detallado, con sede, datos tratados y garantías para transferencias internacionales, está publicado en gtg-facturas.com/encargados.

A modo de resumen: Stripe (pasarela de pago), Brevo (emails transaccionales), 1&1 IONOS (hosting), Backblaze (backups cifrados), Google Workspace (correo corporativo) y KERMOSA (gestión administrativa).

Los datos pueden cederse a la Agencia Estatal de Administración Tributaria (AEAT) en cumplimiento de obligaciones fiscales y del sistema VeriFactu, a entidades bancarias en ejecución de cobros y pagos, y a autoridades judiciales o administrativas ante requerimiento legal.

6. Tus derechos

Como interesado puedes ejercer los siguientes derechos:

• Acceso: saber qué datos tenemos sobre ti.
• Rectificación: corregir datos inexactos.
• Supresión ("derecho al olvido"): pedir su eliminación, salvo cuando exista obligación legal de conservación.
• Oposición: oponerte a determinados tratamientos basados en interés legítimo.
• Portabilidad: recibir tus datos en formato estructurado para transferirlos a otro responsable.
• Limitación del tratamiento en los casos previstos por el RGPD.
• Retirar el consentimiento en cualquier momento, sin que afecte a la licitud previa.

Para ejercer tus derechos, escribe a legal@gtg-facturas.com indicando el derecho que quieres ejercer y adjuntando copia de tu DNI o documento equivalente. Responderemos en el plazo máximo de un mes (art. 12 RGPD), prorrogable a dos meses cuando la solicitud sea compleja.

Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

7. Medidas de seguridad

Aplicamos medidas técnicas y organizativas apropiadas: cifrado en tránsito (HTTPS/TLS), control de accesos por contraseña individual, copias de seguridad cifradas, registro de accesos y auditoría interna, tokens con expiración y bloqueo por intentos fallidos, y firmas HMAC-SHA256 para comunicaciones entre módulos.

8. Brechas de seguridad

En caso de brecha que afecte a datos personales, lo notificaremos a la AEPD en un plazo máximo de 72 horas (art. 33 RGPD) y, cuando sea aplicable, a los interesados afectados (art. 34 RGPD).

9. Modificaciones

Esta Política puede actualizarse para adaptarse a cambios normativos o del servicio. Cualquier modificación se comunicará a través del propio sitio o por email a los usuarios registrados con suficiente antelación.

Última actualización: 10 de junio de 2026