Última actualización: 13 de junio de 2026
Política de privacidad
Esta Política explica cómo Aproba trata los datos personales conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
1. Dos tratamientos distintos
Conviene distinguir desde el principio:
- Datos del despacho usuario (Aproba como responsable): los datos de quien contrata y usa Aproba (profesional, gestoría o despacho) y de los miembros de su equipo. Este tratamiento se rige por la presente Política.
- Datos de los clientes del despacho (Aproba como encargado): los datos de las personas extranjeras cuyos expedientes tramita el despacho (pasaporte, NIE, domicilio, documentación). Sobre estos datos, el despacho es el responsable y Aproba actúa como encargado del tratamiento, tratándolos únicamente siguiendo sus instrucciones. Las condiciones figuran en el Contrato de encargado del tratamiento (DPA).
2. Responsable del tratamiento
- Titular: [RAZÓN SOCIAL O NOMBRE Y APELLIDOS DEL TITULAR]
- NIF/CIF: [NIF / CIF]
- Domicilio: [DOMICILIO FISCAL COMPLETO, España]
- Contacto en materia de privacidad: privacidad@aproba-software.com
3. Qué datos tratamos, con qué fin y con qué base
| Categoría de datos | Finalidad | Base jurídica (RGPD art. 6) |
|---|---|---|
| Identificación y contacto (nombre, email, teléfono) y datos del despacho (nombre, NIF). | Crear y gestionar la cuenta, prestar el servicio y dar soporte. | Ejecución del contrato (art. 6.1.b). |
| Datos de facturación y pago (gestionados por Stripe; Aproba no almacena el número de tarjeta). | Cobro de la suscripción y obligaciones contables y fiscales. | Ejecución del contrato (art. 6.1.b) y obligación legal (art. 6.1.c). |
| Datos de uso y técnicos (registros de acceso, dirección IP, eventos de la aplicación). | Seguridad, prevención del fraude, funcionamiento y mejora del servicio. | Interés legítimo (art. 6.1.f). |
| Comunicaciones (correos de servicio y, en su caso, comerciales). | Informar sobre el servicio y, con consentimiento, enviar novedades. | Interés legítimo / consentimiento (art. 6.1.f / 6.1.a). |
Los datos de los clientes del despacho (incluidos los que puedan revelar la nacionalidad u otros aspectos sensibles) se tratan exclusivamente como encargado, por cuenta del despacho y según el DPA. El despacho es responsable de contar con una base de legitimación válida para esos tratamientos.
4. Plazos de conservación
- Datos de la cuenta: mientras la relación contractual esté vigente.
- Tras la baja: se conservan bloqueados durante los plazos de prescripción legal (mercantil, fiscal), generalmente hasta 6 años para la facturación, y después se suprimen.
- Datos de los clientes del despacho: se conservan y se devuelven o suprimen según las instrucciones del despacho, conforme al DPA.
5. Destinatarios y encargados
No se ceden datos a terceros salvo obligación legal. Para prestar el servicio, intervienen los siguientes proveedores que actúan como encargados del tratamiento, con contrato conforme al art. 28 del RGPD:
| Proveedor | Finalidad | Ubicación | Garantía |
|---|---|---|---|
| Supabase (Supabase Inc.) | Alojamiento de la base de datos, autenticación y almacenamiento cifrado de documentos. | Unión Europea (infraestructura en región europea). | Datos alojados en la UE. Acuerdo de encargado (DPA) de Supabase. |
| Anthropic (Anthropic PBC) — Claude | Validación y extracción asistida por IA de los documentos del expediente (p. ej. pasaporte, NIE). No se usan los datos para entrenar modelos. | EE. UU. | Cláusulas Contractuales Tipo (SCC) de la UE. Conservación cero / no entrenamiento por contrato comercial. |
| Stripe (Stripe Payments Europe, Ltd.) | Procesamiento de los pagos de la suscripción a Aproba. | Irlanda (UE) y EE. UU. | SCC de la UE. Stripe está certificada PCI-DSS nivel 1. |
| Resend (Resend, Inc.) | Envío de notificaciones y correos transaccionales a los clientes del despacho. | EE. UU. (entrega a través de servidores en la UE, eu-west-1). | SCC de la UE. |
| Vercel (Vercel Inc.) | Alojamiento y entrega de la aplicación web. | EE. UU. con red de distribución global (edge). | SCC de la UE. |
| Cloudflare (Cloudflare, Inc.) | Gestión de DNS y protección de la red del dominio. | EE. UU. con red global. | SCC de la UE. |
6. Transferencias internacionales
Algunos proveedores están ubicados fuera del Espacio Económico Europeo (por ejemplo, en Estados Unidos). Dichas transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (SCC) y/o en marcos de adecuación reconocidos, con medidas adicionales cuando procede. La base de datos y los documentos del expediente se alojan en la Unión Europea.
7. Tus derechos
Puedes ejercer los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como retirar el consentimiento prestado, escribiendo a privacidad@aproba-software.com, indicando el derecho que deseas ejercer y adjuntando un documento que acredite tu identidad.
Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) (C/ Jorge Juan, 6, 28001 Madrid).
Si eres cliente de un despacho que usa Aproba y quieres ejercer tus derechos sobre tu expediente, debes dirigirte a tu despacho (responsable de esos datos); Aproba le trasladará tu solicitud cuando la reciba.
8. Seguridad
Aproba aplica medidas técnicas y organizativas apropiadas: cifrado en tránsito (HTTPS) y en reposo, almacenamiento de documentos en un bucket privado, control de acceso multiusuario con aislamiento por despacho (políticas de seguridad a nivel de fila) y registro de eventos. Ningún sistema es infalible, pero trabajamos para mantener un nivel de protección adecuado al riesgo.
9. Menores
La plataforma se dirige a profesionales. Las cuentas no están destinadas a menores de edad. Los datos de clientes menores que un despacho pueda tramitar se rigen por las instrucciones del despacho y por el DPA.
10. Cambios en esta política
Podemos actualizar esta Política para reflejar cambios legales o del servicio. Publicaremos la versión vigente en esta página e indicaremos la fecha de última actualización.