Política de Privacidad

billplit es una herramienta de seguimiento de gastos compartidos creada y operada por Bitavox ("nosotros", "nuestro", "nos"). Nuestra dirección registrada está en Moirans, Francia, y puede contactarnos en cualquier momento a través de la página de contacto.

A efectos de la legislación de protección de datos aplicable, incluido el Reglamento General de Protección de Datos de la UE (RGPD) y el RGPD del Reino Unido, Bitavox es el responsable del tratamiento de los datos personales que nos facilita al utilizar billplit.

Esta política explica qué datos recopilamos, por qué los recopilamos, cuánto tiempo los conservamos y qué derechos tiene sobre ellos. Hemos intentado redactarla en un lenguaje sencillo. Si algo no queda claro, pregunte — preferimos explicárselo directamente antes que escondernos detrás de textos legales genéricos.

Solo recopilamos los datos que son estrictamente necesarios para ofrecer el servicio. A continuación, se detalla cada categoría de datos, su finalidad y la base legal en la que nos apoyamos según el artículo 6 del RGPD.

No recopilamos datos personales sensibles (como origen racial o étnico, datos de salud u opiniones políticas). No creamos perfiles publicitarios. No vendemos sus datos, nunca.

Una de las funciones principales de billplit es que puede fotografiar o subir una factura y hacer que el importe, la fecha y la categoría se completen automáticamente. Dicha extracción la realiza un modelo lingüístico de inteligencia artificial.

Esto es lo que ocurre cuando sube una factura:

1. La imagen o el PDF se envían temporalmente a la API del proveedor de IA a través de una conexión cifrada (HTTPS/TLS).
2. El modelo devuelve datos estructurados — normalmente el importe total, el nombre del emisor y la fecha — que se precompletan en el formulario de gasto.
3. Usted revisa los datos extraídos antes de guardar. Si la IA se equivoca, puede corregirlos o descartarlos.
4. El archivo original se guarda en nuestro almacenamiento seguro y se vincula a su registro de gasto.

Utilizamos la API de OpenAI para la extracción por IA. OpenAI procesa los datos en nuestro nombre bajo un contrato de procesamiento de datos (DPA) y no utiliza sus entradas para entrenar sus modelos. Puede leer la política de privacidad de OpenAI en openai.com/privacy.

El procesamiento por IA implica una toma de decisiones automatizada en un sentido limitado (sugiere valores), pero no tiene ningún efecto jurídico o significativo para usted porque siempre confirma o edita el resultado antes de guardarlo. Esto significa que el Artículo 22 del RGPD (decisiones individuales automatizadas) no se aplica, pero le informamos de ello por motivos de transparencia.

Compartimos sus datos únicamente cuando es estrictamente necesario para el funcionamiento del servicio. La siguiente tabla recoge todos los proveedores externos que utilizamos, su finalidad y su ubicación.

Cuando los proveedores se encuentran fuera del Espacio Económico Europeo, nos aseguramos de que existan mecanismos de transferencia adecuados (como una decisión de adecuación, Cláusulas Contractuales Tipo o un DPA que cumpla con los requisitos del RGPD).

También podemos divulgar datos cuando lo exija la ley, una orden judicial o para proteger la seguridad de los usuarios o terceros. Intentaremos notificarle sobre estas peticiones a menos que la ley lo prohíba.

Conservamos sus datos mientras su cuenta esté activa y durante un período limitado posterior para responder a cualquier consulta o disputa. Los períodos específicos son:

• Datos de cuenta y espacio: Se conservan mientras la cuenta esté activa. Cuando elimina su cuenta, todos sus espacios y sus datos se eliminan de forma permanente en un plazo de 30 días.
• Datos de gastos y facturas: Se conservan durante la vida del espacio. Si elimina un espacio, sus gastos se eliminan con él.
• Archivos de facturas subidos: Se conservan durante la vida útil del gasto asociado. Al eliminar un gasto se borra el archivo adjunto.
• Registros de pago: Se conservan durante 7 años para cumplir con la normativa fiscal y contable.
• Registros del servidor (logs): Se eliminan automáticamente tras 90 días.
• Correspondencia de soporte: Se conserva hasta 2 años en caso de que vuelva a surgir el mismo problema.

Una vez que se eliminan los datos, se borran de nuestros sistemas de producción y de las copias de seguridad en la siguiente rotación de seguridad programada (normalmente en un plazo de 30 días).

Según el RGPD (y la legislación equivalente en el Reino Unido y Suiza), dispone de los siguientes derechos sobre sus datos personales. Se trata de derechos reales, no de meras casillas formales para aparentar conformidad.

• Derecho de acceso. Puede solicitar una copia de todos los datos personales que tenemos sobre usted. Se la facilitaremos en un plazo de 30 días, en un formato legible y sin coste.
• Derecho de rectificación. Si algún dato es incorrecto o está incompleto, puede solicitar su corrección. También puede actualizar la mayoría de sus datos directamente en los ajustes de la app.
• Derecho de supresión ("derecho al olvido"). Puede pedirnos que eliminemos sus datos personales. Lo haremos a menos que la ley nos obligue a conservar ciertos registros (como los financieros — ver sección 5).
• Derecho a la portabilidad de datos. Puede solicitar una copia de sus datos en un formato estructurado y legible por máquina (JSON o CSV) para poder llevárselos a otro proveedor.
• Derecho a la limitación del tratamiento. Puede pedirnos que detengamos temporalmente el uso de sus datos mientras se resuelve una reclamación o disputa.
• Derecho de oposición. Cuando tratemos datos basándonos en intereses legítimos (como la vigilancia de seguridad), puede oponerse. Dejaremos de hacerlo salvo que existan motivos de peso.
• Derecho a retirar el consentimiento. Si el tratamiento se basa en su consentimiento (como los correos electrónicos de marketing opcionales), puede retirarlo en cualquier momento.

Para ejercer cualquiera de estos derechos, visite nuestra página de contacto. Responderemos en un plazo de 30 días. Es posible que debamos verificar su identidad antes de atender la solicitud.

También tiene derecho a presentar una reclamación ante una autoridad de control de protección de datos. En Francia es la CNIL. En el Reino Unido es la ICO. Agradeceríamos que se pusiera en contacto con nosotros primero para intentar resolver el problema directamente.

Utilizamos un número muy reducido de cookies y entradas de almacenamiento local. No utilizamos cookies de publicidad ni seguimiento de terceros.

• Token de sesión: Una cookie segura de tipo HTTP-only que le mantiene conectado. Expira al cerrar la sesión o tras 30 días de inactividad. Esta cookie es estrictamente necesaria.
• Preferencias: Una pequeña entrada en el almacenamiento local (local storage) que recuerda su moneda preferida y ajustes de visualización. No se guardan datos personales aquí.
• Análisis: Si utilizamos herramientas de análisis (actualmente usamos una herramienta centrada en la privacidad que no instala cookies), actualizaremos esta sección.

Dado que la única cookie instalada es estrictamente necesaria para que funcione el servicio, no mostramos un banner de consentimiento de cookies. Si alguna vez introducimos cookies no esenciales, le pediremos su consentimiento previo.

Nos tomamos la seguridad muy en serio, no solo porque lo exija la ley, sino porque sus datos financieros son sensibles y confía en nosotros al entregárnoslos.

Las medidas que implementamos incluyen:

• Cifrado de todos los datos transmitidos entre su dispositivo y nuestros servidores mediante TLS 1.2 o superior.
• Cifrado de datos en reposo (en base de datos y almacenamiento de archivos) mediante AES-256.
• Acceso a los sistemas de producción restringido a miembros del equipo autorizados y protegido con MFA.
• Uso de enlaces mágicos para acceder, lo que significa que no hay una base de datos de contraseñas que pueda ser hackeada.
• Escaneo antivirus de los archivos subidos antes de ser almacenados.
• Instalación periódica de parches y actualizaciones de seguridad.

Ningún sistema es infalible. Si detecta una vulnerabilidad, repórtela de forma responsable a través de nuestrapágina de contacto y la atenderemos rápidamente.

En caso de producirse una brecha de seguridad de los datos personales que pueda suponer un riesgo para sus derechos, lo notificaremos a la autoridad de control en un plazo de 72 horas y a usted sin dilación, de acuerdo con el artículo 33 del RGPD.

billplit no está destinado a personas menores de 16 años. No recopilamos conscientemente datos de menores. Si cree que un menor ha creado una cuenta, avísenos a través de la página de contacto y la borraremos de inmediato.

Somos conscientes de que algunos copadres añaden gastos relacionados con sus hijos (colegio, médicos, etc.). En este caso, el menor no es un usuario de billplit, sino que es mencionado por un adulto en las descripciones de los gastos. Tratamos esta información con el mismo cuidado que el resto de los datos de la cuenta.

Actualizaremos esta política si cambian nuestras prácticas de datos o si la ley lo exige. Cuando realicemos un cambio material, le enviaremos un correo electrónico al menos 14 días antes de que entre en vigor y publicaremos un aviso en la aplicación. La política indicará la fecha de última actualización.

Para cambios menores (corrección de erratas, aclaraciones lingüísticas sin cambiar el fondo), simplemente actualizaremos la página sin aviso previo.

Si no está de acuerdo con algún cambio, puede cerrar su cuenta antes de que entre en vigor. El uso continuado de billplit después de la fecha de entrada en vigor implica la aceptación.

Si tiene dudas sobre esta política, desea ejercer un derecho o simplemente hablar sobre cómo tratamos sus datos, puede localizarnos de las siguientes formas:

• Soporte: página de contacto
• Correo postal: Moirans, Francia

Intentamos responder a las consultas generales de privacidad en un plazo de 5 días hábiles, y en el plazo legal de 30 días para solicitudes de derechos formales.