Política de Privacidad

Cómo Ordifact recoge, usa y protege los datos de tu restaurante.

Última actualización: 8 de mayo de 2026

Pendiente de completar: razón social, NIF y domicilio fiscal del responsable del tratamiento. Esta política es operativa pero la sociedad legal titular del servicio se publicará antes de la primera contratación de pago.

1. Quién es el responsable del tratamiento

Ordifact (en adelante, «Ordifact», «nosotros») es el responsable del tratamiento de los datos personales que recogemos cuando usas el servicio.

Para cualquier consulta relacionada con esta política o con tus datos personales, puedes escribirnos a hola@ordifact.com.

2. Qué datos tratamos

De ti como usuario del restaurante

Datos de identificación: nombre, email de acceso y contraseña (almacenada cifrada con bcrypt).
Datos de tu restaurante: nombre comercial, NIF/CIF, dirección de email para reenvío de facturas, email del asesor contable.
Configuración del servicio: período de informe, día de aviso, categorías de gasto, remitentes permitidos.

De las facturas que subes

El fichero original (PDF, imagen o email reenviado) tal y como lo recibimos.
Datos extraídos de la factura: proveedor, NIF del proveedor, número, fecha, base imponible, IVA por tipo, total y, opcionalmente, líneas de producto.
Estos datos pueden incluir información personal de terceros (proveedores y, en su caso, sus empleados firmantes). Esa información llega a Ordifact a través de ti, como cliente del proveedor.

De uso del servicio

Logs técnicos básicos (errores, latencias, identificadores de petición) para diagnóstico y seguridad.
Registros de auditoría: cuándo accedemos a tu cuenta para soporte (ver sección 6) y cuándo se elimina un restaurante (cumplimiento del derecho de supresión).

3. Para qué usamos tus datos

Prestación del servicio: digitalizar y organizar las facturas que nos envías, generar informes contables periódicos para tu asesor.
Mejora del modelo de extracción: las correcciones que hace nuestro equipo en facturas con baja confianza alimentan el aprendizaje del sistema (ver sección 6). Los datos siempre permanecen aislados por restaurante.
Soporte técnico: resolver incidencias, asistir con configuración y debugging.
Comunicación: emails operativos sobre facturas pendientes, informes listos y cambios relevantes en el servicio.

4. Base legal

Ejecución de contrato (art. 6.1.b RGPD): el tratamiento es necesario para prestar el servicio que has contratado.
Interés legítimo (art. 6.1.f RGPD): para la mejora del modelo de extracción y la seguridad del servicio. Puedes oponerte en cualquier momento escribiendo a hola@ordifact.com.
Obligación legal (art. 6.1.c RGPD): conservación de facturas y datos fiscales por el plazo exigido por la AEAT.

5. Subencargados del tratamiento

Para prestar el servicio confiamos en proveedores especializados. Todos están sujetos a un contrato de encargo de tratamiento (DPA) y solo procesan los datos según nuestras instrucciones.

Proveedor	Finalidad	Ubicación
Supabase	Base de datos PostgreSQL	UE (Francia)
Microsoft Azure	Almacenamiento de los ficheros originales de factura	UE
Vercel	Hosting de la aplicación	EE. UU. con regiones UE para funciones backend
Anthropic	Extracción de datos por IA y consultas en lenguaje natural	EE. UU. con DPA y addendum europeo
Postmark	Recepción y envío de emails (informes, recordatorios)	EE. UU. con DPA
ElevenLabs	Síntesis de voz para respuestas habladas del chat (no procesa datos de facturas)	EE. UU.
Sentry	Monitorización de errores	UE

Para los proveedores en EE. UU., las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea o del Data Privacy Framework cuando aplica.

6. Acceso del equipo de Ordifact a tu cuenta

Para garantizar la calidad de la extracción (objetivo: 99 % de precisión) y para soporte técnico, miembros autorizados del equipo de Ordifact pueden acceder a tu cuenta y revisar las facturas que has subido. Esto incluye:

Cola de revisión: cuando una factura tiene baja confianza, una persona la abre, la corrige si hace falta y la marca como revisada.
Suplantación administrativa: en caso de soporte, un administrador puede entrar en tu cuenta como si fuera tú. Cada acceso queda registrado en un log de auditoría con fecha, hora y administrador.

Todo el personal con acceso firma un acuerdo de confidencialidad y solo accede a los datos estrictamente necesarios.

7. Conservación de los datos

Facturas y datos fiscales: conservamos los ficheros originales y los datos extraídos durante 4 años desde la fecha de la factura, plazo mínimo exigido por la AEAT (Ley 58/2003, General Tributaria, art. 70).
Datos de cuenta y configuración: mientras tu restaurante esté activo en Ordifact.
Logs de auditoría e impersonación: 2 años desde el último acceso.
Tras la baja: cuando solicitas la eliminación o cancelas el servicio, ejecutamos un borrado completo de tus datos (cuenta, facturas, ficheros, líneas, correcciones, perfiles de proveedor) en menos de 30 días. Mantenemos un registro mínimo de la baja (slug, nombre del restaurante, fecha) para acreditar cumplimiento de tu solicitud.

8. Tus derechos

Como titular de los datos tienes los siguientes derechos sobre tu información personal:

Acceso: saber qué datos tratamos sobre ti.
Rectificación: corregir datos inexactos o incompletos.
Supresión («derecho al olvido»): pedir la eliminación de tus datos cuando ya no sean necesarios.
Oposición: oponerte al tratamiento basado en interés legítimo.
Limitación: pedir que se limite temporalmente el tratamiento.
Portabilidad: recibir tus datos en un formato estructurado y reutilizable.

Para ejercer cualquiera de estos derechos, escríbenos a hola@ordifact.com. Responderemos en un plazo máximo de un mes.

Si consideras que no hemos atendido correctamente tu solicitud, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

9. Cookies

Ordifact usa únicamente cookies técnicas estrictamente necesarias para el funcionamiento del servicio:

Cookie de sesión de NextAuth (autenticación).
Cookie ordifact_impersonate (cuando un administrador está suplantando una cuenta).

No usamos cookies de analítica, publicidad ni rastreo de terceros. Si en el futuro las añadimos, te pediremos consentimiento explícito a través de un banner.

10. Seguridad

Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256 en Azure y Supabase).
Contraseñas almacenadas con bcrypt (factor 12).
Aislamiento por inquilino: cada consulta a la base de datos filtra por restaurantId de la sesión autenticada.
Monitorización de errores y accesos administrativos auditados.

11. Cambios a esta política

Si modificamos esta política te avisaremos por email con al menos 15 días de antelación, salvo cambios menores no sustantivos. La versión vigente está siempre disponible en ordifact.com/privacidad con su fecha de última actualización.

12. Contacto

Email: hola@ordifact.com

Para cualquier asunto relacionado con tus datos personales, este es el canal directo.