Política de Privacidad – Fiscaro

Última actualización: marzo 2026

En Fiscaro.tax, operado por Blue Pepper S.L., nos tomamos muy en serio la protección de sus datos personales. Esta Política de Privacidad le informa detalladamente sobre cómo recopilamos, tratamos y protegemos sus datos personales.

1. Responsable del tratamiento

Blue Pepper S.L. (en formación) Carrer dels molins 6 07159 S'Arracó (Andratx) España Correo electrónico: rgpd@fiscaro.tax Representado por: Hanns-Christopher Deppe Nota: Hasta la inscripción de Blue Pepper S.L., Hanns-Christopher Deppe es el responsable del tratamiento a efectos del RGPD.

2. ¿Qué datos tratamos?

a) Cuenta de usuario y servicio fiscal – Nombre, dirección de correo electrónico, dirección de facturación – NIE/NIF (número de identificación fiscal español) – Datos inmobiliarios (referencia catastral, precio de compra, tipo de uso) – Datos de pago (solo Stripe — no almacenamos datos de tarjetas) – Historial de comunicaciones (consultas, soporte) b) Datos técnicos – Dirección IP (anonimizada por Plausible) – Tipo de navegador, sistema operativo, tipo de dispositivo (anonimizados) – Páginas visitadas, tiempo de permanencia (agregados, sin referencia personal) c) Correos electrónicos transaccionales – Dirección de correo electrónico para confirmaciones, actualizaciones de estado, liquidaciones fiscales

No vendemos datos a terceros – No realizamos tratamientos ocultos – No creamos perfiles encubiertos.

3. Bases legales del tratamiento

Finalidad del tratamiento | Base legal Ejecución del contrato (declaración fiscal) | Art. 6.1.b RGPD Procesamiento de pagos | Art. 6.1.b RGPD Obligaciones legales de conservación (fiscal, mercantil) | Art. 6.1.c RGPD Operación del sitio web, seguridad, prevención del fraude | Art. 6.1.f RGPD Estadísticas de uso anonimizadas (Plausible) | Art. 6.1.f RGPD Newsletter / marketing (con consentimiento) | Art. 6.1.a RGPD

4. Encargados del tratamiento y terceros proveedores

Utilizamos los siguientes servicios externos que actúan como encargados del tratamiento: Hosting e infraestructura: – Vercel Inc., San Francisco (EE.UU.): Hosting del sitio web y entrega edge. Transferencia de datos a EE.UU. basada en Cláusulas Contractuales Tipo (CCT) según el Art. 46 RGPD. DPA firmado. – Supabase Inc., San Francisco (EE.UU.): Base de datos y autenticación. Región UE configurada (eu-central-1). DPA firmado. CCT como garantía de respaldo. – Cloudflare Inc. (R2 Storage): Almacenamiento de documentos y archivos subidos. Región UE configurable. DPA firmado. CCT como base legal para transferencia a EE.UU. Procesamiento de pagos: – Stripe Payments Europe Ltd., Dublín (IE): Entidad de la UE, sin transferencia a terceros países para transacciones de la UE. DPA automático mediante ToS. Stripe almacena los datos de tarjetas en su propio sistema certificado PCI-DSS. Correo electrónico (transaccional): – Resend Inc., EE.UU.: Envío de correos transaccionales (confirmaciones, liquidaciones fiscales). Transferencia a EE.UU. basada en CCT. DPA a formalizar manualmente en resend.com/dpa. Marketing por correo electrónico: – Inxmail GmbH, Friburgo (DE): Newsletter y correos de marketing. Hosting exclusivamente en Alemania. Certificado ISO 27001 (TÜV Rheinland). Certificado CSA. Sin transferencia a terceros países. AVV a formalizar. Análisis: – Plausible Insights OÜ, Tallin (UE): Análisis web respetuoso con la privacidad. Sin cookies, sin datos personales, sin almacenamiento de IP. Alojado en la UE. Sin transferencia a terceros países.

5. Transferencias a terceros países

Los siguientes proveedores tienen su sede en EE.UU. o tratan datos allí: Vercel, Supabase, Cloudflare, Resend. Las transferencias se realizan sobre la base de Cláusulas Contractuales Tipo (CCT) según el Art. 46.2.c RGPD. Inxmail y Plausible tratan los datos exclusivamente en la UE — sin transferencia a terceros países.

6. Plazos de conservación

Categoría de datos | Plazo de conservación Cuenta de usuario (activa) | Duración de la relación contractual + 4 años (obligación fiscal de conservación ES) Declaraciones fiscales y liquidaciones | 10 años (obligación legal España) Datos de pago (Stripe) | Según las políticas de Stripe; no almacenamos datos de tarjetas Correos de marketing (consentimiento) | Hasta la retirada del consentimiento Datos de análisis (Plausible) | Agregados, sin referencia personal; sin obligación de eliminación Comunicación de soporte | 3 años desde el último contacto

7. Sus derechos

Tiene los siguientes derechos en virtud del RGPD frente a nosotros como responsables: – Derecho de acceso (Art. 15 RGPD) – Derecho de rectificación (Art. 16 RGPD) – Derecho de supresión (Art. 17 RGPD) – Derecho a la limitación del tratamiento (Art. 18 RGPD) – Derecho a la portabilidad de datos (Art. 20 RGPD) – Derecho de oposición (Art. 21 RGPD) – Derecho a retirar el consentimiento (Art. 7.3 RGPD) Para ejercer sus derechos, contacte con: rgpd@fiscaro.tax También tiene derecho a presentar una reclamación ante la autoridad española de protección de datos: Agencia Española de Protección de Datos (AEPD) — www.aepd.es

8. Seguridad de los datos

Implementamos medidas técnicas y organizativas para proteger sus datos: – Cifrado de todas las transferencias de datos mediante TLS/HTTPS – Acceso a la base de datos solo mediante llamadas API autenticadas (Supabase RLS) – Documentos en almacenamiento en nube aislado (Cloudflare R2, no accesible públicamente) – Certificación PCI-DSS de Stripe para datos de pago – Revisiones de seguridad periódicas

9. Modelo 210 — particularidades del tratamiento de datos fiscales

Fiscaro transmite datos fiscales a la Agencia Tributaria española (AEAT) en nombre del usuario. Esta transmisión: – Se realiza exclusivamente a petición expresa del usuario – Se basa en el Art. 6.1.b RGPD (ejecución contractual) – Está sujeta a los plazos de conservación legales del derecho fiscal español – Es estrictamente necesaria para la prestación del servicio La AEAT es una autoridad española — sin transferencia a terceros países. La transmisión de datos se realiza mediante conexiones cifradas.

10. Cambios en esta Política de Privacidad

Nos reservamos el derecho a actualizar esta Política de Privacidad cuando los cambios en nuestro servicio o los requisitos legales lo hagan necesario. La versión actual siempre está disponible en modelo210online.com/privacidad. Le notificaremos los cambios sustanciales por correo electrónico.

11. Contacto y consultas de privacidad

Blue Pepper S.L. (en formación) Responsable: Hanns-Christopher Deppe Carrer dels molins 6 07159 S'Arracó (Andratx) España Correo electrónico: rgpd@fiscaro.tax Tiempo de respuesta: Respondemos a las consultas de protección de datos en un plazo de 30 días.

12. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad para adaptarnos a cambios legales o mejoras del servicio. Última actualización: marzo 2026