Política de Privacidad

Última actualización: febrero 2026 · Conforme al RGPD (UE) 2016/679 y LOPDGDD 3/2018

1. Responsable del Tratamiento

STRATUM CFO es una plataforma SaaS de análisis financiero para PYMEs, operada por su entidad titular (en adelante, "el Responsable"). El Responsable determina los fines y medios del tratamiento de los datos personales recogidos a través de la plataforma.

Para cualquier consulta relacionada con la protección de datos, puede contactar con el Responsable a través de la dirección de correo electrónico proporcionada en su contrato de servicio o mediante el panel de administración de la plataforma.

2. Datos Personales que Recopilamos

Recopilamos las siguientes categorías de datos:

2.1 Datos de cuenta

  • Nombre de usuario y dirección de correo electrónico.
  • Contraseña cifrada (hash bcrypt irreversible).
  • Rol asignado (administrador, usuario, cliente).
  • Fecha de registro y fecha de última conexión.
  • Aceptación de los términos de uso y política de privacidad (fecha y hora).

2.2 Datos financieros empresariales

  • Archivos de presupuesto y datos de ejecución real.
  • Extractos bancarios y movimientos de cuenta.
  • Facturas emitidas y recibidas.
  • Datos de cobros y pagos.
  • Informaciones sectoriales del perfil de empresa.

Nota importante: Los archivos financieros subidos son datos empresariales, no datos personales en sentido estricto. No obstante, les aplicamos las mismas garantías de confidencialidad y seguridad.

2.3 Datos técnicos y de uso

  • Dirección IP, tipo de navegador y sistema operativo.
  • Registros de acceso (inicio/cierre de sesión) con marca temporal.
  • Análisis realizados, módulos utilizados y acciones ejecutadas.
  • Registros de seguridad para detección de accesos no autorizados.

3. Finalidad del Tratamiento

  • Prestación del servicio: Proporcionar las funcionalidades de análisis financiero (Control Financiero, Supervivencia, Decisiones) solicitadas por el usuario.
  • Seguridad: Detectar y prevenir accesos no autorizados, intentos de intrusión y uso fraudulento.
  • Mejora del servicio: Analizar patrones de uso de forma agregada para mejorar la experiencia.
  • Cumplimiento legal: Cumplir con obligaciones legales aplicables.
  • Comunicaciones: Informar sobre cambios en el servicio o actualizaciones de seguridad.

4. Base Legal del Tratamiento (art. 6 RGPD)

Tratamiento Base legal
Crear y gestionar cuenta de usuario Ejecución del contrato (art. 6.1.b)
Procesar archivos financieros para análisis Ejecución del contrato (art. 6.1.b)
Registros de seguridad y auditoría Interés legítimo (art. 6.1.f)
Envío de datos agregados a IA (OpenAI) Consentimiento del usuario (art. 6.1.a)
Cumplimiento de obligaciones legales Obligación legal (art. 6.1.c)

5. Protección de Archivos Subidos

  • Los archivos financieros se almacenan en directorios aislados por usuario (user_id), sin acceso cruzado entre cuentas.
  • Los análisis se guardan como snapshots JSON inmutables, identificados por UUID único.
  • Los archivos originales se procesan en memoria y no se almacenan de forma permanente tras el análisis.
  • Las contraseñas se cifran con hash bcrypt (coste 12), siendo irreversibles.
  • Autenticación obligatoria y control de roles para todo acceso a datos.
  • Cabeceras de seguridad HTTP (X-Content-Type-Options, X-Frame-Options, CSP).
  • Protección CSRF activa en todos los formularios.
  • Rate limiting para prevenir ataques de fuerza bruta.

6. Uso de Inteligencia Artificial

Cuando el usuario activa la funcionalidad de IA (opcional), datos agregados y anonimizados del análisis se envían a OpenAI para generar interpretaciones narrativas.

  • Nunca se envían datos personales identificables (nombre, email, IP).
  • Se envían únicamente KPIs calculados, alertas y tablas de datos agregados.
  • La IA no tiene acceso a los archivos originales subidos.
  • Principio anti-alucinación: Python calcula todos los números; la IA solo interpreta.
  • Si la IA no está disponible, el sistema genera informes basados en reglas sin pérdida funcional.

Política de privacidad de OpenAI: openai.com/policies/privacy-policy.

7. Derechos del Usuario (Derechos ARCO-POL)

Conforme al RGPD y la LOPDGDD, usted tiene derecho a:

Acceso

Conocer qué datos personales suyos tratamos y obtener una copia.

Rectificación

Corregir datos inexactos o incompletos.

Supresión

Solicitar la eliminación de sus datos ("derecho al olvido").

Oposición

Oponerse al tratamiento por motivos legítimos.

Portabilidad

Recibir sus datos en formato estructurado (JSON, CSV).

Limitación

Restringir el tratamiento en determinadas circunstancias.

Para ejercer estos derechos, contacte con el administrador de su organización. Plazo máximo de respuesta: 30 días.

Puede presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

8. Transferencias Internacionales de Datos

Cuando se utiliza la funcionalidad de IA, datos agregados pueden transferirse a servidores de OpenAI ubicados en EE.UU., amparados por el marco EU-US Data Privacy Framework. No se realizan otras transferencias internacionales.

9. Conservación de Datos

  • Datos de cuenta: Mientras la cuenta permanezca activa. Eliminados en 30 días tras solicitud de baja.
  • Análisis y snapshots: Mientras la cuenta esté activa. Eliminables individualmente.
  • Registros de seguridad: 12 meses.
  • Registros de aceptación legal: 5 años (normativa mercantil).

10. Menores de Edad

STRATUM CFO es una herramienta profesional dirigida a empresas. No está destinada a menores de 18 años.

11. Modificaciones

Los cambios sustanciales se comunicarán con al menos 15 días de antelación. El uso continuado del servicio implica la aceptación de los cambios.

← Volver al Panel | Términos de Uso Cookies Aviso Legal