Reglamento General de Protección de Datos (RGPD)

En Vendenius nos tomamos muy en serio tu privacidad y la protección de tu información personal. Esta página explica de forma clara y transparente qué datos recopilamos, por qué lo hacemos, cómo los utilizamos y cuáles son tus derechos conforme al Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD española.

1. ¿Quién es el responsable del tratamiento?

Responsable: BuzzyBees, S.L.
CIF: B67818427
Domicilio: C/ Guillermo Rahn, 35, Puerto de la Cruz, España
Email de contacto / DPO: data@vendenius.com

2. ¿Qué datos personales recopilamos?

Vendenius es una plataforma SaaS integral de gestión empresarial que incluye TPV, facturación, CRM, inventario y análisis. Para prestar nuestros servicios tratamos las siguientes categorías específicas de datos:

Categorías principales de datos personales

• Datos de identificación personal: nombre, apellidos, email, ID único (UUID), códigos de empleado TPV
• Credenciales y autenticación: contraseñas cifradas (bcrypt), IDs de Google/Apple, tokens OAuth 2.0 (access, refresh, CSRF)
• Datos empresariales y fiscales: razones sociales, CIF/NIF/VAT, direcciones fiscales, información de tiendas, horarios comerciales
• Información de clientes/terceros: contactos comerciales, direcciones, identificadores fiscales, historial transaccional
• Datos financieros y transaccionales: facturas, recibos TPV, pagos, impuestos, métodos de pago, devoluciones
• Inventario y productos: catálogos, precios, categorías, disponibilidad, traducciones
• Recursos humanos: datos de empleados, categorías laborales, fechas de empleo, métricas de rendimiento
• Comunicaciones: plantillas email, listas destinatarios, registros envío, listas negras
• Datos técnicos y analíticos: IPs, logs de actividad, estadísticas de uso, reportes financieros, auditoría de operaciones
• Compliance Veri*factu: registros fiscales para la Agencia Tributaria, cancelaciones, estados de cumplimiento

Datos específicos por funcionalidad

• Sistema TPV: transacciones, artículos vendidos, cantidades, empleado cajero, método pago
• Facturación: numeración, importes, cálculos fiscales, plantillas personalizadas, estados de pago
• CRM: segmentación clientes, historial compras, preferencias, clasificaciones
• Control de acceso: relaciones usuario-tienda, permisos granulares, roles diferenciados
• Integraciones: webhooks Slack, servicios email (AWS SES), procesadores pago

3. ¿Con qué finalidad tratamos tus datos?

Procesamos tus datos para las siguientes finalidades específicas y legítimas:

Operación de la plataforma empresarial

• Gestión de cuentas: autenticación OAuth 2.0, control sesiones, permisos usuario-tienda
• TPV y ventas: procesamiento transacciones, emisión recibos, gestión devoluciones
• Facturación: creación, personalización y envío automático de facturas
• CRM integrado: gestión clientes, historial compras, segmentación comercial
• Inventario: control productos, categorías, precios, disponibilidad multitienda
• Recursos humanos: gestión empleados, métricas rendimiento, control accesos TPV

Cumplimiento legal y fiscal

• Veri*factu: cumplimiento obligatorio con la Agencia Tributaria española
• Contabilidad: archivo registros fiscales, conservación documentos legales
• Auditoría: trazabilidad completa de operaciones, timestamps de transacciones
• Reporting fiscal: generación informes para declaraciones impuestos

Comunicaciones empresariales

• Envío facturas: delivery automático email a clientes finales
• Notificaciones: alertas sistema, actualizaciones importantes de plataforma
• Soporte técnico: resolución incidencias, atención especializada
• Gestión emails: validación direcciones, listas negras, plantillas personalizadas

Análisis y optimización

• Business Intelligence: estadísticas ventas, análisis tendencias, forecasting
• Métricas operativas: rendimiento empleados, productividad por tienda
• Optimización plataforma: análisis uso para mejoras funcionales
• Reportes personalizados: dashboards ejecutivos, KPIs empresariales

Seguridad y prevención fraudes

• Autenticación robusta: tokens CSRF, validación sesiones, OAuth seguro
• Monitorización: detección accesos anómalos, patrones sospechosos
• Auditoría seguridad: logs detallados, trazabilidad operaciones críticas
• Protección datos: backup automático, recuperación desastres

4. ¿Cuál es la base legal que legitima el tratamiento?

• Ejecución de un contrato: necesitamos tus datos para prestarte el servicio conforme a los Términos y Condiciones.
• Cumplimiento de obligaciones legales: obligación fiscal, normativa de facturación y leyes contables.
• Interés legítimo: garantizar la seguridad, prevenir fraudes y mejorar el servicio.
• Consentimiento: envío de comunicaciones comerciales (solo si lo consientes).

5. ¿Durante cuánto tiempo conservamos tus datos?

Aplicamos períodos de retención diferenciados según la naturaleza de los datos y las obligaciones legales aplicables:

Datos de autenticación y sesión

• Información de cuenta: durante vida útil de la cuenta activa
• Access tokens: hasta expiración automática (por defecto 1 hora)
• Refresh tokens: revocación inmediata al cerrar sesión
• Tokens CSRF: duración de la sesión web activa
• IDs externos (Google/Apple): vinculados al ciclo de vida de cuenta

Datos empresariales y fiscales

• Registros contables: mínimo 6 años post-cancelación (obligación legal)
• Facturas y recibos: conservación indefinida para auditorías fiscales
• Datos Veri*factu: según requerimientos Agencia Tributaria
• Información fiscal entidades: archivo legal permanente
• Transacciones TPV: conservación contable obligatoria

Datos operativos y de clientes

• Información clientes: borrado lógico (soft delete), recuperación posible
• Datos empleados: histórico laboral según legislación aplicable
• Productos e inventario: hasta eliminación manual o cierre negocio
• Métricas rendimiento: agregación y anonimización tras 12 meses

Comunicaciones y logs técnicos

• Registros email: 12 meses para soporte y delivery status
• Lista negra emails: permanente para protección servicio
• Logs actividad: 12 meses para soporte técnico y seguridad
• Auditoría operaciones: 3 años para compliance y regulación
• Backups cifrados: 30 días en almacenamiento seguro

6. ¿Compartimos tus datos con terceros?

Solo compartimos información con:

• Proveedores de infraestructura (centros de datos en la UE y servicios cloud que alojan nuestra base de datos y servidores).
• Procesadores de pago para gestionar suscripciones (Stripe u otros).
• Servicios de email transaccional (por ejemplo, AWS SES) para envíos de notificaciones.
• Autoridades públicas cuando lo exija la ley.

Todos los proveedores han firmado con nosotros las Cláusulas Contractuales Tipo u ofrecen garantías equivalentes de protección de datos.

7. Transferencias internacionales de datos

Cuando nuestros proveedores estén ubicados fuera del Espacio Económico Europeo, nos aseguramos de que ofrezcan un nivel de protección equivalente (SCCs, Privacy Shield sucesor o decisiones de adecuación).

8. Seguridad de la información

Implementamos medidas técnicas y organizativas robustas para garantizar la máxima protección de tus datos:

Seguridad de autenticación avanzada

• Cifrado contraseñas: bcrypt con factor coste 12 y salt único por usuario
• OAuth 2.0 completo: access tokens, refresh tokens con expiración y revocación
• Autenticación federada: integración segura Google Sign-In y Apple ID
• Protección CSRF: tokens únicos por sesión para prevenir ataques
• Identificadores seguros: UUID v4 criptográficamente seguros

Cifrado y protección de datos

• Tránsito: TLS 1.2+ obligatorio para todas las comunicaciones
• Reposo: AES-256 para almacenamiento de datos sensibles
• Base de datos: conexiones cifradas y credenciales protegidas
• Backups: cifrado end-to-end de copias de seguridad

Control de acceso granular

• Roles diferenciados: empleado, administrador, propietario con permisos específicos
• Control multitienda: accesos segmentados por establecimiento
• Auditoría completa: logs detallados de todas las operaciones con timestamp
• Borrado lógico: soft delete para prevenir pérdida accidental de datos

Seguridad de infraestructura

• Centros datos UE: infraestructura certificada en territorio europeo
• Redundancia: sistemas replicados para alta disponibilidad
• Monitorización 24/7: alertas proactivas de seguridad y rendimiento
• Actualizaciones automáticas: parches de seguridad regulares

Protección aplicación y datos

• Prepared statements: prevención total de SQL injection
• Validación entrada: sanitización completa de datos usuario
• Filtrado contenido: eliminación automática enlaces externos no autorizados
• Lista negra inteligente: bloqueo automático direcciones problemáticas
• Validación email: verificación formato y existencia

9. Tus derechos

Como usuario puedes ejercer los siguientes derechos:

• Acceso a tus datos personales.
• Rectificación de datos inexactos.
• Supresión (derecho al olvido) cuando no exista obligación legal de conservarlos.
• Limitación del tratamiento.
• Oposición al tratamiento en determinadas circunstancias.
• Portabilidad de tus datos a otro proveedor.
• No ser objeto de decisiones automatizadas.

Para ejercer cualquiera de estos derechos envía un correo a data@vendenius.com adjuntando una copia de tu documento de identidad. Responderemos en un máximo de 30 días.

10. Reclamaciones

Si consideras que tus datos no han sido tratados correctamente puedes presentar una reclamación ante la Agencia Española de Protección de Datos.

11. Actualizaciones de esta política

Esta página puede actualizarse para reflejar cambios legislativos o nuevas funcionalidades. Te notificaremos de forma visible o por correo cuando se produzcan modificaciones sustanciales.

12. Contacto y consultas

Para cualquier consulta relacionada con el tratamiento de datos personales:

• Delegado de Protección de Datos: data@vendenius.com
• Email legal: legal@vendenius.com
• Dirección postal: C/ Guillermo Rahn, 35, Puerto de la Cruz, España

Fecha de la última actualización: 08/10/2025