Política de Privacidad
Última actualización: 17 de abril de 2026
1. Responsable del tratamiento
El responsable del tratamiento de tus datos personales es Daniel Arechavala Millán (en adelante, "nosotros", "FlotaFácil" o "el Servicio"), con NIF 47284652X y domicilio en Calle Monte Sinaí 1, 28981 Parla (Madrid), España.
Canal de contacto para asuntos de privacidad: privacidad@flotafacil.es. Para el resto de cuestiones puedes escribirnos a contacto@flotafacil.es.
2. Doble rol: responsable y encargado del tratamiento
FlotaFácil trata datos personales en dos figuras distintas:
- Como responsable: de los datos de las personas que abren cuenta y usan directamente la plataforma (administradores, gestores, conductores que inician sesión). Esta política cubre ese tratamiento.
- Como encargado:de los datos de terceros que un cliente empresa introduce en su cuenta —t í picamente sus propios conductores, sus vehículos, sus gastos. En ese caso el cliente empresa es el responsable y FlotaFácil actúa por cuenta suya, limitándose a lo que dicta el contrato de encargo (ver Términos de Servicio).
3. Datos que tratamos
Tratamos únicamente los datos que tú (o tu empresa) introducís en la plataforma y los estrictamente necesarios para operarla. Por categoría:
| Categoría | Datos concretos | Origen |
|---|---|---|
| Identidad y contacto | Nombre, email, contraseña (almacenada con hash bcrypt cost 12), teléfono, imagen de perfil. | El propio usuario al registrarse. |
| Datos de empresa | Razón social, CIF/NIF, dirección fiscal, provincia, código postal, email y teléfono de contacto, logotipo. | El administrador de la organización. |
| Credenciales OAuth (Google) | Identificador de cuenta Google, tokens de acceso y refresh cifrados. Usado solo para el inicio de sesión. | Google, al autorizar el acceso. |
| Segundo factor (2FA) | Secreto TOTP (cifrado con AES-256-GCM) y códigos de recuperación (hash bcrypt). Solo si el usuario activa 2FA. | El propio usuario. |
| Datos de conductores | Nombre, apellidos, DNI, número y tipo de carnet, fecha de caducidad, email y teléfono, notas. | Introducidos por la empresa cliente (rol de encargado). |
| Datos de vehículos | Matrícula, VIN, marca, modelo, kilometraje, documentos (ITV, seguros, permiso de circulación). | La empresa cliente. |
| Datos de geolocalización | Latitud, longitud, velocidad, dirección y precisión de los vehículos de la flota, con sello temporal. Ver sección 6 con el régimen reforzado del art. 89 LOPDGDD. | Dispositivo del conductor o servicio GPS. |
| Gastos y facturación interna | Importe, fecha, proveedor, referencia de factura, kilometraje, notas. Facturas subidas por el usuario (PDF/ imagen). | La empresa cliente. |
| Datos de facturación de la suscripción | Identificador de cliente de Stripe, identificador de suscripción, fecha de renovación. Los datos de la tarjeta no pasan por FlotaFácil; los guarda Stripe. | Stripe y el propio usuario. |
| Notificaciones push | Endpoint y claves criptográficas del navegador/dispositivo para enviar notificaciones. Solo si el usuario las activa. | El navegador del usuario. |
| Registros de seguridad (audit log) | Id de usuario, email, acción realizada, entidad afectada, timestamp. Sin contenido de cada campo modificado. | Generado por el propio sistema al operar. |
| Feedback y solicitudes de mejora | Mensaje, categoría, página desde la que se envió. Si el feedback es público (roadmap), se puede marcar como anónimo. | El propio usuario. |
| Datos técnicos | Dirección IP (transitoria en logs), tipo de navegador, sistema operativo, cookies estrictamente necesarias (ver Política de Cookies). | La navegación del usuario. |
| Datos de analítica (opt-in) | Eventos anonimizados de uso de la web, métricas de carga y conversiones de Google Ads. Solo si el usuario acepta la categoría "analítica y marketing" en el banner de cookies. | Google LLC y Vercel Inc. (ver sección 8). |
4. Bases legales y finalidades
Cada categoría de datos se trata sobre una base legal concreta del art. 6 RGPD:
| Finalidad | Base legal |
|---|---|
| Crear la cuenta y prestar el servicio de gestión de flotas. | Ejecución de contrato (art. 6.1.b RGPD). |
| Facturación y cobro de la suscripción vía Stripe. | Ejecución de contrato + obligación legal fiscal (art. 6.1.b y 6.1.c RGPD). |
| Envío de emails transaccionales (verificación de cuenta, reset de contraseña, alertas de documentos a punto de caducar). | Ejecución de contrato (art. 6.1.b RGPD). |
| Seguimiento GPS de vehículos de la flota. | Interés legítimo del empleador + art. 89 LOPDGDD con aviso previo al trabajador (ver sección 6). |
| Registro de auditoría y medidas anti-fraude (lockout tras intentos fallidos, rate limiting). | Interés legítimo + obligación legal (art. 32 RGPD y 6.1.f). |
| Envío de notificaciones push cuando las has activado. | Consentimiento (art. 6.1.a RGPD). |
| Analítica web, medición de conversiones y rendimiento. | Consentimiento (art. 6.1.a RGPD y 22.2 LSSI). |
| Emails de onboarding (day 1, 3, 7, 12 tras registro). | Interés legítimo en la fidelización durante el periodo de prueba (art. 6.1.f RGPD). Puedes darte de baja desde los propios emails. |
5. Si eres una empresa cliente: tus conductores
Cuando una empresa da de alta a sus conductores dentro de FlotaFácil, esa empresa es la responsable del tratamiento de los datos de sus trabajadores (nombre, DNI, carnet, contacto) y FlotaFácil actúa como encargado, limitándose a alojar y procesar esos datos para prestar el servicio. El marco del encargo se rige por los Términos de Servicio y el DPA subyacente con cada subencargado (ver sección 8).
La empresa cliente es quien debe:
- Informar a cada conductor de que sus datos personales se están tratando en FlotaFácil (cláusula informativa laboral).
- Recabar las bases legales aplicables (normalmente contrato laboral + interés legítimo empresarial).
- Atender los derechos ARSOPL que ejerza el conductor frente a la propia empresa.
6. GPS y control de vehículos (art. 89 LOPDGDD)
FlotaFácil puede registrar la geolocalización en tiempo real de los vehículos de la flota cuando la empresa cliente activa esta funcionalidad. Este tratamiento tiene un régimen específico conforme al art. 89 de la LOPDGDD:
- Aviso previo: la empresa cliente debe informar de manera expresa, clara e inequívoca a los conductores, antes de activar el GPS, sobre la finalidad, los datos que se van a tratar, los destinatarios y los derechos que les asisten.
- Finalidad limitada: los datos solo se tratan para el control laboral del vehículo durante la jornada, nunca para monitorizar al trabajador fuera del horario.
- Proporcionalidad: la precisión, frecuencia de muestreo y retención están limitadas a lo necesario.
- Retención: el histórico de posiciones se conserva un máximo de 90 días desde su registro, salvo que una obligación legal exija conservarlo más tiempo (p. ej. investigación de un siniestro).
- Desactivación: el conductor puede desactivar el envío de GPS desde su propio dispositivo en los periodos de descanso.
7. Plazos de conservación
| Datos | Plazo |
|---|---|
| Cuenta de usuario activa | Mientras la cuenta está activa. Tras baja o inactividad prolongada sin suscripción, borrado en 30 días. |
| Datos de facturación, gastos e ingresos ligados a la empresa | 6 años tras el cierre del ejercicio fiscal (Código de Comercio y LGT). |
| Histórico GPS | 90 días desde el registro. |
| Logs de auditoría | 2 años desde su creación. |
| Tokens de verificación / reset de contraseña | Hasta su consumo o 24 horas, lo que ocurra antes. |
| Logs técnicos con IP | 30 días (retención por defecto del proveedor de infraestructura). |
| Feedback en el roadmap público | Indefinido como histórico del producto. Si marcaste el envío como anónimo, no se asocia a tu email. |
Terminados los plazos anteriores, los datos se suprimen o anonimizan. Los datos ligados a obligaciones fiscales y contables se conservan bloqueados durante el plazo restante de prescripción de responsabilidades.
8. Destinatarios y subencargados
Compartimos datos con proveedores tecnológicos estrictamente necesarios para operar el servicio. Todos firman (o tienen suscritas) cláusulas de encargado del tratamiento (DPA) con las garantías del art. 28 RGPD:
| Proveedor | Función | Ubicación de los datos |
|---|---|---|
| Supabase (Supabase Inc.) | Base de datos PostgreSQL y almacenamiento de ficheros (logos, documentos de vehículos). | Unión Europea (eu-north-1). |
| Vercel (Vercel Inc.) | Alojamiento y ejecución de la aplicación web. Analítica web y Speed Insights (solo con consentimiento). | Estados Unidos, con cláusulas contractuales tipo (SCCs). |
| Stripe (Stripe Payments Europe Ltd.) | Procesamiento de pagos y facturación. PCI DSS nivel 1. | Unión Europea (Irlanda) con transferencias a EE.UU. cubiertas por SCCs. |
| Resend (Resend Inc.) | Envío de emails transaccionales (verificación, reset, alertas). | Estados Unidos, con cláusulas contractuales tipo (SCCs). |
| Google (Google Ireland Ltd.) | Inicio de sesión con OAuth (solo los usuarios que lo usen). Google Ads y Google Analytics (solo con consentimiento). | Unión Europea con transferencias a EE.UU. bajo SCCs y Data Privacy Framework. |
No vendemos, alquilamos ni cedemos tus datos personales a terceros con fines comerciales. Solo podríamos comunicarlos a autoridades públicas cuando una obligación legal o un requerimiento judicial nos lo exija.
9. Transferencias internacionales
Algunos de nuestros subencargados almacenan datos en Estados Unidos (Vercel, Resend) o realizan transferencias puntuales (Stripe, Google). Todas esas transferencias están cubiertas por:
- Cláusulas contractuales tipo (SCCs) aprobadas por la Comisión Europea.
- Adhesión de los proveedores al EU-US Data Privacy Framework cuando resulta aplicable.
- Medidas técnicas adicionales (cifrado en tránsito y en reposo, separación lógica por organización).
10. Tus derechos
Como usuario del servicio tienes, conforme al RGPD y la LOPDGDD, los siguientes derechos:
- Acceso: solicitar una copia de todos los datos personales que tenemos sobre ti.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión: solicitar la eliminación de tus datos (derecho al olvido).
- Oposición: oponerte al tratamiento basado en interés legítimo.
- Portabilidad: recibir tus datos en formato estructurado (JSON o CSV).
- Limitación: pedir que bloqueemos el uso de tus datos en determinadas circunstancias.
- Retirada del consentimiento: en cualquier momento, sin efectos retroactivos, desde el propio banner de cookies o desde los ajustes de notificaciones.
Para ejercerlos escríbenos a privacidad@flotafacil.es adjuntando un documento que acredite tu identidad (DNI o equivalente). Responderemos en un plazo máximo de un mes, prorrogable a dos meses si la complejidad lo justifica.
Si consideras que no hemos atendido correctamente tu solicitud puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).
11. Medidas de seguridad
Aplicamos medidas técnicas y organizativas adecuadas al riesgo del tratamiento, entre ellas:
- Cifrado en tránsito mediante TLS 1.3 y HSTS con subdominios y preload.
- Cifrado en reposo para datos sensibles: contraseñas con bcrypt cost 12, secretos TOTP con AES-256-GCM, códigos de recuperación con bcrypt.
- Aislamiento multi-tenant: cada consulta filtra por
organization_idde modo que ningún usuario accede a datos de otra empresa. - Segundo factor (TOTP) disponible para todos los roles.
- Bloqueo temporal de cuenta tras 5 intentos fallidos durante 10 minutos.
- Registro de auditoría de acciones sensibles (creación, edición, eliminación de entidades, cambios de permisos).
- Política de contraseñas: 10 caracteres mínimos, rechazo de contraseñas comunes, con detección y re-hash transparente al iniciar sesión si el hash antiguo era más débil.
- Content Security Policy, cabeceras HSTS, X-Frame-Options, referrer-policy restrictiva y subida de ficheros con verificación de magic bytes.
- Backups automáticos diarios mediante un endpoint protegido por secreto rotable.
12. Decisiones automatizadas y perfilado
FlotaFácil no adopta decisiones que produzcan efectos jurídicos significativos sobre los usuarios de forma automatizada y no realiza perfilado con esos efectos. Las alertas y notificaciones automáticas (vencimientos, mantenimientos, recordatorios) son avisos informativos que el usuario puede ignorar.
13. Delegado de Protección de Datos
FlotaFácil no ha designado Delegado de Protección de Datos (DPO). No concurre ninguno de los supuestos del art. 37 RGPD: no es una autoridad pública, no realiza observación sistemática a gran escala ni trata datos sensibles a gran escala. Todas las consultas de privacidad se gestionan directamente por el responsable del tratamiento a través de privacidad@flotafacil.es.
14. Menores de edad
FlotaFácil es un servicio B2B dirigido a empresas. No está pensado para menores de edad y no solicitamos ni tratamos datos de menores de 14 años (umbral del art. 7 LOPDGDD).
15. Cambios en esta política
Podemos actualizar esta política para reflejar cambios en la plataforma o en el marco normativo. Si los cambios son significativos (nuevas finalidades o subencargados) te lo notificaremos por email o con un aviso dentro de la aplicación antes de que entren en vigor. La fecha de la última actualización aparece al principio.
16. Contacto
Para cualquier consulta sobre esta política: