POLÍTICA DE PRIVACIDAD
Versión 2.0 — Junio 2025
Preámbulo
La presente política de privacidad (la "Política") describe cómo ONAPPLI SAS, sociedad por acciones simplificada con un capital social de 32.000 €, inscrita en el Registro Mercantil de Toulouse con el número 793 220 914, con domicilio social en 52 chemin des Vivans, 31600 Muret, Francia ("ONappli", "nosotros", "nuestro", "el Proveedor"), recoge, trata y protege sus datos personales cuando utiliza la aplicación ONexpense (la "Aplicación") y el sitio web asociado (el "Sitio").
ONappli se compromete a respetar la normativa aplicable en materia de protección de datos personales, en particular el Reglamento (UE) 2016/679 de 27 de abril de 2016 (Reglamento General de Protección de Datos – "RGPD") y la ley n°78-17 de 6 de enero de 1978 modificada relativa a la informática, a los ficheros y a las libertades.
Artículo 1 – Responsable de tratamiento y DPO
1.1 Responsable de tratamiento
Para los datos relativos a la relación comercial y la gestión de las cuentas de Clientes:
- Responsable de tratamiento: ONAPPLI SAS
- Representante: Sr. Frédéric SOUHCKOFF, Presidente
- Dirección: 52 chemin des Vivans, 31600 Muret, Francia
- Email: support@onexpense.com
Para los datos tratados a través de la aplicación ONexpense por cuenta de los Clientes (especialmente datos relativos a los usuarios y a las notas de gastos):
El Cliente es responsable de tratamiento. ONappli actúa como encargado de tratamiento en el sentido del RGPD. Los derechos y obligaciones de las Partes a este respecto se especifican en el Artículo 10 de la presente Política.
1.2 Delegado de Protección de Datos
Se ha designado un Delegado de Protección de Datos (DPO) en el seno de ONappli.
- Email: dpo@onexpense.com
- Dirección postal: DPO – ONAPPLI SAS, 52 chemin des Vivans, 31600 Muret, Francia
Artículo 2 – Categorías de datos recogidos
Según el uso de la Aplicación y del Sitio, podemos recoger las siguientes categorías de datos personales:
2.1 Datos de identificación
- Apellido, nombre
- Dirección de correo electrónico profesional
- Número de teléfono (opcional)
- Contraseña (almacenada de forma hash)
- Razón social, número SIRET, número de IVA (para empresas clientes)
2.2 Datos relativos a la gestión de gastos
- Imágenes o archivos PDF de justificantes depositados por los usuarios
- Información extraída de los justificantes: comerciante, fecha, importe, IVA, medio de pago, lugar
- Metadatos asociados a las notas de gastos: fecha de creación, estado, validación
- Imputaciones contables y analíticas
2.3 Datos técnicos y de navegación
- Dirección IP
- Tipo y versión del navegador
- Sistema operativo
- Fecha y hora de consulta
- Páginas consultadas e interacciones con la Aplicación
- Identificador único del dispositivo (para aplicación móvil)
2.4 Datos de facturación
- Dirección de facturación
- Información de pago (los datos bancarios no son almacenados por ONappli sino transmitidos directamente a Stripe)
- Historial de facturación
Artículo 3 – Finalidades y bases jurídicas del tratamiento
| Finalidad | Base jurídica (RGPD) |
|---|---|
| Gestión de las cuentas de usuarios y autenticación | Ejecución del contrato (Art. 6.1.b) |
| Gestión de notas de gastos (captura, análisis, validación) | Ejecución del contrato (Art. 6.1.b) |
| Archivo con valor probatorio de los justificantes | Obligación legal (Art. 6.1.c) – Libro de Procedimientos Fiscales francés |
| Gestión de la relación con el cliente y soporte técnico | Ejecución del contrato (Art. 6.1.b) |
| Facturación y gestión de los pagos | Ejecución del contrato (Art. 6.1.b) |
| Seguridad de la Aplicación y prevención del fraude | Interés legítimo (Art. 6.1.f) |
| Análisis estadístico y mejora de los servicios | Interés legítimo (Art. 6.1.f) – Datos anónimos o pseudonimizados |
| Envío de comunicaciones comerciales (newsletter, ofertas) | Consentimiento (Art. 6.1.a) |
| Medición de audiencia (cookies) | Consentimiento (Art. 6.1.a) – A través del banner de cookies |
Artículo 4 – Destinatarios de los datos
Los datos personales pueden ser comunicados a las siguientes categorías de destinatarios:
4.1 Destinatarios internos
- Personal autorizado de ONappli (equipo técnico, soporte al cliente, dirección)
- El acceso está limitado a las personas cuya función requiere el acceso a los datos
4.2 Destinatarios externos (Subcontratistas)
ONappli recurre a los siguientes subcontratistas para la ejecución de sus servicios:
| Subcontratista | Finalidad | Localización de los datos |
|---|---|---|
| Microsoft Azure | Alojamiento de datos y aplicación, copias de seguridad | Europa del Norte / Europa del Oeste (UE) |
| Azure OpenAI | Reconocimiento óptico de caracteres (OCR) para extracción de datos | Francia (UE) – Solo tratamiento transitorio |
| Stripe | Tratamiento de los pagos | Unión Europea / Estados Unidos (CCT) |
| PostHog | Analytics producto (anónimo) | Unión Europea (Irlanda) |
| Universign | Firma electrónica y sellado de tiempo certificado | Francia (UE) |
| Novarchive | Archivo a largo plazo con valor probatorio | Francia (UE) |
| Cloudflare | Alojamiento del sitio web (CDN y seguridad) | Unión Europea |
| Servicios auxiliares (Crashlytics, Firebase Analytics para aplicación móvil) | Estados Unidos (CCT) |
Todos los subcontratistas están vinculados por cláusulas contractuales que imponen obligaciones de confidencialidad y seguridad conformes al RGPD.
4.3 Autoridades legales
Los datos pueden ser comunicados a las autoridades competentes (administración fiscal, autoridades judiciales) en caso de obligación legal o de requisición judicial.
Artículo 5 – Transferencias internacionales de datos
Principio general: Todos los datos personales se almacenan en la Unión Europea.
Excepciones: Ciertos subcontratistas (Stripe, Google) están establecidos en Estados Unidos. Las transferencias de datos hacia estos subcontratistas están reguladas por:
- Las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea
- Cualquier otro mecanismo apropiado reconocido por el RGPD (decisiones de adecuación, normas corporativas vinculantes)
Tratamiento OCR: En el marco del tratamiento de reconocimiento óptico de caracteres (Azure OpenAI), los datos técnicos (imágenes de justificantes) pueden transmitirse para tratamiento sin almacenamiento permanente fuera de la UE.
Artículo 6 – Duración de conservación de los datos
| Categoría de datos | Duración de conservación |
|---|---|
| Datos de cuenta de usuario | Duración de la suscripción + 3 años (prescripción) |
| Datos de notas de gastos y justificantes | 10 años (obligación legal – Libro de Procedimientos Fiscales francés) |
| Datos archivados con valor probatorio | 10 años desde la fecha de archivo |
| Datos de facturación | 10 años (obligación contable) |
| Registros técnicos (seguridad) | 6 meses |
| Cookies | Máximo 13 meses desde el depósito |
| Copias de seguridad (Azure cifrado) | 1 año móvil |
Al término del período de conservación, los datos se eliminan de forma segura o se anonimizan.
Artículo 7 – Seguridad de los datos
ONappli implementa medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos:
7.1 Medidas técnicas
- Cifrado en tránsito: TLS 1.2+ para todas las comunicaciones
- Cifrado en reposo: AES-256 para los datos almacenados (Azure Storage Encryption)
- Alojamiento seguro: Centros de datos Microsoft Azure certificados ISO 27001, SOC 2, conformes RGPD
- Copias de seguridad periódicas con procedimiento de restauración
- Supervisión continua de la seguridad y detección de intrusiones
7.2 Medidas organizativas
- Principio de menor privilegio: Acceso restringido al personal autorizado
- Autenticación multifactor (MFA) obligatoria para el personal de ONappli
- Sensibilización y formación del personal sobre protección de datos
- Procedimiento de notificación de brechas de datos: Información a la CNIL y a los Clientes en un plazo de 72 horas desde la detección
Artículo 8 – Cookies y rastreadores
8.1 Tipos de cookies utilizadas
| Categoría | Finalidad | Consentimiento |
|---|---|---|
| Cookies estrictamente necesarias | Autenticación, seguridad, memorización de la elección de consentimiento | No requerido |
| Cookies funcionales | Preferencias de idioma, configuración del usuario | No requerido |
| Cookies de análisis (PostHog) | Medición de audiencia, mejora de la Aplicación | Requerido (a través del banner) |
Nota: No se utilizan cookies publicitarias ni de segmentación en el Sitio ni en la Aplicación.
8.2 Gestión del consentimiento
Un banner de consentimiento de cookies conforme a la CNIL se muestra en la primera visita al Sitio. Puede en cualquier momento:
- Aceptar todas las cookies
- Rechazar las cookies no esenciales
- Configurar sus elecciones de forma precisa
- Modificar sus preferencias a través de la configuración de su navegador
8.3 Duración de las cookies
Las cookies se conservan durante un máximo de 13 meses desde su depósito, conforme a las recomendaciones de la CNIL.
Artículo 9 – Derechos de las personas afectadas
Conforme al RGPD (artículos 15 a 22), dispone de los siguientes derechos sobre sus datos personales:
| Derecho | Descripción |
|---|---|
| Derecho de acceso | Obtener confirmación del tratamiento y una copia de sus datos |
| Derecho de rectificación | Solicitar la corrección de datos inexactos o incompletos |
| Derecho de supresión ("derecho al olvido") | Solicitar la eliminación de sus datos (sin perjuicio de las obligaciones legales) |
| Derecho a la limitación del tratamiento | Solicitar la limitación del tratamiento de los datos |
| Derecho a la portabilidad de los datos | Recibir sus datos en un formato estructurado y de uso corriente |
| Derecho de oposición | Oponerse al tratamiento basado en el interés legítimo |
| Derecho a retirar el consentimiento | Retirar su consentimiento en cualquier momento (para tratamientos basados en el consentimiento) |
| Derecho a presentar una reclamación | Presentar una reclamación ante la CNIL (www.cnil.fr) |
Cómo ejercer sus derechos
Envíe su solicitud por correo electrónico a: dpo@onexpense.com, acompañada de un justificante de identidad.
La respuesta se proporcionará en un plazo de 30 días desde la recepción de la solicitud (prorrogable 2 meses en caso de solicitud compleja).
Para las solicitudes de supresión completa de datos, el tratamiento se realiza en un plazo máximo de 15 días laborables.
Artículo 10 – Relación de subcontratación (Contrato de tratamiento de datos)
Cuando ONappli actúa como encargado de tratamiento por cuenta de los Clientes (para los datos relativos a los usuarios y las notas de gastos), se aplican las siguientes obligaciones:
10.1 Obligaciones de ONappli
- Tratar los datos únicamente sobre la base de instrucciones documentadas del Cliente
- Garantizar que las personas autorizadas se comprometan a la confidencialidad
- Implementar medidas de seguridad apropiadas
- No recurrir a otro subcontratista sin la autorización previa por escrito del Cliente
- Asistir al Cliente para responder a las solicitudes de las personas afectadas
- Suprimir o devolver los datos al final del servicio, según la elección del Cliente
- Poner a disposición toda la información necesaria para demostrar el cumplimiento
10.2 Obligaciones del Cliente
- Garantizar la licitud del tratamiento de los datos efectuado a través de la Aplicación
- Informar a los usuarios del tratamiento de los datos
- Obtener los consentimientos necesarios cuando corresponda
- Cumplir con las solicitudes de ejercicio de derechos de las personas afectadas
Artículo 11 – Modificaciones de la Política
La presente Política puede ser actualizada en cualquier momento para reflejar las evoluciones legales, técnicas u organizativas.
En caso de modificación sustancial, los Clientes serán informados por correo electrónico con al menos 15 días de antelación a la entrada en vigor de la nueva versión.
La continuación del uso del servicio tras la notificación implica la aceptación de la nueva Política.
Artículo 12 – Contacto
Para cualquier pregunta relativa a la presente Política o al tratamiento de sus datos personales:
- DPO: dpo@onexpense.com
- Soporte general: support@onexpense.com
- Dirección postal: ONAPPLI SAS, 52 chemin des Vivans, 31600 Muret, Francia
Autoridad de control competente: Commission Nationale de l'Informatique et des Libertés (CNIL) – www.cnil.fr