Thundrik

Política de privacidad

Última actualización: 10 de junio de 2026

Borrador técnico generado a partir del funcionamiento real de la aplicación. Debe ser revisado por un profesional del derecho antes de su publicación definitiva.

1. Responsable del tratamiento

  • Responsable: [NOMBRE Y APELLIDOS O RAZÓN SOCIAL DEL TITULAR]
  • NIF: [NIF DEL TITULAR]
  • Domicilio: [DOMICILIO COMPLETO A EFECTOS DE NOTIFICACIONES]
  • Contacto para protección de datos: [EMAIL DE CONTACTO]

Esta política describe el tratamiento de los datos de los usuarios de la Plataforma (las empresas y autónomos que se registran y sus usuarios). Para los datos que cada empresa usuaria introduce sobre sus propios clientes, Thundrik actúa como encargado del tratamiento: ese tratamiento se rige por el contrato de encargo del anexo de los Términos del servicio y la responsable es la empresa usuaria.

2. Qué datos tratamos y para qué

a) Cuenta y prestación del servicio

  • Datos: nombre, email, contraseña (almacenada con hash criptográfico, nunca en claro), empresa, NIF y datos fiscales de la empresa.
  • Finalidad: crear y mantener la cuenta, prestar las funciones de la Plataforma.
  • Base jurídica: ejecución del contrato (art. 6.1.b RGPD).
  • Conservación: mientras la cuenta esté activa; tras la baja, lo necesario para atender responsabilidades legales.

b) Facturación de la suscripción

  • Datos: identificativos y fiscales de la empresa, estado de la suscripción. Los datos de tarjeta los trata directamente Stripe; nunca pasan por nuestros servidores.
  • Finalidad: cobro de la suscripción y emisión de las facturas del servicio.
  • Base jurídica: ejecución del contrato y obligación legal (arts. 6.1.b y 6.1.c RGPD).
  • Conservación: los plazos de la normativa fiscal y mercantil (mínimo 4 años, art. 66 LGT; 6 años, art. 30 Código de Comercio).

c) Seguridad y auditoría

  • Datos: registros de acceso y de acciones relevantes con fecha, email y dirección IP.
  • Finalidad: seguridad de la Plataforma, prevención de accesos no autorizados, trazabilidad exigible a un sistema de facturación.
  • Base jurídica: interés legítimo en la seguridad del servicio (art. 6.1.f RGPD) y obligación legal en lo relativo a los registros de facturación.
  • Conservación: los registros de seguridad se conservan un máximo de 12 meses, salvo que deban preservarse para la investigación de un incidente.

d) Comunicaciones

  • Datos: email de contacto.
  • Finalidad: emails transaccionales del servicio (avisos configurados por la propia empresa, resúmenes, incidencias). No enviamos comunicaciones comerciales de terceros.
  • Base jurídica: ejecución del contrato (art. 6.1.b RGPD).

3. Destinatarios y encargados

No se ceden datos a terceros salvo obligación legal. Para prestar el servicio empleamos los siguientes proveedores:

  • Proveedor de alojamiento (infraestructura en la Unión Europea)Alojamiento de la aplicación y de la base de datos. Ubicación: Unión Europea.
  • Stripe Payments Europe, Ltd. (Irlanda)Procesamiento de pagos de la suscripción. Ubicación: Unión Europea; transferencias a Stripe, Inc. (EE. UU.) amparadas en el Data Privacy Framework y cláusulas contractuales tipo.
  • Proveedor de email transaccional (Unión Europea)Envío de los emails de la plataforma (documentos, avisos). Ubicación: Unión Europea.

La infraestructura se aloja en la Unión Europea. La única transferencia internacional posible es la derivada del procesamiento de pagos por Stripe, amparada en el EU-U.S. Data Privacy Framework y en cláusulas contractuales tipo de la Comisión Europea.

4. Tus derechos

Puedes ejercer los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad escribiendo a [EMAIL DE CONTACTO], acreditando tu identidad. Ten en cuenta que las facturas y los registros de facturación Verifactu deben conservarse durante los plazos legales aunque se solicite la supresión (art. 17.3.b RGPD). También puedes reclamar ante la Agencia Española de Protección de Datos (aepd.es).

5. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas (art. 32 RGPD): cifrado del tráfico, contraseñas con hash y sal, sesiones con tokens aleatorios, bloqueo ante intentos de acceso, aislamiento de datos por empresa, registro de auditoría, copias de seguridad diarias y contenedores con privilegios mínimos. El detalle está en el anexo de medidas de seguridad de los Términos del servicio.

6. Menores

La Plataforma es un servicio profesional no dirigido a menores de edad.