Hola, Política de Privacidad
Este documento ha sido traducido únicamente con fines ilustrativos. Por favor, consulte nuestra documentación en inglés para conocer los acuerdos legalmente vinculantes.
Fecha de entrada en vigor: 28 de septiembre de 2025
Última actualización: 28 de septiembre de 2025
Esta Política de Privacidad explica cómo Hola Finance ("Hola Finance", "nosotros", "nos", "nuestro") procesa los datos personales. La escribimos para ser detallados de manera que cubra tanto escenarios comunes como casos límite, incluyendo soporte y acceso de ingeniería para la resolución de incidencias. Si algo aquí entra en conflicto con la ley obligatoria, la ley prevalece.
Resumen rápido (no vinculante)
Estamos basados en España y cumplimos con el GDPR de la UE.
Actuamos como Responsables para nuestro sitio web, administración de cuentas, facturación, soporte, seguridad y marketing. Actuamos como Encargados para los datos de workspace que cargues/conectes (facturas, gastos, archivos, importaciones de buzones, conexiones contables/bancarias).
Almacenamos datos en la UE (preferiblemente en Alemania) y podemos usar subencargados de la UE; cuando ocurren transferencias fuera del EEE, usamos Cláusulas Contractuales Estándar (SCCs) y salvaguardas.
Encriptamos datos en tránsito; contraseñas, claves API y tokens se encriptan en reposo. Otros registros comerciales pueden no estar encriptados en reposo pero están protegidos por controles de acceso y seguridad de infraestructura.
Tras el cierre de una cuenta, anonimizamos los datos de workspace cuando es posible y mantenemos los mínimos identificadores necesarios para cumplir con obligaciones legales/auditorías/supresión (nombre, apellido, correo electrónico).
Responsable: Harrison Spink (ID Fiscal: Y8624202K)
Nombre comercial: Hola Finance
Dirección: Calle Granada 7, Vélez Rubio, 04820, España
Correo electrónico: hello@hola.money
Tabla de contenidos
Alcance y roles
Qué recopilamos
Propósitos y bases legales
Fuentes de datos
Casos especiales (contables y autoridades fiscales)
Subprocesadores (registro)
Dónde procesamos datos y transferencias internacionales
Medidas de seguridad
Acceso por soporte y ingeniería (quick-fix)
Retención y eliminación de datos
Tus derechos
Niños
Cookies y seguimiento
Conectores móviles y locales
Integraciones y API
Toma de decisiones automatizada
Transferencias de negocio
Quejas y contacto
Cambios en esta política
Definiciones clave
1) Alcance y roles
Alcance. Esta política se aplica a nuestro sitio web, aplicaciones (incluyendo aplicaciones móviles NativePHP), APIs y servicios relacionados.
Roles.
Responsable. Somos los Responsables para la creación de cuentas, facturación y cobros, monitoreo de seguridad, prevención de abuso, comunicaciones de servicio y nuestro marketing.
Encargado. Para el contenido que subas o conectes a tu workspace (e.g., facturas, gastos, archivos, importaciones de buzones, datos contables y bancarios), procesamos como tu Encargado bajo el Art. 28 del GDPR. Un resumen del DPA se encuentra en §16, y un DPA firmado está disponible a pedido.
Tus responsabilidades como Responsable. Cuando procesas datos personales sobre tus clientes, proveedores, pagadores y empleados en Hola Finance, tú (no Hola Finance) determinas los propósitos y medios para ese conjunto de datos. Eres responsable de: proporcionar avisos a esos sujetos de datos, elegir una base legal y responder a sus solicitudes de derechos; nosotros te asistiremos donde sea proporcional.
2) Qué recopilamos
Solo recopilamos lo necesario para entregar y asegurar el servicio; algunos datos son opcionales o se recopilan solo cuando habilitas una integración.
2.1 Identidad y cuenta
Nombre, apellido, correo electrónico (conjunto mínimo que podemos retener después de la eliminación para registros de cumplimiento y listas de supresión)
Teléfono (opcional), nombre de la empresa, rol/título, país
Contraseña (hashed), secretos de MFA/2FA, identificadores de sesión, tokens de API
Perfil de facturación, plan de suscripción, facturas/declaraciones, estado de pago
2.2 Contenido de workspace/negocio (proporcionas o conectas)
Facturas y gastos (partidas, montos, impuestos, monedas, fechas) y adjuntos (imágenes/PDFs)
Carpetas compartidas que conectas y los archivos dentro de esas rutas específicas
Acceso a buzón que habilitas (carpetas/filtros designados) para traer facturas/recibos
Conector de carpeta local/agente de escritorio (si está habilitado): accedemos solo a la carpeta específica que eliges
Contabilidad: conexiones y datos autorizados por ti de Xero, QuickBooks, FreeAgent
Banca abierta: transacciones/saldos vía Plaid, según autorizas
Pagos: tokens de acceso para Stripe, PayPal, GoCardless (no vemos detalles de la tarjeta/PIN)
Tipos de cambio: consultas a través de OpenExchange
2.3 Comunicaciones y soporte
Correos electrónicos (encabezados/cuerpo), registros de procesamiento de entrada/salida (Postmark)
Transcripciones de chat en vivo y metadatos (Crisp), tickets de soporte, notas de llamadas
Mensajes de WhatsApp/SMS que nos envías (a través de WhatsApp/Vonage/Nexmo), marcas de tiempo y metadatos
2.4 Dispositivos, técnicos y uso
Dirección IP, aproximaciones de país/ciudad a partir del IP, atributos del dispositivo y navegador, idioma, versión de la aplicación
Eventos de autenticación y seguridad (éxito/fracaso, señales de riesgo)
Telemetría de errores y rendimiento, métricas de uso de API
2.5 Herramientas gratuitas en nuestro sitio web
Para la herramienta gratuita de facturación: dirección IP, nombre, correo electrónico, monto de la factura (para entrega y evitar abusos)
2.6 Evitar categorías especiales
No recopilamos intencionalmente datos de categoría especial (e.g., salud, creencias). Por favor, evita cargarlos a menos que estén estrictamente contenidos en registros comerciales (e.g., un recibo) y sean necesarios para tu procesamiento.
3) Propósitos y bases legales
Asociamos cada propósito a una base legal bajo el GDPR (Art. 6). Donde puedan aplicarse múltiples bases, nos basamos en la más apropiada para el contexto.
Propósito | Ejemplos | Base legal |
|---|---|---|
Proveer y operar el servicio | Crear workspaces; procesar facturas/gastos; conectores; búsqueda; exportación; notificaciones | Contrato (Art. 6(1)(b)) |
Pagos y facturación | Gestionar suscripciones; emitir facturas; gestionar pagos atrasados | Contrato; Obligación legal (impuestos) |
Seguridad y fraude | MFA, detección de anomalías, limitación de frecuencia, prevención de abuso; registros de auditoría | Intereses legítimos; Obligación legal |
Soporte y respuesta a incidencias | Leer lo mínimo necesario para reproducir o solucionar un problema | Intereses legítimos; Contrato |
Integraciones que habilitas | Plaid, Xero, QuickBooks, FreeAgent; procesadores de pagos; OpenExchange | Contrato; Consentimiento donde lo requiera la integración |
Análisis (respetuosos de la privacidad) | Métricas agregadas/anónimas, salud del servicio; podemos compartir números en bruto sin demografía | Intereses legítimos |
Legal y cumplimiento | Mantenimiento de registros contables/fiscales; envíos regulatorios (e.g., sistemas como Veri*factu si lo solicita) | Obligación legal |
Marketing y actualizaciones de producto | Emails a clientes sobre funciones; boletines si has optado por recibirlos | Intereses legítimos (soft opt‑in) o Consentimiento |
No realizamos toma de decisiones automatizada con efectos legales o similarmente significativos (§16).
4) Fuentes de datos
Tú: datos que ingresas o subes; carpetas/buzones que conectas explícitamente.
Tus sistemas y proveedores: servicios contables/bancarios/de pago que autorizas.
Tus usuarios y contrapartes: tus clientes/proveedores/pagadores que aparecen en facturas o que contactan soporte.
Automáticamente: registros/telemetría creados por tu uso del servicio.
5) Casos especiales (contables y autoridades fiscales)
A tu solicitud, compartiremos o presentaremos datos a:
Tu contador (o firma que vincules en el tablero). Tu contador actúa como un Controlador independiente bajo su acuerdo contigo. Si un contador solicita datos a través de nuestro tablero, deben aseverar que tienen autoridad; son responsables de la veracidad de esa aseveración.
Autoridades/plataformas fiscales (e.g., sistemas como Veri*factu, dependiendo de tu país). Transmitimos solo los datos que nos instruyas a enviar.
6) Subprocesadores (registro)
No vendemos datos personales. Usamos proveedores evaluados bajo acuerdos del Art. 28. Las ubicaciones de procesamiento están en el EEE a menos que se indique, con SCCs y salvaguardas para procesamiento fuera del EEE.
Proveedor | Rol / datos procesados | Ubicación típica |
Laravel Cloud (incl. AWS, almacenamiento de objetos Cloudflare vendido a través de Laravel Cloud) | Hospedaje de aplicaciones, bases de datos, almacenamiento de objetos, CDN | Regiones de la UE (preferencia: Alemania) o SCCs si está fuera |
Hetzner | Almacenamiento de objetos, copias de seguridad, infraestructura de respaldo | UE (principalmente Alemania) |
Backblaze | Copias de seguridad encriptadas fuera del sitio; replicación a nuestra instalación local | UE/EEE; SCCs donde corresponda |
OpenAI (API) | Extracción/Clasificación asistida de recibos/gastos; avisos minimizados/redactados donde sea factible; sin entrenamiento del modelo en tus datos por nuestras instrucciones | EEE/EE.UU. con SCCs |
Postmark | Procesamiento y entrega de correo electrónico de entrada/salida | UE/EE.UU. con SCCs |
Microsoft 365 | Soporte/Correo electrónico de CS, documentos y hojas de cálculo | UE/EE.UU. con SCCs |
Crisp | Widget de chat en vivo y helpdesk | UE/EEE |
Vonage/Nexmo; WhatsApp (Meta) | Transporte SMS/WhatsApp si nos contactas | EEE/EE.UU. con SCCs |
Stripe, PayPal, GoCardless | Pagos de tus clientes a ti; almacenamos tokens, no datos completos de la tarjeta | EEE/EE.UU./UK con SCCs/adecuación |
Plaid | Banca abierta (transacciones/saldos) cuando está habilitado | UE/EE.UU./UK con SCCs/adecuación |
Xero, QuickBooks, FreeAgent | Integraciones contables que habilitas | EEE/EE.UU./UK/NZ con SCCs/adecuación |
OpenExchange | Consultas de tipo de cambio | EEE/EE.UU. con SCCs |
Cambios. Podemos actualizar subprocesadores. Para cambios/adiciones materiales, proporcionaremos al menos 30 días de anticipación en la aplicación y/o por correo electrónico, para que puedas objetar o deshabilitar la integración afectada. Donde una objeción no pueda ser resuelta, tu remedio es desactivar la integración o terminar el servicio afectado.
7) Dónde procesamos datos y transferencias internacionales
Guardamos datos en el EEE (preferencia: Alemania). Algunos proveedores pueden procesar datos fuera del EEE. Cuando esto sucede, usamos SCCs (y medidas adicionales si es necesario). Puedes solicitar copias de SCCs relevantes (redactadas por razones de confidencialidad).
8) Medidas de seguridad
Mantenemos medidas administrativas, técnicas y organizativas apropiadas al riesgo, incluyendo:
Seguridad en transporte: TLS, HSTS; cifrados modernos; gestión de certificados.
Encriptación en reposo: contraseñas, claves API, tokens de OAuth y otros secretos. Registros comerciales (e.g., PDFs de facturas) pueden no estar encriptados en reposo pero están protegidos por controles de acceso.
Controles de acceso: acceso basado en roles, privilegio mínimo, revisiones periódicas de acceso, MFA/SSO obligatorio para personal.
Seguridad de la red: segmentación, firewalls, WAF/CDN, protecciones DDoS.
Gestión de vulnerabilidades y parches: parcheado regular, monitoreo de dependencias, inteligencia de vulnerabilidades de terceros.
Copias de seguridad: copias de seguridad encriptadas; pruebas de restauración; almacenamiento geográficamente separado.
Desarrollo seguro: revisión de código, escaneo de secretos, chequeos CI; datos sintéticos/enmascarados en entornos de menor nivel.
Monitoreo y registro: registro de eventos de seguridad y detección de anomalías; logs resistentes a manipulaciones.
Respuesta a incidentes: guías, rotación de guardia, procedimientos de notificación de violaciones (ver §18).
9) Acceso por soporte e ingeniería (quick-fix)
A veces debemos acceder a datos limitados para reproducir, diagnosticar o arreglar un problema que reportas, o para investigar incidentes de seguridad. Aplicamos:
Acceso justo a tiempo, privilegio mínimo con aprobaciones temporales.
Acceso vinculado a ticket: el acceso requiere un ticket de soporte/referencia de incidente especificando el alcance y propósito.
Registro de auditoría de acciones privilegiadas; revisión periódica.
Confidencialidad: personal y contratistas están obligados por confidencialidad y completan entrenamiento de seguridad.
Minimización de datos: preferimos datos enmascarados/sintéticos; si son estrictamente necesarios, se minimizan, almacenan por separado y eliminan rápidamente después de su uso.
10) Retención y eliminación de datos
Mantenemos datos solo el tiempo necesario para los propósitos descritos arriba o como lo requiere la ley. Horarios típicos:
10.1 Operacional
Clientes activos: retenidos durante la vida de la cuenta.
Cuentas cerradas: comenzamos la eliminación/anonimización dentro de 30 días a menos que la retención legal requiera más tiempo.
Copias de seguridad: las copias de seguridad puntuales se retienen en horarios rotativos (típicamente hasta 90 días) y luego se sobrescriben.
10.2 Retención legal (España/UE)
Registros contables/comerciales: 6 años desde la última entrada (Código de Comercio Español, Art. 30).
Facturas/documentos de soporte de impuestos/IVA: generalmente 4 años (plazo de prescripción de la Ley General Tributaria).
Anti-lavado de dinero (si aplica en el futuro): hasta 10 años para registros AML.
Si se aplican dos períodos, mantenemos el más largo para ese tipo de registro. Donde sea posible, anonimizamos los datos mientras retenemos lo estrictamente necesario para demostrar cumplimiento.
10.3 Identificadores mínimos post-eliminación
Después de la eliminación de la cuenta, retenemos los identificadores mínimos necesarios (nombre, apellido, correo electrónico) en:
Registros de auditoría y pago que estamos legalmente obligados a mantener.
Listas de supresión para asegurar que respetamos las exclusiones de marketing.
Registros de seguridad para detección de fraude/abuso por un período limitado (típicamente hasta 12 meses).
10.4 Destrucción
Cuando los períodos de retención expiran, eliminamos o anonimizamos los datos de forma segura. La destrucción a nivel de medio sigue las prácticas del proveedor; la eliminación lógica elimina registros de sistemas activos y, con el tiempo, de copias de seguridad a medida que se completan.
11) Tus derechos (GDPR)
Puedes contactarnos en hello@hola.money para:
Acceder o exportar tus datos.
Corregir inexactitudes. (No podemos cambiar facturas ya emitidas excepto mediante ajustes/créditos legales.)
Eliminar datos (sujeto a la retención mencionada).
Oponerte o restringir el procesamiento (e.g., marketing).
Portar datos a otro proveedor.
Responderemos dentro de un mes (extensible por dos meses más para solicitudes complejas, con aviso). Verificaremos tu identidad y podemos solicitar detalles adicionales para ubicar los datos.
12) Niños
Nuestros servicios están diseñados para negocios y usuarios profesionales. Aunque técnicamente cualquiera puede registrarse, no recopilamos intencionalmente datos de niños menores de 16 años sin el consentimiento adecuado. Si sabemos que dichos datos fueron proporcionados sin el consentimiento apropiado, los eliminaremos.
13) Cookies y seguimiento
Estríctamente necesarias: sesión/autenticación, CSRF, balance de carga.
Soporte/comunicaciones: cookies de chat en vivo si abres el widget.
Análisis: métricas agregadas y respetuosas con la privacidad; no hay cookies de publicidad cruzada.
Puedes controlar las cookies en tu navegador; las cookies esenciales son necesarias para la funcionalidad básica.
14) Conectores móviles y locales
Cámara: opcional, para escanear/adjuntar recibos.
Conector de carpeta local: el alcance se limita a la ruta que especifiques; puedes revocarla en cualquier momento.
15) Integraciones y API
Eliges qué integraciones conectar (Plaid, Xero, QuickBooks, FreeAgent, Stripe, PayPal, GoCardless, OpenExchange, etc.).
Nuestra API requiere tu propio token y no expone tus datos personales a terceros a menos que los autorices.
Cuando nos instruyes para enviar datos a un contador o autoridad fiscal, actuamos como tu Encargado para esa operación. El destinatario (e.g., tu contador) es un Controlador separado bajo sus propios términos contigo.
16) Toma de decisiones automatizada
No realizamos toma de decisiones automatizada que produzca efectos legales o similarmente significativos sobre ti. Algunas características (e.g., extracción/clasificación asistida de recibos) involucran procesamiento automatizado para ayudar a clasificar datos, pero las decisiones finales quedan en tus manos.
17) Transferencias de negocio
Si pasamos por una fusión, adquisición, reorganización o venta de activos, los datos personales pueden transferirse a la entidad adquirente sujetos a garantías contractuales y continuidad de esta política (o una política que ofrezca protecciones materialmente similares). Serás notificado de cambios materiales y se te darán opciones de acuerdo con la ley.
18) Quejas y contacto
Contáctanos: hello@hola.money; dirección postal en el encabezado.
Autoridad supervisora: Puedes presentar una queja ante la Agencia Española de Protección de Datos (AEPD) o ante tu autoridad local de la UE. Preferimos que nos contactes primero para poder intentar resolver tu problema rápidamente.
Notificaciones de violación. Si una violación de datos personales probablemente resulta en un riesgo para tus derechos y libertades, notificaremos a la AEPD dentro de las 72 horas cuando sea necesario e informaremos a los usuarios afectados sin demora indebida, incluyendo pasos que puedas tomar para mitigar el daño.
19) Cambios en esta política
Podemos actualizar esta política para reflejar cambios en nuestras prácticas o la ley. Actualizaremos la fecha de "Última actualización" y, para cambios materiales (e.g., nuevos subprocesadores o propósitos), se proporcionará aviso anticipado en la aplicación y/o por correo electrónico.
20) Definiciones clave
Responsable: la persona o entidad que determina los propósitos y medios del procesamiento.
Encargado: la persona o entidad que procesa datos personales en nombre del Responsable.
Datos personales: cualquier información relacionada con una persona física identificada o identificable.
SCCs: Cláusulas Contractuales Estándar aprobadas por la Comisión Europea para transferencias de datos fuera del EEE.
Acuerdo de Procesamiento de Datos (DPA) — resumen
Cuando actuamos como Encargado para tus datos de workspace:
Instrucciones: procesamos solo bajo tus instrucciones documentadas (tus configuraciones, llamadas de API, solicitudes escritas).
Confidencialidad: el personal está bajo obligaciones de confidencialidad.
Seguridad: medidas descritas en §§8–9.
Subprocesadores: listados en §6; notificaremos cambios materiales y permitiremos objeción/deshabilitación.
Asistencia: te ayudamos con solicitudes de sujetos de datos y DPIAs en la medida de lo proporcional.
Notificación de violación: te notificaremos sin demora indebida después de ser conscientes de una violación de datos personales que afecte tus datos.
Devolución/Eliminación: al finalizar, eliminamos o devolvemos los datos personales según tu elección, sujeto a retención legal.
Auditorías: proporcionamos resúmenes de seguridad/certificaciones y cooperación razonable de auditoría bajo confidencialidad, sin revelar datos de otros clientes o secretos comerciales.
Si necesitas un DPA firmado, por favor envía un correo a hello@hola.money.
