Política de Privacidad — Flexo Expenses
Última actualización: 18 de mayo de 2026
1. Responsable del tratamiento
- Titular: Tommaso Righi
- NIF: X7067582G
- Domicilio: Las Rozas de Madrid, España
- Email de contacto: support@flexoapp.es
- Servicio: Flexo Expenses (expenses.flexoapp.es)
2. Datos que tratamos
En el marco del servicio Flexo Expenses tratamos las siguientes categorías de datos:
- Datos de cuenta: email, contraseña cifrada, nombre.
- Datos de gastos: tickets, recibos y justificantes cargados por el usuario, importes, categorías, fechas, notas.
- Documentos cargados: imágenes y PDFs procesados mediante OCR para extracción automática de datos.
- Datos de pago: gestionados directamente por Stripe; Flexo no almacena datos completos de tarjeta.
- Datos técnicos: dirección IP, logs de acceso, identificador de sesión, datos de uso de la aplicación.
3. Finalidades y bases jurídicas
- Prestación del servicio (ejecución de contrato, art. 6.1.b RGPD): alta, gestión de cuenta, registro y clasificación de gastos, OCR de tickets.
- Gestión de pagos (ejecución de contrato): tramitación de suscripciones mediante Stripe.
- Seguridad del servicio (interés legítimo, art. 6.1.f RGPD): prevención de fraude, monitorización técnica, copias de seguridad.
- Comunicaciones de servicio (ejecución de contrato): avisos relativos a la cuenta, cambios técnicos, incidencias.
4. Plazos de conservación
- Datos de cuenta: mientras la cuenta esté activa. Tras la baja, se eliminan en un plazo máximo de 30 días.
- Tickets y datos de gastos: conservados mientras la cuenta esté activa o hasta que el usuario los elimine. Tras la baja de la cuenta, eliminados en un plazo máximo de 30 días.
- Logs técnicos: hasta 12 meses.
Si el usuario utiliza Flexo Expenses con finalidad fiscal o contable, es su responsabilidad conservar copia de los justificantes durante los plazos exigidos por la normativa aplicable.
5. Encargados de tratamiento (sub-encargados)
Para prestar el servicio, Flexo Expenses recurre a los siguientes proveedores que actúan como encargados o sub-encargados de tratamiento. Todos ellos están vinculados mediante contrato de encargo de tratamiento conforme al art. 28 del RGPD.
| Proveedor | Finalidad | País de tratamiento | Garantía para transferencias internacionales |
|---|---|---|---|
| Google Ireland Ltd. / Google LLC (Document AI) | OCR de tickets y justificantes cargados por el usuario (usuarios PRO). | Irlanda (UE) y, en su caso, Estados Unidos según la región del servicio. | Para tratamientos en EE. UU.: Cláusulas Contractuales Tipo (Decisión UE 2021/914) y, en su caso, adhesión al EU-US Data Privacy Framework. |
| Stripe Payments Europe Ltd. / Stripe, Inc. | Procesamiento de pagos de suscripciones. | Irlanda (UE) y Estados Unidos. | Cláusulas Contractuales Tipo (Decisión UE 2021/914) + adhesión de Stripe, Inc. al EU-US Data Privacy Framework. |
| Hetzner Online GmbH | Alojamiento del servidor (VPS) y almacenamiento de la base de datos del servicio. | Alemania / Finlandia (UE). | Tratamiento dentro del Espacio Económico Europeo. No se requieren garantías adicionales. |
La lista puede actualizarse. Cualquier cambio significativo se reflejará en esta política y, en su caso, será notificado a los usuarios registrados con antelación razonable.
6. Transferencias internacionales de datos
Algunos de los encargados indicados en el apartado anterior tratan datos personales fuera del Espacio Económico Europeo, en particular en Estados Unidos. Estas transferencias se amparan en las siguientes garantías previstas en el Capítulo V del RGPD:
- Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914, firmadas con cada proveedor.
- EU-US Data Privacy Framework, cuando el proveedor se encuentre certificado bajo dicho marco (Decisión de Ejecución UE 2023/1795).
- Medidas técnicas adicionales: cifrado en tránsito (TLS).
El usuario puede solicitar una copia de las garantías aplicables escribiendo a support@flexoapp.es.
7. Derechos del usuario
El usuario puede ejercer en cualquier momento los siguientes derechos:
- Acceso: conocer qué datos personales tratamos.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión: solicitar la eliminación de la cuenta y los datos asociados.
- Limitación: solicitar la limitación del tratamiento en los supuestos legalmente previstos.
- Portabilidad: recibir los datos facilitados en un formato estructurado, de uso común y lectura mecánica.
- Oposición: oponerse al tratamiento basado en interés legítimo.
- Retirada del consentimiento en cualquier momento, sin efectos retroactivos.
Para ejercer estos derechos, el usuario puede:
- Eliminar la cuenta directamente desde la aplicación, lo que activa el endpoint
DELETE /api/account. - Escribir a support@flexoapp.es indicando el derecho a ejercer.
El usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) si considera que el tratamiento no se ajusta a la normativa vigente.
8. Seguridad
Flexo Expenses aplica medidas técnicas y organizativas para proteger los datos personales: cifrado en tránsito (HTTPS/TLS), contraseñas almacenadas con hash, copias de seguridad diarias cifradas, control de acceso al servidor mediante claves SSH y monitorización de la integridad del servicio.
9. Cambios en esta política
Esta política puede actualizarse para reflejar cambios legales, técnicos u operativos. La versión vigente está siempre disponible en esta URL. Los cambios significativos serán comunicados a los usuarios registrados.
10. Contacto
Para cualquier cuestión relacionada con esta política de privacidad o con el tratamiento de datos personales: support@flexoapp.es.