Política de Privacidad

Última actualización : 28 de abril de 2026

La presente Política de Privacidad describe cómo la sociedad editora de iFillPDF (la «Sociedad») recoge, utiliza y protege los datos personales de los usuarios (los «Usuarios») del servicio iFillPDF (el «Servicio»), conforme al Reglamento General de Protección de Datos (RGPD, UE 2016/679) y a la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en España.

1. Responsable del tratamiento

El responsable del tratamiento es la sociedad editora del Servicio, identificada en el Aviso Legal. Para cualquier consulta relativa a sus datos personales: contact@ifillpdf.com.

2. Datos recogidos

2.1. Datos facilitados por el Usuario

  • Identidad: nombre, apellidos, dirección de correo electrónico, foto de perfil (opcional).
  • Autenticación: contraseña hash (bcrypt), tokens de sesión, método de autenticación (correo electrónico, Google OAuth, Apple Sign-In).
  • Perfil profesional: datos precargados para formularios (dirección, NIF/CIF, IBAN, etc.) — almacenados cifrados en reposo.
  • Documentos PDF: archivos cargados y su contenido (campos, valores rellenados, firmas).
  • Comunicación: mensajes intercambiados con el asistente de IA, contenido del formulario de contacto.

2.2. Datos recogidos automáticamente

  • Datos de conexión: dirección IP, user-agent, fechas y horas de conexión, páginas consultadas (a través de Plausible Analytics, sin cookies).
  • Datos de pago: ID de cliente Stripe, historial de transacciones, estado de suscripción. Los datos bancarios completos nunca son almacenados por la Sociedad — son gestionados exclusivamente por Stripe.
  • Datos de auditoría: historial de modificaciones de documentos (quién ha rellenado qué, cuándo, desde qué IP), para fines de trazabilidad jurídica.

3. Finalidades y bases legales

FinalidadBase legal
Creación y gestión de la cuentaEjecución del contrato (art. 6.1.b RGPD)
Prestación del Servicio (extracción IA, relleno, firma)Ejecución del contrato
Facturación y pagoEjecución del contrato + obligación legal (contabilidad)
Soporte al clienteEjecución del contrato + interés legítimo
Seguridad y lucha contra el fraudeInterés legítimo (art. 6.1.f RGPD)
Pista de auditoría de los documentos (quién/cuándo/dónde)Obligación legal (probatoria) + interés legítimo
Newsletters y comunicaciones de marketingConsentimiento (revocable en cualquier momento)
Análisis estadístico (Plausible)Interés legítimo — sin perfilado individual
Mejora de modelos de IANinguna — sus documentos NUNCA se utilizan para entrenar modelos de terceros (véase §5)

4. Plazos de conservación

  • Datos de cuenta: durante toda la duración de la relación contractual, y posteriormente 3 años desde el último contacto (prospección comercial).
  • Documentos PDF: hasta su eliminación por el Usuario o eliminación de la cuenta. Conservación máxima de 5 años tras la última actividad, salvo solicitud en contrario.
  • Versiones y pista de auditoría: 50 versiones por documento conservadas, retención aplicativa.
  • Datos de facturación: hasta 10 años (obligación contable francesa, art. L. 123-22 del Código de Comercio; y 6 años en España según el Código de Comercio español).
  • Logs de conexión: 12 meses (recomendación de las autoridades de protección de datos).
  • Cookies analíticas: Plausible no utiliza cookies de seguimiento persistentes.

5. Encargados y destinatarios

La Sociedad recurre a los siguientes encargados de tratamiento, todos ellos comprometidos contractualmente al cumplimiento del RGPD y a la implementación de garantías apropiadas:

EncargadoFunciónUbicación¿Transferencia fuera de la UE?
Supabase Inc.Base de datos, autenticación, almacenamiento de archivosFrankfurt (UE)No
Cloudflare Inc.Alojamiento web, CDN, protección DDoSEE. UU. (PoPs en la UE)Sí — Data Privacy Framework + Cláusulas Contractuales Tipo
Stripe Payments Europe Ltd.Pagos, facturación, gestión de suscripcionesIrlanda (UE)No (filial de la UE de Stripe)
Amazon Web Services (AWS Textract)Extracción OCR de campos PDFUE (eu-central-1)No, si se configura región UE
Google LLC (Gemini)Modelo de IA para asistencia al rellenoEE. UU.Sí — Data Privacy Framework + CCT
Anthropic PBC (Claude)Modelo de IA alternativoEE. UU.Sí — Data Privacy Framework + CCT
Resend Inc.Correos electrónicos transaccionalesEE. UU.Sí — Data Privacy Framework + CCT
Plausible Insights OÜAnalítica de tráfico (sin cookies)Estonia (UE)No

iFillPDF no vende, alquila ni intercambia ningún dato personal con terceros con fines comerciales. Los contenidos de sus PDF nunca se utilizan para entrenar modelos de IA — Google Gemini y Anthropic Claude están configurados en modo API enterprise sin retención para entrenamiento.

6. Transferencias fuera de la Unión Europea

Algunos encargados (Cloudflare, Google, Anthropic, Resend) están establecidos en Estados Unidos. Las transferencias se enmarcan en:

  • la adhesión al EU-US Data Privacy Framework (decisión de adecuación de 10 de julio de 2023);
  • la firma de las Cláusulas Contractuales Tipo (CCT) de la Comisión Europea, versión 2021;
  • medidas técnicas complementarias (cifrado en tránsito TLS 1.2+, cifrado en reposo AES-256).

7. Seguridad

La Sociedad implementa medidas técnicas y organizativas para proteger sus datos:

  • cifrado TLS 1.2+ para todas las comunicaciones de red;
  • cifrado AES-256 en reposo para la base de datos y los archivos almacenados;
  • autenticación de dos factores disponible;
  • política de contraseñas robusta (bcrypt en Supabase);
  • compartimentación estricta de los datos entre teams mediante Row Level Security de PostgreSQL;
  • auditoría regular de los accesos y registro centralizado;
  • formación de los colaboradores en buenas prácticas de seguridad.

8. Sus derechos

Conforme a los artículos 15 a 22 del RGPD, usted dispone de los siguientes derechos:

  • Derecho de acceso: obtener una copia de los datos que le conciernen;
  • Derecho de rectificación: corregir datos inexactos;
  • Derecho de supresión («derecho al olvido»): solicitar la eliminación de sus datos;
  • Derecho a la limitación: restringir ciertos tratamientos;
  • Derecho a la portabilidad: recuperar sus datos en un formato estructurado y legible;
  • Derecho de oposición: rechazar un tratamiento (en particular el marketing);
  • Derecho a retirar su consentimiento en cualquier momento, sin afectar a la licitud de los tratamientos anteriores;
  • Derecho a definir directrices post mortem sobre el destino de sus datos tras su fallecimiento.

Para ejercer estos derechos: contact@ifillpdf.com. Le responderemos en el plazo de un mes (ampliable a 3 meses en caso de complejidad). Podrá solicitársele un documento de identidad para verificar su identidad.

En caso de desacuerdo, usted tiene derecho a presentar una reclamación ante la autoridad de control competente. Para los Usuarios en España, la autoridad competente es la AEPD (Agencia Española de Protección de Datos): www.aepd.es — C/ Jorge Juan, 6, 28001 Madrid. Los Usuarios en Francia pueden contactar a la CNIL: www.cnil.fr — 3 Place de Fontenoy, 75007 París.

9. Cookies y trazadores

9.1. Cookies estrictamente necesarias

El Servicio utiliza cookies estrictamente necesarias para su funcionamiento (sesión de autenticación, seguridad CSRF, preferencias de idioma). Estas cookies no requieren consentimiento previo conforme a las recomendaciones de las autoridades europeas de protección de datos.

9.2. Medición de audiencia

Utilizamos Plausible Analytics, una solución de analítica respetuosa con la privacidad que no utiliza cookies de seguimiento persistentes, no recoge datos personales individuales y está exenta de consentimiento previo en virtud de las directrices de las autoridades europeas.

9.3. Sin cookies de marketing de terceros

El Servicio no utiliza ninguna cookie publicitaria, trazador cross-site, píxel de Facebook ni Google Ads. No se comparte ningún dato con redes publicitarias.

10. Destinatario del documento compartido

Cuando un Usuario comparte un documento con un tercero (el «Destinatario») mediante enlace mágico para firma, la Sociedad recoge únicamente:

  • la dirección de correo electrónico del Destinatario (proporcionada por el Usuario que comparte);
  • los valores introducidos en los campos del documento;
  • la dirección IP, el user-agent y la fecha de acceso al enlace (para pista de auditoría conforme a eIDAS).

El Destinatario es informado de este tratamiento al abrir el enlace. La base legal es la ejecución de un contrato precontractual y el interés legítimo del Usuario que comparte. El Destinatario dispone de los mismos derechos RGPD que los Usuarios.

11. Menores

El Servicio no está destinado a menores de 14 años (edad mínima de consentimiento en España según la LOPDGDD). No se efectúa ninguna recopilación voluntaria de datos sobre ellos. Si constata que un menor ha creado una cuenta sin autorización parental, contáctenos en contact@ifillpdf.com para su eliminación inmediata.

12. Modificaciones de la política

La Sociedad puede modificar la presente política. Las modificaciones sustanciales serán notificadas por correo electrónico a los Usuarios al menos 30 días antes de su entrada en vigor. La versión vigente está siempre accesible en ifillpdf.com/es/privacidad.

13. Contacto

Para cualquier consulta, ejercicio de derechos o reclamación:

Política de Privacidad — iFillPDF