Política de Privacidad
Última actualización:
En Kavena Consulting tratamos los datos personales con transparencia y respeto a la normativa aplicable, en particular el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y el Reglamento (UE) 2024/1689 sobre Inteligencia Artificial (AI Act).
Esta Política se aplica tanto al sitio web corporativo (kavenaconsulting.com) como al ecosistema de productos K-OS ofrecidos por Kavena Consulting (K-OS Billing, K-OS Fiscal, K-OS Emisor y los que se incorporen).
1. Responsable del tratamiento
| Titular | Kavena Consulting, S.L. |
|---|---|
| NIF / CIF | B26620351 |
| Domicilio | Calle Falúa, 30, 28891, Velilla de San Antonio, Madrid, España |
| Correo de contacto | administracion@kavenaconsulting.com |
| Delegado de Protección de Datos (DPO) | No designado — no es obligatorio según el art. 37 RGPD para las actividades actuales de tratamiento |
2. Qué datos tratamos y con qué finalidad
2.1. Navegación por el Sitio Web corporativo (kavenaconsulting.com)
El Sitio Web corporativo es una landing estática sin formularios, sin analítica y sin cookies de terceros. No recopilamos activamente datos personales por el mero hecho de navegar.
El servidor web (Hostinger) registra, como cualquier servidor, datos técnicos mínimos necesarios para prestar el servicio y garantizar su seguridad (logs de acceso: dirección IP, fecha/hora, recurso solicitado, navegador). Estos logs se conservan durante un plazo limitado y se utilizan exclusivamente con fines técnicos y de seguridad.
2.2. Comunicaciones por correo electrónico
Si nos escribe a administracion@kavenaconsulting.com u otros canales, trataremos los datos que nos facilite (nombre, email, contenido del mensaje y cualesquiera otros que voluntariamente nos proporcione) para atender su consulta, preparar una propuesta comercial o prestarle el servicio solicitado.
2.3. Productos K-OS (subdominios)
Los productos del ecosistema K-OS son aplicaciones SaaS con autenticación y procesamiento activo de datos personales. La presente Política cubre el tratamiento realizado en todos ellos. Los productos vigentes y sus URL son:
- K-OS Billing —
kosbilling.kavenaconsulting.com— gestión contable y facturación. - K-OS Fiscal —
fiscal.kavenaconsulting.com— asistente fiscal con citas legales. - K-OS Emisor —
kosemisor.kavenaconsulting.com— emisión de facturas legales con VeriFactu.
Al utilizar un producto K-OS, se tratan las siguientes categorías de datos:
- Datos identificativos del titular de la cuenta: nombre o razón social, NIF/CIF, dirección, email, teléfono.
- Credenciales de acceso: email y contraseña cifrada (gestionados por Supabase Auth), tokens de sesión.
- Datos contables y fiscales: facturas, extractos bancarios, movimientos, importes, IVA, IRPF, datos de proveedores y clientes finales que el usuario introduzca o suba a la plataforma.
- Documentos cargados: PDFs e imágenes de facturas, justificantes y contratos que se almacenan en Google Drive bajo cuentas controladas por Kavena (encargado del tratamiento).
- Consultas dirigidas al asistente fiscal (en K-OS Fiscal): texto de las preguntas, conversación con el modelo y metadatos asociados.
- Datos de uso y técnicos: dirección IP, navegador, registros de actividad (logs), métricas de uso necesarias para operar y mejorar el servicio.
- Datos de consentimiento: fecha, hora y versión de los textos legales aceptados al alta y en posteriores actualizaciones.
Procesamiento automatizado con inteligencia artificial. En K-OS Billing utilizamos modelos de IA (Generative Language API de Google Cloud) para la extracción de datos de facturas y extractos bancarios. En K-OS Fiscal, los mismos modelos se utilizan para responder a las consultas con citas a fuentes oficiales (BOE, DGT, TEAC, CENDOJ). En ningún caso este procesamiento implica decisiones automatizadas con efectos jurídicos significativos sobre el usuario (art. 22 RGPD): el resultado siempre es revisable y corregible por usted o su gestoría antes de su validación contable o presentación ante terceros. Conforme al art. 50 del Reglamento (UE) 2024/1689 (AI Act), informamos de que las respuestas del asistente fiscal K-OS Fiscal son generadas por un sistema de IA y deben verificarse con un asesor acreditado antes de su uso como base de decisión.
Cuando un cliente de Kavena (por ejemplo, un despacho asesor o gestoría) utilice un producto K-OS para gestionar datos de sus propios clientes finales, dicho cliente actúa como responsable del tratamiento y Kavena como encargado (art. 28 RGPD), formalizado mediante el contrato correspondiente.
3. Base legal del tratamiento
| Finalidad | Base legal (RGPD art. 6) |
|---|---|
| Prestación del servicio web corporativo y logs de seguridad | Interés legítimo (art. 6.1.f) |
| Atención a consultas por email | Consentimiento al enviarnos el mensaje (art. 6.1.a) y, en su caso, ejecución de medidas precontractuales (art. 6.1.b) |
| Prestación de los productos K-OS al usuario (cuenta, facturación, soporte) | Ejecución de contrato (art. 6.1.b) |
| Procesamiento documental y consultas asistidas por IA dentro de los productos K-OS | Ejecución de contrato (art. 6.1.b) + consentimiento explícito al alta marcado por el usuario (art. 6.1.a) |
| Emisión de facturas a clientes y conservación contable | Obligación legal (art. 6.1.c) — art. 30 Código de Comercio y art. 29 LGT |
| Comunicaciones comerciales sobre Kavena Consulting y K-OS | Consentimiento explícito (art. 6.1.a) + art. 21 LSSI-CE |
| Prevención de fraude, seguridad operativa y auditoría técnica | Interés legítimo (art. 6.1.f) |
4. Plazos de conservación
- Logs técnicos del servidor web corporativo: durante el plazo establecido por Hostinger como prestador del servicio de hosting (habitualmente hasta 30 días).
- Cuenta de usuario y datos contables tratados en los productos K-OS: durante la vigencia del contrato más los plazos legales aplicables (6 años para obligaciones mercantiles, art. 30 Código de Comercio; 4 años para obligaciones tributarias, art. 66 LGT).
- Facturas emitidas por Kavena a sus clientes: 6 años (art. 30 Código de Comercio).
- Registros de consentimiento (alta, marketing, IA): mínimo 3 años desde la última manifestación de voluntad, conforme al art. 7.1 RGPD.
- Comunicaciones comerciales (marketing): hasta la retirada del consentimiento por el interesado, sin afectar a la legalidad del tratamiento previo.
- Logs operativos de plataforma (sesiones, peticiones, ejecuciones de workflow): 90 días por defecto.
- Registros de auditoría de acceso a datos personales en los productos K-OS: 12 meses.
- Conversaciones con el asistente fiscal K-OS Fiscal identificadas a usuario: durante la vigencia del contrato más 12 meses; los embeddings vectoriales que generan se gestionan en el mismo ciclo. Los registros anónimos agregados pueden mantenerse de forma indefinida para mejora del modelo y métricas internas.
5. Destinatarios y cesiones de datos
No cedemos sus datos a terceros salvo obligación legal o autorización expresa. Sí pueden acceder a ellos los siguientes encargados del tratamiento, estrictamente para la prestación del servicio contratado con ellos y bajo los correspondientes contratos de encargo (art. 28 RGPD):
| Proveedor | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Hostinger International Ltd. | Hosting del sitio web corporativo y SPAs estáticas | Servidor en Alemania · backups en Francia (UE) | DPA art. 28 RGPD |
| Supabase Inc. | Base de datos PostgreSQL, autenticación y almacenamiento de los productos K-OS | Región EU-West (Frankfurt) | DPA + SCC Módulo 2 |
| Google LLC · Google Ireland Ltd. | Almacenamiento documental (Google Workspace / Drive) y procesamiento por inteligencia artificial (Generative Language API — Gemini) habilitada en proyecto Google Cloud propio de Kavena | Workspace EU configurable; Generative Language API procesamiento global bajo SCC | Cloud Customer DPA + SCC Módulo 2 + adhesión EU-US Data Privacy Framework |
| Stripe Payments Europe, Limited | Procesamiento de pagos recurrentes y emisión de cobros | EEA controller (Irlanda) | DPA + SCC 2021/914 Módulos 1 y 2 |
| Cloudflare, Inc. | DNS, CDN y protección frente a ataques de los subdominios K-OS | Edge global con SCC; configuración Customer Metadata Boundary EU disponible en planes Pro+ | Customer DPA v6.3 + SCC Módulo 2 |
| Administraciones públicas | Cuando la normativa lo exija (AEAT, Tesorería General de la Seguridad Social, AEPD, juzgados) | España | Obligación legal |
| Despacho gestor o asesoría del usuario | Acceso a su información contable y fiscal cuando opere a través de un despacho dado de alta como gestoría en K-OS | España (mayoritariamente) | Contrato con la gestoría + DPA art. 28 RGPD entre Kavena (encargado) y la gestoría (responsable) |
Las transferencias internacionales que se produzcan se realizan bajo decisión de adecuación de la Comisión Europea (cuando exista) o bajo cláusulas contractuales tipo aprobadas por la UE (SCC, Decisión 2021/914), garantizando un nivel de protección equivalente al del Espacio Económico Europeo.
Mantenemos un inventario interno actualizado de subencargados y sus DPA. Puede solicitar copia escribiendo a administracion@kavenaconsulting.com.
6. Derechos del interesado
Usted tiene derecho a:
- Acceder a los datos personales que tratamos sobre usted (art. 15 RGPD).
- Rectificar los datos inexactos (art. 16 RGPD).
- Suprimir los datos cuando ya no sean necesarios (art. 17 RGPD — "derecho al olvido").
- Limitar el tratamiento (art. 18 RGPD).
- Portar sus datos a otro responsable (art. 20 RGPD).
- Oponerse al tratamiento basado en interés legítimo (art. 21 RGPD).
- Retirar el consentimiento en cualquier momento, sin efectos retroactivos.
- No ser objeto de decisiones automatizadas con efectos jurídicos (art. 22 RGPD).
Para ejercer estos derechos, envíe un correo a administracion@kavenaconsulting.com indicando el derecho que desea ejercer y adjuntando copia de un documento identificativo. Le responderemos en el plazo máximo de un mes (ampliable a dos meses en casos complejos).
Si considera que sus derechos no han sido atendidos correctamente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.
7. Medidas de seguridad
Aplicamos medidas técnicas y organizativas apropiadas al riesgo (art. 32 RGPD), entre ellas:
- Cifrado en tránsito (HTTPS/TLS 1.3) y en reposo en la base de datos.
- Autenticación de doble factor disponible en los productos K-OS.
- Control de acceso basado en roles con Row-Level Security a nivel de base de datos.
- Registros de auditoría de accesos a datos personales.
- Copias de seguridad automatizadas con verificación periódica de restauración.
- Política documentada de gestión de brechas y rotación semestral obligatoria de credenciales críticas.
En caso de brecha de seguridad que afecte a datos personales, lo notificaremos a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde su detección (art. 33 RGPD) y, cuando suponga un alto riesgo para sus derechos y libertades, también a usted como interesado (art. 34 RGPD).
Uso de sistemas de inteligencia artificial. Conforme al art. 50 del Reglamento (UE) 2024/1689 (AI Act), informamos de que los productos K-OS Billing y K-OS Fiscal incorporan sistemas de IA generativa (modelos Gemini de Google a través de Generative Language API). Estos sistemas: (a) no toman decisiones automatizadas con efectos jurídicos significativos sobre el usuario, ya que los resultados son siempre revisables; (b) no se utilizan para entrenamiento de modelos por parte del proveedor, conforme a los compromisos de Google Cloud para clientes profesionales; (c) van acompañados, cuando lo exija la norma, de etiquetado visible que identifica el contenido generado por IA.
8. Menores de edad
El Sitio Web no está dirigido a menores de 14 años. No tratamos conscientemente datos de menores sin el consentimiento verificable de sus representantes legales.
9. Cambios en esta Política
Podemos actualizar esta Política cuando cambie la normativa o nuestros tratamientos. Publicaremos la versión vigente en esta misma URL con la fecha de última actualización.
¿Dudas sobre el tratamiento de sus datos? Escríbanos a administracion@kavenaconsulting.com y le responderemos en un plazo máximo de un mes.