Política de Privacidad

Última actualización: 18 de abril de 2026

Esta Política de Privacidad explica cómo Roques OÜ ("Invoo", "nosotros") trata los datos personales de los Usuarios que acceden al Sitio Web o utilizan la Plataforma accesible a través del sitio web https://invoo.es. Nos comprometemos a cumplir el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la normativa española aplicable en materia fiscal cuando corresponda.

Responsable del Tratamiento

El responsable del tratamiento de los datos personales es:

Roques OÜ

Ahtri tn 12

15551, Tallin (Estonia)

Correo: legal@invoo.es

Datos que tratamos

El tipo de datos tratados depende del uso que el Usuario haga de la Plataforma:

Datos proporcionados al registrarse

Incluyen el nombre completo, dirección de correo electrónico, datos fiscales necesarios para facturación (como NIF/CIF o dirección fiscal), y en caso de planes de pago, los datos asociados al método de pago (que permanecen tokenizados; Invoo solo conserva los últimos dígitos de la tarjeta).

Datos generados mediante el uso de la Plataforma

Durante la actividad normal del Usuario, Invoo trata datos que forman parte del servicio contratado, como:

  • datos de facturas emitidas
  • datos de clientes y proveedores introducidos por el Usuario
  • registros de facturación conforme al RD 1007/2023
  • gastos, tickets y documentos subidos
  • información necesaria para la generación de estimaciones fiscales
  • actividad del panel de gestoría cuando el Usuario comparte acceso

Estos datos pertenecen exclusivamente al Usuario, que actúa como Responsable del Tratamiento respecto al contenido de sus propias facturas, clientes o gastos. Invoo únicamente los procesa para la correcta prestación del servicio contratado.

Datos derivados del uso técnico

Procesamos ciertos datos técnicos necesarios para garantizar la seguridad y el funcionamiento del servicio: dirección IP, logs de acceso, identificadores del dispositivo o navegador, datos de rendimiento y registros de error.

Cookies y tecnologías similares

El Sitio Web utiliza cookies técnicas y, con consentimiento, cookies analíticas. La información detallada se encuentra en nuestra Política de Cookies. Estas cookies se refieren exclusivamente al Sitio Web (invoo.es) y son independientes de la analítica de producto que se realiza dentro de la aplicación a través de PostHog, descrita en el apartado siguiente, que utiliza un identificador pseudonimizado en lugar de cookies y cuenta con su propio mecanismo de consentimiento en Ajustes → Cuenta → Privacidad.

Analítica de producto (PostHog)

Cuando el Usuario otorga su consentimiento expreso mediante el interruptor disponible en Ajustes → Cuenta → Privacidad, Invoo utiliza PostHog como herramienta de analítica de producto para comprender patrones de uso y adopción de funcionalidades. El tratamiento se limita a los datos pseudonimizados que se detallan a continuación. Mientras no se active el consentimiento, no se envía información alguna a PostHog.

Datos vinculados al Usuario

  • Identificador pseudonimizado: un UUID generado por nuestro proveedor de identidad (Keycloak). No se envían el correo electrónico, el nombre ni el NIF/CIF.
  • Rol del Usuario en la organización (USER, ACCOUNTANT o ADMIN).
  • Tipo de organización (autónomo, empresa o gestoría).
  • Fecha de alta agrupada por trimestre natural (no la fecha exacta) y número de días transcurridos desde el alta.
  • Indicador de si la empresa ha sido configurada (valor booleano).
  • Indicador de si Verifactu está activado (valor booleano).
  • Propiedades de la organización: tipo de organización, tipo de entidad (INDIVIDUAL o COMPANY), región fiscal (PENINSULAR, CANARIAS, CEUTA o MELILLA) y estado de Verifactu.

Propiedades recogidas en cada evento

  • Tipo de factura (factura, simplificada o rectificativa).
  • Estado Verifactu del documento.
  • Rango del importe en tramos (menos de 100 €, entre 100 € y 1.000 €, entre 1.000 € y 10.000 € o más de 10.000 €); en ningún caso se envían los importes exactos.
  • Número de líneas del documento.
  • Indicador de si la factura tiene cliente asociado.
  • Método de entrega.
  • Idioma de la interfaz.
  • Origen de la acción (creación manual o creación en línea desde una factura).
  • Identificador interno de la categoría del documento.

Datos que nunca se envían a PostHog

  • Correo electrónico y nombre del Usuario.
  • NIF, CIF o cualquier otro identificador fiscal directo.
  • Nombres de clientes, proveedores o destinatarios de facturas.
  • Importes exactos de facturas, gastos o tickets.
  • Direcciones postales, números de teléfono o IBAN.
  • Contenido textual de facturas, archivos PDF ni documentos adjuntos.

Este tratamiento se basa exclusivamente en el consentimiento del Usuario (art. 6.1.a RGPD), es específico, informado y plenamente revocable en cualquier momento desde Ajustes → Cuenta → Privacidad. La retirada del consentimiento no afecta a la prestación del resto del Servicio ni a la validez de los tratamientos anteriores.

Identificador pseudonimizado

Para vincular los eventos de analítica al Usuario se utiliza un UUID (el campo "sub" emitido por Keycloak) en lugar de su correo electrónico o de cualquier otro dato directamente identificativo. Conforme al art. 4.5 RGPD, esta pseudonimización reduce el riesgo, pero el dato sigue siendo considerado dato personal, ya que mediante referencias cruzadas internas Invoo podría reidentificar al Usuario. Por este motivo, el UUID recibe las mismas garantías que el resto de datos personales tratados y no se presenta como dato anónimo.

Finalidades del tratamiento

Invoo trata los datos personales del Usuario para:

  • prestar el Servicio, permitiendo la emisión de facturas, la sincronización de datos, la generación de Registros de Facturación y el acceso al panel de gestorías
  • gestionar la cuenta del Usuario, incluyendo comunicaciones operativas, notificaciones técnicas e información relevante sobre el servicio
  • facturar y procesar pagos, cuando el Usuario contrata un plan de pago
  • cumplir obligaciones legales, especialmente las derivadas de la normativa fiscal
  • mejorar el Servicio mediante el análisis estadístico del uso de la Plataforma, incluida la analítica de producto realizada a través de PostHog en la aplicación, así como las cookies analíticas del Sitio Web; ambos tratamientos requieren el consentimiento expreso del Usuario y pueden retirarse en cualquier momento
  • enviar comunicaciones comerciales, únicamente cuando el Usuario haya dado su consentimiento o cuando el envío esté amparado por el interés legítimo en contextos B2B

Base jurídica del tratamiento

Dependiendo de cada finalidad, el tratamiento de datos se fundamenta en:

  • Ejecución del contrato, cuando tratamos datos necesarios para prestar el Servicio
  • Obligación legal, cuando la normativa fiscal exige conservar y tratar determinados datos
  • Interés legítimo, para mejorar el rendimiento y la seguridad de la Plataforma o para comunicaciones comerciales en relaciones B2B
  • Consentimiento, cuando utilizamos cookies analíticas o enviamos comunicaciones no esenciales
  • Consentimiento específico y revocable (art. 6.1.a RGPD) para la analítica de producto realizada a través de PostHog, que el Usuario puede activar o retirar en cualquier momento desde Ajustes → Cuenta → Privacidad

Comunicación de datos a terceros

Invoo no vende datos personales ni los comparte con terceros para fines comerciales ajenos al Servicio. Los datos solo se comunicarán:

  • Al proveedor externo de conectividad fiscal (actualmente Verifacti – Bilbabit, S.L.) cuando sea necesario para la remisión de Registros de Facturación a la Administración Tributaria
  • A proveedores tecnológicos que prestan servicios de alojamiento, infraestructura, correo electrónico transaccional o soporte técnico
  • A entidades financieras o pasarelas de pago para ejecutar la facturación
  • A gestorías o colaboradores cuando el Usuario decide concederles acceso
  • A PostHog Inc. (sociedad constituida en EE. UU.) como encargado del tratamiento para la analítica de producto descrita en la sección "Analítica de producto (PostHog)", únicamente tras el consentimiento expreso del Usuario. La infraestructura utilizada es PostHog Cloud EU (Fráncfort, Alemania, AWS eu-central-1). Existe un acuerdo de encargo (DPA) firmado entre Invoo y PostHog; su política de privacidad está disponible en https://posthog.com/privacy.
  • A autoridades públicas, cuando exista obligación legal

Todos los proveedores con acceso a datos actúan como encargados del tratamiento conforme al artículo 28 RGPD.

Transferencias internacionales

Los servidores del Servicio se encuentran dentro del Espacio Económico Europeo. Los datos tratados con fines de analítica de producto se alojan en PostHog Cloud EU (Fráncfort, Alemania, AWS eu-central-1) y permanecen en todo momento dentro del EEE, sin transferencia a terceros países en el curso ordinario de la prestación del Servicio. Aunque PostHog Inc. es una sociedad constituida en Estados Unidos, cualquier acceso residual transfronterizo por parte de su personal autorizado queda cubierto exclusivamente por las cláusulas contractuales tipo (SCC) incorporadas al acuerdo de encargo (DPA) suscrito con PostHog; PostHog no está adherido al Data Privacy Framework. Invoo puede trabajar con otros proveedores ubicados fuera del EEE únicamente cuando estén sujetos a garantías adecuadas, como cláusulas contractuales tipo o, en el caso de proveedores estadounidenses que cuenten con certificación vigente, el Data Privacy Framework.

Conservación de los datos

Los datos se conservarán mientras la cuenta esté activa. Tras solicitar la baja, los datos permanecerán accesibles durante el período indicado en los Términos y Condiciones y, posteriormente, se eliminarán o bloquearán salvo cuando una obligación legal exija su conservación por más tiempo (por ejemplo, normativa fiscal española).

Los datos tratados por PostHog con fines de analítica de producto se conservan durante un máximo de veinticuatro (24) meses contados desde la recogida de cada evento, tras los cuales se eliminan. Si el Usuario retira su consentimiento o solicita la baja de la cuenta antes de ese plazo, Invoo ordenará a PostHog la supresión de los datos asociados a su identificador pseudonimizado a través de la API de borrado del proveedor.

Los datos procedentes de cookies analíticas se conservarán durante el período indicado en la Política de Cookies.

Derechos del Usuario

El Usuario puede ejercer los siguientes derechos:

  • acceso a sus datos personales
  • rectificación de datos inexactos
  • supresión cuando proceda
  • limitación del tratamiento
  • oposición al tratamiento basado en interés legítimo
  • portabilidad de sus datos
  • retirada del consentimiento en cualquier momento

Podrá ejercer estos derechos enviando un correo a legal@invoo.es, acreditando su identidad. También puede presentar una reclamación ante la autoridad de control competente, incluida la Agencia Española de Protección de Datos (AEPD). En particular, el Usuario puede ejercer el derecho de supresión respecto a los datos de analítica de producto retirando el consentimiento desde Ajustes → Cuenta → Privacidad o solicitando la eliminación de su cuenta: en ambos supuestos, Invoo instruirá a PostHog para que suprima los datos asociados al identificador pseudonimizado del Usuario mediante la API de borrado del proveedor.

Seguridad de los datos

Invoo aplica medidas técnicas y organizativas destinadas a proteger los datos personales frente a accesos no autorizados, alteraciones o pérdidas. Aunque ningún sistema es completamente invulnerable, adoptamos estándares de seguridad adecuados a la naturaleza de los datos tratados.

Datos de terceros introducidos por el Usuario

El Usuario es responsable de garantizar que tiene legitimación para introducir datos personales de terceros en la Plataforma, tales como clientes, proveedores o destinatarios de facturas. Invoo actúa únicamente como encargado del tratamiento respecto a dichos datos, procesándolos bajo instrucciones del Usuario y exclusivamente para prestar el servicio contratado.

Actualizaciones de la Política

Invoo podrá modificar esta Política de Privacidad cuando resulte necesario para adaptarla a cambios normativos, técnicos u operativos. La versión vigente será siempre la publicada en https://invoo.es.