Tus datos, con criterio.

FISCAL.IA es un servicio de asistencia fiscal con inteligencia artificial dirigido a personas físicas residentes fiscales en España. El responsable del tratamiento es el equipo de FISCAL.IA. Para cualquier asunto relacionado con tus datos personales puedes escribir a hola@fiscal.ia. Atendemos comunicaciones en español.

La razón social y el domicilio fiscal del responsable se incorporarán a esta política cuando la actividad se formalice mercantilmente. Mientras tanto, el canal de contacto oficial es el correo indicado.

Recogemos únicamente lo necesario para que el servicio funcione, y siempre con vinculación directa a una finalidad descrita más abajo.

Datos de cuenta

Email, contraseña en formato hash (bcrypt, gestionada por Supabase Auth) y, si activas autenticación de dos factores, el secreto TOTP cifrado.

Perfil fiscal

Comunidad autónoma de residencia, situación civil, situación laboral, número de pagadores, datos de vivienda habitual, fuentes de ingresos, cargas familiares y otros campos del onboarding. Todo lo que tú declaras voluntariamente.

Datos fiscales operativos

Facturas emitidas y recibidas (módulo IVA), simulaciones de IRPF, importaciones de borradores AEAT, documentos adjuntos y resultados de cálculo.

Conversaciones con el asistente

Mensajes que envías al chat y respuestas del modelo. Se asocian a tu cuenta y a una conversación concreta.

Eventos de seguridad

Inicios y cierres de sesión, alta y baja de MFA, descargas y subidas de documentos, bloqueos por rate limit y acciones privilegiadas. Registro append-only inmutable.

Trazas técnicas

Logs de error, metadatos de petición (endpoint, código de respuesta), sin contenido de payloads del usuario.

No recogemos datos de categorías especiales (salud, religión, ideología, orientación sexual), no elaboramos perfiles publicitarios, no aplicamos scoring de terceros y no cargamos píxeles ni cookies de marketing en el producto.

Cada dato se vincula a una finalidad concreta:

• Prestar el servicio. Cálculo de IRPF con motor fiscal propio determinístico (escalas estatales y autonómicas 2024 y 2025, 12 comunidades cubiertas). Cierre de IVA trimestral y generación de borrador del Modelo 303 con casillas correctas. Respuestas del asistente aplicadas a tu contexto fiscal.
• Mantener continuidad. Tu perfil fiscal, tu historial de conversaciones y tu calendario trabajan juntos para que no tengas que repetir tu situación en cada consulta.
• Avisos operativos. Vencimientos relevantes según tu perfil (Modelo 303, 130, 720, declaración de la Renta), incidencias de seguridad y cambios sustanciales en el servicio.
• Seguridad y prevención del abuso. Rate limiting, verificación MFA, detección de patrones anómalos, auditoría de acciones sensibles.
• Obligaciones legales. Conservación de registros que la ley tributaria, contable o de servicios digitales nos exija mantener.

El tratamiento se apoya en las siguientes bases del Reglamento (UE) 2016/679 (RGPD):

• Art. 6.1.b — ejecución de un contrato. Prestación del servicio que aceptas al registrarte.
• Art. 6.1.c — obligación legal. Conservación de información cuando la normativa fiscal, contable o de servicios digitales lo exija.
• Art. 6.1.f — interés legítimo. Seguridad del servicio, prevención del fraude, mejora interna no basada en datos personales identificables. Hemos realizado el juicio de proporcionalidad correspondiente; puedes oponerte escribiéndonos.
• Art. 6.1.a — consentimiento. Comunicaciones que no sean estrictamente operativas. Revocable en cualquier momento sin condicionar el servicio.

El asistente conversacional utiliza modelos de lenguaje de Anthropic (Claude) y, para tareas específicas como búsqueda semántica en corpus legal, modelos de OpenAI (embeddings). El procesamiento se realiza vía API directa, bajo contratos comerciales que excluyen el uso de tus datos para el entrenamiento de modelos.

Aplicamos un conjunto de controles propios sobre la IA:

• Motor fiscal determinístico. Los cálculos de IRPF e IVA los hace código nuestro probado con tests, no el modelo. La IA explica y aplica; no realiza la aritmética final.
• Guardrails de entrada y salida. Filtros que rechazan consultas fuera de alcance y depuran la salida del modelo si detectan patrones inaceptables (datos personales de terceros, instrucciones inyectadas).
• Tripwire sin herramientas. Si el modelo intenta invocar herramientas no autorizadas, la respuesta se bloquea y se registra como incidente de seguridad.
• Truncado de contexto. Si una entrada supera el límite seguro, se rechaza o se trunca con aviso, evitando exfiltración por contexto.

Solo trabajamos con proveedores estrictamente necesarios para prestar el servicio. Todos están vinculados por contrato con obligaciones equivalentes a las de esta política y cláusulas estándar de protección de datos cuando hay transferencias fuera del Espacio Económico Europeo.

Supabase

Base de datos PostgreSQL, autenticación y almacenamiento de archivos. Infraestructura en la Unión Europea (Frankfurt).

Anthropic

Modelo de lenguaje (Claude) para el asistente. Uso vía API comercial; los datos no se utilizan para entrenar modelos. Procesamiento en EE. UU. con cláusulas contractuales tipo de la Comisión Europea.

OpenAI

Modelos de embeddings para búsqueda semántica en el corpus normativo. Uso vía API comercial sin entrenamiento. Procesamiento en EE. UU. con garantías equivalentes.

Vercel

Hosting de la aplicación Next.js. Regiones europeas siempre que sea técnicamente posible.

Proveedor de email transaccional

Envío de avisos de seguridad y operativos (verificación de cuenta, recuperación de contraseña, alertas). Proveedor con servidores en la UE.

Stripe (cuando aplique)

Procesamiento de pagos cuando exista facturación activa. Datos de pago tratados directamente por Stripe; nosotros no almacenamos números completos de tarjeta.

La lista vigente se mantiene en esta política. Si añadimos o sustituimos un encargado relevante, te avisaremos con antelación razonable.

La base de datos principal, la autenticación y el almacenamiento de documentos residen en infraestructura de la Unión Europea (Frankfurt). Para los servicios de IA que actualmente procesan inferencia en EE. UU., las transferencias se amparan en las Cláusulas Contractuales Tipo (Decisión 2021/914 de la Comisión Europea) y en medidas adicionales: cifrado en tránsito, minimización del payload y prohibición contractual de uso secundario.

La seguridad no es un párrafo declarativo: está integrada en la arquitectura desde la primera línea de código.

• Row Level Security en PostgreSQL. Cada tabla con datos de usuario tiene políticas RLS por auth.uid(), con USING y WITH CHECK explícitos. Imposibilita por construcción que un usuario lea o modifique datos de otro, incluso si un componente del backend cometiese un error de lógica.
• Funciones SECURITY DEFINER con search_path fijado. Las funciones privilegiadas (registro de eventos de seguridad, rate limiting, alta de usuario) se ejecutan con permisos controlados y referencias schema-cualificadas, cerrando el vector clásico de escalada por manipulación de search_path.
• Audit trail append-only. La tabla security_events no admite UPDATE ni DELETE: una vez escrito un evento (login, MFA, descarga, bloqueo de rate limit, incidente de IA), es inmutable.
• Rate limiting atómico. Contadores por usuario × endpoint × ventana en base de datos, actualizados con INSERT … ON CONFLICT. La tabla tiene RLS habilitado sin políticas, así que solo la función SECURITY DEFINER puede tocarla.
• Autenticación multifactor (MFA). Disponible vía TOTP. Las acciones más sensibles requieren step-up reciente.
• Cifrado. TLS 1.2 o superior en tránsito. Cifrado en reposo gestionado por Supabase para base de datos y almacenamiento. Contraseñas almacenadas como hash bcrypt.
• Principio de mínimo privilegio. Acceso operativo restringido a personas autorizadas, con autenticación nominal y registro de acceso.
• Aislamiento de entornos. Producción, staging y desarrollo separados. Los datos de producción no se replican a entornos inferiores.
• Pruebas de seguridad. Conjuntos de tests automatizados específicos: test:security (RLS, autorización) y test:ai-redteam (inyección de prompts, exfiltración, jailbreaks).

Datos de cuenta

Conservados mientras la cuenta esté activa.

Perfil y datos fiscales

Conservados durante el plazo de prescripción fiscal aplicable en España (4 años desde el final del periodo voluntario, con carácter general). En operaciones con efectos prolongados (compraventa de inmuebles, herencias) el plazo puede extenderse según normativa.

Historial del asistente

Política activa de retención de 12 meses desde la última actualización de cada conversación. Las conversaciones más antiguas se eliminan automáticamente mediante purga perezosa al iniciar sesión. Hard delete con borrado en cascada de mensajes.

Eventos de seguridad

Conservados como audit trail para investigación de incidentes. Carecen de contenido de chat o documentos: solo metadatos mínimos.

Trazas técnicas

90 días.

Puedes pedir la eliminación de tu cuenta en cualquier momento escribiendo a hola@fiscal.ia. Procedemos al borrado en un máximo de 30 días naturales, salvo aquellos datos que estemos obligados a conservar por imperativo legal.

Puedes también, sin cerrar tu cuenta, borrar conversaciones concretas del asistente o exportar todo tu historial en formato JSON desde los controles del producto. Estas acciones quedan registradas como eventos de seguridad.

Como interesado, puedes ejercer en cualquier momento los siguientes derechos reconocidos por los artículos 15 a 22 del RGPD:

• Acceso. Obtener copia de tus datos.
• Rectificación. Corregir datos inexactos o incompletos.
• Supresión. Borrado de tus datos cuando ya no sean necesarios.
• Oposición. Oponerte a tratamientos basados en interés legítimo.
• Limitación. Pedir que restringamos el tratamiento mientras se resuelve una controversia.
• Portabilidad. Recibir tus datos en formato estructurado y de uso común.
• No ser objeto de decisiones automatizadas con efectos jurídicos significativos sin intervención humana.

Para ejercerlos escribe a hola@fiscal.ia desde el email asociado a tu cuenta. Responderemos en un plazo máximo de un mes, ampliable por dos meses adicionales en casos especialmente complejos con notificación previa.

Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

El servicio está dirigido exclusivamente a personas mayores de edad (18 años o más). No tratamos datos personales de menores de forma consciente. Si detectamos que una cuenta corresponde a un menor sin autorización válida, procederemos a su cancelación y borrado.

Utilizamos exclusivamente cookies técnicas necesarias para mantener tu sesión iniciada y proteger el servicio frente a ataques (CSRF, fijación de sesión). No utilizamos cookies analíticas de terceros, píxeles publicitarios ni tecnologías de fingerprinting.

La aplicación no carga scripts de redes sociales ni sistemas de tracking externo en las páginas autenticadas. La página pública de presentación se sirve sin trackers.

En caso de incidente que pueda suponer un riesgo para los derechos y libertades de las personas afectadas, notificaremos a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde su detección, conforme al artículo 33 del RGPD.

Cuando el incidente entrañe un alto riesgo, te comunicaremos directamente la naturaleza del hecho, las medidas adoptadas y las recomendaciones para que protejas tu cuenta, en cumplimiento del artículo 34 del RGPD.

Si modificamos esta política te avisaremos por email con un mínimo de 15 días naturales de antelación cuando el cambio sea sustancial. La versión vigente está siempre disponible en esta URL con la fecha de actualización indicada al inicio. Las versiones anteriores se archivan internamente para fines de trazabilidad.

Para cualquier asunto relacionado con esta política escríbenos a hola@fiscal.ia. Si tu solicitud implica el ejercicio de derechos RGPD, indícalo expresamente en el asunto para que la encauce el equipo correspondiente.