Política de Privacidad

Última actualización: 26 de abril de 2026

En Crezfy nos comprometemos a proteger tu privacidad y tus datos personales conforme al Reglamento General de Protección de Datos (RGPD) (UE) 2016/679 y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Responsable del tratamiento

• Responsable: Jesús González Ramírez
• NIF/CIF: 77369919N
• Domicilio: Calle Antonio Romero Maroto, 3, escalera 2, 4ª A, 23009 Jaén
• Correo electrónico: contacto@crezfy.com
• Delegado de Protección de Datos (DPO): dpo@crezfy.com

2. Datos personales que recogemos

Recogemos y tratamos los siguientes datos personales:

• Datos de registro: nombre, dirección de correo electrónico y contraseña (almacenada de forma cifrada con bcrypt).
• Datos financieros voluntarios: información financiera que el usuario introduce voluntariamente para utilizar las herramientas de simulación y planificación (ingresos, gastos, ahorros, objetivos, inversiones, deudas). Estos datos se proporcionan exclusivamente por decisión del usuario.
• Datos de pago (suscripción Premium): los datos de tarjeta son tratados directamente por Stripe (encargado de tratamiento certificado PCI-DSS Nivel 1). Crezfy no almacena datos de tarjeta; únicamente identificadores anónimos del cliente y el estado de la suscripción.
• Datos de uso técnicos: dirección IP, agente de usuario y logs de errores, recogidos por motivos de seguridad (rate-limiting, prevención de abuso) y diagnóstico.
• Datos de comunicaciones: contenido de los mensajes que envíes a través del formulario de contacto.

3. Finalidad del tratamiento

Los datos recogidos se utilizan exclusivamente para las siguientes finalidades:

• Gestión del registro y autenticación de usuarios.
• Prestación del servicio de planificación financiera educativa, simulaciones y calculadoras.
• Almacenamiento de las configuraciones y preferencias del usuario.
• Comunicaciones relacionadas con el servicio (verificación de email, restablecimiento de contraseña, informes mensuales si has optado).
• Procesamiento de pagos de la suscripción Premium (cuando proceda).
• Atención de consultas recibidas a través del formulario de contacto.
• Detección y prevención de abuso (rate-limiting, verificación anti-bot opcional con Cloudflare Turnstile).

No utilizamos tus datos para fines comerciales, publicitarios ni de perfilado automatizado con efectos jurídicos sobre el usuario.

4. Base legal del tratamiento

• Consentimiento (art. 6.1.a RGPD) — para el registro, el envío de comunicaciones no esenciales y la introducción voluntaria de datos financieros.
• Ejecución de un contrato (art. 6.1.b RGPD) — para la prestación del servicio Premium tras la suscripción.
• Interés legítimo (art. 6.1.f RGPD) — para la seguridad del servicio (rate-limiting, captura de errores) y la atención de consultas iniciadas por el usuario.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD) — para la conservación de registros contables y atención a requerimientos de autoridades competentes.

Puedes retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo a su retirada.

5. Destinatarios de los datos (encargados del tratamiento)

Tus datos personales no se venden a terceros. Únicamente acceden a ellos los siguientes proveedores de infraestructura, necesarios para la prestación del servicio. Todos están vinculados por contratos de encargo del tratamiento conforme al artículo 28 del RGPD:

• Hetzner Online GmbH — Alojamiento del servidor (VPS) y red de aplicación. Ubicación: Alemania (UE).
• Cloudflare, Inc. — Red de distribución de contenido (CDN), DNS y almacenamiento de copias de seguridad cifradas (R2). Ubicación: Estados Unidos / red global. Cláusulas Contractuales Tipo (SCC) y Marco de Privacidad de Datos UE-EE.UU.
• Resend, Inc. — Envío de correos transaccionales (verificación de email, restablecimiento de contraseña, informes mensuales, contacto). Ubicación: Estados Unidos. Cláusulas Contractuales Tipo (SCC) y Marco de Privacidad de Datos UE-EE.UU.
• Functional Software, Inc. (Sentry) — Captura de errores de la aplicación para diagnóstico y mejora del servicio. Ubicación: Estados Unidos. Cláusulas Contractuales Tipo (SCC) y Marco de Privacidad de Datos UE-EE.UU.
• OpenAI, LLC — Procesamiento de las consultas dirigidas al asistente conversacional. Los prompts y respuestas no se utilizan para entrenar modelos (opt-out activado). Ubicación: Estados Unidos. Cláusulas Contractuales Tipo (SCC) y Marco de Privacidad de Datos UE-EE.UU.
• Stripe Payments Europe, Ltd. — Procesamiento de pagos de la suscripción Premium. Los datos de tarjeta no son almacenados en nuestros sistemas (PCI-DSS). Ubicación: Irlanda (UE) / Estados Unidos para procesamiento internacional. Cláusulas Contractuales Tipo (SCC) cuando aplica.

Las transferencias internacionales se realizan con las garantías adecuadas previstas en el Capítulo V del RGPD (Cláusulas Contractuales Tipo y, cuando aplica, Marco de Privacidad de Datos UE-EE.UU.).

6. Plazos de conservación

• Cuenta activa: mientras mantengas tu cuenta en la plataforma.
• Inactividad: si tu cuenta permanece inactiva durante un periodo de 5 años, procederemos a la eliminación o anonimización automática.
• Solicitud de borrado: 30 días máximo desde la solicitud para la eliminación de datos no sujetos a obligaciones legales de conservación.
• Datos contables y de facturación: 6 años (Código de Comercio art. 30) y 4 años (Ley General Tributaria) según corresponda.
• Mensajes del formulario de contacto: 24 meses desde la respuesta para poder atender posibles reaperturas; despues se eliminan o anonimizan.
• Copias de seguridad: hasta 90 días en almacenamiento remoto cifrado.

7. Derechos del interesado

De acuerdo con el RGPD y la LOPDGDD, puedes ejercer los siguientes derechos en relación con tus datos personales:

• Acceso — obtener confirmación de si se tratan tus datos y acceder a los mismos.
• Rectificación — solicitar la corrección de datos inexactos o incompletos.
• Supresión — solicitar la eliminación de tus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
• Portabilidad — recibir tus datos en un formato estructurado, de uso común y lectura mecánica.
• Oposición — oponerte al tratamiento de tus datos en determinadas circunstancias.
• Limitación del tratamiento — solicitar la limitación del tratamiento en los supuestos previstos en el artículo 18 del RGPD.
• Retirar el consentimiento — en cualquier momento, sin efectos retroactivos.

Para ejercer cualquiera de estos derechos, puedes contactarnos en dpo@crezfy.com o a través del formulario de contacto. Responderemos a tu solicitud en un plazo máximo de 30 días.

Si consideras que tus derechos no han sido debidamente atendidos, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es.

8. Seguridad de los datos

Implementamos medidas técnicas y organizativas adecuadas para proteger tus datos personales contra el acceso no autorizado, la alteración, la divulgación o la destrucción. Entre ellas:

• Cifrado de contraseñas mediante bcrypt (factor de coste 12).
• Comunicaciones cifradas mediante HTTPS/TLS en todo el sitio.
• Cabeceras de seguridad estrictas: Content Security Policy (CSP) en modo enforce, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
• Acceso a la base de datos restringido a la red interna del servidor.
• Copias de seguridad automáticas diarias con replica remota cifrada en proveedor distinto al de hosting.
• Captura de errores con datos personales depurados mediante beforeSend.
• Verificación de email obligatoria para acceso a funciones sensibles.
• Verificación en dos pasos (2FA) opcional disponible en los ajustes de la cuenta.

9. Modificaciones de esta política

Nos reservamos el derecho de actualizar esta política de privacidad para adaptarla a novedades legislativas o cambios en el servicio. En caso de cambios significativos, te notificaremos a través de la plataforma con antelación razonable. Te recomendamos revisar esta página periódicamente.