Versión 1.4 – vigente desde el 3 de marzo de 2026 · KontoCSV – https://kontocsv.de
Este aviso le informa de conformidad con el art. 12 – 14 GDPR y § 25 TDDDG sobre el tipo, alcance y propósito del procesamiento de datos personales cuando se utiliza KontoCSV.
1 organismo responsable
Tom Abraham
Riemekestraße 118 · 33102 Paderborn · Alemania
Correo electrónico support@kontocsv.de
(Actualmente, < 20 personas procesan datos personales regularmente; de acuerdo con la Sección 38 BDSG, no es necesario nombrar un responsable de protección de datos. Si tiene alguna pregunta, comuníquese directamente con la persona responsable).
2 definiciones
Se aplican las definiciones del Artículo 4 DSGVO (por ejemplo, “procesamiento”, “datos personales”).
3 Alojamiento e infraestructura
| servicio | Ubicación | Propósito | Base jurídica | Contrato / seguro |
|---|---|---|---|---|
| Google Cloud Run (Google Ireland Ltd.) | Región europa-oeste3 (Frankfurt a. M.) | Operación y entrega del sitio web / API | Arte. 6 Párr. 1 f | Anexo sobre procesamiento de datos en la nube (CDPA) incl. SCC, aceptado 10 · 06 · 2025 |
| Supabase (Supabase Inc.) | eu-central-1 (Fráncfort) | Autenticación, base de datos, almacenamiento de objetos. | Arte. 6 Párr. 1 segundo | Contrato AV + SCC |
| Supabase | eu-west3 / eu-west1 (Supabase / Almacenamiento) | Base de datos en tiempo real, almacenamiento, autenticación, notificaciones push | Arte. 6 Párr. 1b y art. 6 Párr. 1 f | Supabase Términos de Tratamiento de Datos + SCC, aceptado 10 · 06 · 2025 |
| Google Vertex AI / Gemini (Google Ireland Ltd.) | Región europa-oeste3 (Frankfurt a. M.) | Análisis impulsado por IA de documentos PDF | Arte. 6 Párr. 1 segundo | Anexo sobre procesamiento de datos en la nube (CDPA) incl. SCC |
| Render (Render Inc.) | Fráncfort (FRA) | Operación del backend de Python y procesamiento de documentos. | Arte. 6 Párr. 1 f | Acuerdo de procesamiento de datos (DPA) + SCC |
| Stripe (Stripe Pagos Europa Ltd.) | Irlanda | Procesamiento de pagos | Arte. 6 Párr. 1 segundo | Servicio autorresponsable |
| Vercel Cía. | Frankfurt, eu-central-1 / fra1 | Alojamiento frontend, CDN, funciones sin servidor | Arte. 6 Párr. 1 f | DPA + SCC + EU-US DPF |
| Resend Cía. | Irlanda (eu-west-1) | Correos electrónicos transaccionales (registro, restablecimiento de contraseña) | Arte. 6 Párr. 1 segundo | DPA + SCC |
| PostHog Cía. | UE (Frankfurt, AWS eu-central-1) | Análisis web, visitas a páginas, clics. | Arte. 6 Párr. 1 f | DPA + SCC |
| Sentry (Software funcional Inc.) | UE (Fráncfort) | Registro de errores y análisis de estabilidad técnica de la plataforma. | Arte. 6 Párr. 1 f DSGVO | Acuerdo de procesamiento de datos (DPA) + Cláusulas contractuales tipo (SCC) |
El análisis web se realiza sin cookies ni almacenamiento local (PostHog cookieless_mode). No se establecen cookies de análisis ni se requiere ningún banner de consentimiento.
4 Fines del procesamiento y bases legales
| Procesamiento | Datos | Propósito | Base jurídica |
|---|---|---|---|
| Accediendo al sitio web | Dirección IP, agente de usuario, hora, referente | Registros de implementación técnica y seguridad | Arte. 6 Párr. 1 f |
| Registro/Iniciar sesión | Correo electrónico, hash de contraseña, token de sesión | Ejecución del contrato | Arte. 6 Párr. 1 segundo |
| PDF carga y análisis de IA | PDF contenido, metadatos | Conversión a CSV | Arte. 6 Párr. 1 segundo |
| Pago | Nombre, correo electrónico, datos de la tarjeta | Ejecución del contrato | Arte. 6 Párr. 1 segundo |
| Sincronización/autenticación en tiempo real (Supabase) | Token de dispositivo, ID de aplicación, datos de eventos | Estado en vivo y notificaciones push | Arte. 6 Párr. 1 f |
| Contacto de soporte | correo electrónico, mensaje | Procesando su solicitud | Arte. 6 Párr. 1 f |
| Análisis web (PostHog, sin cookies) | Hash de usuario anónimo, vistas de página, clics | Mejora del producto y optimización de la conversión | Arte. 6 Párr. 1 f |
| Registros de errores (Sentry) | datos de error técnico, tipo de navegador, IP anónima | Estabilidad, análisis de errores y mejora técnica de la plataforma. | Arte. 6 Párr. 1 f DSGVO |
| Cookies/Almacenamiento local | Tokens de sesión y CSRF | Persistencia de inicio de sesión | § 25 Párrafo 2 N° 2 TDDDG i. V. con el art. 6 Párr. 1 f |
Sentry se utiliza exclusivamente para el análisis de errores técnicos. Los datos personales no se transmiten activamente.
La supervisión de errores no guarda el contenido de los documentos cargados. Los datos financieros, el contenido de PDF y los datos de transacciones nunca se transmiten a los servicios de monitoreo de errores. Sólo se procesan metadatos de errores técnicos.
No se establecen cookies de análisis o marketing. El análisis web es sin cookies (PostHog cookieless_mode) sin cookies ni almacenamiento local; Por lo tanto, no es necesario un banner de consentimiento.
5 Procesamiento respaldado por IA y transferencias a terceros países
Las páginas PDF cargadas se transmiten cifradas a los servicios de IA para extraer automáticamente el texto y la estructura del documento.
- Google Gemini / Vertex AI (primario): Procesamiento en la región europa-oeste3 (Frankfurt a. M.) dentro de la infraestructura Google Cloud. La base es el Google Cloud Anexo sobre procesamiento de datos (CDPA), que incluye cláusulas contractuales estándar (SCC).
- OpenAI (respaldo opcional): solo se utiliza en casos técnicos excepcionales; Procesamiento en Irlanda/EE.UU. con DPA 07 · 06 · 2025 incl. SCC y EU-US DPF.
Lo siguiente se aplica a todos los servicios de IA:
- Periodo de almacenamiento: máx. 30 días (API retención).
- Formación: Los datos API no se utilizan para el entrenamiento del modelo.
- Decisiones automatizadas: sin decisiones i. S.v. Artículo 22 DSGVO, extracción basada únicamente en reglas.
Supabase se opera en centros de datos de la UE. El procesamiento se lleva a cabo de manera totalmente compatible con DSGVO con medidas técnicas adicionales (TLS 1.3, control de acceso).
6 periodos de almacenamiento
| tipo de datos | Eliminación/retención |
|---|---|
| Registros del servidor | 30 dias |
| PDF archivos y resultados intermedios | eliminación completa automática ≤ 7 días |
| Datos de contrato y facturación | 10 años (HGB, AO) |
| Correos electrónicos de soporte | ≤ 1 año después de la graduación |
| tokens de sesión | Eliminación al eliminar la cuenta o darse de baja |
7 Medidas técnicas y organizativas (TOM)
•TLS 1.3 De extremo a extremo · AES-256 en reposo
•Cifrado CMEK opcional en Cloud Run y Supabase
•Concepto de roles y derechos, MFA para cuentas de administrador
•Procesamiento en memoria + rutina de eliminación de 7 días
•Pruebas de penetración y análisis de vulnerabilidades al menos una vez al año
•Monitoreo del subprocesador (aviso de 15 días)
8 Tus derechos (Art. 15 – 22 DSGVO)
Podrás solicitar información, rectificación, supresión, limitación, portabilidad de datos u oposición en cualquier momento.
Autoservicio en el tablero:
- Datos de exportación (Art. 20): En Configuración → “Exportar mis datos” puede descargar todos sus datos como un archivo JSON.
- Eliminar cuenta (Artículo 17): Puede eliminar irrevocablemente su cuenta y todos los datos asociados en Configuración → "Eliminar cuenta".
Alternativamente, puede comunicarse con nosotros por correo electrónico: support@kontocsv.de
También tiene derecho a presentar una reclamación ante una autoridad supervisora de protección de datos (por ejemplo, BayLDA, Promenade 27, 91522 Ansbach).
9 Revocación del consentimiento
Puede revocar informalmente el procesamiento basado en su consentimiento en cualquier momento. La legalidad del tratamiento anterior no se verá afectada.
10 Obligación de facilitar datos
Se requieren correo electrónico, contraseña y detalles de pago para registrarse, PDF cargar y pagar. Sin esta información, no es posible utilizar los servicios pagos.
11 cambios a esta declaración
Actualizaremos esta declaración de protección de datos tan pronto como cambien los procedimientos, los proveedores de servicios o las situaciones legales. Versión actual: https://kontocsv.de/es/privacidad · Versión 1.4 – válida desde el 3 de marzo de 2026.