RGPD: qué almacena Clozo sobre usted, por qué y durante cuánto tiempo

Clozo es el responsable del tratamiento de los datos de su cuenta (usted, el autónomo). Para los datos sobre sus clientes — nombres, direcciones de correo, datos de facturación en las facturas que emite — usted es el responsable y Clozo es el encargado del tratamiento. Esa distinción importa porque las solicitudes de los interesados sobre datos de clientes (exportación, supresión) le llegan a usted primero y usted decide cómo responder; Clozo le proporciona las herramientas para cumplirlas pero no es dueño de la relación. Véase el artículo 11.7 para el flujo de trabajo práctico.

Desde el 19-05-2026 (activador del lanzamiento en producción), Clozo también implementa la base de retención legal conforme a [A-021..A-027]: una saga Celery en múltiples pasos para la supresión en cascada del RGPD (pasos solo de base de datos primero, luego efectos secundarios externos de Stripe / R2), desactivación de Stripe Connect (no eliminación) en el momento de la supresión para que los requerimientos de la AEAT en los años 6–10 puedan seguir responderse a través de stripe_account_id, seudonimización que conserva vat_number y company_name (el Art. 226(10) + el Art. 244 de la Directiva del IVA de la UE los exigen en las facturas conservadas), búsqueda HMAC-SHA-256 User.email_hmac para que un ex-usuario pueda asociarse a su fila años después de la anonimización, y un endpoint público /recover-invoice con fuerte anti-enumeración para que los clientes de terceros puedan recuperar sus propias facturas conservadas legalmente desde 2031 en adelante.

Las 13 actividades de tratamiento activas, agrupadas por base jurídica según el Art. 6(1):

Art. 6(1)(b) Contrato — los datos que debemos tratar para prestar el servicio: 1. Creación de cuenta de usuario — correo, nombre, país, idioma, hash de contraseña. Conservado hasta la eliminación de la cuenta + 30 días de gracia. 2. Generación de facturas — su identidad empresarial + los datos de facturación de su cliente + líneas. Conservado 10 años conforme al Art. 244 de la Directiva del IVA de la UE 2006/112/CE. 3. Facturación de suscripción — ID de cliente de Stripe, plan, correo de facturación, dirección de facturación. Conservado 10 años conforme a la LGT española 58/2003 + Directiva del IVA de la UE (somos una empresa controlada desde España). 4. Procesamiento de pagos (Stripe Connect) — nombre del pagador, dirección de facturación, token del método de pago, importe de la transacción. Clozo solo conserva el ID del PaymentIntent y el estado; Stripe conserva los datos de la tarjeta según su alcance PCI-DSS (~7 años según su política). 5. Correo transaccional (Resend) — correo + nombre del destinatario + cuerpo del mensaje. Registros de entrega 1 año; cuerpos de correo no conservados más allá de la cola de envío.

Art. 6(1)(c) Obligación legal — los datos que la ley nos exige conservar: 6. Validación del IVA (VIES) — número de IVA + código de país, validado contra el servicio SOAP VIES de la Comisión Europea. Caché de 24 horas. 7. Endpoints de autoservicio del RGPD — datos de identificación + contacto + facturación + operativos necesarios para cumplir las solicitudes de los Arts. 15 / 17 / 20. Tokens borrados en el primer uso o después de 14 días. 8. Libro de registros de archivos R2 — cada objeto PDF o XML de factura electrónica que almacena el sistema. Exigido por GoBD §147 AO (Alemania, 10 años), Art. 34 del eIDAS (auditoría de firma de 10 años) y Art. 244 de la Directiva del IVA de la UE. La fila del libro de registros sobrevive al blob. 9. Registro de auditoría de administración — cada acción administrativa que muta el estado de los datos de los usuarios. Exigido por la responsabilidad del Art. 5(2). Conservado durante la vida útil de la cuenta del interesado afectado.

Art. 6(1)(a) Consentimiento — estrictamente voluntario, puede revocarse en cualquier momento: 10. Atribución de marketing (Google Ads + GA4) — IDs de clic, correo/teléfono hasheado con SHA-256 para Conversiones mejoradas, client_id de GA4, valor de la transacción. Conservado 13 meses en GA4 (configuración del proyecto). Tratamiento de alto riesgo — mantenemos una DPIA en _scratch/DPIA_marketing_attribution.md (pendiente de revisión legal). 11. Análisis de producto (PostHog) — distinct_id seudonimizado, vistas de página, eventos de funciones, país (resolución de ciudad desactivada). Conservado 13 meses. La ingesta se realiza en servidores de la UE (eu.i.posthog.com).

Art. 6(1)(f) Interés legítimo — equilibrado con sus derechos: 12. Registros de seguridad — IP de origen, user-agent, ruta de solicitud, código de respuesta, resultado de autenticación. Conservado 14 días (retención de registros de Railway). 13. Chat de soporte al cliente (Crisp) — correo, nombre, contenido del chat. Conservado 2 años desde el último mensaje; eliminado a petición del cliente. Crisp está alojado en Francia (jurisdicción de la UE).