RGPD: qué datos almacenamos sobre sus clientes, por qué y durante cuánto tiempo

El tratamiento por parte de Clozo de los datos personales de los clientes se encuadra en el Art. 6(1)(b) — «necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación a petición de este de medidas precontractuales». En concreto: no se puede emitir una factura a un cliente sin conocer su nombre, dirección y país (el Art. 226 §5 de la Directiva del IVA de la UE los exige); no se puede enviarles un contrato por correo sin su dirección de correo; no se puede aplicar la inversión del sujeto pasivo sin su número de IVA. Cada dato tiene un propósito documentado vinculado al contrato.

El período de retención está más condicionado por la legislación fiscal que por el RGPD. El principio de «limitación del plazo de conservación» del RGPD (Art. 5(1)(e)) establece que los datos no pueden conservarse más tiempo del necesario; la legislación fiscal de todos los Estados miembros de la UE exige que las facturas y los registros de apoyo se conserven durante ~10 años. Alemania: GoBD §147 AO (10 años). Países Bajos: Wet OB art. 52 (7 años en general, 10 para registros de propiedad). Francia: Code de commerce L. 123-22 (10 años). Italia: Art. 2220 Codice Civile (10 años). España: Ley 58/2003 General Tributaria art. 70 (4 años en general, pero la documentación del IVA típicamente 10). La intersección: 10 años a partir de la fecha de la última factura o contrato es el período de retención práctico que aplica Clozo.

Qué significa esto operativamente: - Usted elimina un cliente. Eliminación lógica: el cliente queda oculto de su panel pero la fila subyacente, junto con todas las propuestas/facturas/contratos que hacen referencia a él, se conserva por trazabilidad legal. La eliminación física no está disponible — una eliminación física dejaría las facturas huérfanas, rompiendo su cumplimiento fiscal. - Su cliente invoca el Art. 17 (derecho de supresión). Si no tiene un contrato activo y no existe obligación de retención fiscal, puede realizar una eliminación física mediante escalado al soporte. Si hay una factura activa o reciente (dentro de los 10 años), se aplica la excepción de base jurídica del tratamiento del Art. 17(3)(b) — puede rechazar la supresión y explicar por qué (el CEPD ha confirmado esto). Clozo registra la respuesta en cualquier caso. - Su cliente invoca el Art. 15 (derecho de acceso). El registro completo que tenemos sobre él (nombre, correo, país, dirección, número de IVA, todas las propuestas/facturas, todos los eventos de la Línea de tiempo, todas las auditorías de firma) es exportable como un archivo JSON único — abra un ticket de soporte y lo generamos. Esta es la responsabilidad que usted asume como responsable del tratamiento; Clozo es el encargado y proporcionamos las herramientas.

Lo que no almacenamos sobre sus clientes: - Sin datos bancarios / IBAN — los clientes le pagan a usted, pero Clozo nunca ve su número de cuenta. Las transferencias SEPA ocurren fuera de la plataforma; los cobros de Stripe se procesan a través de Stripe y solo los últimos 4 dígitos de la tarjeta y una referencia tokenizada llegan a Clozo. - Sin datos biométricos, sin datos de salud, sin datos de categoría especial según el Art. 9. - Sin huella digital del navegador más allá de la IP y el User-Agent capturados en el momento de la firma (registro de auditoría eIDAS, artículo 11.2). - Sin seguimiento de marketing en la página de la propuesta — ningún Google Analytics, ningún píxel de Facebook, ningún rastreador de terceros llega a los clientes.