1. Data Controller and Legal Framework

Controller: Ecomverify.com (Ecomgi, S.L.)
CIF: B42890657 – Carrer Riera Garrap, 37, 17007 Girona (Spain)
Contact: clientes@ecomgi.com

This policy is drafted in accordance with:

• Regulation (EU) 2016/679 (GDPR)
• Spanish Organic Law 3/2018 on Data Protection and Digital Rights (LOPDGDD)
• Law 34/2002 on Information Society Services and Electronic Commerce (LSSI-CE)
• Guidelines from the Spanish Data Protection Authority (AEPD), especially on AI, DPIA, privacy by design and by default

2. Categories of Data Collected and Origin

We process the following types of data:

• Identification data: name, surname, ID/VAT number, address, email, phone number.
• Financial/tax data: invoices, balances, transactions, accounting records.
• Confidential data: contracts, business or personal documentation.
• AI-derived data: data extracted or interpreted by intelligent systems.
• Technical and navigation metadata: IP, cookies, logs, usage, devices.

This data comes directly from the user when registering or uploading documents.

3. Purposes of Processing

• Provision of the platform and personalized access.
• Automated/document processing with AI (data extraction, classification, summaries).
• Generation of invoices, tax, and accounting reports.
• Customer service, technical support, and administrative management.
• Compliance with legal obligations (GDPR, tax, accounting, LSSI-CE).
• Fraud prevention and continuous improvement through internal analysis.
• Commercial communications, only with explicit consent.

4. Legal Basis for Processing

• Performance of a contract (Art. 6.1.b GDPR): processing necessary to provide contracted services.
• Explicit consent (Art. 6.1.a and Art. 9 GDPR): required for processing of sensitive data, AI use, and marketing.
• Legal obligation (Art. 6.1.c GDPR): compliance with tax, accounting, data protection, and e-commerce regulations.
• Legitimate interest (Art. 6.1.f GDPR): limited use for security, fraud prevention, and improvements, subject to a balancing test.

5. Artificial Intelligence and Automation

For document analysis (invoices, contracts, PDFs), we use internal and/or third-party AI (OpenAI, Google, etc.), ensuring:

• Transparency on the presence of AI in processing.
• Clear and understandable information (Art. 13 GDPR).
• No fully automated decisions without human oversight (Art. 22 GDPR).
• The right to object or request manual processing.

6. Data Protection Impact Assessment (DPIA)

DPIAs have been carried out in accordance with Art. 35 GDPR and AEPD guidelines for:

• Mass processing of financial and confidential data through AI.
• Automatic extraction of sensitive information.

Risks are documented and appropriate safeguards applied.

7. Technical and Organizational Measures

• TLS 1.3 encryption in transit and AES-256 at rest.
• Servers located in the EU, ISO/IEC 27001 certified.
• Access control with two-factor authentication (2FA) and audit logs.
• Backups, contingency plans, and penetration testing.
• Privacy by design and by default (Art. 25 GDPR).
• Continuous review and staff/sub-processor training.

8. Data Processors and Disclosures

Access may involve third-party processors such as:

• Cloud, AI, CRM, hosting, and backup providers.
• Payment and invoicing services.

All processors are bound by contracts under Art. 28 GDPR with privacy guarantees.

9. International Transfers

Transfers may occur when using AI providers outside the EEA. Safeguards include:

• EU Standard Contractual Clauses.
• Providers adhering to appropriate protection mechanisms.
• Legal and technical assessments under Art. 46 GDPR.

10. Data Retention Periods

• Contract-related data: until contract termination + 6 years (tax period).
• Accounting records: 10 years.
• Civil liability: 5 years.
• Usage metadata: 2 years.
• User-uploaded documents: deletable earlier upon request.

11. Data Subject Rights

You have the right to:

• Access, rectification, erasure (“right to be forgotten”).
• Restriction or objection to processing.
• Data portability.
• Withdrawal of consent.

These rights may be exercised by emailing clientes@ecomgi.com with official identification. You may also lodge a complaint with the Spanish Data Protection Authority (www.aepd.es).

12. Data Protection Officer (DPO)

We have appointed a DPO in accordance with Arts. 37-39 GDPR. Contact: clientes@ecomgi.com. The DPO coordinates compliance, internal training, DPIAs, and security breaches.

13. Security Breaches

In case of a breach affecting rights, we will:

• Notify the AEPD within 72 hours.
• Inform affected individuals, if necessary.
• Apply mitigation, forensic analysis, and future prevention measures.

14. Breaches and Complaints

The AEPD imposed sanctions exceeding several million euros during 2023-2025. You may file a complaint before the AEPD or through legal action.

15. Transparency and Updates

This policy was last updated on June 19, 2025. We review it periodically for legal, technical, or structural changes. Users will be informed via banner or email.

16. Additional Information

• Cookies: managed according to our cookies policy.
• Privacy by design: measures applied during development (Art. 25 GDPR).
• Synthetic data: if generated from documents, users will be notified following AEPD guidelines.
• Digital identity (eIDAS2): if integrated, use will be notified in compliance with eIDAS2 rules.

17. Processing of Amazon SP-API Data

In providing services to Amazon sellers, our platform accesses information through the Amazon Selling Partner API (SP-API). Processing of this information strictly complies with the Acceptable Use Policy and the Amazon Data Protection Policy.

17.1. Categories of data obtained from SP-API

• Buyer identification: full name, shipping and billing address, email.
• Tax data: VAT ID where applicable.
• Transactions: orders, items, amounts, currencies, associated marketplaces.

17.2. Purposes of processing

• Generation of tax invoices and compliance with tax obligations (VAT, OSS, European requirements).
• Preparation of accounting and regulatory reports for seller clients.
• Integration with clients’ ERP and accounting systems.

We do not use Amazon buyer data for marketing, advertising, behavioral analysis, or sharing with third parties.

17.3. Retention and deletion

• Personal identification data obtained from Amazon is retained for a maximum of 30 days, unless a longer retention is legally required.
• After this period, records are anonymized or securely deleted.

17.4. Specific security measures

• TLS 1.3 encryption in transit and AES-256 at rest.
• Servers located in the EU, with restricted access and multifactor authentication.
• Audit logs and monitoring of access to Amazon information.
• Segregation of development, testing, and production environments.

17.5. Amazon-related security breaches

In case of an incident affecting Amazon SP-API data:

• We will notify Amazon (security@amazon.com) within 24 hours.
• The AEPD will be informed within 72 hours if applicable.
• Clients will be notified if their rights are at risk.

17.6. Amazon compliance

The use of Amazon information is strictly limited to the purposes described in this policy and in client contracts. Data is not shared with unauthorized third parties, and the principles of data minimization and strict compliance with the Amazon Data Protection Policy apply at all times.

1. Responsable del Tratamiento y Marco Jurídico

Responsable: Ecomverify.com (Ecomgi, S.L.)
CIF: B42890657 – Carrer Riera Garrap, 37, 17007 Girona (España)
Contacto: clientes[ @ ]ecomgi.com

Esta política se redacta conforme a:

• Reglamento (UE) 2016/679 (RGPD)
• Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)
• Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI‑CE)
• Directrices de la AEPD, especialmente sobre IA, DPIA, privacidad por diseño y por defecto :contentReference[oaicite:1]{index=1}

2. Categorías de Datos Recogidos y Origen

Tratamos los siguientes tipos de datos:

• Identificativos: nombre, apellidos, NIF/CIF, dirección, email, teléfono.
• Financieros/fiscales: facturas, balances, transacciones, libros contables.
• Confidenciales: contratos, documentación empresarial o particular.
• Derivados de IA: datos extraídos o interpretados por sistemas inteligentes.
• Metadatos técnicos y de navegación: IP, cookies, logs, uso, dispositivos.

Estos datos proceden directamente del usuario al registrarse o subir documentos.

3. Finalidades del Tratamiento

• Provisión de la plataforma y acceso personalizado.
• Procesamiento automático/documental con IA (extracción de datos, clasificación, resúmenes).
• Generación de facturas, informes fiscales y contables.
• Atención al cliente, soporte técnico y gestión administrativa.
• Cumplimiento de obligaciones legales (RGPD, fiscal, contable, LSSI‑CE).
• Prevención de fraude y mejora continua mediante análisis interno.
• Comunicaciones comerciales, solo si hay consentimiento expreso.

4. Base Jurídica del Tratamiento

• Ejecución de contrato (art.6.1.b RGPD): procesamiento de datos para prestar los servicios contratados.
• Consentimiento explícito (art.6.1.a y art.9 RGPD): necesarios para tratamiento de datos confidenciales, uso de IA y marketing.
• Obligación legal (art.6.1.c RGPD): cumplimiento de normativa fiscal, contable, protección de datos y comercio electrónico.
• Interés legítimo (art.6.1.f RGPD): uso restrictivo para seguridad, prevención de fraude y mejoras, tras evaluación de equilibrio.

5. Inteligencia Artificial y Automatización

Para analizar documentos (facturas, contratos, PDFs), utilizamos IA interna y/o de terceros (OpenAI, Google, etc.), cumpliendo:

• Transparencia sobre presencia de IA en el procesamiento :contentReference[oaicite:2]{index=2}.
• Información clara y comprensible (art.13 RGPD).
• Prohibición de decisiones automáticas sin control humano (art.22 RGPD).
• Derecho a oponerse o solicitar procesamiento manual.

6. Evaluación de Impacto (DPIA)

Se han realizado DPIA conforme al art.35 RGPD y guías de la AEPD en:

• Procesamiento masivo de datos financieros y confidenciales mediante IA.
• Extracción automática de información sensible.

Se documentan riesgos y se aplican salvaguardas adecuadas.

7. Medidas Técnicas y Organizativas

• Cifrado TLS 1.3 en tránsito y AES‑256 en reposo.
• Servidores ubicados en la UE, certificados ISO/IEC 27001.
• Control de accesos con doble factor (2FA) y registros de auditoría.
• Backups, planes de contingencia y pruebas de intrusión.
• Protección por diseño y por defecto (art.25 RGPD) :contentReference[oaicite:3]{index=3}.
• Revisión y formación continua del personal y subencargados.

8. Encargados del Tratamiento y Cesiones

Puede implicar acceso de terceros (encargados) como:

• Proveedores de cloud, IA, CRM, hosting y backups.
• Servicios de pago y facturación.

Todos firmamos contratos conforme al art.28 RGPD e integran garantías de privacidad.

9. Transferencias Internacionales

Se pueden producir al usar IA de proveedores fuera del EEE. Aplicamos salvaguardas:

• Cláusulas contractuales tipo UE.
• Proveedores adheridos a mecanismos de protección adecuados (ej. Privacy Shield).
• Evaluación legal y técnica conforme art.46 RGPD.

10. Plazos de Conservación

• Datos vinculados al contrato: hasta su finalización + 6 años (plazo fiscal).
• Documentos contables: 10 años.
• Responsabilidad civil: 5 años.
• Metadatos de uso: 2 años.
• Documentos solicitados por usuarios: eliminables previamente bajo solicitud.

11. Derechos ARSULIPO

Tienes derecho a:

• Acceso, rectificación, supresión (“derecho al olvido”).
• Limitación u oposición al tratamiento.
• Portabilidad de datos.
• Revocación del consentimiento.

Se ejercen enviando email a clientes@ecomgi.com junto con identificación oficial. También puedes presentar reclamación ante la AEPD (www.aepd.es).

12. Delegado de Protección de Datos (DPO)

Hemos designado un DPO conforme a los art.37‑39 RGPD. Contacto: clientes@ecomgi.com. Coordina el cumplimiento, formación interna, DPIA y brechas de seguridad.

13. Brechas de Seguridad

En caso de brecha con riesgo para derechos ofrecemos:

• Notificación a AEPD en 72 h.
• Comunicación a los afectados, si es necesario.
• Mitigación, análisis forense y prevención futura.

14. Incumplimientos y Reclamaciones

La AEPD impuso sanciones que superaron varios millones en 2023-2025 :contentReference[oaicite:4]{index=4}. Puedes reclamar ante la AEPD o mediante acción judicial.

15. Transparencia y Actualizaciones

La última actualización de esta política es el 19 de junio de 2025. La revisamos periódicamente por cambios jurídicos, técnicos o de estructura. Se informará a usuarios mediante banner o email.

16. Información Adicional

• Cookies: gestionaremos tu consentimiento según política de cookies.
• Privacidad desde el diseño: aplicamos medidas obligatorias en fase de desarrollo por art.25 RGPD :contentReference[oaicite:5]{index=5}.
• Datos sintéticos: si generamos datos sintéticos a partir de documentos haremos avisos específicos según guías AEPD :contentReference[oaicite:6]{index=6}.
• Reconocimiento digital eIDAS2: si integras identidad digital notificaremos uso conforme normas eIDAS2 :contentReference[oaicite:7]{index=7}.

17. Tratamiento de Datos de Amazon SP-API

En el marco de los servicios prestados a vendedores de Amazon, nuestra plataforma accede a información a través de la Amazon Selling Partner API (SP-API). El tratamiento de esta información se ajusta estrictamente a la Acceptable Use Policy y a la Amazon Data Protection Policy.

17.1. Categorías de datos obtenidos desde SP-API

• Identificación de compradores: nombre completo, dirección de envío y facturación, correo electrónico.
• Datos fiscales: número de identificación fiscal (VAT ID) cuando corresponda.
• Transacciones: pedidos, artículos, importes, divisas, marketplaces asociados.

17.2. Finalidades del tratamiento

• Generación de facturas fiscales y cumplimiento de normativa tributaria (IVA, OSS, obligaciones europeas).
• Preparación de informes contables y regulatorios para clientes vendedores.
• Integración con sistemas ERP y contabilidad de los clientes.

No utilizamos datos de compradores de Amazon para marketing, publicidad, análisis de comportamiento o cesión a terceros.

17.3. Retención y eliminación

• Los datos de identificación personal obtenidos de Amazon se conservan un máximo de 30 días, salvo obligación legal de mayor duración.
• Tras dicho plazo, los registros son anonimizados o eliminados de forma segura.

17.4. Medidas de seguridad específicas

• Cifrado TLS 1.3 en tránsito y AES-256 en reposo.
• Servidores ubicados en la Unión Europea, con acceso restringido y autenticación multifactor.
• Logs de auditoría y monitorización de accesos a información de Amazon.
• Segregación de entornos de desarrollo, pruebas y producción.

17.5. Brechas de seguridad relativas a Amazon

En caso de incidente que afecte a datos de Amazon SP-API:

• Notificaremos a Amazon (security@amazon.com) en menos de 24 horas.
• Se informará a la AEPD en ≤72 horas si procede.
• Se comunicará a los clientes afectados cuando exista riesgo para sus derechos.

17.6. Conformidad con Amazon

El uso de la información de Amazon se limita exclusivamente a los fines descritos en esta política y en los contratos con nuestros clientes. No se comparte con terceros no autorizados y se aplica el principio de minimización de datos y el cumplimiento estricto de la Amazon Data Protection Policy.