Política de Privacidad

Última actualización: 22 de abril de 2026

La presente Política de Privacidad describe cómo Tecnologías de El Salvador, S.A. de C.V. (NIT 0623-060741-020), con domicilio en Colonia Escalón, San Salvador, El Salvador (en adelante “Notifactura”, “nosotros” o “la Compañía”), recolecta, utiliza, almacena y protege la información personal de los usuarios del servicio de recepción, validación y gestión de Documentos Tributarios Electrónicos (DTE) accesible en notifactura.com (el “Servicio”).

Al usar el Servicio, el Usuario acepta las prácticas descritas en esta Política. Si no está de acuerdo, debe abstenerse de utilizar el Servicio.

1. Responsable del tratamiento

Tecnologías de El Salvador, S.A. de C.V.
NIT: 0623-060741-020
Domicilio: Colonia Escalón, San Salvador, El Salvador
Correo de contacto para privacidad y datos personales: legal@notifactura.com

2. Datos que recolectamos

2.1. Datos de cuenta e identificación

  • Nombre y correo electrónico (obtenidos al crear la cuenta o vía proveedor de identidad Zitadel).
  • Identificador de usuario interno (UUID) y marca de tiempo de registro.
  • Datos fiscales que el Usuario ingresa voluntariamente: NIT, NRC, razón social, giro, dirección fiscal.

2.2. Contenido fiscal (DTEs)

  • Documentos Tributarios Electrónicos en formato JSON y sus PDF asociados, subidos por el Usuario o recibidos mediante los canales conectados.
  • Metadatos derivados: emisor, receptor, fechas, montos, tipo de DTE, codigoGeneracion, estado de validación ante el Ministerio de Hacienda.

2.3. Datos técnicos y de uso

  • Dirección IP, identificador de sesión, user agent, idioma del navegador, páginas visitadas dentro del Servicio.
  • Eventos de auditoría: inicio de sesión, cambios de configuración, acciones sobre DTEs.
  • Cookies estrictamente necesarias para mantener la sesión. No utilizamos cookies publicitarias ni detracking de terceros.

2.4. Datos obtenidos de conexiones OAuth de terceros

Cuando el Usuario conecta voluntariamente una cuenta de Gmail, Outlook u otro proveedor, recibimos un token de acceso cifrado que nos permite realizar únicamente las acciones autorizadas por los scopes solicitados. Estos tokens se almacenan cifrados en reposo (AEAD chacha20-poly1305) y nunca se exponen al Usuario ni a terceros.

Uso limitado de datos de Google (Google API Services User Data Policy — Limited Use). El uso y transferencia por parte de Notifactura de información recibida de las APIs de Google cumplirá con la Política de Datos de Usuario de los Servicios de APIs de Google, incluyendo los requisitos de Uso Limitado (Limited Use).

3. Uso de datos de Google Gmail

El Servicio ofrece como funcionalidad opcional la conexión con Gmail para identificar correos que contienen DTEs enviados al Usuario. Esta sección aplica a todo dato obtenido mediante las APIs de Google.

3.1. Scopes solicitados

  • gmail.metadata — permite leer únicamente encabezados y etiquetas de los mensajes (remitente, asunto, fecha, identificadores), sin acceder al cuerpo del correo ni a los adjuntos, para detectar cuáles mensajes pueden contener un DTE.
  • gmail.addons.current.message.readonly — permite leer el contenido del mensaje específico que el Usuario abre dentro del add-on, únicamente mientras interactúa con él, para extraer y procesar el DTE adjunto.

3.2. Cómo usamos estos datos

  • Identificar correos que contienen DTEs mediante patrones en el asunto, remitente y tipo de adjunto.
  • Descargar exclusivamente los archivos DTE (JSON/XML/PDF) necesarios para incorporarlos a la bandeja del Usuario.
  • Evitar procesar el mismo correo dos veces mediante deduplicación por message_id.

3.3. Compromisos bajo la política de Uso Limitado

  • No transferimos datos de Gmail a terceros salvo que sea estrictamente necesario para prestar o mejorar funcionalidades visibles del Servicio, por obligación legal, o como parte de una operación corporativa (fusión/adquisición) en la que el destinatario asuma estas mismas obligaciones.
  • No utilizamos datos de Gmail para mostrar publicidad, personalizada o no.
  • No vendemos datos de Gmail a ninguna parte.
  • No permitimos que seres humanos lean los datos de Gmail salvo: (i) con consentimiento afirmativo explícito del Usuario para mensajes específicos; (ii) cuando sea necesario por razones de seguridad (por ejemplo, investigar abusos); (iii) para cumplir con la ley aplicable; o (iv) de manera agregada y anonimizada, con fines de operación interna.

3.4. Retención y eliminación de datos de Gmail

  • Los metadatos de correos que no contienen DTEs se retienen por un máximo de 90 días y luego se eliminan automáticamente.
  • Los archivos DTE extraídos se conservan por 10 años, conforme a la obligación de retención fiscal del Código Tributario de El Salvador.
  • El Usuario puede revocar en cualquier momento el acceso de Notifactura desde la página de permisos de su cuenta Google. Al revocarlo, los tokens se eliminan de nuestros sistemas y cesa toda sincronización futura.

4. Finalidades del tratamiento

  • Prestar el Servicio de recepción, validación y organización de DTEs.
  • Generar reportes fiscales (libro de compras, IVA) y exportaciones solicitadas por el Usuario.
  • Cumplir obligaciones legales y fiscales aplicables en El Salvador.
  • Proteger la seguridad del Servicio, detectar fraude y prevenir abusos.
  • Comunicar información operativa del Servicio (cambios, incidencias, aviso de privacidad).

5. Base legal

El tratamiento se realiza sobre las siguientes bases: (i) ejecución del contrato de servicio aceptado por el Usuario; (ii) cumplimiento de obligaciones legales, en particular las derivadas del Código Tributario y normativa conexa del Ministerio de Hacienda de El Salvador; (iii) consentimiento expreso del Usuario, cuando así lo requiera una funcionalidad específica (por ejemplo, conexión de cuentas de correo); y (iv) interés legítimo del responsable en operar el Servicio de forma segura.

6. Compartición con terceros (sub-procesadores)

Notifactura no vende datos personales. Únicamente compartimos datos con los siguientes sub-procesadores, que tratan la información bajo nuestras instrucciones:

  • Cloudflare, Inc. — CDN, protección contra DDoS y WAF. Puede procesar IP y metadatos de solicitudes HTTP.
  • Zitadel — proveedor de identidad (autenticación y gestión de cuentas). Procesa correo, nombre e identificadores de sesión.

Si incorporamos nuevos sub-procesadores, actualizaremos esta lista y notificaremos a los Usuarios con antelación razonable.

7. Transferencias internacionales

Algunos sub-procesadores operan infraestructura fuera de El Salvador. En tales casos, nos aseguramos de que existan garantías adecuadas, como cláusulas contractuales y estándares de seguridad equivalentes a los exigidos por la legislación salvadoreña.

8. Seguridad

  • Cifrado en tránsito (TLS 1.2+) para todas las conexiones.
  • Cifrado en reposo para tokens OAuth y credenciales sensibles (AEAD chacha20-poly1305, llaves gestionadas en HashiCorp Vault).
  • Aislamiento de datos por inquilino (tenant) mediante Row-Level Security en la base de datos.
  • Registros de auditoría de accesos y cambios.
  • Programa de rotación de credenciales y revisión periódica de permisos.

9. Derechos del titular

Conforme a la legislación salvadoreña aplicable, el Usuario puede ejercer los siguientes derechos:

  • Acceder a los datos personales que tratamos sobre él.
  • Rectificar datos inexactos o incompletos.
  • Solicitar la supresión de los datos, sujeto a las retenciones legales obligatorias (en particular, los 10 años de retención fiscal de DTEs).
  • Oponerse al tratamiento o solicitar su limitación.
  • Revocar el consentimiento cuando este haya sido la base del tratamiento.
  • Obtener una copia de sus datos en un formato estructurado y de uso común (portabilidad).

Para ejercer estos derechos, escribe a legal@notifactura.com. Responderemos dentro de un plazo razonable y, en todo caso, no superior a treinta (30) días hábiles.

10. Eliminación de cuenta

El Usuario puede solicitar la eliminación de su cuenta en cualquier momento escribiendo a legal@notifactura.com. Una vez recibida la solicitud:

  • Se revocan los tokens OAuth y se desconectan todos los canales asociados.
  • Los datos de cuenta y metadatos no fiscales se eliminan en un plazo máximo de 30 días.
  • Los DTEs y registros fiscales asociados se conservan cifrados durante el plazo legal de 10 años, y solo se usan para atender requerimientos de autoridades competentes o del propio Usuario.

11. Menores de edad

El Servicio no está dirigido a menores de 18 años; no recolectamos datos de menores a sabiendas.

12. Cambios a esta Política

Podemos actualizar esta Política cuando sea necesario. Publicaremos la nueva versión en esta URL indicando la fecha de última actualización. Si los cambios son sustanciales, lo notificaremos por correo electrónico al Usuario con al menos quince (15) días de anticipación.

13. Contacto

Preguntas sobre esta Política, ejercicio de derechos o reclamos sobre el tratamiento de datos: legal@notifactura.com.