Política de Privacidad — Factio
1. Introducción
Esta Política de Privacidad describe cómo Factio recopila, utiliza, almacena, protege y comparte la información personal de los usuarios que utilizan nuestros servicios de facturación electrónica.
Al utilizar Factio, usted acepta las prácticas descritas en esta Política.
Para consultas sobre privacidad: privacy@factio.com
2. Información que Recopilamos
2.1 Información Proporcionada Directamente por el Usuario
Datos de cuenta: - Email (identificador único y medio de comunicación). - Nombre completo. - Contraseña, almacenada de forma irreversible y segura. - Si el usuario se registra con Google, almacenamos el identificador único de Google y el email asociado.
Datos del emisor fiscal: - RUC, razón social y nombre comercial. - Dirección del establecimiento matriz y sucursales. - Establecimientos y puntos de emisión configurados. - Ambiente SRI (pruebas o producción). - Condición fiscal: obligado a llevar contabilidad, contribuyente especial, régimen RISE (según corresponda).
Certificados digitales: - Archivo .p12, almacenado de forma cifrada. - Contraseña del certificado, almacenada de forma cifrada con clave maestra segura. - Metadatos del certificado: emisor, número de serie, fechas de validez, estado.
Datos de compradores (clientes del usuario): - Tipo y número de identificación (RUC, cédula, pasaporte, consumidor final). - Razón social o nombre completo. - Email, dirección y teléfono (opcionales).
Datos de comprobantes electrónicos: - Tipo de documento, secuencial fiscal, clave de acceso, fecha de emisión. - Montos: subtotal, impuestos (IVA, ICE), descuentos, total. - Líneas de detalle: descripción, cantidad, precio unitario. - Forma de pago e información adicional.
2.2 Información Recopilada Automáticamente
Logs de acceso: dirección IP, fecha y hora de acceso, endpoints consultados, códigos de respuesta.
Logs de auditoría: - Historial de estados de documentos: todas las transiciones desde la creación hasta la autorización o rechazo. - Accesos a certificados digitales: quién accedió, cuándo y para qué operación. - Mensajes del SRI: respuestas de recepción y autorización, códigos de error.
Cookies: Factio utiliza cookies de sesión seguras para mantener al usuario autenticado. No utilizamos cookies de terceros para publicidad ni tracking.
2.3 Información Obtenida de Terceros
Servicio de Rentas Internas (SRI): Factio consulta al SRI para validar RUC, consultar estado de contribuyente, enviar comprobantes para recepción y autorización, y consultar el estado de autorización.
Google OAuth: si el usuario se registra con Google, recibimos el identificador único de Google y el email verificado.
3. Cómo Utilizamos la Información
Provisión del servicio: - Generar, firmar digitalmente y enviar comprobantes electrónicos al SRI. - Almacenar documentos fiscales autorizados conforme a normativa tributaria (mínimo 7 años). - Generar el RIDE en PDF de comprobantes autorizados. - Gestionar de forma segura los certificados digitales del usuario. - Autenticar usuarios y controlar el acceso basado en roles.
Cumplimiento legal y fiscal: - Retención de documentos fiscales por 7 años (Ley de Régimen Tributario Interno). - Respuesta a requerimientos de autoridades competentes cuando sea legalmente requerido.
Mejora del servicio: análisis de uso, monitoreo de disponibilidad y optimización de flujos.
Comunicaciones con el usuario: - Notificaciones transaccionales: estado de comprobantes, alertas de certificados próximos a vencer, errores del SRI. - Notificaciones de facturación: recordatorios de pago y facturas mensuales. - Notificaciones de seguridad: cambios de contraseña, accesos sospechosos.
Factio no envía publicidad ni marketing sin consentimiento explícito del usuario.
4. Base Legal para el Tratamiento de Datos
| Base Legal | Aplica a |
|---|---|
| Ejecución de contrato — necesario para prestar el servicio | Datos de registro, emisor, certificados, comprobantes |
| Cumplimiento de obligación legal — normativa tributaria y regulaciones del SRI | Envío al SRI, retención de documentos fiscales por 7 años |
| Interés legítimo — seguridad de la plataforma, mejora del servicio, prevención de fraude | Logs de acceso, análisis de uso, monitoreo |
| Consentimiento explícito | Comunicaciones de marketing |
5. Cómo Compartimos la Información
Factio no vende, alquila ni comercializa datos personales de los usuarios a terceros.
Servicio de Rentas Internas (SRI): Factio envía comprobantes electrónicos (XML con datos del emisor y comprador) al SRI por obligación legal, únicamente para recepción y autorización.
Proveedores de infraestructura: Factio utiliza proveedores externos de alojamiento, base de datos y almacenamiento. Estos actúan como encargados del tratamiento bajo contrato con Factio y con acceso mínimo necesario a los datos.
Requerimientos legales: Factio puede compartir datos cuando sea legalmente requerido mediante orden judicial o administrativa, o para prevenir fraude o proteger la seguridad de la plataforma.
Los datos pueden estar almacenados en infraestructura ubicada fuera de Ecuador. Factio garantiza que están cifrados en tránsito y en reposo, y que existen acuerdos de procesamiento de datos con garantías adecuadas.
6. Seguridad de los Datos
6.1 Medidas de Seguridad
Factio implementa medidas técnicas y organizativas para proteger los datos personales:
- Cifrado en tránsito y en reposo de todos los datos sensibles, incluyendo certificados digitales y contraseñas.
- Aislamiento multi-tenant: cada cliente accede únicamente a sus propios datos. Esta separación se aplica a nivel de base de datos, almacenamiento y acceso a la API.
- Autenticación segura: sesiones protegidas contra ataques comunes de seguridad web, con control de acceso basado en roles.
- Auditoría de accesos: registro completo de quién accedió a cada certificado digital, cuándo y para qué operación.
- Acceso restringido: solo personal autorizado de Factio accede a datos de producción, bajo el principio de mínimo privilegio.
6.2 Respuesta a Incidentes
En caso de brecha de seguridad que afecte datos personales, Factio contendrá el incidente, investigará la causa, notificará a los usuarios afectados dentro de las 72 horas e implementará medidas correctivas.
7. Retención de Datos
| Categoría | Período | Base Legal |
|---|---|---|
| Documentos fiscales (XML, PDF, metadatos) | Mínimo 7 años desde la fecha de emisión | Obligación legal |
| Certificados digitales | Mientras la cuenta esté activa | Contrato |
| Datos de usuario | Mientras la cuenta esté activa | Contrato |
| Logs de acceso | 90 días | Interés legítimo |
| Logs de auditoría fiscal | 7 años | Obligación legal |
Tras la cancelación de la cuenta, los datos de usuario se eliminan después de 30 días. Los documentos fiscales se conservan durante 7 años.
8. Derechos del Usuario
Conforme a la Ley Orgánica de Protección de Datos Personales de Ecuador, el Usuario tiene los siguientes derechos. Todos se ejercen enviando solicitud a privacy@factio.com. Plazo de respuesta: 15 días hábiles salvo excepciones indicadas.
Acceso: solicitar copia de todos los datos personales almacenados sobre usted.
Rectificación: corregir datos inexactos o incompletos. Puede hacerlo directamente desde la configuración de su cuenta o por solicitud.
Supresión ("derecho al olvido"): solicitar la eliminación de sus datos. Excepciones: documentos fiscales que deben retenerse por obligación legal (7 años). Plazo: 30 días hábiles.
Oposición: oponerse al tratamiento de sus datos para marketing o análisis de uso. Puede desactivarlo desde la configuración de su cuenta.
Portabilidad: exportar sus datos en formato estructurado (JSON o CSV), incluyendo datos de usuario, emisores, compradores y documentos fiscales.
Limitación: solicitar la suspensión temporal del tratamiento mientras se verifica la exactitud de sus datos.
Reclamación: si considera que el tratamiento de sus datos infringe la normativa aplicable, puede presentar reclamación ante la Autoridad de Protección de Datos Personales competente en Ecuador.
9. Tratamiento de Datos de Compradores
Cuando el Usuario ingresa datos personales de sus clientes (compradores) para emitir comprobantes, el Usuario actúa como Responsable del Tratamiento de esos datos. Factio actúa como Encargado del Tratamiento bajo instrucciones del Usuario.
Factio se compromete a tratar esos datos únicamente para emitir los comprobantes indicados, no utilizarlos para fines propios, y notificar al Usuario ante cualquier brecha de seguridad que los afecte.
El Usuario se compromete a haber obtenido las autorizaciones necesarias de sus clientes y a garantizar la exactitud de los datos ingresados.
10. Privacidad de Menores de Edad
Factio no está dirigido a menores de 18 años. Si un padre o tutor descubre que su hijo ha proporcionado datos sin su consentimiento, debe contactarnos a privacy@factio.com para proceder a eliminarlos.
11. Cumplimiento Normativo
Factio opera conforme a:
- Constitución de la República del Ecuador (Art. 66, numeral 19).
- Ley Orgánica de Protección de Datos Personales de Ecuador.
- Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.
- Ley de Régimen Tributario Interno y Reglamento de Comprobantes de Venta y Retención del SRI.
12. Cambios a esta Política
Factio puede actualizar esta Política en cualquier momento. Las modificaciones entrarán en vigor inmediatamente para nuevos usuarios y 30 días después de la notificación para usuarios existentes, mediante email y aviso en la Plataforma.
13. Contacto
- Email: privacy@factio.com
- Plazo de respuesta: 15 días hábiles.
Última actualización: 25 de abril de 2026 Vigencia: A partir del 1 de mayo de 2026