Política de privacidad

El responsable del tratamiento de tus datos personales es Noa, accesible a través de heynoa.es. Para cualquier consulta relacionada con la protección de datos, puedes escribirnos a hola@heynoa.es.

Recogemos y tratamos los siguientes tipos de datos:

• Datos de cuenta: email, contraseña (cifrada), nombre y datos fiscales que configures en tu perfil de emisor.
• Datos financieros: transacciones bancarias sincronizadas vía Enable Banking (PSD2), facturas emitidas y recibidas, y datos de conciliación.
• Datos de contactos: nombre, NIF, email, teléfono y dirección de tus clientes y proveedores que registres en el CRM.
• Datos de calendario: eventos sincronizados desde Google Calendar o Apple Calendar, y eventos creados dentro de Noa.
• Datos de uso: interacciones con Noa IA (conversaciones con el asistente), preferencias y configuración de la plataforma.
• Datos técnicos: dirección IP, tipo de dispositivo y navegador, para garantizar la seguridad de tu cuenta.

• Gestionar tu cuenta y autenticación.
• Sincronizar y clasificar tus transacciones bancarias.
• Generar y enviar facturas a tus clientes.
• Estimar tus obligaciones fiscales trimestrales.
• Detectar suscripciones, traspasos y anomalías financieras.
• Ofrecer asistencia personalizada a través de Noa IA.
• Sincronizar eventos de calendario.
• Enviarte notificaciones sobre facturas impagadas, vencimientos y alertas configuradas.
• Mejorar el servicio y desarrollar nuevas funcionalidades.

• Ejecución del contrato: el tratamiento es necesario para prestarte el servicio.
• Consentimiento: para integraciones opcionales (banco, calendario, Telegram).
• Interés legítimo: para mejorar el producto y prevenir fraude.

No vendemos ni cedemos tus datos a terceros. Solo compartimos datos con:

• Supabase (base de datos y autenticación): almacena tus datos con cifrado en tránsito y en reposo. Servidores en la UE.
• Enable Banking (PSD2): intermediario regulado para la conexión bancaria de solo lectura.
• Anthropic (Claude): procesa conversaciones con Noa IA. No retiene datos para entrenamiento.
• Google (Gemini + Calendar): clasificación de transacciones y sincronización de calendario.
• Apple (CalDAV): sincronización de calendario vía protocolo estándar.
• Nodemailer (SMTP): envío de facturas y notificaciones por email.

Tus datos se almacenan en servidores de Supabase ubicados en la Unión Europea. La aplicación web se ejecuta en un servidor VPS en Europa. Las transferencias de datos a proveedores fuera de la UE (Anthropic, Google) se realizan bajo cláusulas contractuales tipo aprobadas por la Comisión Europea.

• Datos de cuenta: mientras mantengas tu cuenta activa.
• Transacciones y facturas: durante el tiempo requerido por la legislación fiscal española (mínimo 4 años).
• Conversaciones con Noa IA: 90 días desde la última interacción.
• Logs técnicos: máximo 30 días.

Puedes solicitar la eliminación de tu cuenta y todos tus datos en cualquier momento.

Como usuario, tienes derecho a:

• Acceso: solicitar una copia de todos tus datos personales.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión: solicitar la eliminación de tus datos.
• Portabilidad: recibir tus datos en un formato estructurado y legible.
• Oposición: oponerte al tratamiento de tus datos.
• Limitación: solicitar la restricción del tratamiento.
• Revocación del consentimiento: retirar tu consentimiento en cualquier momento.

Para ejercer cualquiera de estos derechos, escribe a hola@heynoa.es. Responderemos en un plazo máximo de 30 días. También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

Aplicamos medidas técnicas y organizativas para proteger tus datos:

• Cifrado HTTPS/TLS en todas las comunicaciones.
• Autenticación mediante JWT con tokens de acceso y refresco.
• Row Level Security (RLS) en la base de datos: cada usuario solo puede acceder a sus propios datos.
• Cookies httpOnly para evitar acceso desde JavaScript malicioso.
• Contraseñas cifradas con bcrypt — nunca se almacenan en texto plano.
• Acceso bancario de solo lectura mediante protocolo PSD2 regulado.

Noa usa cookies técnicas (necesarias para tu sesión) y, solo si aceptas el banner, analítica anónima propia (PostHog, servidores en la UE). No usamos cookies de terceros publicitarios — ni Google Analytics, ni Facebook Pixel, ni similares.

Tipos de cookies/almacenamiento que usamos:

• Cookies técnicas (siempre): sb-access-token y sb-refresh-token (Supabase Auth, httpOnly).
• Cookie funcional: noa_cookie_consent que recuerda tu preferencia 12 meses.
• Cookies analítica (opt-in): ph_* de PostHog. Solo se instalan si aceptas en el banner.
• localStorage: preferencias de UI (orden de widgets, vista activa). No se envía a servidores.

Respetamos la señal Global Privacy Control (GPC): si tu navegador la envía, tratamos automáticamente como rechazo de analítica sin necesidad de mostrar el banner.

Para detalles completos (tabla de cookies, duraciones y cambio de preferencia), consulta /cookies. Puedes cambiar tu consentimiento en cualquier momento desde esa página.

Noa está en desarrollo activo. En el futuro incorporaremos interfaces de voz, un dispositivo físico (hardware) y nuevas integraciones. Antes de activar cualquier funcionalidad que requiera nuevos tipos de datos, te informaremos y solicitaremos tu consentimiento.

Podemos actualizar esta política periódicamente. Te notificaremos de cualquier cambio significativo a través de la plataforma o por email. La fecha de última actualización aparece al final de este documento.