Política de Privacidad

Última actualización: 16 de abril de 2026

    Resumen: ZumZum es un software (SaaS) de facturación y cobros vía WhatsApp para autónomos en España. Esta Política explica dos tratamientos distintos: (A) los datos del autónomo usuario, donde Seldon Solutions S.L. es Responsable; y (B) los datos de los clientes finales del autónomo, donde Seldon Solutions S.L. actúa como Encargado del Tratamiento bajo las instrucciones del autónomo (Acuerdo de Encargo del Tratamiento incorporado por referencia en las Condiciones).
  

Índice

Responsable del tratamiento
Doble rol: Responsable y Encargado
Datos que tratamos
Finalidades y base jurídica
Plazos de conservación
Destinatarios y subencargados
Transferencias internacionales
Tus derechos
Reclamación ante la AEPD
Aislamiento multi-tenant
Medidas de seguridad y brechas
Cambios en esta política

1. Responsable del tratamiento

Identidad: Seldon Solutions S.L.
NIF: B26921650
Dirección: Calle Zamora 45, Local 2, 08005 Barcelona, España
Contacto en privacidad: privacy@zumzum.es

Seldon Solutions S.L. no ha designado un Delegado de Protección de Datos al no concurrir los supuestos del art. 37 RGPD ni del art. 34 LOPDGDD.

2. Doble rol: Responsable y Encargado

Esta política se aplica de forma diferenciada a dos categorías de datos:

(A) Datos del autónomo usuario de ZumZum. Seldon Solutions S.L. es Responsable del Tratamiento de los datos identificativos, fiscales, contractuales y de uso del servicio del autónomo (alta, login, suscripción, soporte, logs).
(B) Datos de clientes finales del autónomo introducidos en facturas y registros (CIF/NIF, dirección, IBAN si se registra, conceptos facturados). El autónomo es el Responsable y Seldon Solutions S.L. actúa como Encargado del Tratamiento, conforme a las cláusulas mínimas del art. 28.3 RGPD recogidas en el Acuerdo de Encargo del Tratamiento (DPA), incorporado por referencia en las Condiciones del Servicio aceptadas por el autónomo.

3. Datos que tratamos

Categoría A — datos del autónomo (Responsable):

Identificativos y fiscales: nombre, CIF/NIF, domicilio fiscal, epígrafe IAE, régimen IVA, alta de actividad, modo IRPF (retención o Modelo 130).
Contacto: email, teléfono móvil utilizado en WhatsApp.
Bancarios: IBAN para mandato SEPA de la suscripción; identificador de cuenta MONEI para Bizum.
Datos del servicio: facturas emitidas por el autónomo (registros Verifactu), pagos cobrados, configuraciones, logs de uso.
Técnicos: IP, dispositivo, navegador.

Categoría B — datos de clientes finales del autónomo (Encargado): nombre o razón social, CIF/NIF, dirección, email, teléfono e IBAN del cliente cuando el autónomo los introduce, así como el contenido de la factura. El tratamiento se realiza únicamente por instrucciones del autónomo.

No tratamos categorías especiales del art. 9 RGPD.

4. Finalidades y base jurídica

Finalidad	Base jurídica (RGPD)
Prestación del servicio SaaS de facturación y cobros	Art. 6.1.b — Ejecución del contrato
Cobro de la suscripción vía SEPA Direct Debit / Bizum (a través de MONEI)	Art. 6.1.b + RDL 19/2018 PSD2
Cumplimiento de obligaciones tributarias y contables (registro Verifactu, facturación de la propia suscripción, libros registro)	Art. 6.1.c — Obligación legal (RD 1007/2023, RD 1619/2012, LGT, Cód. Comercio)
Atención al cliente y soporte	Art. 6.1.b — Ejecución del contrato
Seguridad, prevención del fraude y antifraude (Ley 11/2021)	Art. 6.1.f — Interés legítimo
Comunicaciones comerciales sobre nuevas funcionalidades	Art. 6.1.a — Consentimiento opt-in (también art. 21 LSSI)
Tratamiento como Encargado: gestión de datos de clientes del autónomo	Art. 28 RGPD — instrucciones documentadas del Responsable

5. Plazos de conservación

Facturas y registros Verifactu: 6 años (art. 30 Cód. Comercio + art. 70 LGT). Es el plazo mínimo legal.
Datos de la cuenta del autónomo tras baja: 6 años si hay facturación asociada; en caso contrario, 3 años desde la baja.
Logs de acceso y seguridad: 12 meses (criterio AEPD).
Datos de marketing: hasta revocación del consentimiento.

Tras los plazos, aplicamos el bloqueo del art. 32 LOPDGDD.

6. Destinatarios y subencargados

MONEI Payments S.L. (entidad de pago Banco de España nº 6911) — procesamiento de pagos Bizum y SEPA Direct Debit.
Sociedad de Procedimientos de Pago, S.L. — operadora de la marca Bizum.
Cloudflare Inc. (EE. UU.) — alojamiento web, CDN y seguridad.
Hetzner Online GmbH (Alemania) — alojamiento de servidores y base de datos.
WhatsApp / Meta Platforms Ireland Ltd. — canal de comunicación.
Resend Inc. (EE. UU.) — entrega de email transaccional.
Anthropic PBC (EE. UU.) — modelo Claude para procesamiento de lenguaje natural en WhatsApp.
Proveedores de Verifactu (Invopop / GOBL o similar) — emisión y conservación del registro de facturación conforme al RD 1007/2023, una vez integrados.
AEAT — comunicación de registros Verifactu y modelos tributarios cuando proceda.
Juzgados, fuerzas y cuerpos de seguridad en cumplimiento de obligaciones legales.

El listado actualizado de subencargados se publica en este sitio. Los autónomos pueden oponerse a la incorporación de un nuevo subencargado en los 30 días siguientes a su anuncio (RGPD art. 28.4).

7. Transferencias internacionales

Cloudflare, WhatsApp/Meta, Resend y Anthropic pueden tratar datos en Estados Unidos. Estas transferencias se amparan en la Decisión de Adecuación EU–US Data Privacy Framework (Decisión (UE) 2023/1795) y/o en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).

8. Tus derechos

Conforme a los artículos 15 a 22 del RGPD: acceso, rectificación, supresión, limitación, portabilidad, oposición y revocación del consentimiento. Para datos de la categoría A, escríbenos directamente a privacy@zumzum.es. Para datos de la categoría B (clientes finales del autónomo), el interesado debe dirigirse al autónomo Responsable; ZumZum prestará la asistencia razonablemente necesaria conforme al DPA.

9. Reclamación ante la AEPD

Puedes presentar una reclamación ante la Agencia Española de Protección de Datos: www.aepd.es — C/ Jorge Juan 6, 28001 Madrid.

10. Aislamiento multi-tenant

Los datos de cada autónomo se almacenan en entornos lógicamente aislados. Ningún autónomo puede acceder a los datos de otro. Esta separación se garantiza mediante controles a nivel de aplicación, claves criptográficas y validación de tenant en cada consulta a la base de datos, conforme al art. 32.1.b RGPD (confidencialidad).

11. Medidas de seguridad y brechas

Aplicamos cifrado en reposo (Fernet AES-128) para PII e IBAN, HTTPS extremo a extremo, control de accesos basado en roles, copias de seguridad periódicas y un registro de actividades de tratamiento (art. 30 RGPD). En caso de brecha de seguridad, notificaremos a la AEPD en menos de 72 horas conforme al art. 33 RGPD y comunicaremos al autónomo afectado conforme al art. 34. El autónomo, en su rol de Responsable de los datos de sus clientes, deberá comunicar a estos cuando proceda.

12. Cambios en esta política

Esta Política puede actualizarse para reflejar cambios legales, técnicos o de servicio. La fecha de la última actualización aparece al inicio del documento. Los cambios sustanciales se notificarán a los autónomos a través de los canales razonables.