Política de Privacidad

Última actualización: 2 de junio de 2026 (revisión Tap to Pay iOS y Android)

1. Responsable del tratamiento

2. Ámbito, roles y categorías de usuarios

Responsable del tratamiento: AVIRATO SOFTWARE S.L. actúa como responsable respecto de los datos de comercios, usuarios registrados, contactos comerciales y visitantes del sitio web y las apps cuando tratamos esos datos para nuestras finalidades (contratación, soporte, cumplimiento legal, marketing con consentimiento, etc.).

Encargado del tratamiento: Cuando un comercio utiliza Avirato Payments para cobrar a sus clientes finales, tratamos los datos necesarios para procesar el pago por cuenta del comercio, conforme a sus instrucciones y al contrato de servicios. En esos casos el comercio es el responsable frente al pagador y nosotros el encargado. El comercio debe informar a sus clientes mediante su propia política de privacidad.

Esta política se dirige principalmente a usuarios del comercio (titulares, empleados autorizados, integradores) y a visitantes del sitio web. Si eres cliente final de un comercio que usa Avirato Payments, consulta también la política de privacidad de ese comercio.

3. Datos personales y del dispositivo que tratamos

Según el servicio que uses, podemos tratar las siguientes categorías:

3.1. Datos identificativos y de contacto

• Nombre, apellidos y cargo
• Correo electrónico y teléfono
• Datos de empresa: razón social, CIF/NIF, sector, dirección
• Credenciales de acceso (usuario, contraseña cifrada, tokens de sesión)

3.2. Datos económicos, de pago y transaccionales

• Datos de facturación y cuenta bancaria del comercio
• Importes, referencias de operación, historial de transacciones y devoluciones
• Datos de tarjeta: no almacenamos el PAN completo ni el CVV; el tratamiento se realiza mediante tokenización y cifrado por proveedores de servicios de pago certificados (PCI DSS)
• Información necesaria para prevenir fraude y cumplir normativa de prevención de blanqueo de capitales, cuando aplique

3.3. Datos técnicos, de uso y del dispositivo (web y apps)

• Dirección IP, identificadores de dispositivo, sistema operativo y versión de la app
• Registros de actividad, eventos de error (logs) y métricas de rendimiento
• Datos de navegación: páginas vistas, tiempo de uso, origen de la visita
• Identificadores de publicidad o analítica, cuando exista consentimiento (cookies/SDKs)
• Datos de conexión con terminales TPV (Bluetooth/NFC/Wi‑Fi), según la funcionalidad activada

3.4. Datos de comunicaciones

• Contenido de formularios de contacto, solicitudes de demo y soporte
• Grabaciones o transcripciones de comunicaciones solo si lo informamos expresamente en ese canal
• Preferencias de marketing y bajas (opt-out)

3.5. Datos obtenidos de terceros

• Entidades de pago, bancos y redes de tarjetas (confirmación de operaciones, disputas)
• Proveedores de verificación de identidad o solvencia, cuando la ley o el contrato lo exijan
• Fuentes públicas o registros mercantiles para comprobación de datos del comercio

4. Cómo recopilamos los datos

• Directamente de ti: formularios web, registro en el panel, contratación, emails, teléfono y uso de la app.
• Automáticamente: cookies, SDKs, logs de servidor y telemetría de la aplicación al utilizar nuestros servicios.
• A través de terceros: procesadores de pago, partners tecnológicos y, en su caso, el comercio que te da acceso a nuestra plataforma.

5. Finalidades, bases legales y plazos de conservación

5.1. Prestación del servicio y ejecución del contrato

• Finalidad: Alta de cuenta, cobros, TPV, Tap to Pay, informes, API, soporte técnico y facturación.
• Base legal: Ejecución de contrato y medidas precontractuales (art. 6.1.b RGPD).
• Conservación: Duración del contrato y, después, los plazos legales aplicables (habitualmente hasta 6 años por obligaciones mercantiles, fiscales y de servicios de pago).

5.2. Cumplimiento legal y seguridad

• Finalidad: Prevención de fraude, seguridad de la plataforma, respuesta a autoridades y reclamaciones de pagos.
• Base legal: Obligación legal e interés legítimo en seguridad (art. 6.1.c y 6.1.f RGPD).
• Conservación: Durante los plazos exigidos por la normativa y hasta la prescripción de responsabilidades.

5.3. Comunicaciones comerciales

• Finalidad: Envío de newsletters, ofertas, webinars e información del sector por email, SMS o WhatsApp.
• Base legal: Consentimiento (art. 6.1.a RGPD) o relación contractual previa con opt-out en B2B, según la ley aplicable.
• Conservación: Hasta que retires el consentimiento o te opongas.

5.4. Analítica y mejora del producto

• Finalidad: Medición de uso del sitio web y estadísticas agregadas para mejorar servicios.
• Base legal: Consentimiento para cookies no esenciales; interés legítimo en analítica agregada y técnicamente necesaria.
• Conservación: Según la política de cookies y proveedores (véase sección 12).

6. Con quién compartimos los datos (destinatarios y categorías de terceros)

Podemos comunicar o dar acceso a datos personales a las siguientes categorías de destinatarios, solo en la medida necesaria y con las garantías contractuales y de seguridad adecuadas:

• Proveedores de servicios de pago y entidades financieras: adquirentes, emisores, redes de tarjetas y procesadores para autorizar, liquidar y gestionar disputas (chargebacks).
• Proveedores tecnológicos e infraestructura en la nube: alojamiento, bases de datos, copias de seguridad, CDN y monitorización.
• Proveedores de comunicaciones: email transaccional, SMS, WhatsApp o voz para notificaciones y soporte.
• Analítica y etiquetado: p. ej. Google Analytics y Google Tag Manager en el sitio web, sujetos a consentimiento cuando corresponda. Consulta la política de privacidad de Google.
• Distribución de aplicaciones: Google Play (Google LLC) u otras tiendas, que pueden tratar datos conforme a sus propias políticas cuando descargas o actualizas la app.
• Asesores profesionales: abogados, auditores y consultores bajo deber de confidencialidad.
• Autoridades públicas: cuando exista obligación legal o requerimiento válido (Fiscalidad, Banco de España, Fuerzas y Cuerpos de Seguridad del Estado, AEPD, etc.).
• Operaciones corporativas: en fusiones, adquisiciones o transmisión de activos, con información previa cuando la ley lo exija.

No vendemos tus datos personales a terceros. No compartimos datos con terceros para sus propios fines de marketing sin tu consentimiento.

7. Transferencias internacionales

Algunos proveedores pueden estar ubicados fuera del Espacio Económico Europeo (EEE). En esos casos garantizamos un nivel adecuado de protección mediante cláusulas contractuales tipo aprobadas por la Comisión Europea, decisiones de adecuación u otros mecanismos previstos en el RGPD. Puedes solicitar información adicional sobre las garantías aplicables escribiendo a info@avirato.com.

8. Aplicaciones móviles: permisos y datos del dispositivo

Las aplicaciones de Avirato Payments pueden solicitar permisos del sistema operativo Android o iOS únicamente para las funciones que actives. Según la app y la versión, pueden incluir:

• Internet y red: comunicación con nuestros servidores y sincronización de operaciones.
• NFC / Bluetooth: cobro contactless, Tap to Pay o conexión con terminales físicos.
• Cámara: lectura de códigos QR o documentación para verificación, si la función está disponible.
• Ubicación (aproximada o precisa): solo si es necesaria para prevención de fraude, registro de terminal o funciones indicadas en la app; puedes denegar el permiso en ajustes del dispositivo, pudiendo limitarse algunas funciones.
• Notificaciones push: alertas de operaciones y seguridad.
• Almacenamiento / archivos: exportación de informes o tickets, cuando proceda.

Puedes revocar los permisos en cualquier momento desde los ajustes de tu dispositivo. La revocación puede impedir el uso de funciones dependientes de ese permiso.

9. Tap to Pay en iPhone (Apple) y Android

Avirato Payments permite a los comercios aceptar pagos contactless con Tap to Pay usando un smartphone como terminal, tanto en iPhone (iOS) como en dispositivos Android. El tratamiento de datos combina nuestra plataforma, los procesadores de pago y las medidas de privacidad y seguridad de cada sistema operativo.

9.1. Qué datos trata Avirato Payments en Tap to Pay

Como proveedor de servicios de pago del comercio, podemos tratar, entre otros:

• Datos de la operación: importe, divisa, fecha, referencia, estado y resultado del cobro.
• Datos del comercio y del usuario de la app (cuenta, terminal lógico, dispositivo autorizado).
• Datos tokenizados de la tarjeta y metadatos necesarios para autorizar la transacción (sin almacenar el PAN completo ni el CVV en nuestros sistemas).
• Datos técnicos del dispositivo y registros de seguridad o prevención de fraude.

El cliente que paga no crea una cuenta en Avirato Payments; el comercio es responsable de informarle según su propia política de privacidad.

9.2. Tap to Pay en iPhone (Apple)

En iPhone, Tap to Pay se apoya en la infraestructura de Apple. Según la información pública de Apple sobre este tipo de servicios:

• Sin almacenamiento de tarjetas por Apple: Apple indica que no almacena en sus servidores los números de las tarjetas ni los datos de la compra asociados al titular que paga.
• Privacidad del pagador: la información de la transacción no se vincula, en el marco de la plataforma de Apple, a la identidad de la persona que paga. El dispositivo facilita al proveedor de pagos del negocio (Avirato Payments y nuestros procesadores) los datos necesarios para completar el cobro.
• Datos comerciales en manos de Apple: Apple puede recopilar determinada información comercial (por ejemplo, el importe de la venta) y conservarla de forma limitada (Apple indica habitualmente unos 25 días) para cumplir normativas del sector y ayudar a prevenir fraudes.

El uso de Tap to Pay en iPhone también está sujeto a la Política de privacidad de Apple y a los términos del servicio de la plataforma. Te recomendamos consultarlos para conocer el detalle del tratamiento por parte de Apple.

9.3. Tap to Pay en Android

En Android, Tap to Pay se realiza a través de la aplicación de Avirato Payments instalada en el dispositivo del comercio, utilizando los mecanismos de seguridad del sistema (incluido el elemento seguro o chip seguro del dispositivo, cuando esté disponible):

• Tokenización y chip seguro: los datos de la tarjeta se cifran de inmediato y se procesan mediante entornos seguros del dispositivo; Android no conserva los números completos de las tarjetas físicas ni fotografías de las mismas en el marco de este flujo de pago.
• Política del proveedor de pagos: la recopilación, el tiempo de conservación y el tratamiento de los datos de las transacciones de tus clientes como comercio se rigen por esta Política de Privacidad, por nuestros procesadores de pago certificados y por la normativa aplicable a servicios de pago.
• Google Play y el sistema: la distribución de la app puede implicar el tratamiento de datos por Google conforme a sus políticas cuando descargas o actualizas la aplicación. Consulta la Política de privacidad de Google.

9.4. Resumen de responsabilidades

• Apple o Google (según el dispositivo): seguridad de la plataforma, permisos del sistema y, en su caso, datos que cada uno trate conforme a sus propias políticas.
• Avirato Payments: prestación del servicio de cobro al comercio, tratamiento de operaciones, tokenización a través de procesadores, soporte y cumplimiento normativo como proveedor de servicios de pago.
• Comercio: relación con el cliente final que paga e información que deba facilitarle al pagador.

10. Seguridad de la información

Aplicamos medidas técnicas y organizativas apropiadas, incluyendo:

• Cifrado TLS/SSL en tránsito y cifrado de datos sensibles en reposo, cuando corresponda.
• Tokenización PCI DSS para datos de tarjeta; no almacenamos datos completos de tarjeta en nuestros sistemas.
• Control de accesos, autenticación, registros de auditoría y formación del personal.
• Evaluaciones de riesgo y pruebas de seguridad periódicas.

Ningún sistema es 100 % seguro. Si detectas un incidente relacionado con tu cuenta, contacta de inmediato con info@avirato.com.

11. Menores de edad

Nuestros servicios están dirigidos a mayores de 18 años y a empresas. No recopilamos deliberadamente datos de menores. Si tienes conocimiento de que un menor nos ha facilitado datos, escríbenos para proceder a su eliminación.

12. Tus derechos

Puedes ejercer en cualquier momento los siguientes derechos, cuando correspondan según el RGPD:

• Acceso a tus datos personales.
• Rectificación de datos inexactos o incompletos.
• Supresión («derecho al olvido»).
• Limitación del tratamiento.
• Oposición al tratamiento basado en interés legítimo o marketing directo.
• Portabilidad de los datos que nos hayas facilitado en formato estructurado.
• Retirar el consentimiento en cualquier momento, sin afectar a la licitud del tratamiento previo.

Para ejercerlos, envía un email a info@avirato.com indicando el derecho que deseas ejercer y acreditando tu identidad. Responderemos en el plazo máximo de un mes, prorrogable dos meses adicionales en casos complejos.

Si eres cliente final de un comercio, muchas solicitudes deben dirigirse en primer lugar al comercio responsable; te orientaremos si es necesario.

13. Reclamación ante la autoridad de control

Si consideras que el tratamiento de tus datos vulnera la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

14. Cookies y tecnologías similares

En el sitio web utilizamos cookies técnicas, de preferencias y, con tu consentimiento, analíticas y de marketing. Detalle de cookies, duración y cómo gestionarlas: Política de Cookies.

Las aplicaciones móviles pueden usar identificadores del dispositivo y SDKs con finalidades similares; la información se muestra en esta política y, cuando la plataforma lo exija, en los avisos del sistema o en la ficha de Google Play / App Store.

15. Eliminación de cuenta y conservación

Puedes solicitar la baja de tu cuenta de comercio o usuario contactando con info@avirato.com. Tras la baja, conservaremos solo los datos necesarios para obligaciones legales, contables, de servicios de pago y defensa ante reclamaciones, bloqueándolos el resto del tiempo.

16. Cambios en esta política

Podemos actualizar esta Política de Privacidad para reflejar cambios legales o en nuestros servicios. Publicaremos la versión vigente en esta URL con la fecha de «Última actualización». Si los cambios son sustanciales, te lo comunicaremos por medios razonables (email, aviso en la app o en el panel).

17. Contacto

Para cualquier consulta sobre privacidad o protección de datos:

• Email: info@avirato.com
• Teléfono: +34 912 690 123
• Dirección postal: Calle Azuela, 82, 28400 Collado Villalba (Madrid), España