carlos/reformix-hackaton
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Reordenando ficheros y subida de documentacion

Browse Source
This commit is contained in:
Carlos Narro
2026-05-27 10:27:27 +02:00
parent 6388fcaba1
commit a9ad2d7e31
52 changed files with 4707 additions and 79 deletions
Download Patch File Download Diff File Expand all files Collapse all files

164
negocio/legal.md Normal file
View File

@@ -0,0 +1,164 @@
# Legal y compliance
> Este documento es **orientativo** y refleja decisiones operativas razonables para un SaaS B2B en España (2026). Cualquier paso con implicación fiscal o societaria debe validarse con asesoría profesional antes de ejecutar.
## Forma jurídica recomendada
**Sociedad Limitada (SL)** con sede en España.
- Capital social mínimo: **3.000 €** (desembolso íntegro al constituir), tradicionalmente el más común. Desde 2022 existe la **SLNE de formación sucesiva** con capital social desde 1 €, válida para arrancar sin desembolso inicial — recomendada solo si el bootstrap es muy ajustado.
- Reparto de participaciones inicial sugerido: 25 % cada uno de los 4 fundadores, con **pacto de socios** que regule vesting (4 años, 1 año cliff), no compete, drag-along y derechos de información.
- Coste de constitución: **800-1.500 €** (notaría + registro mercantil + asesoría inicial).
- Tiempo: 2-4 semanas.
## Alta de IAE y epígrafes
- IAE: **epígrafe 845 — Explotación electrónica por cuenta de terceros** o **epígrafe 763 — Programación, consultoría, otras TI**. El gestor confirmará el más apropiado.
- Alta en el censo IVA + retenciones (modelo 036).
- Régimen general de IVA: **21 %** sobre la suscripción. Servicios prestados a otras empresas españolas → factura con IVA. A empresas UE con NIF intracomunitario → exención con inversión sujeto pasivo. A particulares no aplica todavía (Fase 1 es B2B).
## Cumplimiento RGPD (Reglamento UE 2016/679 + LOPDGDD)
Reformix procesa datos personales del lead final (nombre, teléfono, email) y datos del propietario del SaaS (reformista). Compliance imprescindible desde el día 1.
### Documentos obligatorios
- **Política de Privacidad** publicada en la landing y dentro del widget.
- **Términos y Condiciones** del SaaS (relación con el reformista) y de uso del widget (relación con el cliente final del reformista).
- **Política de Cookies** con banner consentimiento (categorías técnicas / analíticas / marketing).
- **Aviso Legal** con identificación de la sociedad, NIF, sede.
- **Contrato de Encargado de Tratamiento** entre Reformix y el reformista, ya que actuamos como encargado para los datos del lead final.
- **Registro de Actividades de Tratamiento** interno (artículo 30 RGPD).
### Bases legales del tratamiento
- **Datos del reformista (cliente SaaS):** ejecución del contrato (suscripción) + interés legítimo (marketing del propio servicio).
- **Datos del lead final (cliente del reformista):** consentimiento explícito recogido en el widget + ejecución de tratativas precontractuales con el reformista.
- **Datos en la foto subida:** la foto puede contener metadata, GPS, o personas. Política: la foto se procesa, se guarda hasta 12 meses, se borra automáticamente después. El widget incluye disclaimer claro.
### Encargados de tratamiento (sub-procesadores)
Hay que listarlos públicamente y comunicar cualquier cambio:
| Sub-encargado | Servicio | Ubicación datos |
|---|---|---|
| Postgres (Neon/managed o self-hosted Hetzner) | DB | UE (Frankfurt) — elegir región UE al setup |
| S3 (Cloudflare R2) | Storage fotos + audio + renders | UE — configurar jurisdicción EU en R2 |
| Vercel | Hosting | Multirregión (Frankfurt para europeos) |
| Retell.ai | Agente de voz (procesa audio) | EEUU (SCC aplicables) |
| ElevenLabs | TTS (voz) | EEUU (SCC) |
| Zadarma | Telefonía | UE (proveedor europeo) |
| Evolution API (self-hosted) | WhatsApp | UE (VPS propio en región EU) |
| OpenAI | LLM + Vision | EEUU (SCC) |
| Google (Nano Banana 2 / Image 2) | Render IA | EEUU (SCC) |
| SMTP (proveedor a elegir) | Email | según proveedor — preferir UE |
| Stripe | Pagos | EEUU (con SCC) |
| PostHog | Analytics | UE Cloud (configurar región EU explícitamente) |
**Acción crítica:** PostHog cloud EU, Postgres región Frankfurt, R2 jurisdicción EU y Evolution API en VPS europeo — **configurarlas explícitamente** al setup para minimizar transferencias internacionales. Retell, ElevenLabs, OpenAI, Google y Stripe procesan en EEUU: documentar la transferencia y firmar SCC. **Nota:** el audio de la llamada lo procesa Retell (EEUU), un dato sensible — reflejarlo en la Política de Privacidad y el contrato de Encargado de Tratamiento.
### Plazos de conservación
- Datos del lead: 12 meses por defecto, prorrogable si el lead se convierte en cliente del reformista.
- Datos de facturación: 6 años por imperativo fiscal.
- Logs técnicos: 90 días.
- Backups: 30 días rolling.
## Llamadas comerciales del agente de voz IA — LSSI-CE + RGPD
El agente de voz IA realiza una **llamada saliente** al cliente final del reformista en menos de 2 minutos tras dejar sus datos en la landing. Esto activa varias obligaciones legales en España.
### Consentimiento previo (LSSI-CE Art. 21 + RGPD)
- **Opt-in explícito y separado** en el formulario, no metido en una casilla común con la política de privacidad. Texto sugerido: *"Acepto recibir una llamada en los próximos 5 minutos de [Reformista] o de un asistente IA en su nombre para cualificar mi solicitud de presupuesto. Sé que esta llamada será grabada y transcrita para generar mi presupuesto."*
- La casilla **no puede estar pre-marcada** (consentimiento informado y libre).
- Almacenar timestamp + IP + user-agent del consentimiento en Postgres con retención 6 años (prueba ante AEPD si procede).
### Grabación de llamadas (RGPD + AEPD criterios)
- **Aviso al inicio de la llamada** con texto fijo del agente: *"Hola, soy el asistente virtual de [Reformista]. Te llamo para cualificar tu solicitud. Esta llamada va a ser grabada y transcrita para generar tu presupuesto. ¿Te parece bien que sigamos?"*
- Si el cliente dice **NO**, el agente cuelga, el sistema registra la negativa, no se guarda nada de la conversación.
- Base legal del tratamiento: consentimiento explícito + ejecución de medidas precontractuales solicitadas por el interesado.
- Conservación de la grabación: máximo **12 meses**, después borrado automático con log.
- Derecho de acceso, supresión, rectificación, portabilidad — accesibles desde un endpoint público + email.
### Inteligencia artificial transparente (AI Act EU + AEPD)
- Decir al cliente que es un **asistente virtual / IA**, no un humano. La AI Act exige transparencia cuando un humano interactúa con un sistema de IA.
- El presupuesto entregado debe etiquetarse como **orientativo, generado por asistente IA**, con disclaimer de no vinculación.
### Horario de llamadas
- La normativa AEPD recomienda no llamar fuera de **lunes-viernes 9:00-21:00 y sábados 9:00-14:00**. El sistema debe respetar este horario por defecto; si el cliente rellena el formulario fuera de horario, la llamada se programa para el primer slot válido siguiente + se le avisa por SMS.
### Registro Robinson y listas de exclusión
- Antes de marcar, consultar el **Registro de Exclusión (Lista Robinson)** vía servicios como DataCentric o consultas API. Coste despreciable; el incumplimiento conlleva multa AEPD desde 30.000 €.
- Si el número está en la lista, **no llamamos** — se le envía un email con el formulario asíncrono para que él pida la llamada explícitamente.
## WhatsApp Business — compliance
- Uso de la WhatsApp Business API requiere **aprobación de plantillas de mensaje** por Meta (24-48 h). Plantillas a registrar antes del lanzamiento: aviso pre-llamada, entrega de presupuesto, recordatorio de cita, follow-up.
- **No iniciar conversación sin consentimiento previo** (mismo opt-in que la llamada cubre esto).
- Marcar mensajes como categoría correcta (Utility / Marketing / Authentication) — afecta a coste por conversación.
## Protección al consumidor
La relación primaria es B2B (Reformix → reformista), donde la protección al consumidor no aplica con la misma fuerza. Pero el widget interactúa con el cliente final del reformista (B2C), y ahí sí hay obligaciones:
- **Texto claro de "presupuesto orientativo".** El cliente final no contrata nada con Reformix — solo se le presenta una estimación. Pero hay que evitar engaño: el render no es una promesa contractual.
- **Derecho de desistimiento** del cliente final no aplica (no hay compra), pero sí derecho a borrar sus datos (acceso, rectificación, supresión, portabilidad).
- **Email de confirmación al lead** explicando qué se hizo con sus datos y a qué reformista llegaron.
## Riesgo legal del flujo experto de licencia urbanística
**Importante.** El sub-flujo experto que indica si una obra requiere licencia urbanística manipula expectativas legales del cliente final. Si nos equivocamos, el cliente puede tener problemas con el ayuntamiento o multas.
### Salvaguardas obligatorias
1. **Disclaimer en pantalla** antes de entrar al flujo: *"La información que sigue es orientativa basada en normativa estatal. Las ordenanzas municipales prevalecen y pueden variar. Consulta con tu reformista o arquitecto técnico antes de iniciar la obra."*
2. **No usamos terminología vinculante.** Nunca *"requiere"*, siempre *"puede requerir"*, *"normalmente requiere"*, *"recomendamos consultar"*.
3. **Lista cerrada de triggers** revisada por aparejador y actualizada cada 6-12 meses.
4. **Log de cada estimación** para defensa documental en caso de reclamación.
5. **Seguro de Responsabilidad Civil profesional** (~600-1.200 €/año) cuando el volumen de uso supere unas 1.000 estimaciones/mes.
## Verifactu (sistema de facturación electrónica verificable)
A partir de 2026, la AEAT exige a las empresas en España emitir facturas a través de sistemas certificados que cumplan el Real Decreto 1007/2023 — el llamado **"Verifactu"**. Aplica a sociedades y autónomos en estimación directa (la mayoría de nuestros clientes).
**Implicación para Reformix:**
1. Si Reformix factura suscripciones a reformistas (B2B), nuestro propio sistema de facturación debe cumplir Verifactu. La forma rápida es **integrar la facturación con Stripe + Holded / Quipu** que ya están certificados. Coste 25-50 €/mes incremental.
2. Para los reformistas que usan Reformix, **el valor añadido** es que el presupuesto generado por el widget pueda transformarse, con un click, en una factura Verifactu si el reformista la quiere emitir desde dentro de Reformix. Esto entra en Pro y Business (v1.5+) y nos diferencia frente a competidores extranjeros (Handoff, BuildFolio, See It Done) que **no van a localizar Verifactu en EU/ES** en corto plazo.
3. **Hoja de ruta:** integración nativa con Holded API o Quipu API a partir de mes 4-6 (cuando los primeros Pro tengan tracción real).
Fuentes: Real Decreto 1007/2023 + AEAT publicación Q4 2024.
## Términos del SaaS
- **Modelo:** suscripción mensual o anual, prepago.
- **Trial:** 14 días sin tarjeta. Si no convierte, datos del reformista borrados a los 90 días salvo solicitud de prórroga.
- **Política de reembolsos:** prorrateo en suscripción anual si cancela antes de tiempo (devolución de meses no usados); no reembolso en suscripción mensual (el mes ya consumido se cobra).
- **Cancelación:** 1 clic desde el panel, efectiva al final del periodo de facturación en curso.
## Otros temas legales
- **Propiedad intelectual:** el render generado es del cliente final del reformista. Reformix se reserva derecho de uso anonimizado para mejorar el modelo y para casos de uso comerciales no identificables.
- **Marca:** registro de "Reformix" en OEPM (Oficina Española de Patentes y Marcas), clases 9 (software) y 42 (servicios SaaS). Coste ~150-300 € por clase. Recomendado en mes 1-3.
- **No competición.** Pacto de socios incluye no competición durante 2 años post-salida en el mismo sector.
- **Fiscal:** modelo 130 trimestral (autónomos en transición) y modelo 200 anual una vez constituida la SL. Pagos a cuenta del impuesto de sociedades.
## Hoja de ruta legal (lo que toca cuándo)
| Mes | Acción legal | Coste |
|---|---|---|
| 0 (HOY) | Reservar el nombre Reformix en RMC + dominio | 50-100 € |
| 1 | Constitución SL + pacto de socios + alta IAE | 800-1.500 € |
| 1 | Plantillas T&C + Privacidad + Cookies + Aviso Legal (con abogado) | 500-800 € |
| 2 | Contrato encargado de tratamiento con reformistas | 200-400 € |
| 2 | Configurar regiones EU en proveedores + documentar SCC | 0 € (interno) |
| 3 | Registro marca OEPM | 150-300 € |
| 6 | Seguro RC profesional + ciberseguro | 800-1.500 €/año |
| 12 | Auditoría RGPD anual + revisión de sub-encargados | 600-1.200 € |
**Total año 1 estimado en legal/fiscal:** **3.000-5.000 €** (excluyendo asesoría mensual recurrente).