Las obligaciones legales y fiscales de la plataforma
Te Lo Llevo opera en España y, como plataforma de comercio y facturación, está sujeta a obligaciones fiscales, de protección de datos y de control de acceso. Este capítulo documenta esas obligaciones y cómo están contempladas en el diseño de la plataforma.
Cumplir la ley no es opcional. Este capítulo explica qué es Veri*Factu y por qué la plataforma debe prepararse para ello, cómo se gestiona la protección de datos de clientes y repartidores, qué es la pista de auditoría y por qué es irrenunciable, y cuál es el tratamiento legal de la venta de alcohol y tabaco.
Veri*Factu
Veri*Factu es el régimen español de facturación antifraude establecido por la Ley 11/2021 ("Ley Antifraude"), desarrollado por el Real Decreto 1007/2023 y concretado en la Orden HAC/1177/2024. Afecta a todo software que emita facturas al público final — lo que la norma llama un Sistema Informático de Facturación (SIF). El TPV de Te Lo Llevo emite tickets al consumidor final, por lo que entra de lleno en su ámbito de aplicación.
Murcia pertenece al territorio común (régimen AEAT), lo que significa que aplica Veri*Factu — y no el régimen específico del País Vasco (TicketBAI). Esta distinción es importante: las obligaciones, el formato técnico de los registros y el canal de remisión a la Agencia Tributaria son los que establece la normativa estatal.
A fecha de este documento, Veri*Factu es una especificación planificada y pendiente de implementación en la plataforma. El diseño del TPV — numeración de facturas sin huecos, registros inmutables, informe Z con número de secuencia — está concebido para facilitar esta integración. Sin embargo, la remisión real de registros a la AEAT y la incorporación del código QR y la leyenda "VERI*FACTU" en el ticket son funcionalidades de una fase futura.
Qué exige Veri*Factu
Registros encadenados con hash
Cada registro de facturación debe contener un hash del registro anterior, formando una cadena inalterable. Modificar un ticket retroactivamente rompería la cadena y sería detectable.
Inmutabilidad fiscal
Los tickets emitidos no pueden borrarse ni alterarse. Cualquier corrección se realiza mediante un documento de abono o rectificación expresamente vinculado al original.
Remisión cuasi en tiempo real a la AEAT
Cada registro de facturación debe enviarse a la Agencia Tributaria en un plazo máximo establecido por la norma tras su emisión. Esto requiere conectividad con los servicios de la AEAT.
Código QR y leyenda en el ticket
El ticket impreso debe incluir un código QR que permita verificar la factura en la sede electrónica de la AEAT, junto con la leyenda "VERI*FACTU".
Por qué el diseño actual ya considera Veri*Factu
Aunque la integración técnica con la AEAT está pendiente, el TPV ya opera conforme a varios principios que Veri*Factu impone:
- Numeración sin huecos: la secuencia de tickets es correlativa y no admite saltos ni eliminaciones.
- Inmutabilidad de tickets: un ticket emitido no puede editarse; las devoluciones generan un nuevo documento de abono vinculado al original.
- Informe Z numerado e inmutable: el cierre de sesión produce un informe Z con número de secuencia propio que no puede modificarse.
- Pista de auditoría: todos los accesos y cambios sensibles quedan registrados con usuario, hora y detalle.
Facturas y tickets
La normativa española distingue dos tipos de documento de venta: la factura simplificada y la factura completa.
| Tipo | Cuándo se usa | Datos del receptor | Uso fiscal |
|---|---|---|---|
| Factura simplificada (ticket) | Venta habitual en mostrador a consumidor final | No requiere NIF ni dirección del cliente | Válida para el consumidor. No deducible para una empresa. |
| Factura completa | Cuando el cliente necesita una factura para su empresa | Requiere NIF y dirección del receptor (capturados por el cajero) | Deducible para el receptor si actúa como empresario o profesional. |
Ambos tipos de documento incluyen el IVA desglosado por tipo impositivo, el número de factura correlativo, los datos del comercio emisor (nombre, NIF, dirección) y la descripción de los artículos vendidos con su importe. La distinción principal está en si se capturan o no los datos del receptor.
Los pedidos realizados a través de la app del cliente también llevan IVA calculado
por el sistema según el código fiscal de cada producto (IVA_SUPER_REDUCED
4 %, IVA_REDUCED 10 %, IVA_STANDARD 21 %,
EXEMPT 0 %). El IVA es visible en el desglose del pedido y en el
historial del cliente.
Protección de datos (RGPD)
Te Lo Llevo trata datos personales de clientes, repartidores y, en menor medida, representantes de comercios. El Reglamento General de Protección de Datos (RGPD) de la UE y la normativa española de desarrollo son de aplicación directa. La plataforma incorpora funcionalidades específicas para cumplir con los derechos de los interesados y con las obligaciones de conservación y minimización de datos.
Derechos de los interesados
Derecho de acceso / exportación de datos
Un cliente o repartidor puede solicitar una exportación de todos sus datos personales que obra en la plataforma. La consola de Operaciones gestiona estas solicitudes y genera el paquete de datos.
Derecho de supresión / eliminación de datos
Un cliente o repartidor puede solicitar la eliminación de sus datos. La consola de Operaciones tramita la solicitud. Los datos con obligación de conservación fiscal no se eliminan hasta que expire el período legal de retención.
Políticas de retención
No todos los datos pueden eliminarse de inmediato. La legislación fiscal española obliga a conservar los documentos contables y las facturas durante un mínimo de cuatro años (plazo general de prescripción tributaria). En consecuencia, la plataforma aplica políticas de retención diferenciadas:
- Datos de cuenta y perfil: se eliminan en el plazo acordado tras la solicitud de supresión, salvo que estén vinculados a transacciones fiscales pendientes de retención.
- Historial de pedidos y tickets: se conserva durante el período de retención fiscal obligatorio. Una vez vencido el plazo, la supresión puede completarse.
- Registros de auditoría: se conservan según los períodos definidos por el responsable del tratamiento, en línea con las obligaciones legales y de seguridad aplicables.
Las políticas de retención se ejecutan de forma automatizada en períodos programados. El equipo de Operaciones puede revisar el estado de las solicitudes pendientes y los períodos de retención desde la consola de cumplimiento.
Qué datos personales trata la plataforma
| Categoría | Datos tratados | Base legal principal |
|---|---|---|
| Clientes | Nombre, teléfono, correo electrónico, direcciones guardadas, historial de pedidos, medio de pago tokenizado. | Ejecución del contrato; interés legítimo. |
| Repartidores | Nombre, teléfono, correo electrónico, documentación de identidad (KYC), ubicación durante el servicio, historial de tareas, efectivo en mano. | Ejecución del contrato; obligación legal (KYC). |
| Comercios / cajeros | Nombre del responsable, NIF del comercio, datos bancarios para liquidaciones, historial de sesiones de TPV. | Ejecución del contrato; obligación legal (facturación). |
La verificación de edad para productos restringidos (alcohol, tabaco) se realiza únicamente mediante la atestación del cajero. El sistema no captura ni almacena el nombre, el número de DNI ni ninguna copia del documento de identidad del cliente. Solo queda registrada la declaración del cajero de que el cliente cumple el requisito de edad.
Seguridad y rotación de secretos
Las credenciales, claves de API y otros secretos que utiliza la plataforma para operar deben renovarse con regularidad. Este proceso se llama rotación de secretos y forma parte de las buenas prácticas de seguridad operacional.
La razón principal de la rotación es limitar el daño en caso de que una credencial quede comprometida sin que nadie lo detecte de inmediato: si los secretos se rotan periódicamente, el período de validez de una credencial filtrada es acotado. Además, la rotación garantiza que credenciales de personas que ya no pertenecen al equipo no sigan siendo válidas.
Políticas de rotación
La consola de Operaciones dispone de una consola de rotación de secretos donde el equipo de Operaciones puede ver el estado de cada credencial, cuándo fue rotada por última vez y cuándo debe rotarse de nuevo.
Por qué importa
Un secreto no rotado es un punto de fallo silencioso. Mantener las credenciales frescas reduce la superficie de ataque y asegura que solo las personas y sistemas autorizados en este momento tienen acceso activo.
Las políticas de rotación forman parte del plan de seguridad de la plataforma. Ignorar las alertas de rotación o posponer la renovación de credenciales aumenta el riesgo de acceso no autorizado y puede comprometer la integridad de los datos de clientes, repartidores y comercios.
La pista de auditoría
Toda acción sensible realizada en la plataforma queda registrada en la pista de auditoría. Se trata de un registro de solo adición — nunca se borra ni se edita — que permite reconstruir exactamente quién hizo qué, cuándo y desde qué acceso.
Qué queda registrado
| Área | Ejemplos de eventos auditados |
|---|---|
| TPV / caja | Apertura y cierre de sesión, cada venta, devolución, descuento aplicado, ajuste de inventario, apertura del cajón de efectivo sin venta, emision de informe Z. |
| Repartidores | Cambios de estado de una tarea (aceptar, recoger, llegada, entrega, devolución al origen), liquidaciones de efectivo, activaciones y desactivaciones de cuenta. |
| Operaciones / admin | Alta de comercios y repartidores, cambios de configuración de la plataforma, aprobación de liquidaciones, gestión de solicitudes de datos RGPD, rotación de secretos. |
| Pagos | Reembolsos, cancelaciones, anulaciones de pedidos, cambios en los medios de pago guardados de un cliente. |
Cada entrada de la pista de auditoría incluye: el identificador del usuario que ejecutó la acción, la fecha y hora exactas (con zona horaria), la acción realizada y, donde procede, los valores anteriores y posteriores al cambio.
Ningún usuario — ni siquiera el equipo de Operaciones — puede modificar o eliminar entradas de la pista de auditoría. Esta característica es fundamental para el cumplimiento fiscal (Veri*Factu), para responder a requerimientos de inspección y para la gestión de incidencias de seguridad.
Ventas de productos restringidos
La Ley 28/2005 de medidas sanitarias frente al tabaquismo y la normativa complementaria de protección de menores prohíben la venta de alcohol y tabaco a personas menores de 18 años. Esta prohibición alcanza tanto la venta presencial como, según la interpretación vigente, la venta online.
El control en el TPV
Cuando el carrito de una venta contiene al menos un artículo marcado como restringido por edad (alcohol o tabaco), el TPV interrumpe el flujo de cobro y muestra una pantalla de atestación de edad. El cajero debe confirmar expresamente que:
- El cliente es mayor de 18 años.
- Si el cliente aparenta ser menor de 25 años, se le ha solicitado y comprobado un documento de identidad válido.
Solo tras esta confirmación el sistema permite continuar con la venta. Si el cajero cancela la pantalla de atestación, la venta no puede completarse para los artículos restringidos.
El sistema no almacena ningún dato personal del cliente derivado de la verificación de edad: ni el nombre, ni el número de documento, ni ninguna imagen o copia del mismo. El único registro que queda es la atestación del cajero (quién la confirmó y cuándo), que forma parte de la pista de auditoría de la venta.
El control en la app del cliente (pedidos online)
Para los pedidos online que incluyan productos restringidos, el cliente debe aceptar una declaración de edad en el momento de finalizar el pedido. Al entregar el pedido, el repartidor debe verificar que el receptor cumple el requisito de edad, siguiendo el mismo principio de atestación que en el TPV.
Roles y privilegio mínimo
El control de acceso es una de las herramientas más eficaces para reducir el riesgo operativo y cumplir la normativa. Te Lo Llevo aplica el principio de privilegio mínimo: cada usuario solo tiene acceso a las funciones que necesita para su trabajo, y nada más.
| Rol | Acciones sensibles permitidas | Acciones no permitidas |
|---|---|---|
STAFF |
Cobrar ventas, aplicar descuentos de hasta el 10 % o 10 €, imprimir tickets, ver el informe X. | Devoluciones, descuentos superiores, ajustes de inventario, apertura de cajón sin venta, informe Z, cambios de configuración. |
MANAGER |
Todo lo de STAFF, más: ajustes de inventario (con motivo), descuentos hasta el 50 %, apertura de cajón sin venta (con motivo), pay-in y pay-out de caja. |
Devoluciones completas de ventas, descuentos superiores al 50 %, cortesías totales, cambios de configuración del comercio, gestión de usuarios. |
OWNER |
Todo lo anterior, más: devoluciones de ventas, descuentos sin límite, cortesías totales, configuración completa del comercio, gestión de terminales y sedes, informe Z. | — |
Cuando un STAFF intenta una acción para la que no tiene permisos
— por ejemplo, dar un descuento del 30 % — el sistema le avisa de que la acción
requiere un nivel superior. Un MANAGER u OWNER presente
puede autorizar la operación con sus propias credenciales sin cerrar la sesión del
cajero. Esta autorización queda registrada en la pista de auditoría vinculada a
esa venta concreta.
Para una descripción completa del sistema de roles, permisos y sus implicaciones prácticas, consulta el capítulo de Roles y permisos. Para los detalles del TPV al que estos roles se aplican, consulta el capítulo del TPV.
La numeración sin huecos, la inmutabilidad de los tickets, la pista de auditoría inalterable, la rotación de secretos y el principio de privilegio mínimo no son añadidos de última hora. Están incorporados en el diseño de la plataforma desde el principio, precisamente para que la integración futura con Veri*Factu y la respuesta a cualquier requerimiento de inspección sean fluidas y sin improvisaciones.