Política de Privacidad

1. Introducción

En Lince Media LLC, operador de CitaFlow ("nosotros", "nuestro", "la Empresa"), nos comprometemos a proteger y respetar su privacidad. Esta Política de Privacidad explica cómo recopilamos, utilizamos, divulgamos y protegemos su información cuando utiliza nuestro servicio, de conformidad con el Reglamento General de Protección de Datos (RGPD) y otras normativas aplicables.

2. Responsable del Tratamiento

3. Información que Recopilamos

3.1 Información de Cuenta

• Nombre completo y datos de contacto
• Dirección de correo electrónico
• Número de teléfono
• Información de facturación y pago
• Detalles de la empresa o negocio
• NIF/CIF para facturación

3.2 Datos de Uso del Servicio

• Registros de llamadas telefónicas procesadas por nuestro sistema de IA
• Transcripciones de conversaciones para mejorar el servicio
• Grabaciones de mensajes de voz (cuando aplicable)
• Datos de citas y calendarios gestionados
• Configuraciones y preferencias del servicio
• Métricas de rendimiento y análisis de uso

3.3 Información Técnica

• Direcciones IP y ubicación geográfica general
• Información del navegador y dispositivo
• Cookies y tecnologías de seguimiento
• Logs de actividad del sistema

3.4 Categorías de Interesados

• Usuarios del servicio (negocios locales)
• Clientes finales de los negocios locales
• Usuarios autorizados de las cuentas

4. Base Legal y Finalidades del Tratamiento

Como empresa establecida en Estados Unidos que presta servicios a clientes en la Unión Europea, procesamos su información personal basándonos en las siguientes bases legales del RGPD:

• Ejecución de contrato: Para proporcionar nuestros servicios de IA y gestión de citas
• Consentimiento: Para el procesamiento de grabaciones de voz y comunicaciones de marketing
• Interés legítimo: Para mejorar nuestros servicios y prevenir fraudes
• Obligación legal: Para cumplir con requerimientos fiscales y legales

5. Ubicación y Procesamiento de Datos

Aunque somos una empresa estadounidense, sus datos están alojados exclusivamente en la Unión Europea:

• Todos los datos de clientes se almacenan en servidores de Supabase ubicados en Francia (Región EU-WEST-3)
• Supabase Inc. actúa como nuestro encargado del tratamiento bajo un Acuerdo de Procesamiento de Datos (DPA) conforme al artículo 28 del RGPD
• El DPA incorpora las Cláusulas Contractuales Estándar (SCC) de la Comisión Europea para transferencias internacionales

6. Compartir Información y Sub-encargados

No vendemos, alquilamos o comercializamos su información personal. Compartimos datos únicamente con:

6.1 Encargados del Tratamiento Principales

• Supabase Inc.: Infraestructura de base de datos (servidores en Francia, UE)
• OpenAI: Procesamiento de voz e inteligencia artificial (con medidas de seguridad apropiadas)
• Twilio: Servicios de telefonía y comunicaciones
• Stripe: Procesamiento de pagos (certificado PCI-DSS)

6.2 Sub-encargados de Supabase

La lista completa de sub-encargados está disponible en: https://supabase.com/legal/subprocessors

Seremos notificados de cambios en sub-encargados con 30 días de antelación.

6.3 Otras Divulgaciones

• Cumplimiento legal: Cuando sea requerido por ley o para proteger nuestros derechos
• Transferencias comerciales: En caso de fusión, adquisición o venta de activos
• Con su consentimiento: Cuando usted haya dado su consentimiento explícito

7. Servicios de Telefonía y Operador de Telecomunicaciones

Importante: CitaFlow es un proveedor de software SaaS. No somos un operador de telecomunicaciones.

7.1 Provisión del Servicio de Voz

Los servicios de telefonía incluidos en nuestros planes Voz Go y Voz Pro se proporcionan a través de:

• Twilio Inc.: Plataforma de comunicaciones en la nube (CPaaS)
• Enreach Communications S.L.U.: Operador de telecomunicaciones subyacente en España (anteriormente Masvoz)

7.2 Estructura del Servicio

• Los números de teléfono españoles son distribuidos por Twilio en nombre de Enreach Communications S.L.U.
• Enreach Communications S.L.U. es el operador registrado ante la CNMC (Comisión Nacional de los Mercados y la Competencia)
• CitaFlow gestiona subcuentas independientes en Twilio para cada cliente por motivos de cumplimiento normativo
• La portabilidad de números se realiza hacia Enreach/Masvoz como operador subyacente

7.3 Responsabilidades

• CitaFlow: Proveedor de software y gestión de servicios de IA
• Twilio: Plataforma técnica de comunicaciones
• Enreach Communications: Operador de telecomunicaciones regulado, responsable ante las autoridades españolas

7.4 Cumplimiento Regulatorio

Enreach Communications S.L.U. cumple con todas las obligaciones regulatorias españolas, incluyendo:

• Registro como operador ante la CNMC
• Cumplimiento de la Ley General de Telecomunicaciones
• Obligaciones de portabilidad numérica
• Requisitos de conservación de datos según la legislación española

8. Transferencias Internacionales de Datos

Como empresa con sede en Estados Unidos, es importante que comprenda cómo protegemos sus datos:

• Almacenamiento: Todos los datos se almacenan exclusivamente en servidores de la UE (Francia)
• Acceso: Nuestro equipo en EE.UU. accede a los datos solo cuando es necesario para proporcionar el servicio
• Procesadores: Algunos de nuestros proveedores de servicios pueden estar ubicados fuera del EEE

Para todas las transferencias internacionales, implementamos las siguientes salvaguardas:

• Cláusulas Contractuales Estándar (SCC) de la Comisión Europea
• UK Addendum para transferencias al Reino Unido
• Swiss Addendum para transferencias a Suiza
• Evaluaciones de impacto de transferencias cuando sea necesario

8. Seguridad de los Datos

Implementamos medidas de seguridad técnicas y organizativas apropiadas:

• Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256)
• Controles de acceso basados en roles (RBAC)
• Autenticación multifactor (MFA) obligatoria para accesos administrativos
• Auditorías de seguridad y pruebas de penetración regulares
• Formación continua del personal en protección de datos
• Copias de seguridad automatizadas con cifrado
• Plan de respuesta ante incidentes de seguridad
• Certificaciones de seguridad de nuestros proveedores (SOC 2, ISO 27001)

10. Retención de Datos

Conservamos su información personal durante el tiempo necesario para cumplir con los fines descritos:

• Datos de cuenta: Durante la vigencia de su suscripción + 30 días
• Registros de llamadas: Hasta 3 años para mejoras del servicio
• Grabaciones de voz: 90 días (configurable por el usuario)
• Datos de facturación: 7 años según obligaciones fiscales
• Logs técnicos: 12 meses para propósitos de seguridad
• Datos de citas: Según configuración del usuario (por defecto 2 años)

11. Sus Derechos bajo el RGPD

Como interesado, usted tiene los siguientes derechos:

• Acceso (Art. 15 RGPD): Obtener confirmación y copia de sus datos personales
• Rectificación (Art. 16 RGPD): Corregir datos inexactos o incompletos
• Supresión (Art. 17 RGPD): Solicitar el borrado de sus datos ("derecho al olvido")
• Limitación (Art. 18 RGPD): Restringir el procesamiento en ciertos casos
• Portabilidad (Art. 20 RGPD): Recibir sus datos en formato estructurado y legible
• Oposición (Art. 21 RGPD): Oponerse al procesamiento basado en interés legítimo
• No decisiones automatizadas (Art. 22 RGPD): No ser objeto de decisiones basadas únicamente en tratamiento automatizado

Cómo ejercer sus derechos

Para ejercer cualquiera de estos derechos:

1. Envíe su solicitud a [email protected]
2. Incluya prueba de identidad (DNI/NIE escaneado)
3. Especifique claramente el derecho que desea ejercer
4. Responderemos en un plazo máximo de 30 días

Derecho a presentar reclamación: Si no está satisfecho con nuestra respuesta, puede presentar una reclamación ante la Oficina del Comisionado de Información y Protección de Datos de Malta (IDPC) en idpc.org.mt

12. Cookies y Tecnologías de Seguimiento

Utilizamos cookies y tecnologías similares para:

• Cookies esenciales: Necesarias para el funcionamiento del servicio
• Cookies de rendimiento: Para analizar el uso y mejorar el servicio (Umami Analytics)
• Cookies de funcionalidad: Para recordar sus preferencias
• Cookies de marketing: Solo con su consentimiento expreso

Puede gestionar sus preferencias de cookies a través de nuestro banner de cookies o la configuración de su navegador.

13. Notificación de Brechas de Seguridad

En caso de una brecha de seguridad que afecte sus datos personales:

• Notificaremos a la autoridad de control competente dentro de las 72 horas siguientes
• Le informaremos sin dilación indebida si existe alto riesgo para sus derechos
• Documentaremos todas las brechas en nuestro registro interno
• Implementaremos medidas correctivas inmediatas

14. Privacidad de Menores

Nuestro servicio no está dirigido a menores de 18 años. No recopilamos conscientemente información personal de menores. Si detectamos que hemos recopilado datos de un menor, los eliminaremos inmediatamente.

15. Cambios en esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Los cambios significativos serán notificados:

• Por correo electrónico a su dirección registrada
• Mediante aviso destacado en nuestro panel de administración
• Con al menos 30 días de antelación para cambios sustanciales

16. Información de Contacto

Para cualquier consulta sobre protección de datos o para ejercer sus derechos: