1. Quiénes somos y ámbitos

Responsable del tratamiento (Controller):

Ámbito: prestamos un SaaS de gestión de citas y comunicaciones para negocios. Tratamos datos tanto de nuestros clientes (usuarios de pago) como de terceros con los que interactúan nuestros clientes, por ejemplo sus potenciales o actuales clientes que llaman, envían mensajes o reservan citas.

Roles:

• Para datos de cuenta, facturación, analítica de servicio y marketing, CitaFlow es responsable (controller).
• Para datos que tratamos "por cuenta" de un cliente sobre sus propios contactos, llamadas, mensajes, citas y contenidos asociados, CitaFlow actúa como encargado del tratamiento (processor) y nuestro DPA/ATD forma parte del contrato de servicio.
• Algunos proveedores de red y operadores de telecomunicaciones actúan como responsables independientes de ciertos metadatos y obligaciones regulatorias de tráfico.

2. Datos que tratamos

2.1 Datos de cuenta y facturación

Nombre, apellidos y datos de contacto, email, teléfono, credenciales de acceso, datos de empresa (razón social, NIF/CIF), direcciones de facturación, histórico de transacciones, plan y estado de suscripción.

2.2 Uso del servicio

• Configuración y preferencias, horarios, agendas y citas.
• Registros técnicos del sistema, identificadores de dispositivos y direcciones IP.
• Eventos de producto y métricas de rendimiento.
• Comunicación operativa y soporte.

2.3 Voz, mensajes y contenidos

Funciones opcionales que usted puede activar y configurar:

• Llamadas entrantes y salientes, encaminamiento, señalización y metadatos.
• Grabaciones de buzón de voz y, si lo habilita, de llamadas.
• Transcripción y procesamiento por IA de audio para asistente, resumen o calidad.
• Mensajería SMS/WhatsApp y enlaces acortados.

Usted puede desactivar estas funciones y definir retenciones.

2.4 Cookies y tecnologías similares

Usamos tecnologías necesarias para operar el servicio y, si se habilitan, analíticas y marketing, según su configuración de consentimiento. Consulte la Política de Cookies.

2.5 Categorías de interesados

Usuarios administradores y operativos de nuestros clientes, personal de los clientes, y personas que interactúan con los números o canales de comunicación configurados por nuestros clientes.

3. Finalidades y bases legales

Solo aplicable cuando el RGPD/UK GDPR es de aplicación.

Ejecución de contrato: prestar el servicio, operar cuentas y suscripciones, atención y soporte, provisión de números y mensajería, integraciones, seguridad operativa.

Interés legítimo: mejorar y proteger el servicio, detección de abuso y fraude, analítica agregada, comunicaciones operativas no comerciales. Puede oponerse cuando proceda.

Consentimiento: marketing electrónico, cookies no esenciales, grabación de llamadas cuando la normativa nacional lo exige, y funcionalidades opcionales que lo requieran. Puede retirarlo en cualquier momento.

Obligación legal: contabilidad e impuestos, cumplimiento de normas aplicables de telecomunicaciones, respuesta a requerimientos legales válidos y notificación de brechas cuando proceda.

4. Transparencia en funciones de voz e IA

• Si activa el asistente de voz, informará a las personas que llamen de que están interactuando con un sistema de IA y, cuando sea necesario, recabará el consentimiento para grabar o transcribir.
• CitaFlow proporciona mensajes pre-llamada y herramientas para avisos y consentimiento, pero usted es quien controla su contenido y configuración.
• Puede usar el asistente sin conservar grabaciones, habilitando solo procesamiento en tiempo real y/o retención mínima.

5. Ubicación del tratamiento y transferencias

Almacenamiento principal en la UE:

• Base de datos y almacenamiento: Supabase, región UE, y almacenamiento compatible en la UE.
• API y apps: infraestructura en la UE con Hetzner y Railway según el componente.
• CDN y sitios: Cloudflare.

Accesos desde EE. UU. y otros países: miembros del equipo y algunos proveedores pueden acceder desde fuera del EEE solo cuando sea necesario para prestar el servicio. Para cualquier transferencia internacional, usamos Cláusulas Contractuales Estándar u otros mecanismos válidos y realizamos evaluaciones de impacto de transferencias cuando corresponde.

6. Proveedores y destinatarios

No vendemos datos personales. Compartimos datos solo con:

6.1 Encargados del tratamiento (procesadores)

• Supabase: base de datos y autenticación.
• Hetzner y Railway: hosting y servidores.
• Cloudflare: CDN y seguridad perimetral.
• OpenAI: procesamiento de voz y texto cuando usted habilita funciones de IA.
• Stripe: cobros y gestión de suscripciones, certificado PCI DSS Nivel 1.
• Proveedores de correo y notificaciones.

6.2 Comunicaciones y operadores

• Twilio: plataforma CPaaS para números, llamadas y mensajería.
• Operadores subyacentes: por ejemplo Enreach Communications S.L.U. para numeración española.

Algunos operadores y carriers tratan ciertos metadatos y obligaciones regulatorias como responsables independientes.

6.3 Otros destinatarios

Autoridades públicas cuando exista obligación legal, despachos y asesores para defensa jurídica, o terceros en operaciones corporativas, aplicando salvaguardas.

6.4 Subencargados

Mantenemos una lista actualizada de subprocesadores, con notificación previa de cambios cuando sea posible. Puede suscribirse para recibir avisos.

7. Conservación

• Datos de cuenta: mientras dure la relación y, tras baja, por el tiempo necesario para obligaciones legales, típicamente 3 a 7 años para fiscalidad y contabilidad.
• Registros técnicos de seguridad: 12 meses por defecto.
• Llamadas y buzón de voz: configurable por el cliente; valor por defecto 90 días.
• Transcripciones: configurable; por defecto 90 días.
• Datos de citas: configurable; por defecto 24 meses.
• Copias de seguridad: ciclos de hasta 30–90 días salvo obligación distinta.

8. Seguridad

Cifrado en tránsito y en reposo, control de accesos con MFA y RBAC, segregación por proyecto, registro y monitorización, pruebas de seguridad periódicas, gestión de vulnerabilidades, copias de seguridad, y plan de respuesta a incidentes.

9. Sus derechos

Si el RGPD/UK GDPR es aplicable, usted puede solicitar: acceso, rectificación, supresión, restricción, portabilidad y oposición, además de no ser objeto de decisiones únicamente automatizadas cuando produzcan efectos jurídicos o similares. También puede retirar su consentimiento en cualquier momento.

Cómo ejercitarlos: escríbanos a [email protected]. Podemos solicitar información adicional razonable para verificar su identidad, evitando pedir documentos innecesarios. Responderemos en el plazo de un mes, ampliable en casos complejos.

Reclamaciones: puede presentar una reclamación ante su autoridad de control local en el EEE o el Reino Unido. También puede contactar con nuestro representante cuando corresponda.

10. Menores

El servicio no está dirigido a menores. No recopilamos conscientemente datos de menores por debajo de la edad de consentimiento aplicable en su país.

11. Notificación de brechas

Notificaremos a la autoridad competente en 72 horas cuando proceda y, si existe alto riesgo, informaremos a los afectados sin dilación indebida.

12. Representante en la Unión Europea

Hemos designado a Data Protection Representative Limited (DataRep) como nuestro representante conforme al artículo 27 del RGPD. Puede contactar a DataRep para cuestiones de protección de datos relativas a la UE a través de:

13. Información por regiones

13.1 Espacio Económico Europeo

• Base legal, derechos y reclamaciones según se indica arriba.
• Transferencias internacionales con garantías apropiadas.
• Podemos solicitar que determinados clientes realicen una evaluación de impacto de protección de datos cuando su configuración implique alto riesgo.

13.2 Países hispanohablantes de LATAM

Atenderemos los derechos aplicables en cada jurisdicción y, cuando sea necesario, pondremos a disposición avisos locales adaptados. Si la normativa local exige requisitos adicionales, lo comunicaremos en los acuerdos con el cliente y en la documentación del producto.

14. Cookies y analítica

Usamos cookies y tecnologías similares según las categorías siguientes:

Esenciales: necesarias para operar el servicio, por ejemplo autenticación, seguridad, prevención de fraude y balanceo de carga. Siempre activas.

Analítica: usamos Umami configurado sin cookies y con datos agregados. No crea perfiles para publicidad y no rastrea entre sitios. Dependiendo de la implementación y de la guía de su autoridad local, algunas mediciones sin cookies pueden requerir consentimiento. Cuando sea necesario, pediremos su consentimiento antes de activar la analítica no esencial.

Marketing: podemos usar Meta Pixel, X Pixel y TikTok Pixel para medición de campañas y retargeting. En el EEE y en países con requisitos similares, estos píxeles solo se cargan después de su consentimiento a través del banner de cookies o los ajustes del centro de preferencias. Puede retirar su consentimiento en cualquier momento y dejaremos de usar estas etiquetas.

Gestión de preferencias: mostramos un banner de cookies con control granular y un centro de preferencias donde puede cambiar su elección en cualquier momento. Hasta que otorgue su consentimiento, bloqueamos la carga de etiquetas de analítica no esencial y marketing a través de nuestro gestor de etiquetas.

Publicaremos una Política de Cookies separada con el detalle de proveedores, finalidades y periodos de retención.

15. Cambios

Publicaremos cualquier cambio en esta página e intentaremos avisar por email o dentro del producto cuando haya modificaciones sustanciales. Indicaremos la fecha de última actualización.

16. Contacto

Anexo A. Controles de configuración recomendados para clientes

• Activar el aviso de IA en IVR, locuciones pre-llamada y mensajes de WhatsApp/SMS.
• Configurar consentimiento para grabación cuando sea requerido por su país.
• Definir retenciones acordes al principio de minimización.
• Limitar accesos y habilitar 2FA para usuarios internos.
• Revisar periódicamente el registro de actividades y el inventario de integraciones.

Anexo B. Lista de proveedores clave y referencias

Supabase, Hetzner, Railway, Cloudflare, Twilio, OpenAI, Stripe, DataRep. Consulte sus DPA y subencargados en sus páginas de confianza. Actualizaremos esta lista cuando haya cambios relevantes.

Acuerdo de Tratamiento de Datos

Data Processing Agreement / Acuerdo de Tratamiento de Datos (DPA/ATD)

Entre:

1. Cliente identificado en la Orden de Servicio, que actúa como responsable del tratamiento o como encargado de nivel superior, según corresponda, en nombre propio y de sus filiales que utilicen el Servicio ("Cliente").
2. Lince Media LLC, doing business as CitaFlow, 25 SE 2nd Ave, Ste 550 #1172, Miami, FL 33131, Estados Unidos ("Proveedor" o "CitaFlow").

Vigencia: desde la fecha de efecto de la Orden de Servicio y mientras CitaFlow trate Datos Personales por cuenta del Cliente.