getzita.app

Política de Privacidad

Última actualización: Abril de 2026

1. Responsable del Tratamiento

  • Nombre y apellidos: Daniel Olivier Barrachina
  • NIF: 45126503-C
  • Domicilio: c/ Parellades 51, Sitges 08870, Barcelona, España
  • Correo electrónico: support@getzita.app

En adelante, «getzita.app», «nosotros» o «el Responsable». Actuamos como trabajador autónomo conforme a la legislación española.

2. Datos que recabamos

2.1 Datos de los clientes empresariales (usuarios del panel)

  • Nombre y dirección de correo electrónico. Getzita utiliza autenticación sin contraseña mediante magic link enviado por correo electrónico, por lo que no almacenamos contraseñas en ningún caso.
  • Nombre del negocio, tipo de negocio, número de WhatsApp Business dedicado y zona horaria.
  • Datos de facturación y pago gestionados íntegramente por Stripe, Inc. Getzita NO almacena números de tarjeta de crédito, CVV ni datos bancarios en bruto.
  • Información del plan de suscripción, historial de facturas y datos de uso (número de conversaciones, reservas, recordatorios enviados).
  • Token de acceso a la API de WhatsApp Business (almacenado cifrado con AES-256).
  • Registros técnicos: dirección IP, agente de usuario, marcas de tiempo de acceso, identificador de sesión.

2.2 Datos de los clientes finales (clientes del negocio)

Cuando un cliente final interactúa con el chatbot de WhatsApp de un negocio que utiliza Getzita, procesamos:

  • Número de teléfono de WhatsApp y nombre de perfil de WhatsApp.
  • Detalles de la reserva: servicio solicitado, fecha, hora y profesional asignado.
  • Historial de conversación (mensajes intercambiados durante el proceso de reserva, consulta o cancelación).
  • Estado de la cita (confirmada, cancelada, recordatorio enviado, confirmado o no-show).

Estos datos se tratan en nombre y por cuenta del negocio usuario, que actúa como responsable del tratamiento respecto a sus propios clientes finales. Getzita actúa como encargado del tratamiento (Art. 28 RGPD). El negocio es responsable de informar a sus clientes finales y obtener las bases jurídicas necesarias.

3. Finalidades y bases jurídicas del tratamiento

  • Prestación del servicio contratado — ejecución del contrato (Art. 6.1.b RGPD).
  • Gestión de pagos y facturación — ejecución del contrato y cumplimiento de obligaciones legales (Art. 6.1.b y 6.1.c RGPD; Ley 58/2003 General Tributaria; Real Decreto 1619/2012).
  • Comunicaciones sobre el servicio (cambios, incidencias, actualizaciones, mantenimiento) — interés legítimo (Art. 6.1.f RGPD).
  • Comunicaciones comerciales (ofertas, mejoras del producto) — consentimiento (Art. 6.1.a RGPD) o interés legítimo cuando exista relación comercial previa (LSSI-CE Art. 21.2). El usuario puede darse de baja en cualquier momento.
  • Analíticas de producto — interés legítimo (Art. 6.1.f RGPD). Utilizamos Amplitude con identificadores anónimos para mejorar el servicio.
  • Seguridad, prevención del fraude y logs técnicos — interés legítimo (Art. 6.1.f RGPD).
  • Cumplimiento de obligaciones legales — Art. 6.1.c RGPD.

4. Plazos de conservación

  • Datos de cuenta activa: durante la vigencia de la suscripción y 90 días tras la baja para facilitar la reactivación.
  • Datos de facturación y contables: 5 años (Art. 30 Código de Comercio; Art. 70 Ley 58/2003 General Tributaria).
  • Datos de conversaciones y reservas (clientes finales): 90 días desde la fecha de la cita, salvo solicitud de supresión anticipada, obligación legal de conservación, necesidad de defensa frente a reclamaciones, o instrucción expresa y documentada del responsable del tratamiento.
  • Logs técnicos: 12 meses.
  • Datos para defensa de reclamaciones: hasta 3 años desde la finalización de la relación contractual (plazo de prescripción de acciones personales, Art. 1964 Código Civil).
  • Token de acceso a Meta: durante la vigencia de la suscripción. Se revoca o elimina al cancelar.

5. Destinatarios y encargados del tratamiento

Contamos con los siguientes encargados del tratamiento, seleccionados por ofrecer garantías adecuadas:

  • Stripe, Inc. (EE.UU.) — procesamiento de pagos. Certificado PCI-DSS nivel 1. Cláusulas contractuales tipo UE.
  • Meta Platforms Ireland Ltd. (Irlanda/EE.UU.) — API de WhatsApp Business para el envío y recepción de mensajes. Cláusulas contractuales tipo.
  • Vercel, Inc. (EE.UU.) — alojamiento de la aplicación web. Data Processing Addendum disponible.
  • Supabase, Inc. (EE.UU.) — base de datos, autenticación y almacenamiento. Data Processing Addendum disponible.
  • Resend, Inc. (EE.UU.) — envío de correos electrónicos transaccionales (magic links, confirmaciones, recordatorios por email). Data Processing Addendum disponible.
  • Amplitude, Inc. (EE.UU.) — analíticas de producto con identificadores pseudonimizados. Data Processing Addendum disponible.

No cedemos datos personales a terceros con fines propios salvo obligación legal o requerimiento judicial.

6. Transferencias internacionales

Algunos de nuestros encargados del tratamiento están establecidos fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos. Dichas transferencias se amparan en:

  • Cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914, Art. 46.2.c RGPD).
  • Decisiones de adecuación vigentes (cuando apliquen).
  • Medidas suplementarias de seguridad (cifrado en tránsito y en reposo, control de acceso, pseudonimización).

7. Derechos de los interesados

Puedes ejercer en cualquier momento los siguientes derechos ante el Responsable (support@getzita.app):

  • Acceso: obtener confirmación de si tratamos tus datos y una copia de los mismos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión («derecho al olvido»): solicitar la eliminación de tus datos cuando ya no sean necesarios.
  • Limitación del tratamiento: solicitar la suspensión del tratamiento en determinadas circunstancias.
  • Portabilidad: recibir tus datos en un formato estructurado, de uso común y lectura mecánica (JSON o CSV).
  • Oposición: oponerte al tratamiento basado en interés legítimo.
  • Retirada del consentimiento: en cualquier momento, sin que afecte a la licitud del tratamiento previo.

Responderemos en el plazo máximo de un mes (prorrogable otros dos meses en casos complejos, previa notificación). Podremos solicitar información adicional para verificar tu identidad antes de procesar la solicitud, utilizando los medios menos intrusivos posibles.

Si consideras que hemos vulnerado tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD)www.aepd.es.

8. Seguridad de los datos

Aplicamos medidas técnicas y organizativas adecuadas conforme al artículo 32 del RGPD y al estado de la técnica:

  • Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
  • Cifrado en reposo: datos sensibles (tokens, credenciales) cifrados con AES-256.
  • Control de acceso basado en roles (RBAC) a nivel de aplicación.
  • Autenticación sin contraseña mediante magic link, eliminando el riesgo de filtración de credenciales.
  • Copias de seguridad diarias con retención de 30 días.
  • Procedimientos de notificación de brechas conforme a los artículos 33 y 34 del RGPD (72 horas a la autoridad de control, sin dilación indebida a los afectados si riesgo elevado).
  • Revisión periódica de accesos y logs de auditoría.

9. Menores de edad

Nuestro servicio está dirigido exclusivamente a personas mayores de 18 años o que tengan capacidad legal para contratar. No recabamos conscientemente datos de menores de 14 años. Si detectamos que hemos recabado datos de un menor sin el consentimiento de sus padres o tutores, los eliminaremos de inmediato.

10. Cookies y tecnologías de seguimiento

Cookies técnicas (estrictamente necesarias): utilizamos cookies de sesión y autenticación imprescindibles para el funcionamiento de la plataforma. Estas cookies no requieren consentimiento conforme al artículo 22.2 de la LSSI-CE. No es posible desactivarlas sin afectar al funcionamiento del servicio.

Cookies analíticas (Amplitude): en la página de inicio pública y en la aplicación, empleamos Amplitude para medir el rendimiento del producto mediante identificadores pseudonimizados. Estas cookies analíticas requieren consentimiento previo conforme a la guía de la AEPD sobre cookies. Se solicitará mediante un banner de cookies visible al acceder por primera vez al sitio. El usuario puede rechazarlas sin que ello afecte al funcionamiento del servicio.

No utilizamos cookies de seguimiento publicitario ni compartimos datos con redes publicitarias.

Puedes cambiar tus preferencias de cookies en cualquier momento. Para ello, y se mostrará nuevamente el banner de consentimiento.

11. Modificaciones de esta política

Podemos actualizar esta política cuando sea necesario para reflejar cambios en nuestras prácticas de tratamiento de datos o en la normativa aplicable. Notificaremos los cambios materiales por correo electrónico y mediante aviso destacado en la aplicación con al menos 30 días de antelación. La versión actualizada estará siempre disponible en https://getzita.app/privacy.

12. Contacto

Para cualquier consulta relativa a esta política o al tratamiento de tus datos personales: support@getzita.app.

Para el ejercicio de derechos ARCO: support@getzita.app, indicando «Ejercicio de derechos RGPD» en el asunto.

Política de Privacidad | Getzita | getzita.app