Volver al Inicio

Política de Privacidad

Última actualización: 13 de enero de 2025

1. Introducción

En Lince Media LLC, operador de CitaFlow ("nosotros", "nuestro", "la Empresa"), nos comprometemos a proteger y respetar su privacidad. Esta Política de Privacidad explica cómo recopilamos, utilizamos, divulgamos y protegemos su información cuando utiliza nuestro servicio, de conformidad con el Reglamento General de Protección de Datos (RGPD) y otras normativas aplicables.

2. Responsable del Tratamiento

Lince Media LLC
25 SE 2nd Ave
Ste 550 #1172
Miami, FL 33131
Estados Unidos

Email: privacy@citaflow.com
Contacto general: contacto@citaflow.com

3. Información que Recopilamos

3.1 Información de Cuenta

  • Nombre completo y datos de contacto
  • Dirección de correo electrónico
  • Número de teléfono
  • Información de facturación y pago
  • Detalles de la empresa o negocio
  • NIF/CIF para facturación

3.2 Datos de Uso del Servicio

  • Registros de llamadas telefónicas procesadas
  • Transcripciones automáticas de conversaciones (funcionalidad opcional activada por el cliente)
  • Mensajes de buzón de voz (solo cuando el cliente activa esta funcionalidad)
  • Datos de citas y calendarios gestionados
  • Configuraciones y preferencias del servicio
  • Métricas de rendimiento y análisis de uso

Nota importante sobre grabaciones: CitaFlow no escucha ni analiza el contenido de las llamadas o mensajes de voz. Las grabaciones de buzón de voz y las transcripciones automáticas son funcionalidades opcionales que el cliente puede activar o desactivar. Actuamos únicamente como proveedor del servicio, almacenando estos datos para uso exclusivo del cliente.

3.3 Información Técnica

  • Direcciones IP y ubicación geográfica general
  • Información del navegador y dispositivo
  • Cookies y tecnologías de seguimiento
  • Logs de actividad del sistema

3.4 Categorías de Interesados

  • Usuarios del servicio (negocios locales)
  • Clientes finales de los negocios locales
  • Usuarios autorizados de las cuentas

4. Base Legal y Finalidades del Tratamiento

Como empresa establecida en Estados Unidos que presta servicios a clientes en la Unión Europea, procesamos su información personal basándonos en las siguientes bases legales del RGPD:

  • Ejecución de contrato: Para proporcionar nuestros servicios de IA y gestión de citas
  • Consentimiento: Para comunicaciones de marketing y funcionalidades opcionales
  • Interés legítimo: Para mejorar nuestros servicios y prevenir fraudes
  • Obligación legal: Para cumplir con requerimientos fiscales y legales

5. Ubicación y Procesamiento de Datos

Infraestructura y procesamiento de datos:

  • Almacenamiento de datos: Todos los datos se almacenan en servidores de Supabase ubicados en Francia (Región EU-WEST-3)
  • Panel de control (Dashboard): Alojado en Vercel. DPA disponible en: https://vercel.com/legal/dpa
  • Servidor de voz: Alojado en Railway. DPA disponible en: https://railway.com/legal/dpa

Todos nuestros proveedores de infraestructura actúan como encargados del tratamiento bajo Acuerdos de Procesamiento de Datos (DPA) conforme al artículo 28 del RGPD, incorporando las Cláusulas Contractuales Estándar (SCC) de la Comisión Europea para transferencias internacionales cuando sea aplicable.

6. Compartir Información y Sub-encargados

No vendemos, alquilamos o comercializamos su información personal. Compartimos datos únicamente con:

6.1 Encargados del Tratamiento Principales

  • Supabase Inc.: Infraestructura de base de datos (servidores en Francia, UE)
  • OpenAI: Procesamiento de inteligencia artificial para gestión de citas mediante Realtime API. OpenAI ofrece EU Data Residency para aplicaciones basadas en la UE y cumple con compromisos empresariales de privacidad. Más información: https://openai.com/enterprise-privacy/
  • Twilio: Servicios de telefonía y comunicaciones
  • Stripe: Procesamiento de pagos (certificado PCI-DSS)
  • Proveedores de comunicaciones: Servicios de mensajería para notificaciones por SMS y WhatsApp (todos con DPA conforme al RGPD)

6.2 Sub-encargados de Supabase

La lista completa de sub-encargados está disponible en: https://supabase.com/legal/subprocessors

Seremos notificados de cambios en sub-encargados con 30 días de antelación.

6.3 Otras Divulgaciones

  • Cumplimiento legal: Cuando sea requerido por ley o para proteger nuestros derechos
  • Transferencias comerciales: En caso de fusión, adquisición o venta de activos
  • Con su consentimiento: Cuando usted haya dado su consentimiento explícito

7. Servicios de Telefonía y Operador de Telecomunicaciones

Importante: CitaFlow es un proveedor de software SaaS. No somos un operador de telecomunicaciones.

7.1 Provisión del Servicio de Voz

Los servicios de telefonía incluidos en nuestros planes Voz Go y Voz Pro se proporcionan a través de:

  • Twilio Inc.: Plataforma de comunicaciones en la nube (CPaaS)
  • Enreach Communications S.L.U.: Operador de telecomunicaciones subyacente en España (anteriormente Masvoz)

7.2 Estructura del Servicio

  • Los números de teléfono españoles son distribuidos por Twilio en nombre de Enreach Communications S.L.U.
  • Enreach Communications S.L.U. es el operador registrado ante la CNMC (Comisión Nacional de los Mercados y la Competencia)
  • CitaFlow gestiona subcuentas independientes en Twilio para cada cliente por motivos de cumplimiento normativo
  • La portabilidad de números se realiza hacia Enreach/Masvoz como operador subyacente

7.3 Responsabilidades

  • CitaFlow: Proveedor de software y gestión de servicios de IA
  • Twilio: Plataforma técnica de comunicaciones
  • Enreach Communications: Operador de telecomunicaciones regulado, responsable ante las autoridades españolas

7.4 Cumplimiento Regulatorio

Enreach Communications S.L.U. cumple con todas las obligaciones regulatorias españolas, incluyendo:

  • Registro como operador ante la CNMC
  • Cumplimiento de la Ley General de Telecomunicaciones
  • Obligaciones de portabilidad numérica
  • Requisitos de conservación de datos según la legislación española

8. Transferencias Internacionales de Datos

Como empresa con sede en Estados Unidos, es importante que comprenda cómo protegemos sus datos:

  • Almacenamiento: Todos los datos se almacenan exclusivamente en servidores de la UE (Francia)
  • Acceso: Nuestro equipo en EE.UU. accede a los datos solo cuando es necesario para proporcionar el servicio
  • Procesadores: Algunos de nuestros proveedores de servicios pueden estar ubicados fuera del EEE

Para todas las transferencias internacionales, implementamos las siguientes salvaguardas:

  • Cláusulas Contractuales Estándar (SCC) de la Comisión Europea
  • UK Addendum para transferencias al Reino Unido
  • Swiss Addendum para transferencias a Suiza
  • Evaluaciones de impacto de transferencias cuando sea necesario

8. Seguridad de los Datos

Implementamos medidas de seguridad técnicas y organizativas apropiadas:

  • Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256)
  • Controles de acceso basados en roles (RBAC)
  • Autenticación multifactor (MFA) obligatoria para accesos administrativos
  • Auditorías de seguridad y pruebas de penetración regulares
  • Formación continua del personal en protección de datos
  • Copias de seguridad automatizadas con cifrado
  • Plan de respuesta ante incidentes de seguridad
  • Certificaciones de seguridad de nuestros proveedores (SOC 2, ISO 27001)

10. Retención de Datos

Conservamos su información personal durante el tiempo necesario para cumplir con los fines descritos:

  • Datos de cuenta: Durante la vigencia de su suscripción + 30 días
  • Registros de llamadas: Según configuración del cliente (predeterminado: 90 días)
  • Mensajes de buzón de voz: Según configuración del cliente (predeterminado: 90 días)
  • Transcripciones: Según configuración del cliente (predeterminado: 90 días)
  • Datos de facturación: 7 años según obligaciones fiscales
  • Logs técnicos: 12 meses para propósitos de seguridad
  • Datos de citas: Según configuración del usuario (por defecto 2 años)

11. Sus Derechos bajo el RGPD

Como interesado, usted tiene los siguientes derechos:

  • Acceso (Art. 15 RGPD): Obtener confirmación y copia de sus datos personales
  • Rectificación (Art. 16 RGPD): Corregir datos inexactos o incompletos
  • Supresión (Art. 17 RGPD): Solicitar el borrado de sus datos ("derecho al olvido")
  • Limitación (Art. 18 RGPD): Restringir el procesamiento en ciertos casos
  • Portabilidad (Art. 20 RGPD): Recibir sus datos en formato estructurado y legible
  • Oposición (Art. 21 RGPD): Oponerse al procesamiento basado en interés legítimo
  • No decisiones automatizadas (Art. 22 RGPD): No ser objeto de decisiones basadas únicamente en tratamiento automatizado

Cómo ejercer sus derechos

Para ejercer cualquiera de estos derechos:

  1. Envíe su solicitud a privacy@citaflow.com
  2. Incluya prueba de identidad (DNI/NIE escaneado)
  3. Especifique claramente el derecho que desea ejercer
  4. Responderemos en un plazo máximo de 30 días

Derecho a presentar reclamación: Si no está satisfecho con nuestra respuesta, puede presentar una reclamación ante la Oficina del Comisionado de Información y Protección de Datos de Malta (IDPC) en idpc.org.mt

12. Cookies y Tecnologías de Seguimiento

Utilizamos cookies y tecnologías similares para:

  • Cookies esenciales: Necesarias para el funcionamiento del servicio
  • Cookies de rendimiento: Para analizar el uso y mejorar el servicio (Umami Analytics)
  • Cookies de funcionalidad: Para recordar sus preferencias
  • Cookies de marketing: Solo con su consentimiento expreso

Puede gestionar sus preferencias de cookies a través de nuestro banner de cookies o la configuración de su navegador.

13. Notificación de Brechas de Seguridad

En caso de una brecha de seguridad que afecte sus datos personales:

  • Notificaremos a la autoridad de control competente dentro de las 72 horas siguientes
  • Le informaremos sin dilación indebida si existe alto riesgo para sus derechos
  • Documentaremos todas las brechas en nuestro registro interno
  • Implementaremos medidas correctivas inmediatas

14. Privacidad de Menores

Nuestro servicio no está dirigido a menores de 18 años. No recopilamos conscientemente información personal de menores. Si detectamos que hemos recopilado datos de un menor, los eliminaremos inmediatamente.

15. Cambios en esta Política

Podemos actualizar esta Política de Privacidad periódicamente. Los cambios significativos serán notificados:

  • Por correo electrónico a su dirección registrada
  • Mediante aviso destacado en nuestro panel de administración
  • Con al menos 30 días de antelación para cambios sustanciales

16. Información de Contacto

Para cualquier consulta sobre protección de datos o para ejercer sus derechos:

Responsable del Tratamiento:
Lince Media LLC
25 SE 2nd Ave
Ste 550 #1172
Miami, FL 33131, Estados Unidos

Contactos de Privacidad:
Email privacidad: privacy@citaflow.com
Email general: contacto@citaflow.com

Representante en la UE:
Como parte de nuestro compromiso con el cumplimiento del RGPD y la protección de datos, actualmente gestionamos todas las consultas de privacidad desde nuestra sede central, garantizando respuestas dentro de los plazos legales establecidos. Una vez alcancemos nuestro objetivo de 500 clientes europeos, estableceremos un representante oficial de protección de datos con base en la UE para ofrecer un servicio más cercano y localizado a nuestros usuarios europeos.

Autoridad de Control (Malta):
Office of the Information and Data Protection Commissioner (IDPC)
Level 2, Airways House, High Street
Sliema SLM 1549, Malta
Web: idpc.org.mt
Email: idpc.info@idpc.org.mt

Volver al Inicio
CitaFlow
CitaFlow Support
Normalmente responde en minutos

👋 ¡Hola! Soy el equipo de CitaFlow.
¿Estás interesado en automatizar las citas de tu negocio? 🚀
Por favor, déjanos tus datos para poder ayudarte mejor: