1. Responsable del tratamiento

El titular de Apúntalo y responsable de los tratamientos propios descritos en esta política es:

Los datos identificativos completos también constan en el aviso legal.

2. A quién se aplica esta política

Esta política se aplica a los datos personales tratados en relación con:

• Personas que visitan la web de Apúntalo.
• Negocios, profesionales o usuarios que crean una cuenta, prueban o contratan Apúntalo.
• Personas del equipo de un negocio que usan la agenda o reciben acceso a la plataforma.
• Clientes finales de los negocios cuando sus datos se gestionan en Apúntalo para citas, reservas, recordatorios o comunicaciones.
• Personas que contactan con Apúntalo por soporte, ventas, email, teléfono o canales similares.

3. Cuándo Apúntalo actúa como responsable y cuándo como encargado

En un SaaS B2B como Apúntalo es importante separar los roles:

Los clientes de Apúntalo pueden solicitar el Acuerdo de Encargo del Tratamiento o DPA, que regula este tratamiento por cuenta del negocio.

4. Qué datos personales podemos tratar

Según el uso concreto del servicio, podemos tratar las siguientes categorías de datos:

• Datos de contacto e identificación: nombre, email, teléfono, negocio, cargo, idioma y datos necesarios para la cuenta.
• Datos del negocio: nombre comercial, dirección, servicios, horarios, disponibilidad, equipo, configuración de la agenda y preferencias operativas.
• Datos de usuarios internos o staff: nombre, teléfono, email, rol, permisos, agenda asignada y actividad necesaria para operar la cuenta.
• Datos de clientes finales: nombre, teléfono, email cuando aplique, citas, servicios reservados, preferencias y notas operativas introducidas por el negocio.
• Datos de comunicaciones: mensajes WhatsApp/SMS, estado de envío, confirmaciones, respuestas, errores técnicos y metadatos necesarios para entregar recordatorios y resolver incidencias.
• Datos de reservas y citas: fecha, hora, duración, profesional, servicio, centro, cambios, cancelaciones, historial y datos necesarios para organizar la agenda.
• Datos de pagos y facturación: plan contratado, identificadores de suscripción, facturas, datos fiscales y estado del pago. Los datos completos de tarjeta son tratados por proveedores de pago como Stripe o Paycomet, no por Apúntalo.
• Datos técnicos y de seguridad: IP, dispositivo, navegador, identificadores técnicos, logs, eventos internos, errores, tokens push y datos necesarios para seguridad, diagnóstico y soporte.
• Datos de integraciones: si el usuario activa integraciones, datos mínimos necesarios para sincronizar Google Calendar, seleccionar contactos o conectar servicios externos.

5. Para qué usamos los datos y con qué base jurídica

6. Datos de clientes finales de los negocios

Si eres cliente de un negocio que usa Apúntalo, normalmente ese negocio es el responsable del tratamiento de tus datos. Apúntalo actúa como proveedor tecnológico que presta el servicio de agenda, reservas, recordatorios o comunicaciones siguiendo las instrucciones del negocio.

En estos casos, las solicitudes relacionadas con tus datos pueden tener que dirigirse al negocio con el que tienes la relación principal. Aun así, Apúntalo asistirá al negocio en la atención de derechos cuando corresponda.

7. Uso de datos de Google Calendar y Contactos

Cuando un usuario conecta su cuenta de Google, Apúntalo solicita únicamente los permisos necesarios para las funcionalidades activadas. El uso de datos obtenidos de APIs de Google se realiza conforme a la Política de datos del usuario de los servicios de API de Google, incluidos los requisitos de uso limitado.

• Google Calendar: usamos el permiso https://www.googleapis.com/auth/calendar.events para crear, modificar o eliminar eventos de citas cuando el usuario lo solicita mediante la sincronización. Guardamos los identificadores y metadatos necesarios para mantener la sincronización, como ID de evento, agenda y hora de inicio/fin.
• Contactos de Google: el permiso https://www.googleapis.com/auth/contacts.readonly puede usarse opcionalmente para facilitar la selección de contactos al crear citas. No almacenamos la libreta completa; solo los datos del contacto que el usuario decide utilizar en Apúntalo.
• Limitación de uso: no usamos los datos obtenidos de Google Workspace, incluidos Calendar y Contactos, para desarrollar, mejorar o entrenar modelos de inteligencia artificial o aprendizaje automático de propósito general.

El usuario puede revocar estos permisos desde la configuración de seguridad de su cuenta de Google.

8. Sectores sanitarios, bienestar y posibles datos sensibles

Apúntalo puede ser usado por negocios de salud, bienestar u otros sectores donde una cita, servicio o nota pueda revelar información sensible. En esos casos, el negocio es responsable de valorar la base jurídica, informar a sus clientes y limitar los datos introducidos a lo estrictamente necesario.

Apúntalo no necesita que se introduzcan historiales clínicos completos para funcionar como agenda. Si un negocio introduce datos especialmente protegidos, Apúntalo los tratará como encargado, siguiendo instrucciones del negocio y aplicando medidas técnicas y organizativas adecuadas.

9. Analítica, cookies y eventos

Apúntalo puede usar cookies o tecnologías similares para medir visitas, rendimiento y conversiones básicas. La información sobre cookies se detalla en la política de cookies.

En producto, limitamos la analítica externa a eventos permitidos y sin datos personales. Los logs internos de diagnóstico pueden contener información operativa necesaria para resolver errores, especialmente en notificaciones, soporte y seguridad.

10. Proveedores y subencargados

Para prestar el servicio, Apúntalo puede apoyarse en proveedores técnicos y subencargados. Su uso depende de las funcionalidades activadas por el negocio y de la configuración del servicio. Entre ellos pueden encontrarse:

• Google Cloud y Firebase, para infraestructura, base de datos, autenticación, hosting, funciones, almacenamiento, backups y servicios técnicos.
• Google Analytics o Firebase Analytics, limitados a analítica básica y eventos sin datos personales cuando proceda.
• Meta / WhatsApp Business Platform, para comunicaciones por WhatsApp cuando el negocio active esta funcionalidad.
• Proveedores SMS como SMSPubli/Gateway360 o WAUSMS/WowSMS, para envío de SMS cuando proceda.
• Stripe y Paycomet, para pagos, suscripciones y operaciones relacionadas.
• Google Calendar y Contactos de Google, si el usuario conecta esas integraciones.
• Gmail o Google Workspace, para comunicaciones operativas, soporte o gestión interna.
• Herramientas de monitorización, soporte o automatización como Sentry u OpenAI, cuando sean necesarias y estén documentadas para finalidades legítimas del servicio.

Apúntalo mantiene una lista interna de proveedores y subencargados y revisa que el tratamiento se limite a las finalidades necesarias.

11. Transferencias internacionales

Algunos proveedores pueden estar ubicados fuera del Espacio Económico Europeo o estar sujetos a acceso desde terceros países. Cuando exista una transferencia internacional, Apúntalo aplicará los mecanismos previstos por la normativa de protección de datos, como decisiones de adecuación, cláusulas contractuales tipo u otras garantías válidas.

12. Durante cuánto tiempo conservamos los datos

Conservamos los datos durante el tiempo necesario para prestar el servicio, cumplir obligaciones legales, atender responsabilidades y mantener la seguridad. En particular:

• Los datos de cuenta y negocio se conservan mientras exista relación con Apúntalo y, después, durante los plazos legales aplicables.
• Los datos de citas, clientes finales y comunicaciones se conservan según la configuración del negocio, la necesidad del servicio y las instrucciones aplicables como encargado.
• Cuando un negocio solicita la eliminación de su cuenta, Apúntalo aplica un proceso de borrado con periodo de recuperación limitado antes del borrado definitivo.
• Las copias de seguridad de Firestore pueden conservar datos hasta 7 días.
• Los logs técnicos y eventos internos se conservan durante el tiempo necesario para seguridad, soporte, diagnóstico y mejora del servicio.
• Los datos de facturación se conservan durante los plazos exigidos por la normativa fiscal, contable y mercantil.

13. Seguridad

Apúntalo aplica medidas técnicas y organizativas orientadas a proteger la confidencialidad, integridad, disponibilidad y resiliencia del servicio. Entre otras medidas, usamos control de accesos, separación por negocio, cifrado en tránsito, gestión de secretos, backups, registros técnicos, revisión de proveedores y procedimientos internos de respuesta ante incidentes.

Ningún sistema es absolutamente infalible, pero trabajamos con un enfoque de minimización de datos, privacidad desde el diseño y seguridad adecuada al riesgo.

14. Derechos de las personas

Las personas pueden ejercer los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y, cuando proceda, retirada del consentimiento. Para ejercerlos, se puede escribir a hola@apuntalo.com.

Si la solicitud se refiere a datos tratados por Apúntalo por cuenta de un negocio, puede ser necesario canalizarla a través de ese negocio, ya que será quien actúe como responsable principal del tratamiento.

También puedes presentar una reclamación ante la Agencia Española de Protección de Datos si consideras que el tratamiento no se ajusta a la normativa aplicable: www.aepd.es.

15. Menores

Apúntalo está dirigido a negocios y profesionales. No está pensado para que menores creen cuentas de negocio o contraten directamente el servicio. Si un negocio introduce datos de menores en su agenda, será responsable de contar con la base jurídica adecuada y de cumplir sus obligaciones de información.

16. Cambios en esta política

Podemos actualizar esta política para reflejar cambios legales, técnicos u operativos. Cuando los cambios sean relevantes, los publicaremos en esta misma página y actualizaremos la fecha indicada al inicio.