getzita.app

Política de Privacidad

Última actualización: Mayo de 2026

1. Responsable del Tratamiento

  • Nombre y apellidos: Daniel Olivier Barrachina
  • NIF: 45126503-C
  • Domicilio: c/ Parellades 51, Sitges 08870, Barcelona, España
  • Correo electrónico: support@getzita.app

En adelante, «getzita.app», «nosotros» o «el Responsable». Actuamos como trabajador autónomo conforme a la legislación española.

2. Datos que recabamos

2.1 Datos de los clientes empresariales (usuarios del panel)

  • Nombre y dirección de correo electrónico. Getzita utiliza autenticación sin contraseña mediante magic link enviado por correo electrónico, por lo que no almacenamos contraseñas en ningún caso.
  • Nombre del negocio, tipo de negocio, número de WhatsApp Business dedicado y zona horaria.
  • Datos de facturación y pago gestionados íntegramente por Stripe, Inc. Getzita NO almacena números de tarjeta de crédito, CVV ni datos bancarios en bruto.
  • Información del plan de suscripción, historial de facturas y datos de uso (número de conversaciones, reservas, recordatorios enviados).
  • Token de acceso a la API de WhatsApp Business (almacenado cifrado con AES-256).
  • Registros técnicos: dirección IP, agente de usuario, marcas de tiempo de acceso, identificador de sesión.

2.2 Datos de los clientes finales (clientes del negocio)

Cuando un cliente final interactúa con el chatbot de WhatsApp de un negocio que utiliza Getzita, procesamos:

  • Número de teléfono de WhatsApp y nombre de perfil de WhatsApp.
  • Detalles de la reserva: servicio solicitado, fecha, hora y profesional asignado.
  • Historial de conversación (mensajes intercambiados durante el proceso de reserva, consulta o cancelación).
  • Estado de la cita (confirmada, cancelada, recordatorio enviado, confirmado o no-show).

Estos datos se tratan en nombre y por cuenta del negocio usuario, que actúa como responsable del tratamiento respecto a sus propios clientes finales. Getzita actúa como encargado del tratamiento (Art. 28 RGPD). El negocio es responsable de informar a sus clientes finales y obtener las bases jurídicas necesarias.

3. Finalidades y bases jurídicas del tratamiento

  • Prestación del servicio contratado — ejecución del contrato (Art. 6.1.b RGPD).
  • Gestión de pagos y facturación — ejecución del contrato y cumplimiento de obligaciones legales (Art. 6.1.b y 6.1.c RGPD; Ley 58/2003 General Tributaria; Real Decreto 1619/2012).
  • Comunicaciones sobre el servicio (cambios, incidencias, actualizaciones, mantenimiento) — interés legítimo (Art. 6.1.f RGPD).
  • Comunicaciones comerciales (ofertas, mejoras del producto) — consentimiento (Art. 6.1.a RGPD) o interés legítimo cuando exista relación comercial previa (LSSI-CE Art. 21.2). El usuario puede darse de baja en cualquier momento.
  • Analíticas de producto — interés legítimo (Art. 6.1.f RGPD). Utilizamos Amplitude (servidores en la UE) identificando al usuario por un UUID interno y propiedades de negocio (rol, plan, identificador de negocio). No enviamos a Amplitude tu correo, nombre, teléfono ni ningún identificador directo.
  • Seguridad, prevención del fraude y logs técnicos — interés legítimo (Art. 6.1.f RGPD).
  • Cumplimiento de obligaciones legales — Art. 6.1.c RGPD.

4. Plazos de conservación

  • Datos de cuenta activa: durante la vigencia de la suscripción y 90 días tras la baja de la suscripción para facilitar la reactivación. Si ejerces el derecho de supresión (Art. 17 RGPD) eliminando tu cuenta desde el panel, los datos personales se eliminan de forma inmediata, salvo aquellos cuya conservación venga impuesta por ley (ver s4_li2 — facturación y contabilidad).
  • Datos de facturación y contables: 5 años (Art. 30 Código de Comercio; Art. 70 Ley 58/2003 General Tributaria).
  • Datos de conversaciones y reservas (clientes finales): 90 días desde la fecha de la cita, salvo solicitud de supresión anticipada, obligación legal de conservación, necesidad de defensa frente a reclamaciones, o instrucción expresa y documentada del responsable del tratamiento.
  • Logs técnicos: 12 meses.
  • Datos para defensa de reclamaciones: hasta 3 años desde la finalización de la relación contractual (plazo de prescripción de acciones personales, Art. 1964 Código Civil).
  • Token de acceso a Meta: durante la vigencia de la suscripción. Se revoca o elimina al cancelar.

5. Destinatarios y encargados del tratamiento

Contamos con los siguientes encargados del tratamiento, seleccionados por ofrecer garantías adecuadas:

  • Stripe, Inc. (EE.UU.) — procesamiento de pagos. Certificado PCI-DSS nivel 1. Cláusulas contractuales tipo UE.
  • Meta Platforms Ireland Ltd. (Irlanda/EE.UU.) — API de WhatsApp Business para el envío y recepción de mensajes. Cláusulas contractuales tipo.
  • Vercel, Inc. (EE.UU.) — alojamiento de la aplicación web. Data Processing Addendum disponible.
  • Supabase, Inc. (EE.UU.) — base de datos, autenticación y almacenamiento. Data Processing Addendum disponible.
  • Resend, Inc. (EE.UU.) — envío de correos electrónicos transaccionales (magic links, confirmaciones, recordatorios por email). Data Processing Addendum disponible.
  • Amplitude, Inc. (servidores en la UE, Frankfurt) — analíticas de producto identificadas por un UUID interno y propiedades de negocio. No se envían a Amplitude correo, nombre, teléfono ni otros identificadores directos. Data Processing Addendum disponible.

No cedemos datos personales a terceros con fines propios salvo obligación legal o requerimiento judicial.

6. Transferencias internacionales

Algunos de nuestros encargados del tratamiento están establecidos fuera del Espacio Económico Europeo (EEE), principalmente en Estados Unidos. Dichas transferencias se amparan en:

  • Cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914, Art. 46.2.c RGPD).
  • Decisiones de adecuación vigentes (cuando apliquen).
  • Medidas suplementarias de seguridad (cifrado en tránsito y en reposo, control de acceso, pseudonimización).

7. Derechos de los interesados

Puedes ejercer en cualquier momento los siguientes derechos ante el Responsable (support@getzita.app):

  • Acceso: obtener confirmación de si tratamos tus datos y una copia de los mismos.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión («derecho al olvido»): solicitar la eliminación de tus datos cuando ya no sean necesarios.
  • Limitación del tratamiento: solicitar la suspensión del tratamiento en determinadas circunstancias.
  • Portabilidad: recibir tus datos en un formato estructurado, de uso común y lectura mecánica (JSON o CSV).
  • Oposición: oponerte al tratamiento basado en interés legítimo.
  • Retirada del consentimiento: en cualquier momento, sin que afecte a la licitud del tratamiento previo.

Responderemos en el plazo máximo de un mes (prorrogable otros dos meses en casos complejos, previa notificación). Podremos solicitar información adicional para verificar tu identidad antes de procesar la solicitud, utilizando los medios menos intrusivos posibles.

Conservación obligatoria: los derechos de supresión y limitación no aplican a aquellos datos cuya conservación venga impuesta por una obligación legal (Art. 17.3.b RGPD), en particular los datos de facturación y contabilidad conservados durante 5 años (Art. 30 Código de Comercio; Art. 70 Ley 58/2003 General Tributaria). Al eliminar tu cuenta esos registros se mantienen en forma archivada y bloqueada para cualquier tratamiento posterior.

Si consideras que hemos vulnerado tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD)www.aepd.es.

8. Seguridad de los datos

Aplicamos medidas técnicas y organizativas adecuadas conforme al artículo 32 del RGPD y al estado de la técnica:

  • Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
  • Cifrado en reposo: datos sensibles (tokens, credenciales) cifrados con AES-256.
  • Control de acceso basado en roles (RBAC) a nivel de aplicación.
  • Autenticación sin contraseña mediante magic link, eliminando el riesgo de filtración de credenciales.
  • Copias de seguridad diarias con retención de 30 días.
  • Procedimientos de notificación de brechas conforme a los artículos 33 y 34 del RGPD (72 horas a la autoridad de control, sin dilación indebida a los afectados si riesgo elevado).
  • Revisión periódica de accesos y logs de auditoría.

9. Menores de edad

Getzita es un servicio B2B dirigido exclusivamente a personas mayores de 18 años que actúen como profesional o como representante de una persona jurídica. No tratamos conscientemente datos personales de menores. Si tenemos conocimiento de que se ha creado una cuenta por cuenta de un menor, la eliminaremos sin dilación indebida.

10. Cookies y tecnologías de seguimiento

Cookies técnicas (estrictamente necesarias): utilizamos cookies de sesión y autenticación imprescindibles para el funcionamiento de la plataforma. Estas cookies no requieren consentimiento conforme al artículo 22.2 de la LSSI-CE. No es posible desactivarlas sin afectar al funcionamiento del servicio.

Cookies analíticas (Amplitude): en la página de inicio pública y dentro de la aplicación empleamos Amplitude para medir el rendimiento del producto, identificando al usuario por un UUID interno y propiedades de negocio (no se envía a Amplitude el correo ni ningún otro identificador directo). Estas cookies analíticas requieren consentimiento previo conforme al artículo 22.2 de la LSSI-CE y a la guía de la AEPD sobre cookies. Se solicita mediante el banner granular que se muestra al acceder por primera vez — puedes rechazarlas sin que ello afecte al funcionamiento del servicio. Amplitude solo se inicializa una vez otorgado el consentimiento.

No utilizamos cookies de seguimiento publicitario ni compartimos datos con redes publicitarias.

Puedes cambiar tus preferencias de cookies en cualquier momento. Para ello, y se mostrará nuevamente el banner de consentimiento.

11. Modificaciones de esta política

Podemos actualizar esta política cuando sea necesario para reflejar cambios en nuestras prácticas de tratamiento de datos o en la normativa aplicable. Notificaremos los cambios materiales por correo electrónico y mediante aviso destacado en la aplicación con al menos 30 días de antelación. La versión actualizada estará siempre disponible en https://getzita.app/legal/privacy.

12. Contacto

Para cualquier consulta relativa a esta política o al tratamiento de tus datos personales: support@getzita.app.

Para el ejercicio de derechos ARCO: support@getzita.app, indicando «Ejercicio de derechos RGPD» en el asunto.

Política de Privacidad | Getzita | getzita.app