Política de Privacidad

1. Introducción y Responsable del Tratamiento

En Agendio nos comprometemos a proteger tu privacidad y garantizar la seguridad de tus datos personales. Esta Política de Privacidad explica cómo recopilamos, usamos, divulgamos y protegemos tu información cuando utilizas nuestra plataforma de reservas automatizadas, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

2. Roles en el tratamiento de datos

Agendio actúa con dos roles diferenciados según el tipo de dato:

• Como Responsable del tratamiento: respecto a los datos de los visitantes de nuestro sitio web (agendio.es), de los Clientes que contratan el Servicio (datos de registro, facturación, soporte) y de las personas que se ponen en contacto con nosotros.
• Como Encargado del tratamiento (art. 28 RGPD): respecto a los datos de los clientes finales que el Cliente (negocio que utiliza Agendio) trata a través de la Plataforma — por ejemplo, las personas que reservan en el negocio del Cliente. En este caso, el Cliente es el responsable del tratamiento y Agendio actúa siguiendo sus instrucciones documentadas en el Acuerdo de Encargado del Tratamiento incorporado a los Términos y Condiciones.

3. Datos que recopilamos

3.1. Como Responsable del tratamiento

• Información de contacto y registro: nombre, número de teléfono, email, datos del negocio, NIF.
• Información de facturación: datos de pago (procesados a través del proveedor de pagos), historial de facturas.
• Información del dispositivo: tipo de dispositivo, sistema operativo, navegador, dirección IP (anonimizada cuando es posible).
• Credenciales OAuth: tokens de acceso y refresco que el Cliente nos otorga al conectar servicios de terceros (Google), almacenados cifrados.

3.2. Como Encargado del tratamiento (datos de clientes finales del negocio)

• Información de contacto del cliente final: nombre, número de teléfono.
• Información de reservas: fecha, hora, número de asistentes, preferencias especiales.
• Historial de comunicaciones por WhatsApp: mensajes intercambiados con el chatbot para la gestión de reservas, fecha, hora y estado de entrega.

4. Finalidad y base legal del tratamiento

5. Uso de las APIs de Google

Agendio integra Google Calendar API para permitir a los Clientes sincronizar las reservas gestionadas en la Plataforma con su calendario de Google.

5.1. Datos y scopes a los que accedemos

Cuando un Cliente conecta su cuenta de Google mediante OAuth 2.0, Agendio solicita el siguiente alcance (scope) mínimo necesario:

• https://www.googleapis.com/auth/calendar.events — para crear, modificar y eliminar eventos en el calendario que el Cliente seleccione.

No solicitamos acceso a otros datos de la cuenta de Google del Cliente (correo, contactos, archivos en Drive, etc.).

5.2. Cómo usamos los datos de Google

Los datos obtenidos de las APIs de Google se utilizan exclusivamente para:

• Crear eventos en el calendario del Cliente cuando se confirma una reserva.
• Actualizar o eliminar eventos cuando una reserva se modifica o cancela.
• Consultar la disponibilidad del calendario para evitar solapamientos en la asignación de reservas.

5.3. Cumplimiento de la Política de Limited Use de Google

El uso por parte de Agendio de la información recibida de las APIs de Google se ajusta a la Google API Services User Data Policy, incluidos los requisitos de Limited Use.

En particular, declaramos expresamente que:

• No vendemos los datos de Google a terceros.
• No usamos los datos de Google para mostrar publicidad, ni para retargeting o publicidad personalizada o basada en intereses.
• No transferimos ni usamos los datos de Google para determinar solvencia crediticia o préstamos.
• No usamos los datos de Google para entrenar modelos de inteligencia artificial o aprendizaje automático generalizados o no personalizados.
• No permitimos que personas humanas lean los datos de Google del usuario, salvo en los siguientes casos permitidos por la política: (i) con el consentimiento expreso y específico del usuario, (ii) cuando sea necesario por motivos de seguridad (por ejemplo, investigación de un fallo o uso indebido), (iii) para cumplir una obligación legal aplicable, o (iv) con datos agregados y anonimizados para operaciones internas conforme a la normativa aplicable.

5.4. Almacenamiento y seguridad de los datos de Google

• Los tokens OAuth (acceso y refresco) se almacenan cifrados en reposo en nuestros servidores, con acceso restringido al personal autorizado.
• Los identificadores de eventos (event_id, calendar_id) se conservan únicamente durante el tiempo necesario para la trazabilidad operativa de la reserva asociada.
• No mantenemos copias permanentes ni bases de datos derivadas del contenido de los calendarios del usuario más allá de lo estrictamente necesario para prestar la funcionalidad.

5.5. Revocación del acceso a Google

El Cliente puede revocar el acceso de Agendio a su cuenta de Google en cualquier momento desde:

1. El panel de administración de Agendio: Integraciones → Google Calendar → Desconectar.
2. La página de seguridad de su cuenta de Google: myaccount.google.com/permissions.

Tras la revocación, Agendio dejará de acceder a la API de Google y eliminará los tokens almacenados en un plazo máximo de 7 días.

6. Comunicaciones a través de WhatsApp Business Cloud API

Agendio se integra con la WhatsApp Business Cloud API (servicio prestado por Meta Platforms Ireland Limited) para que los Clientes puedan gestionar la comunicación automatizada de reservas con sus clientes finales a través de su propia WhatsApp Business Account (WABA). La integración técnica se realiza a través de YCloud, proveedor oficial de soluciones empresariales (Business Solution Provider, BSP) autorizado por Meta.

6.1. Modelo BYO-WABA: el Cliente es titular de su propia WABA

Cada Cliente conecta a Agendio su propia WhatsApp Business Account (WABA), de la cual es titular y administrador único frente a Meta. En consecuencia:

• El Cliente es responsable de la verificación de su negocio en Meta Business Manager y del alta y mantenimiento de su WABA.
• El Cliente decide la configuración de su WABA, incluyendo la región de almacenamiento (Local Storage) de los mensajes en reposo en los servidores de Meta, la aprobación de plantillas, el nombre de visualización y la política de mensajería de su negocio.
• El Cliente es responsable de obtener y mantener el opt-in explícito de sus clientes finales antes de enviarles mensajes proactivos.
• Agendio actúa exclusivamente como capa de integración y automatización entre la WABA del Cliente y la Plataforma. Agendio no es titular ni administrador de la WABA del Cliente y no toma decisiones sobre su configuración ni sobre la región de almacenamiento.

6.2. Roles en el tratamiento

• El Cliente es responsable del tratamiento respecto a los datos personales de sus clientes finales intercambiados a través de su WABA.
• Agendio actúa como encargado del tratamiento del Cliente, prestando la plataforma de orquestación que conecta la WABA del Cliente con la lógica del Servicio.
• Meta Platforms Ireland Ltd. actúa como encargado del tratamiento del Cliente conforme a los WhatsApp Business Data Processing Terms aceptados directamente por el Cliente al crear su WABA.
• YCloud actúa como subencargado del tratamiento (sub-procesador) de Agendio bajo el correspondiente DPA, prestando la capa de routing entre la WABA del Cliente y la Plataforma.

6.3. Datos tratados a través de WhatsApp

Número de teléfono, nombre (si lo facilita el cliente final), contenido de los mensajes intercambiados, fecha y hora del mensaje, y estado de entrega/lectura.

6.4. Consentimiento previo (opt-in)

Antes de recibir cualquier mensaje proactivo del Cliente o de Agendio a través de WhatsApp, los clientes finales deben haber otorgado un opt-in explícito, conforme a la normativa de Meta y al RGPD. El Cliente es el responsable de obtener y conservar la prueba de dicho consentimiento; Agendio facilita herramientas para registrar y trazar el opt-in.

6.5. Mecanismo de baja (opt-out)

Los clientes finales pueden darse de baja en cualquier momento:

• Respondiendo BAJA, STOP o CANCELAR al chatbot.
• Bloqueando el número del Cliente desde su aplicación de WhatsApp.

La baja se procesará automáticamente y se dejarán de enviar mensajes a ese número.

6.6. Transferencias internacionales relacionadas con WhatsApp

• Meta Platforms Ireland Limited (Irlanda) / Meta Platforms, Inc. (EE. UU.): la WhatsApp Business Cloud API procesa los datos en la región configurada por el Cliente como titular de la WABA. Las transferencias hacia EE. UU. se amparan en las Cláusulas Contractuales Tipo y en el marco EU-U.S. Data Privacy Framework, conforme al WhatsApp Business Data Transfer Addendum aceptado directamente por el Cliente.
• YCloud (operado por YCloud Pte. Ltd., establecida en Singapur): las transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914). Singapur no dispone de decisión de adecuación de la Comisión Europea; el flujo de datos a través de YCloud se limita a la capa de routing necesaria para la integración técnica.

Para más información sobre cómo Meta trata los datos en la WhatsApp Business Platform, consulta los WhatsApp Business Data Processing Terms y la Política de Privacidad de WhatsApp.

7. Terceros y transferencias internacionales

No vendemos tus datos personales. Compartimos información únicamente con los siguientes prestadores de servicios actuando como encargados o subencargados del tratamiento:

Partners comerciales: los negocios donde realizas reservas, que actúan como responsables independientes del tratamiento respecto a sus propios clientes.

Obligaciones legales: podemos compartir datos con autoridades competentes cuando sea requerido por ley.

8. Período de conservación

Transcurridos estos plazos, los datos se eliminan o anonimizan de forma segura.

9. Seguridad de los datos

Implementamos medidas de seguridad técnicas y organizativas apropiadas: cifrado SSL/TLS en tránsito, cifrado en reposo de credenciales y tokens, control de accesos basado en roles, registros de auditoría, copias de seguridad, y procedimientos de gestión de incidentes. En caso de brecha de seguridad que suponga un riesgo para tus derechos y libertades, lo notificaremos a la AEPD en el plazo de 72 horas y a ti directamente cuando proceda.

10. Tus derechos (ARCO+)

Tienes derecho a: acceso, rectificación, supresión ("derecho al olvido"), limitación del tratamiento, oposición, portabilidad, retirada del consentimiento (sin efectos retroactivos) y reclamación ante la Agencia Española de Protección de Datos (aepd.es).

Para ejercerlos, escribe a [email protected] indicando el derecho que deseas ejercer y adjuntando copia de tu DNI u otro documento de identidad.

Si los datos sobre los que quieres ejercer un derecho los trata Agendio como encargado del tratamiento por cuenta de un Cliente (negocio donde reservaste), te redirigiremos al Cliente como responsable, salvo obligación legal en contrario.

11. Cookies y tecnologías similares

Utilizamos cookies propias (esenciales para el funcionamiento del Sitio Web) y cookies de terceros de carácter analítico (Google Analytics 4 y Microsoft Clarity, gestionadas a través de Google Tag Manager con Consent Mode v2). Las cookies analíticas solo se instalan con tu consentimiento explícito, otorgado mediante el banner de cookies en igualdad de condiciones (Aceptar / Rechazar) conforme a las directrices de la AEPD. Puedes revocar el consentimiento en cualquier momento desde el botón "Gestionar cookies" del pie de página o desde nuestra Política de Cookies, donde encontrarás la tabla detallada de cookies por proveedor, tipo y duración.

12. Protección de menores

Nuestros servicios están diseñados para mayores de edad. No recopilamos intencionalmente información personal de menores de 14 años sin el consentimiento verificable de sus padres o tutores legales (art. 8 RGPD y art. 7 LOPDGDD).

13. Cambios en esta política

Podemos actualizar esta Política de Privacidad periódicamente. Notificaremos cualquier cambio material publicando la nueva versión en esta página y actualizando la fecha de "última actualización". Cuando los cambios afecten a la forma en que tratamos datos de Google, solicitaremos un nuevo consentimiento antes de aplicar el nuevo tratamiento, conforme exige la Google API Services User Data Policy.

14. Contacto

Si tienes preguntas sobre esta Política de Privacidad o deseas ejercer tus derechos: