Citanic
Iniciar sesión·Registrarse

Última actualización: 6 de junio de 2026

Política de Privacidad

1. Responsable del tratamiento

Citanic («nosotros») es responsable del tratamiento de los datos personales recogidos a través de la plataforma accesible en citanic.es y sus subdominios. Los datos identificativos completos del responsable (denominación social, NIF, domicilio) se publican en el Aviso Legal.

Para cualquier consulta relacionada con privacidad: privacidad@citanic.es

2. Datos que recopilamos

  • Datos de registro: nombre, email, contraseña (cifrada con bcrypt).
  • Datos del negocio: nombre comercial, datos fiscales (razón social, NIF, domicilio fiscal cuando se utiliza la facturación), zona horaria, horarios, servicios y precios.
  • Datos de agenda: citas, estado, notas internas, color del profesional.
  • Datos de equipo: nombre, email, rol y permisos granulares de cada miembro.
  • Datos de clientes finales: nombre, teléfono, email, historial de citas, bonos contratados y valoraciones, introducidos por el usuario del CRM.
  • Documentos e imágenes: archivos almacenados en la cuenta de Google Drive vinculada por el usuario (consentimientos, fotos clínicas, etc.).
  • Datos de facturación: facturas emitidas, libro de facturas, series, exportaciones modelo 303/390/347.
  • Datos de registro horario laboral: fichajes de entrada/salida/pausas, ausencias, horas extra y justificantes asociados a los miembros del equipo del usuario.
  • Mensajes: log de mensajes de WhatsApp enviados desde la cuenta, plantillas y respuestas recibidas vía webhook.
  • Datos técnicos: dirección IP, tipo de navegador, páginas visitadas, identificadores de cookies (ver Política de Cookies).
  • Leads de campaña: nombre, teléfono y datos UTM recogidos a través de la landing /landing y del calendario de Calendly embebido en /reservar.

3. Finalidad y base jurídica del tratamiento

  • Prestación del servicio (art. 6.1.b RGPD): alta y gestión de la cuenta, agenda, equipo, registro horario, facturación y envío de recordatorios contratados.
  • Cumplimiento de obligaciones legales (art. 6.1.c RGPD): conservación de facturas y libros (Código de Comercio), registros horarios (RD 8/2019), respuesta a requerimientos de autoridades.
  • Interés legítimo (art. 6.1.f RGPD): seguridad de la plataforma, prevención de fraude, mejora del servicio, atención a leads que solicitan ser contactados.
  • Consentimiento (art. 6.1.a RGPD): cookies de marketing (Meta Pixel), envío de comunicaciones comerciales sobre Citanic y, en su caso, recogida de datos de leads no clientes.

4. Datos de clientes finales — responsabilidad del usuario de Citanic

Citanic actúa como encargado del tratamiento (art. 28 RGPD) respecto a los datos de los clientes finales que cada empresa o autónomo introduce en la plataforma. El usuario de Citanic es el responsable del tratamiento de dichos datos y está obligado a:

  1. Informar a sus clientes sobre el tratamiento de sus datos personales.
  2. Disponer de una base jurídica válida (contrato, interés legítimo o consentimiento).
  3. Recabar, documentar y conservar el consentimiento expreso de cada cliente para el envío de comunicaciones por WhatsApp u otros canales, conforme al RGPD, la LOPDGDD y el art. 21 de la LSSI.
  4. Cuando trate categorías especiales de datos (datos de salud, imágenes clínicas), contar con el consentimiento explícito o la base jurídica habilitante del art. 9 RGPD.
  5. Atender los derechos de acceso, rectificación, supresión, portabilidad, limitación y oposición de sus clientes.
  6. Notificar a Citanic cualquier brecha de seguridad que afecte a los datos alojados en la plataforma.

Citanic no recaba, no verifica ni garantiza los consentimientos de los clientes finales de sus usuarios. Cualquier incumplimiento normativo derivado de la falta de consentimiento o información adecuada a los clientes finales será responsabilidad exclusiva del usuario del CRM. Las condiciones del encargo del tratamiento se rigen por estos términos, en defecto de Acuerdo de Encargo del Tratamiento (DPA) específico firmado entre las partes.

5. Consentimiento para mensajes de WhatsApp

El envío de recordatorios, confirmaciones o comunicaciones de marketing a través de WhatsApp requiere el consentimiento previo, libre, específico, informado e inequívoco del destinatario (arts. 6 y 7 RGPD; art. 21 LSSI). El usuario de Citanic es el único responsable de:

  • Obtener dicho consentimiento antes del primer envío.
  • Conservar evidencia documentada (fecha, medio, texto exacto mostrado al cliente).
  • Respetar las solicitudes de baja y dejar de enviar mensajes de inmediato.
  • Cumplir las Políticas de Uso de WhatsApp Business y del proveedor de mensajería utilizado.

6. Destinatarios y encargados del tratamiento

Citanic puede compartir datos con los siguientes proveedores que actúan como encargados del tratamiento, todos ellos vinculados por acuerdos de protección de datos:

  • Supabase Inc. (EE.UU.) — bases de datos, autenticación e infraestructura. Transferencia bajo Cláusulas Contractuales Tipo (SCC).
  • Vercel Inc. (EE.UU.) — alojamiento web. SCC + EU-US Data Privacy Framework.
  • Twilio Inc. (EE.UU.) — envío de mensajes WhatsApp en la implementación actual. SCC.
  • Meta Platforms Ireland Ltd. (Irlanda, UE) — WhatsApp Cloud API (despliegue progresivo) y Meta Pixel en landings (solo con consentimiento).
  • Calendly LLC (EE.UU.) — calendario de reservas de demos embebido en la página /reservar. Transferencia bajo SCC + EU-US Data Privacy Framework.
  • Google Ireland Ltd. (Irlanda, UE) — Google Drive cuando el usuario vincula su cuenta para adjuntar documentos.
  • Resend Inc. (EE.UU.) — envío de emails transaccionales (invitaciones, notificaciones, leads). SCC.
  • Inngest Inc. (EE.UU.) — orquestación de tareas en segundo plano (recordatorios). SCC.
  • Proveedor de IA (Anthropic Inc., EE.UU. — modelos Claude) — generación de los informes (insights) y respuestas del chatbot. Los prompts se envían sin entrenar modelos con ellos. SCC.

No vendemos ni cedemos datos personales a terceros con fines comerciales propios. La lista anterior es la vigente a la fecha de actualización; se mantiene al día en esta misma política.

7. Uso de IA generativa

Citanic utiliza modelos de IA para funcionalidades concretas (insights/informes y chatbot de soporte). En estos casos:

  • Se envía al modelo únicamente la información estrictamente necesaria para la consulta.
  • El proveedor de IA actúa como encargado del tratamiento y no entrena sus modelos con los datos enviados desde Citanic.
  • Las respuestas pueden contener errores; el usuario debe verificarlas antes de tomar decisiones operativas, fiscales o sanitarias.

8. Conservación de datos

  • Datos de cuenta y agenda: durante la vigencia de la cuenta y 30 días tras la cancelación, para permitir su recuperación.
  • Facturas, libro de facturas y datos contables: 6 años desde la emisión (art. 30 Código de Comercio); 4 años de prescripción tributaria.
  • Registro horario laboral: 4 años desde la fecha del fichaje (RD 8/2019).
  • Logs de WhatsApp: 2 años para fines de soporte y prueba del envío.
  • Logs de auditoría: 2 años para investigación de incidentes de seguridad.
  • Leads de landing no convertidos en cliente: 12 meses; tras ese plazo se eliminan o anonimizan salvo consentimiento expreso para mantenerlos.

9. Derechos del usuario

Conforme al RGPD, tiene derecho a:

  • Acceso: obtener confirmación de si tratamos sus datos y recibir una copia.
  • Rectificación: corregir datos inexactos o incompletos.
  • Supresión («derecho al olvido»): solicitar la eliminación cuando los datos ya no sean necesarios.
  • Portabilidad: recibir sus datos en formato estructurado y legible por máquina.
  • Limitación: restringir el tratamiento en determinadas circunstancias.
  • Oposición: oponerse al tratamiento basado en interés legítimo o a la mercadotecnia directa.
  • Retirada del consentimiento: revocar en cualquier momento el consentimiento prestado, sin que ello afecte a la licitud del tratamiento anterior.

Para ejercer estos derechos, escriba a privacidad@citanic.es. Si considera que sus derechos no han sido atendidos, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es.

10. Transferencias internacionales y representante en la UE

Algunos proveedores de Citanic procesan datos en EE.UU. En todos los casos contamos con garantías adecuadas (Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y, cuando aplica, el EU-US Data Privacy Framework).

Si en el futuro la entidad responsable del tratamiento se constituye fuera del Espacio Económico Europeo, Citanic designará un Representante en la Unión Europea conforme al art. 27 del RGPD y publicará sus datos en el Aviso Legal.

11. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas al riesgo: cifrado en tránsito (TLS 1.3), cifrado en reposo, control de acceso basado en roles y permisos granulares (RLS de Supabase), soft delete y registro de auditoría de cambios sobre datos sensibles, copias de seguridad y monitorización de incidentes.

12. Modificaciones

Podemos actualizar esta política para reflejar cambios normativos o en el servicio. Notificaremos los cambios significativos mediante correo electrónico o aviso destacado en la plataforma con al menos 30 días de antelación. El uso continuado de Citanic tras la entrada en vigor de los cambios implica su aceptación.

Citanic
PrivacidadTérminosCookiesAviso legal

© 2026 Citanic