Legal
Política de Privacidad
Tratamiento de datos personales en la plataforma Gophia.
Última actualización: junio 2026
1. Responsable del tratamiento
- Identidad: Rayco Díaz Suárez
- NIF/DNI: [DNI]
- Domicilio: [DIRECCIÓN], Santa Cruz de Tenerife, Canarias, España
- Correo de contacto: privacidad@gophia.es
2. Finalidades y legitimación del tratamiento
2.1 Datos de los Negocios (usuarios registrados en app.gophia.es)
Tratamos los siguientes datos con las finalidades indicadas:
- Nombre, correo electrónico y contraseña (hash): registro, autenticación y gestión de la cuenta. Base legal: ejecución del contrato.
- Datos de facturación y suscripción (gestionados por Stripe): cobro de suscripciones. Base legal: ejecución del contrato.
- Datos de uso y logs de actividad: mejora del servicio, soporte técnico y prevención de fraude. Base legal: interés legítimo.
- Correo electrónico para comunicaciones: envío de avisos de servicio, recordatorios y novedades. Base legal: interés legítimo / consentimiento para comunicaciones comerciales.
2.2 Datos de clientes finales (personas que reservan citas)
Gophia actúa como Encargado del Tratamiento respecto a los datos de los clientes finales de cada Negocio, siendo el Negocio el Responsable del Tratamiento. Los datos tratados son:
- Nombre y número de teléfono: gestión de la reserva, envío de confirmación y recordatorio por WhatsApp.
- Correo electrónico (opcional): comunicaciones adicionales del Negocio.
- Historial de citas y visitas: gestión del CRM del Negocio, campañas de fidelización.
- Preferencias de idioma (detectado por prefijo de teléfono): personalización de mensajes.
- Estado de verificación del número (phone_verified, verified_at): seguridad anti-fraude en reservas web.
El Negocio es responsable de informar a sus clientes finales sobre el tratamiento de sus datos y de obtener las bases legales necesarias.
2.3 Datos de sesión conversacional (WhatsApp)
Durante el proceso de reserva por WhatsApp, Gophia almacena temporalmente en la colección wa_sessions los datos del estado de la conversación (servicio elegido, fecha, hora, nombre). Estos datos se eliminan automáticamente al completarse la reserva o tras 30 minutos de inactividad.
2.4 No tratamiento de datos de salud ni de categorías especiales
Gophia no recoge ni trata datos de categoría especial (artículo 9 RGPD), incluidos datos de salud. Para cualquier sector —incluidos clínicas dentales o veterinarias— Gophia únicamente almacena datos de gestión de la cita: nombre y teléfono del cliente, nombre del servicio reservado (un metadato comercial, no un dato clínico), fecha y hora, y las notas internas que el Negocio decida añadir para su propia gestión.
Gophia no solicita ni almacena diagnósticos, historiales clínicos, síntomas ni tratamientos. Cualquier dato clínico o de salud que el Negocio necesite gestionar es responsabilidad exclusiva del Negocio y queda fuera de la plataforma Gophia.
3. Conservación de los datos
- Datos de cuenta del Negocio: durante la vigencia del contrato y 5 años adicionales por obligaciones legales.
- Datos de clientes finales (citas): según la configuración y política de cada Negocio. Gophia no los elimina de forma autónoma.
- Sesiones conversacionales (wa_sessions): se eliminan automáticamente a los 30 minutos de inactividad.
- Logs de mensajes WhatsApp (wa_messages): 12 meses.
- Jobs de mensajes (wa_jobs): 6 meses desde su ejecución.
4. Destinatarios y transferencias internacionales
Los datos pueden ser comunicados a los siguientes terceros en calidad de Encargados del Tratamiento:
- Google LLC (Firebase / Firestore): almacenamiento de base de datos. Transferencia a EE.UU. amparada en Cláusulas Contractuales Tipo de la UE.
- Stripe, Inc.: procesamiento de pagos. Transferencia a EE.UU. amparada en Cláusulas Contractuales Tipo de la UE.
- Meta Platforms, Inc. (WhatsApp Business API): envío y recepción de mensajes. Transferencia a EE.UU. amparada en Cláusulas Contractuales Tipo de la UE.
- Anthropic, PBC (Claude AI): clasificación de mensajes y respuestas FAQ. Los mensajes de WhatsApp pueden ser procesados por modelos de IA. Transferencia a EE.UU. amparada en Cláusulas Contractuales Tipo de la UE.
- Resend, Inc.: envío de correos electrónicos transaccionales. Transferencia a EE.UU. amparada en Cláusulas Contractuales Tipo de la UE.
- OVH SAS: alojamiento del servidor backend (VPS en la Unión Europea).
No se realizan cesiones de datos a terceros con fines comerciales propios.
5. Derechos de los interesados
Los usuarios pueden ejercer en cualquier momento los siguientes derechos:
- Acceso: conocer qué datos tratamos sobre usted.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión (derecho al olvido): solicitar la eliminación de sus datos cuando ya no sean necesarios.
- Oposición: oponerse al tratamiento basado en interés legítimo.
- Limitación: solicitar la suspensión del tratamiento en determinados supuestos.
- Portabilidad: recibir sus datos en formato estructurado.
Para ejercer estos derechos, diríjase a privacidad@gophia.es indicando su nombre, el derecho que desea ejercer y, en el caso de clientes finales, el nombre del Negocio con el que realizó la reserva.
Si considera que el tratamiento de sus datos infringe la normativa, puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
6. Seguridad
Gophia implementa medidas técnicas y organizativas adecuadas para proteger los datos personales, entre ellas:
- Cifrado en tránsito mediante TLS/HTTPS en todas las comunicaciones.
- Autenticación mediante Firebase Authentication con tokens JWT.
- Acceso a tokens de WhatsApp de los Negocios exclusivamente desde el backend, nunca expuestos al frontend.
- Endpoints internos protegidos mediante token de autenticación adicional (X-Internal-Token).
- Aislamiento multi-tenant: cada Negocio solo accede a sus propios datos.
- Verificación de firmas HMAC-SHA256 en webhooks de Meta para prevenir suplantación.
7. Menores de edad
Gophia no está dirigido a menores de 14 años. No recopilamos conscientemente datos de menores. Si detectamos que se han proporcionado datos de un menor, los eliminaremos de inmediato.
8. Modificaciones
Esta Política de Privacidad puede actualizarse para adaptarse a cambios legislativos o de servicio. Los Negocios registrados serán notificados por correo electrónico ante modificaciones sustanciales.