Última actualización: 9 de mayo de 2026

Política de Privacidad

En AgendaTuLook tratamos sus datos con responsabilidad y transparencia. Esta política explica qué datos recogemos, por qué, cómo los protegemos y cuáles son sus derechos.

🔒
Sin venta de datos
Nunca vendemos ni cedemos sus datos a terceros con fines comerciales.
💳
Pagos seguros
Los datos de pago los gestiona Stripe. No accedemos a ellos.
🤖
IA responsable
El Plan PRO IA usa IA de terceros con garantías de privacidad europeas.
⚖️
RGPD & LOPDGDD
Cumplimos la normativa europea y española de protección de datos.
1

Responsable del tratamiento

El responsable del tratamiento de los datos personales recabados a través de la Plataforma es:

AgendaTuLook
Domicilio: España
Correo electrónico: soporte@agendatulook.com
Para cualquier requerimiento de identificación del responsable del tratamiento (datos mercantiles, fiscales o de contacto adicionales), puede solicitarlos a través del correo electrónico indicado y serán facilitados conforme a los plazos legalmente establecidos.
2

Datos que recogemos y finalidad del tratamiento

Recogemos y tratamos los siguientes datos, con las bases jurídicas correspondientes según el art. 6 del RGPD:

2.1 Datos del titular del salón (usuario registrado)

Datos de registro: Nombre, correo electrónico, contraseña (almacenada con hash bcrypt irrompible, nunca en texto plano), nombre del negocio, teléfono de contacto.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD)
Datos de facturación: Gestionados íntegramente por Stripe, Inc. AgendaTuLook únicamente recibe confirmación del pago y los últimos 4 dígitos de la tarjeta. No almacenamos datos de pago completos.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD)
Datos del negocio: Configuración del salón, servicios, horarios, tarifas, imágenes y cualquier información introducida en la Plataforma para configurar la página web del negocio.
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD)
Datos de uso: Actividad en la Plataforma: citas gestionadas, estadísticas de negocio, logs de acceso (IP, hora, dispositivo) necesarios para la seguridad del servicio.
Base jurídica: Interés legítimo (art. 6.1.f RGPD) — seguridad y mejora del servicio
Comunicaciones: Correos electrónicos de notificación del servicio (confirmaciones de reserva, alertas de pago, actualizaciones del sistema).
Base jurídica: Ejecución del contrato (art. 6.1.b RGPD)
Autenticación 2FA: Si el usuario activa la autenticación de dos factores, almacenamos el secreto TOTP cifrado, sin acceso a los códigos generados.
Base jurídica: Ejecución del contrato — seguridad de la cuenta

2.2 Datos de clientes del salón (introducidos por el usuario)

El usuario (titular del salón) puede introducir en la Plataforma datos personales de sus propios clientes finales, típicamente: nombre, teléfono y/o correo electrónico, para la gestión de reservas y citas.

En este supuesto, el usuario actúa como responsable del tratamiento de dichos datos, y AgendaTuLook actúa como encargado del tratamiento en los términos del art. 28 del RGPD, procesando dichos datos única y exclusivamente para la prestación del Servicio contratado.

Responsabilidades del usuario (responsable del tratamiento):

  • Informar a sus clientes finales sobre el uso de sus datos personales en la gestión de reservas.
  • Obtener la base jurídica adecuada (consentimiento u otra) para el tratamiento de dichos datos.
  • Atender los derechos de acceso, rectificación, supresión y demás derechos de sus clientes finales.
  • Cumplir con la normativa de protección de datos aplicable en su actividad.

AgendaTuLook no utilizará los datos de los clientes finales del usuario para ningún fin distinto a la prestación del Servicio. No realizaremos comunicaciones directas con los clientes finales del usuario, salvo instrucción expresa de este (p.ej., confirmaciones de reserva automatizadas configuradas por el usuario).

2.3 Datos de visitantes de la web pública del salón

Las páginas públicas de los salones (/[slug]) no utilizan cookies de rastreo ni análisis. Los datos introducidos por los clientes finales al realizar una reserva (nombre, teléfono, email) se tratan conforme al apartado 2.2 anterior, siendo el titular del salón el responsable del tratamiento.

2.4 Plan PRO IA — tratamiento específico

El Plan PRO IA incluye la funcionalidad de gestión automatizada de conversaciones de WhatsApp mediante inteligencia artificial. El procesamiento de esta funcionalidad implica el uso de los siguientes servicios de terceros, además de los habituales:

  • Meta Platforms Ireland Ltd. (API de WhatsApp Business): los mensajes de WhatsApp se procesan a través de la infraestructura de Meta, sujeta a las políticas de privacidad de Meta y a los acuerdos de protección de datos entre AgendaTuLook y Meta. Transferencia internacional cubierta por cláusulas contractuales tipo (SCC) aprobadas por la CE.
  • Proveedor de IA (modelo de lenguaje): el contenido de las conversaciones (sin datos identificativos adicionales) puede ser procesado por el modelo de lenguaje para generar respuestas automáticas. El proveedor actúa como subencargado del tratamiento con las garantías adecuadas del RGPD.

Los mensajes procesados se utilizan exclusivamente para generar respuestas en el contexto de la reserva o consulta del cliente. No se utilizan para entrenar modelos de IA propios ni de terceros, ni se comparten con terceros para fines distintos a la prestación del servicio.

El usuario es el responsable del tratamiento de los datos de sus clientes procesados a través del Plan PRO IA, y debe informar a sus clientes de la existencia de respuestas automatizadas por IA en su política de privacidad o aviso legal propio.

3

Proveedores de servicios (encargados del tratamiento)

AgendaTuLook utiliza los siguientes proveedores de servicios que pueden acceder a datos personales en calidad de encargados del tratamiento, todos con las garantías adecuadas del RGPD:

Supabase, Inc.Ver política →

Base de datos y almacenamiento en la nube (PostgreSQL + Storage). Infraestructura alojada en la UE (AWS eu-west-1). Datos nunca fuera del EEE para el almacenamiento principal.

Stripe, Inc.Ver política →

Procesamiento de pagos y suscripciones. Sede en EE. UU., sujeto a cláusulas contractuales tipo aprobadas por la CE. No almacenamos datos de tarjeta.

Resend / Nodemailer (SMTP)Ver política →

Envío de correos electrónicos transaccionales (confirmaciones, alertas, facturas). Los correos contienen datos mínimos necesarios.

Meta Platforms Ireland Ltd.Ver política →

API de WhatsApp Business (solo Plan PRO IA). Procesamiento de mensajes para respuestas automatizadas. Sujeto a acuerdos de protección de datos de Meta.

AgendaTuLook no vende, alquila ni comparte datos personales con terceros para fines de marketing, publicidad o análisis externo. Los datos solo se comparten con los encargados del tratamiento listados anteriormente y, cuando sea obligatorio por ley, con las autoridades competentes.

4

Conservación de los datos

Conservamos los datos personales durante los siguientes plazos:

  • Datos de la cuenta activa: durante toda la vigencia de la relación contractual.
  • Tras la cancelación de la cuenta: los datos se mantienen en modo seguro durante 30 días para posibilitar la reactivación. Transcurrido este plazo, se eliminan o anonimiza de forma irreversible, salvo obligación legal de conservación mayor.
  • Datos de facturación y transacciones: se conservan durante 5 años conforme a la Ley 58/2003 General Tributaria y la Ley 37/1992 del IVA.
  • Logs de seguridad (acceso, IP): máximo 12 meses, salvo requerimiento de autoridad competente.
  • Datos de clientes del salón (introducidos por el usuario): se eliminarán a petición del usuario titular o en el plazo de 30 días tras la cancelación de su cuenta, salvo que el usuario haya exportado sus datos previamente.
  • Copias de seguridad automáticas: el sistema mantiene hasta 7 copias de seguridad diarias de los datos del negocio, que se eliminan de forma rotativa pasados 7 días.
5

Transferencias internacionales de datos

La mayor parte del tratamiento se realiza dentro del Espacio Económico Europeo (EEE). En los casos en que datos personales sean transferidos fuera del EEE (p.ej., a través de Stripe con sede en EE. UU. o Meta), AgendaTuLook garantiza que dichas transferencias se realizan con las garantías adecuadas previstas en el Capítulo V del RGPD, principalmente mediante:

  • Cláusulas Contractuales Tipo (SCC) adoptadas por la Comisión Europea.
  • Adhesión del proveedor al Marco de Privacidad de Datos UE-EE. UU. (cuando proceda).
6

Derechos de los interesados

Conforme al RGPD y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), tiene los siguientes derechos:

Acceso
Conocer qué datos personales tratamos sobre usted y obtener una copia.
Rectificación
Corregir datos inexactos, incompletos o desactualizados.
Supresión
Solicitar la eliminación de sus datos cuando no sean necesarios (« derecho al olvido »).
Oposición
Oponerse al tratamiento basado en interés legítimo o marketing directo.
Portabilidad
Recibir sus datos en formato estructurado, legible por máquina y reutilizable.
Limitación
Solicitar la restricción temporal del tratamiento en determinadas circunstancias.
No decisión automatizada
No ser objeto de decisiones basadas exclusivamente en tratamiento automatizado que le produzcan efectos jurídicos.
Retirada del consentimiento
Retirar en cualquier momento el consentimiento prestado, sin que ello afecte a la licitud del tratamiento anterior.

Para ejercer cualquiera de estos derechos, envíe un correo a soporte@agendatulook.com indicando el derecho que desea ejercer, su nombre completo y, si es necesario para verificar su identidad, una copia de su DNI u otro documento identificativo equivalente. Responderemos en el plazo máximo de un mes (prorrogable a tres meses en casos complejos).

Si considera que el tratamiento de sus datos infringe el RGPD o la normativa aplicable y no ha obtenido respuesta satisfactoria, tiene derecho a presentar una reclamación ante la autoridad de control competente: Agencia Española de Protección de Datos (AEPD) — www.aepd.es.

7

Medidas de seguridad

AgendaTuLook aplica medidas técnicas y organizativas adecuadas para proteger los datos personales frente al acceso no autorizado, la alteración, la pérdida o la destrucción accidental, de conformidad con el art. 32 del RGPD. Entre las medidas implementadas:

  • Cifrado de contraseñas: las contraseñas de los usuarios se almacenan exclusivamente con hash bcrypt (nunca en texto plano ni reversible).
  • Comunicaciones cifradas: todas las comunicaciones entre el usuario y la Plataforma se realizan mediante TLS/HTTPS.
  • Autenticación de doble factor (2FA): disponible para cuentas de administrador mediante TOTP.
  • Control de acceso por roles: cada usuario solo accede a los datos de su propio negocio; la arquitectura impide el acceso entre salones.
  • Copias de seguridad cifradas: backups automáticos diarios con retención de 7 días.
  • Monitorización y logs de seguridad: registros de acceso y actividad sospechosa.
  • Sanitización de inputs: todos los datos de entrada son validados y sanitizados para prevenir inyecciones SQL, XSS y otras vulnerabilidades.
  • Rate limiting: protección contra ataques de fuerza bruta en endpoints críticos.

No obstante, ningún sistema de seguridad es absolutamente infalible. En caso de brecha de seguridad que afecte a sus datos personales y que pueda suponer un riesgo para sus derechos, le notificaremos sin dilación indebida conforme al art. 34 del RGPD, y notificaremos a la AEPD en los plazos legalmente establecidos.

8

Cookies y tecnologías similares

AgendaTuLook utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento del servicio (sesión de usuario autenticado). No utilizamos cookies de análisis, publicidad, rastreo ni perfilado de terceros. Puede consultar nuestra Política de Cookies para información detallada.

9

Menores de edad

El Servicio está dirigido exclusivamente a profesionales y empresas del sector de la belleza y la estética mayores de 18 años. AgendaTuLook no recoge ni trata intencionadamente datos personales de menores de 14 años. Si tuviéramos conocimiento de que se han facilitado datos de un menor sin el consentimiento parental pertinente, procederemos a su eliminación inmediata.

10

Limitación de responsabilidad en materia de privacidad

AgendaTuLook adopta las medidas de seguridad razonables descritas en esta política. Sin embargo, el Proveedor no será responsable de:

  • Las brechas de seguridad derivadas de vulnerabilidades no conocidas o ataques sofisticados que superen las medidas de seguridad razonables implementadas.
  • El tratamiento de datos de clientes finales realizado por el usuario en incumplimiento de la normativa de protección de datos, siendo dicho usuario el único responsable del tratamiento frente a sus clientes.
  • El uso de datos por parte de los proveedores de servicios terceros (Stripe, Meta, etc.) más allá de lo estipulado en sus propias políticas de privacidad y en los contratos suscritos con AgendaTuLook.
  • La pérdida de datos causada por negligencia del usuario (p.ej., pérdida de credenciales, acceso de terceros autorizado por el usuario).
11

Cambios en esta Política

AgendaTuLook puede actualizar esta Política de Privacidad para reflejar cambios en el tratamiento de datos, en los servicios prestados o en la normativa aplicable. Le notificaremos cualquier cambio relevante por correo electrónico o mediante aviso destacado en la Plataforma. La fecha de la última actualización figura siempre al inicio de este documento.

La versión siempre vigente de esta Política está disponible en agendatulook.com/politica-de-privacidad.

12

Contacto

Para cualquier consulta, solicitud de ejercicio de derechos o reclamación en materia de privacidad, puede contactarnos en:

AgendaTuLook — Privacidad y Protección de Datos
soporte@agendatulook.com

Responderemos en el plazo máximo de 30 días (plazo legal). Habitualmente contestamos en menos de 48 horas hábiles.