Política de Privacidad

Última actualización: 21 de junio de 2026

En Smart Citaly nos comprometemos a proteger tu privacidad y la de los datos que gestionas a través de nuestra plataforma. Esta Política de Privacidad («Política») describe qué información recopilamos, cómo la usamos, con quién la compartimos, durante cuánto tiempo la conservamos y cuáles son tus derechos. Aplica tanto a los Usuarios de la Plataforma (profesionales y negocios) como a los clientes finales cuyos datos son gestionados dentro del Servicio.

Esta Política se rige por la Ley 172-13 sobre Protección de Datos Personales de la República Dominicana y, en lo que aplique, por el Reglamento General de Protección de Datos (RGPD/GDPR) de la Unión Europea para usuarios ubicados en el Espacio Económico Europeo.

1. Responsable del tratamiento

El responsable del tratamiento de datos de la Plataforma es Kernel Graphics, operador de Smart Citaly, con domicilio en República Dominicana.

Para cualquier asunto relacionado con privacidad o datos personales, puedes contactarnos en: privacidad@citaly.do.

Nota sobre roles de tratamiento: cuando un Negocio usa Smart Citaly para gestionar los datos de sus propios clientes, ese Negocio actúa como Responsable del Tratamiento de dichos datos, y Smart Citaly actúa como Encargado del Tratamiento, procesándolos únicamente según las instrucciones del Negocio y para la prestación del Servicio. Si eres un cliente final de un negocio que usa la Plataforma, debes dirigirte a ese negocio para ejercer tus derechos; nosotros facilitaremos la gestión.

2. Datos que recopilamos

2.1 Datos que nos proporcionas directamente

• Registro de cuenta: nombre completo, dirección de correo electrónico, contraseña (almacenada con hash bcrypt), nombre del negocio y subdominio.
• Perfil de negocio: logotipo, descripción, configuraciones de la cuenta, plan contratado y método de pago (referencia PayPal; los datos completos de pago los gestiona PayPal).
• Datos CRM: información de clientes, casos, notas, estados, prioridades, fechas, asignaciones y propiedades personalizadas que introduces en la Plataforma.
• Documentos: archivos que subes o que tus clientes suben a través del portal de seguimiento.
• Comunicaciones: mensajes enviados a soporte técnico o cualquier correspondencia directa con nosotros.

2.2 Datos generados automáticamente

• Registros de acceso: dirección IP, tipo de navegador, sistema operativo, páginas visitadas, timestamps de acceso y errores del sistema.
• Registros de auditoría: acciones realizadas dentro de la Plataforma (creación, edición, eliminación de registros), con identificación del usuario que las ejecuta.
• Datos de sesión: tokens de autenticación (JWT) almacenados en memoria del navegador para mantener la sesión activa.
• Datos de uso: funciones utilizadas, frecuencia de uso y métricas de rendimiento técnico (sin identificación personal en los análisis agregados).

2.3 Datos de terceros

• Google OAuth: si eliges iniciar sesión con Google, recibimos tu nombre, email e imagen de perfil de Google. No recibimos tu contraseña de Google.
• PayPal: cuando realizas un pago, PayPal nos notifica el estado de la transacción y el identificador del suscriptor; no almacenamos datos de tarjeta ni cuentas bancarias.

3. Finalidades del tratamiento

• Prestación del Servicio: crear y gestionar tu cuenta, operar todas las funciones de la Plataforma, procesar pagos y renovaciones. Base legal: ejecución del contrato.
• Seguridad y prevención de fraude: detectar accesos no autorizados, actividad maliciosa o abusos del sistema. Base legal: interés legítimo.
• Soporte técnico: responder consultas, diagnosticar problemas y mejorar la experiencia de uso. Base legal: ejecución del contrato / interés legítimo.
• Comunicaciones transaccionales: envío de emails de verificación, notificaciones de pago, alertas de seguridad y avisos importantes del Servicio. Base legal: ejecución del contrato.
• Notificaciones de estado de casos: envío de emails y mensajes de WhatsApp a los clientes del Negocio cuando este activa dicha función. Base legal: instrucción del Responsable (el Negocio).
• Cumplimiento legal: atender requerimientos de autoridades competentes o conservar registros conforme a la legislación aplicable. Base legal: obligación legal.
• Mejora del producto: analizar patrones de uso de forma agregada y anonimizada para mejorar funciones. Base legal: interés legítimo. No usamos datos identificables para este fin.

4. Conservación de datos

• Datos de cuenta activa: conservados durante toda la vigencia de la cuenta.
• Tokens de sesión: los tokens de acceso expiran en 15 minutos; los de refresco, en 7 días. Los tokens revocados se eliminan automáticamente cada noche.
• Notificaciones leídas: eliminadas automáticamente a los 30 días de su lectura. Las no leídas, a los 90 días.
• Tras cancelación de cuenta: acceso en modo lectura por 30 días para exportación de datos; eliminación segura posterior.
• Registros de auditoría y facturación: conservados hasta 5 años por obligación legal y para defensa ante reclamaciones.
• Backups: las copias de seguridad de la base de datos se mantienen durante 30 días adicionales tras la eliminación de datos.

5. Encargados y proveedores de servicios

Compartimos datos únicamente con proveedores necesarios para operar el Servicio, bajo acuerdos de confidencialidad y, cuando aplica, acuerdos de tratamiento de datos (DPA):

• Hostinger (VPS): infraestructura de servidores donde se aloja la aplicación y la base de datos. Los datos se almacenan en servidores físicos ubicados en la región configurada. hostinger.com
• Cloudflare: protección DNS, CDN y (si está activado) almacenamiento de documentos en Cloudflare R2. Los datos en R2 se almacenan en la región Este de Norteamérica por defecto. cloudflare.com
• PayPal: procesamiento de pagos y gestión de suscripciones recurrentes. Smart Citaly no almacena datos de tarjeta ni cuentas bancarias. paypal.com
• Meta (WhatsApp Business API): envío de mensajes de notificación a clientes del Negocio cuando esta función está habilitada. El Negocio es responsable de contar con el consentimiento de los destinatarios. business.whatsapp.com
• Google (OAuth): autenticación opcional mediante cuenta Google. No almacenamos contenido de Google Drive ni calendarios de Google sin autorización explícita del Usuario. google.com
• Proveedor SMTP (Hostinger Mail): envío de correos transaccionales desde la dirección noreply@citaly.do.

No vendemos, alquilamos ni cedemos datos personales a terceros con fines publicitarios o comerciales propios.

6. Transferencias internacionales

Algunos de nuestros proveedores pueden procesar datos fuera de República Dominicana. En esos casos, garantizamos que cuentan con mecanismos de protección adecuados (Cláusulas Contractuales Tipo, Privacy Shield sucesor, o estándar equivalente) conforme al artículo 22 de la Ley 172-13 y, cuando aplique, el artículo 46 del RGPD.

7. Seguridad de los datos

Aplicamos medidas técnicas y organizativas proporcionales al riesgo, entre las que se incluyen:

• Contraseñas almacenadas con bcrypt (hash con salt). Nunca almacenamos contraseñas en texto plano.
• Comunicaciones cifradas en tránsito mediante TLS 1.2/1.3 (HTTPS) en todos los puntos de acceso.
• Aislamiento estricto de datos entre Negocios mediante arquitectura multi-tenant con validación de tenant en cada operación.
• Control de acceso por roles granulares (Propietario, Administrador, Staff, Visor).
• Autenticación en dos factores (2FA) disponible con TOTP.
• Registro de auditoría completo de acciones sensibles, con identificación de usuario.
• URLs de descarga de documentos con firma HMAC y caducidad configurable (15 minutos por defecto).
• Tokens JWT de corta duración (15 minutos) con refresco controlado (7 días).
• Gestión centralizada de secretos mediante variables de entorno protegidas; sin credenciales en el código fuente.

A pesar de estas medidas, ningún sistema es 100% infalible. En caso de brecha de seguridad que afecte a datos personales, notificaremos a los afectados y a las autoridades competentes en el plazo establecido por la legislación aplicable.

8. Tus derechos

De acuerdo con la Ley 172-13 y el RGPD (donde aplique), tienes derecho a:

• Acceso: solicitar una copia de los datos personales que tenemos sobre ti.
• Rectificación: corregir datos inexactos o incompletos.
• Supresión («derecho al olvido»): solicitar la eliminación de tus datos cuando ya no sean necesarios, siempre que no exista obligación legal de conservarlos.
• Portabilidad: recibir tus datos en formato estructurado y de uso común (CSV / JSON) para transferirlos a otro proveedor.
• Oposición y limitación: oponerte al tratamiento basado en interés legítimo o solicitar su limitación mientras se resuelve una reclamación.
• Retirada del consentimiento: si el tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo.

Para ejercer cualquiera de estos derechos, escríbenos a privacidad@citaly.do indicando tu nombre, email de cuenta y la solicitud concreta. Responderemos en un plazo máximo de 30 días. Si los datos los gestiona un Negocio que usa la Plataforma, dirígete a ese Negocio como Responsable; nosotros les asistiremos para atender tu solicitud.

Tienes derecho a presentar una reclamación ante la Dirección General de Ética e Integridad Gubernamental (DIGEIG) o la autoridad de protección de datos competente en tu jurisdicción si consideras que el tratamiento de tus datos vulnera la normativa aplicable.

9. Privacidad de menores

Smart Citaly no está dirigido a menores de 18 años. No recopilamos intencionadamente datos personales de menores sin el consentimiento verificable de sus tutores legales. Si detectamos que hemos recopilado datos de un menor sin dicho consentimiento, los eliminaremos de inmediato.

Si el Negocio gestiona datos de menores en el contexto de su actividad profesional (por ejemplo, un bufete familiar), es responsabilidad del Negocio contar con la base legal adecuada para dicho tratamiento.

10. Cookies y almacenamiento local

La Plataforma utiliza únicamente mecanismos de almacenamiento estrictamente necesarios para su funcionamiento:

• localStorage / sessionStorage: para almacenar tokens de sesión JWT y preferencias de la interfaz (tema, columnas visibles).
• Cookies de sesión (si aplica): para mantener el estado de autenticación entre páginas.

No utilizamos cookies publicitarias, de rastreo de terceros ni píxeles de seguimiento. No compartimos datos de navegación con redes publicitarias.

11. Notificaciones por WhatsApp

Cuando un Negocio activa las notificaciones por WhatsApp, los mensajes se envían a los números de teléfono de los clientes a través de la API de WhatsApp Business de Meta. Smart Citaly actúa como intermediario técnico. El Negocio, como Responsable del Tratamiento, garantiza que:

• Cuenta con el consentimiento informado de los destinatarios para recibir mensajes de WhatsApp.
• Los números han sido proporcionados voluntariamente por sus titulares.
• El contenido de los mensajes cumple con las políticas de WhatsApp Business y la normativa de comunicaciones comerciales aplicable.

12. Cambios a esta Política

Podemos actualizar esta Política periódicamente para reflejar cambios en nuestras prácticas, en el Servicio o en la legislación aplicable. Publicaremos la versión actualizada con su fecha de modificación. Si los cambios son materiales, te notificaremos por email con al menos 15 días de antelación. El uso continuado del Servicio tras la entrada en vigor implica la aceptación de la nueva versión.

13. Contacto

Para cualquier consulta, solicitud de derechos o reclamación relacionada con privacidad:

• Email: privacidad@citaly.do
• Soporte general: soporte@citaly.do
• Web: smart.citaly.do

Puedes consultar los Términos y Condiciones completos en app.smart.citaly.do/terminos.