Política de Privacidad
Última actualización: mayo de 2026
1. Responsable del Tratamiento
Belle ("nosotros", "nuestra empresa") opera la plataforma hellobelle.app. Para cualquier consulta sobre esta política o sobre sus datos personales, puede contactarnos en [email protected].
2. Datos que Recogemos
Personal del estudio (titulares de cuenta)
- Nombre, dirección de correo electrónico, contraseña (cifrada con Argon2id)
- Preferencia de idioma
- Membresía y rol en cada estudio
Clientes (que reservan a través de un estudio)
- Nombre (obligatorio)
- Número de teléfono (obligatorio, almacenado en formato E.164)
- Dirección de correo electrónico (opcional)
- Fecha de nacimiento (opcional, utilizada únicamente para felicitaciones de cumpleaños)
Aplicamos el principio de minimización de datos: solo recogemos lo estrictamente necesario para la gestión de citas y la comunicación.
3. Finalidades y Base Jurídica
| Finalidad | Datos | Base Jurídica |
|---|---|---|
| Reserva de citas | Nombre, teléfono, email | Consentimiento (Art. 6.1.a) para reservas públicas; Interés legítimo (Art. 6.1.f) para registros creados por el personal |
| Recordatorios de cita | Teléfono, email | Ejecución del contrato (Art. 6.1.b) |
| Autenticación de cuenta | Email, hash de contraseña | Ejecución del contrato (Art. 6.1.b) |
| Facturación y suscripción | Email, nombre del estudio | Ejecución del contrato (Art. 6.1.b) |
| Mejora del servicio | Datos de uso anonimizados | Interés legítimo (Art. 6.1.f) |
4. Destinatarios y Encargados del Tratamiento
Compartimos datos personales únicamente con los siguientes proveedores de servicios, al amparo de Acuerdos de Encargo de Tratamiento:
| Proveedor | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Railway | Alojamiento, base de datos, Redis | UE | Alojamiento en la UE |
| Cloudflare | CDN, DNS, almacenamiento de objetos | Global | Cláusulas Contractuales Tipo |
| Resend | Correo electrónico transaccional | EE. UU. | Cláusulas Contractuales Tipo |
| Twilio | SMS y WhatsApp | EE. UU. | Cláusulas Contractuales Tipo |
5. Transferencias Internacionales
Sus datos se alojan principalmente en la UE (Railway). Cuando los datos son tratados por encargados del tratamiento con sede en EE. UU. (Resend, Twilio), nos basamos en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea para garantizar un nivel de protección adecuado.
6. Plazos de Conservación
| Datos | Conservación |
|---|---|
| Datos de clientes | Hasta que el titular del estudio los elimine, o hasta la eliminación del estudio |
| Registros de citas | Hasta la eliminación del estudio (pueden anonimizarse a solicitud de supresión del cliente) |
| Registros de notificaciones | 12 meses |
| Registros de auditoría | 24 meses |
| Citas eliminadas provisionalmente | 90 días hasta su eliminación definitiva |
| Datos del estudio tras solicitud de eliminación | Periodo de gracia de 30 días, seguido de eliminación definitiva |
7. Sus Derechos
En virtud del RGPD, usted tiene los siguientes derechos:
- Acceso (Art. 15): Solicitar una copia de todos los datos personales que conservamos sobre usted.
- Rectificación (Art. 16): Corregir datos inexactos.
- Supresión (Art. 17): Solicitar la eliminación de sus datos. Cuando los registros de citas deban conservarse por obligación legal, procederemos a su anonimización.
- Limitación (Art. 18): Restringir el tratamiento en determinadas circunstancias.
- Portabilidad (Art. 20): Recibir sus datos en un formato estructurado y de lectura automática (JSON).
- Oposición (Art. 21): Oponerse al tratamiento basado en el interés legítimo.
- Retirada del consentimiento (Art. 7.3): Retirar su consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento anterior.
Para ejercer cualquier derecho, contacte con [email protected]. Respondemos en un plazo de 30 días (Art. 12).
Los titulares de estudios pueden exportar los datos de clientes y del estudio directamente desde el panel de Belle.
8. Cookies
Belle utiliza únicamente cookies estrictamente necesarias:
| Cookie | Finalidad | Tipo | Duración |
|---|---|---|---|
| belle_refresh | Sesión de autenticación (token de actualización) | Estrictamente necesaria | Sesión |
No utilizamos cookies de análisis, publicidad ni rastreo. No se requiere un aviso de consentimiento de cookies para las cookies estrictamente necesarias conforme a la Directiva e-Privacy (Art. 5.3).
9. Seguridad
Implementamos medidas técnicas y organizativas conforme al Art. 32 del RGPD:
- Cifrado de contraseñas con Argon2id (64 MB de memoria, 3 iteraciones)
- TLS 1.3 en todas las conexiones
- Seguridad a nivel de fila (row-level security) para aislar los datos de cada estudio en la base de datos
- Autenticación JWT con tokens de acceso de corta duración (15 min) y tokens de actualización rotativos
- Limitación de solicitudes (rate limiting) y cabeceras estrictas de Content Security Policy
10. Decisiones Automatizadas
Belle no utiliza la toma de decisiones automatizada ni la elaboración de perfiles en el sentido del Art. 22 del RGPD.
11. Reclamación
Tiene derecho a presentar una reclamación ante la autoridad de control competente. En España: AEPD (Agencia Española de Protección de Datos) en aepd.es.
12. Modificaciones
Esta política puede ser actualizada. Los cambios sustanciales se comunicarán por correo electrónico a los titulares de cuenta.