Atrás

Política de Privacidad

Última actualización: 14 de abril de 2026

1. Responsable del tratamiento

El responsable del tratamiento de sus datos personales es Ferran Muntada Plana (NIF 46977498K), autónomo con domicilio fiscal en C/ Pujades 152, 4º 3ª, 08005 Barcelona, España, operando bajo el nombre comercial Gopexa (en adelante, "Gopexa", "nosotros" o el "Responsable").

Contacto para cuestiones de privacidad: privacy@gopexa.com.

2. Ámbito

Esta política se aplica al sitio web gopexa.com, a su dashboard de administración, a la página pública de reservas de cada cliente (gopexa.com/s/[slug]), al widget embebido y al bot de WhatsApp operado por Gopexa en nombre de sus clientes.

Gopexa presta un servicio SaaS multi-tenant a negocios basados en citas (peluquerías, clínicas dentales, fisioterapia, veterinarios, psicología, estética y similares). En ese contexto distinguimos dos roles:

  • Responsable respecto a los datos de las cuentas de los negocios que contratan Gopexa.
  • Encargado del tratamiento respecto a los datos de los clientes finales de dichos negocios (quienes reservan citas vía WhatsApp, página web o widget). El negocio contratante es el Responsable de esos datos.

3. Datos que tratamos

3.1. Datos de las cuentas de negocio

  • Datos identificativos: nombre, apellidos, email, teléfono.
  • Datos del negocio: nombre comercial, tipo de negocio, dirección, horarios, servicios y precios.
  • Datos de facturación: razón social, NIF/CIF, dirección fiscal. Los datos de tarjeta los gestiona Stripe; nosotros no los almacenamos.
  • Datos técnicos: IP, user-agent, logs de acceso al dashboard.

3.2. Datos de clientes finales (recogidos en nombre del negocio contratante)

  • Número de teléfono de WhatsApp.
  • Nombre (cuando lo facilita el usuario).
  • Contenido de los mensajes intercambiados con el bot.
  • Historial de reservas, cancelaciones, asistencias y no-shows.
  • Preferencias (servicio, profesional, franja horaria).

3.3. Datos derivados del uso del bot con IA

Las conversaciones de WhatsApp se procesan con el modelo OpenAI GPT-4o exclusivamente para comprender la intención del usuario y generar respuestas. OpenAI trata estos datos como encargado y, conforme a sus condiciones para la API empresarial, no los usa para entrenar sus modelos.

4. Finalidades

  • Prestar el servicio de reservas automáticas por WhatsApp, página pública y widget.
  • Gestionar la suscripción y facturación del negocio contratante.
  • Enviar recordatorios de cita y confirmaciones a los clientes finales por WhatsApp.
  • Enviar notificaciones push y emails operativos al administrador del negocio.
  • Atender solicitudes de soporte y comunicaciones relacionadas con el servicio.
  • Cumplir obligaciones legales, contables y fiscales.
  • Prevención del fraude y seguridad (rate-limiting, logs).

5. Base legal

  • Ejecución del contrato (art. 6.1.b RGPD): prestación del servicio contratado por el negocio.
  • Consentimiento (art. 6.1.a RGPD): cuando el cliente final inicia una conversación por WhatsApp con el número del negocio, consiente el tratamiento necesario para gestionar su reserva.
  • Obligación legal (art. 6.1.c RGPD): obligaciones fiscales y de facturación.
  • Interés legítimo (art. 6.1.f RGPD): seguridad del servicio y prevención del fraude.

6. Destinatarios y encargados del tratamiento

Compartimos datos únicamente con los siguientes proveedores, todos ellos sujetos a acuerdos de encargo del tratamiento:

  • Meta Platforms Ireland Ltd. — WhatsApp Business Cloud API (mensajería).
  • OpenAI Ireland Ltd. — procesamiento de lenguaje natural (bot conversacional).
  • Supabase Inc. — base de datos PostgreSQL, autenticación y almacenamiento (región EU).
  • Stripe Payments Europe Ltd. — procesamiento de pagos.
  • Resend Inc. — envío de emails transaccionales.
  • Vercel Inc. — hosting del frontend.
  • Railway Corp. — hosting del backend.
  • Google Ireland Ltd. — integración opcional con Google Calendar cuando el negocio la activa.

No vendemos ni cedemos sus datos a terceros con fines comerciales.

7. Transferencias internacionales

Los datos se almacenan preferentemente en servidores de la Unión Europea. Algunos proveedores (OpenAI, Stripe, Meta, Vercel, Railway) pueden tratar datos en Estados Unidos. Estas transferencias se amparan en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y, cuando aplica, en el EU-US Data Privacy Framework.

8. Plazos de conservación

  • Datos de la cuenta de negocio: mientras la cuenta esté activa y hasta 6 años tras su cancelación por obligaciones contables y fiscales.
  • Mensajes de WhatsApp e historial de reservas: durante la vigencia del contrato con el negocio contratante.
  • Datos de facturación: 6 años (Ley 58/2003 General Tributaria).
  • Logs técnicos y de acceso: 12 meses.

Tras estos plazos los datos se eliminan o se anonimizan de forma irreversible.

9. Derechos del usuario

Puede ejercer los siguientes derechos conforme al RGPD y la LOPDGDD:

  • Acceso, rectificación, supresión y portabilidad.
  • Limitación y oposición al tratamiento.
  • No ser objeto de decisiones automatizadas con efectos jurídicos.
  • Retirar el consentimiento en cualquier momento (sin efecto retroactivo).
  • Presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Para ejercer cualquier derecho escriba a privacy@gopexa.com indicando el derecho que desea ejercer. Si su dato es tratado por Gopexa en nombre de un negocio cliente (por ejemplo, usted reservó cita en una peluquería que usa Gopexa), trasladaremos la solicitud al Responsable correspondiente o le indicaremos cómo contactarlo.

10. Eliminación de datos

Puede solicitar la eliminación de sus datos siguiendo las instrucciones de la página Instrucciones de eliminación de datos.

11. Seguridad

Aplicamos medidas técnicas y organizativas razonables: cifrado TLS en tránsito, cifrado AES-256-GCM de los tokens sensibles en reposo, control de acceso basado en roles, aislamiento multi-tenant, logs de auditoría, backups cifrados y pruebas periódicas.

12. Cookies

Utilizamos cookies técnicas estrictamente necesarias para mantener la sesión y preferencias de idioma. No utilizamos cookies publicitarias ni de perfilado de terceros. Puede configurar su navegador para rechazarlas.

13. Menores

Gopexa no está dirigido a menores de 14 años. No recogemos datos conscientemente de menores de esa edad. Si detecta que un menor nos ha facilitado datos, contacte con nosotros para su eliminación inmediata.

14. Cambios en esta política

Podemos actualizar esta política. Publicaremos la versión vigente en esta misma URL con su fecha de actualización. Cambios sustanciales se notificarán por email a las cuentas activas.