Política de privacidad

Responsable del tratamiento

De conformidad con el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos de que los datos personales recogidos a través de este sitio web serán tratados por:

• Responsable: Álvaro Garray
• NIF: 47980663H
• Domicilio: Av. Valencia, 32 — Lleida
• Email de contacto: info@ilernetwork.com
• Sitio web: https://gestetica.com
• Contacto de privacidad: Para cualquier consulta sobre protección de datos, puede dirigirse a info@ilernetwork.com

No se ha designado un Delegado de Protección de Datos (DPO) al no concurrir las circunstancias previstas en el artículo 37 del RGPD ni en el artículo 34 de la LOPDGDD que hagan obligatoria su designación.

Finalidades del tratamiento

Sus datos personales serán tratados con las siguientes finalidades y bases legales:

Registro y gestión de cuenta

Finalidad	Crear y gestionar su cuenta de usuario en GEstética, permitiendo el acceso a los servicios de la plataforma.
Base legal	Ejecución de un contrato de prestación de servicios (art. 6.1.b RGPD).
Datos recogidos	Nombre del negocio, email, contraseña (almacenada con hash bcrypt).
Plazo de conservación	Mientras la cuenta permanezca activa. Tras la baja, los datos se conservarán bloqueados durante los plazos legales de prescripción.

Gestión de citas, clientes y facturación

Finalidad	Gestionar el calendario de citas, fichas de clientes y facturación del centro de estética del usuario.
Base legal	Ejecución del contrato de servicio (art. 6.1.b RGPD).
Datos recogidos	Datos del negocio (servicios, precios, profesionales), datos de clientes del usuario (nombre, email, teléfono, historial de visitas, preferencias), datos de facturación (importes, IVA). Opcionalmente, datos de salud (alergias) que constituyen categorías especiales de datos (art. 9 RGPD), tratados con base en el consentimiento explícito del interesado y necesarios para la prestación segura de servicios de estética.
Plazo de conservación	Mientras dure la relación contractual. Los datos de facturación se conservarán 5 años conforme a la normativa fiscal española.

Procesamiento mediante inteligencia artificial

Finalidad	Procesar las consultas del usuario y ofrecer asistencia inteligente (resúmenes del día, análisis de clientes, sugerencias de agenda) utilizando modelos de inteligencia artificial de Anthropic.
Base legal	Ejecución del contrato (art. 6.1.b RGPD). El procesamiento mediante IA es parte del servicio contratado en el plan Avanzado.
Datos procesados	Datos del negocio (servicios, citas, clientes) necesarios para generar los análisis solicitados. Estos datos se envían a la API de Anthropic exclusivamente para la generación de la respuesta.
Garantías	Anthropic actúa como encargado del tratamiento. Conforme a su política, los datos enviados a través de la API no se utilizan para entrenar modelos ni se conservan más allá de 30 días para monitorización de abusos.

Envío de recordatorios y comunicaciones por email

Finalidad	Enviar recordatorios de citas, confirmaciones de reserva y facturas a las clientes del usuario por correo electrónico de forma automática o cuando el usuario lo solicite.
Base legal	Ejecución del contrato (art. 6.1.b RGPD) e interés legítimo en la prestación del servicio (art. 6.1.f RGPD).
Datos procesados	Email de la clienta destinataria, nombre, datos de la cita o factura.
Plazo de conservación	Mientras dure la relación contractual con el usuario. Los registros de envío se conservan 12 meses para gestión de incidencias.

Solicitud de contratación de plan

Finalidad	Gestionar las solicitudes de contratación de planes de pago recibidas a través de los formularios de contratación.
Base legal	Medidas precontractuales a solicitud del interesado (art. 6.1.b RGPD).
Datos recogidos	Nombre, email, teléfono (opcional), plan seleccionado, mensaje.
Plazo de conservación	Hasta la finalización de la gestión precontractual. Si no se formaliza el contrato, los datos se eliminarán en un plazo máximo de 12 meses.

Destinatarios de los datos

Los datos personales no serán cedidos a terceros, salvo obligación legal. No obstante, para la correcta prestación de los servicios, sus datos podrán ser comunicados a los siguientes encargados del tratamiento:

• Proveedor de hosting: Hostinger International Ltd. — para el alojamiento del sitio web y bases de datos. Servidores ubicados en la UE (Países Bajos / Lituania).
• Proveedor de inteligencia artificial: Anthropic PBC — para el procesamiento de las consultas del usuario y la generación de análisis y asistencia inteligente. Los datos se envían a la API de forma cifrada y no se retienen para entrenamiento de modelos.
• Proveedor de email transaccional: Resend, Inc. — para el envío de recordatorios de citas, confirmaciones de reserva y facturas por correo electrónico. Los datos transmitidos se limitan al email destinatario y contenido del mensaje.
• Proveedor de pagos: Stripe, Inc. — para el procesamiento de pagos mediante tarjeta. GEstética no almacena datos de tarjetas de crédito; estos son gestionados íntegramente por Stripe conforme a PCI-DSS.

Transferencias internacionales de datos

Algunos de los proveedores mencionados pueden encontrarse fuera del Espacio Económico Europeo (EEE). En tales casos, las transferencias se realizan con las garantías adecuadas conforme al RGPD:

Proveedor	Ubicación	Garantía
Hostinger	UE (Países Bajos / Lituania)	Servidores en la UE. No se realizan transferencias fuera del EEE.
Anthropic (API de IA)	EE.UU.	Marco de Privacidad de Datos UE-EE.UU. (DPF) y Cláusulas Contractuales Tipo (SCC).
Resend (email)	EE.UU.	Marco de Privacidad de Datos UE-EE.UU. (DPF) y Cláusulas Contractuales Tipo (SCC).
Stripe (pagos)	EE.UU. / Irlanda	Stripe opera en la UE a través de Stripe Payments Europe, Ltd. (Irlanda). Certificado PCI-DSS Nivel 1.
Google Fonts	EE.UU.	Carga de tipografías. La dirección IP del usuario se transmite a Google al cargar las fuentes.

Derechos del interesado

De acuerdo con el RGPD y la LOPDGDD, usted puede ejercer los siguientes derechos:

• Derecho de acceso: conocer qué datos personales suyos estamos tratando.
• Derecho de rectificación: solicitar la corrección de datos inexactos o incompletos.
• Derecho de supresión ("derecho al olvido"): solicitar la eliminación de sus datos cuando ya no sean necesarios.
• Derecho de oposición: oponerse al tratamiento de sus datos en determinadas circunstancias.
• Derecho a la portabilidad: recibir sus datos en un formato estructurado y de uso común.
• Derecho a la limitación del tratamiento: solicitar que se limite el tratamiento de sus datos en los supuestos previstos.
• Derecho a retirar el consentimiento: cuando el tratamiento se base en el consentimiento (art. 7.3 RGPD), podrá retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo.

Decisiones automatizadas y elaboración de perfiles

GEstética no adopta decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar (art. 22 RGPD). La asistencia mediante inteligencia artificial proporciona sugerencias al usuario, pero no toma decisiones automatizadas sin intervención humana.

Cómo ejercer sus derechos

Para ejercer cualquiera de estos derechos, puede dirigirse a:

• Email: info@ilernetwork.com
• Dirección postal: Av. Valencia, 32 — Lleida

Deberá acompañar su solicitud con una copia de su DNI o documento equivalente. La solicitud será atendida en un plazo máximo de 30 días.

Reclamación ante la autoridad de control

Si considera que el tratamiento de sus datos vulnera la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

• Web: https://www.aepd.es
• Dirección: C/ Jorge Juan, 6 — 28001 Madrid

Menores de edad

Este sitio web no está dirigido a menores de 14 años. No recogemos deliberadamente datos personales de menores. Si detectamos que se han recogido datos de un menor sin el consentimiento de su tutor legal, procederemos a eliminarlos lo antes posible.

Medidas de seguridad

Hemos adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales, incluyendo:

• Comunicación cifrada mediante certificado SSL/TLS.
• Contraseñas almacenadas con hash bcrypt (nunca en texto plano).
• Autenticación mediante tokens con expiración temporal.
• Acceso a datos restringido al usuario propietario de cada cuenta.
• Base de datos alojada en servidores de la UE con acceso protegido.
• Eliminación en cascada de datos personales al ejercer el derecho de supresión.

GEstética como encargado del tratamiento

Cuando el usuario de GEstética (centro de estética) introduce datos de sus propias clientes en la plataforma, el usuario actúa como responsable del tratamiento de esos datos y GEstética actúa como encargado del tratamiento conforme al artículo 28 del RGPD.

Las condiciones del encargo del tratamiento se regulan en los Términos de Servicio aceptados al contratar el servicio, que incluyen las obligaciones del artículo 28.3 del RGPD: tratar los datos únicamente siguiendo instrucciones del responsable, garantizar la confidencialidad, adoptar medidas de seguridad, y asistir al responsable en el cumplimiento de sus obligaciones frente a los interesados.

El usuario, como responsable del tratamiento de los datos de sus clientes, es responsable de:

• Informar a sus clientes sobre el tratamiento de sus datos personales.
• Obtener el consentimiento necesario, especialmente para datos de salud (alergias).
• Atender los derechos de acceso, rectificación, supresión, etc. de sus clientes.
• Cumplir con las obligaciones del RGPD y la LOPDGDD en su condición de responsable.

Notificación de brechas de seguridad

En caso de que se produzca una violación de seguridad que afecte a datos personales, GEstética notificará a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas (art. 33 RGPD) y a los usuarios afectados sin dilación indebida cuando la violación entrañe un alto riesgo para sus derechos y libertades (art. 34 RGPD).