Política de Privacidad y Uso de WhatsApp Business – CitaFacil
Fecha de entrada en vigor: 18/06/2025
1. Introducción y Objetivos
1.1 Presentación
La presente política regula el tratamiento de datos personales cuando BCN Tech Innovation S.L. (en adelante, “BCNTECHIN”) emplea el canal WhatsApp Business (API y/o aplicación) para interactuar con personas usuarias, clientes potenciales y terceros, conforme al Reglamento (UE) 2016/679 (RGPD), la Ley 34/2002 (LSSI-CE) y las Condiciones Comerciales de WhatsApp Business.
1.2 Objetivos
- Garantizar la confidencialidad y seguridad de la información.
- Maximizar, dentro de la legalidad, las facultades de comunicación, marketing y soporte vía WhatsApp.
- Informar con transparencia sobre derechos y procedimientos.
2. Ámbito de Aplicación
Esta política se aplica a:
a) Mensajes transaccionales (confirmaciones, recordatorios de cita, incidencias de pago).
b) Mensajes de atención al cliente y soporte técnico.
c) Mensajes promocionales, campañas de marketing, upselling y cross-selling.
d) Contenidos interactivos (catálogos, botones, encuestas) enviados o recibidos por el número oficial verificado “CitaFacil”.
3. Responsable del Tratamiento
- Entidad: BCN Tech Innovation S.L.
- CIF: B12345678
- Domicilio: c/ Indústria 23, 17160 Anglès (Girona)
- Correo: privacitat@citafacil.cat
- DPO: dpo@citafacil.cat
4. Normativa de Referencia
- RGPD y normativa española complementaria.
- LSSI-CE (comunicaciones comerciales por medios electrónicos).
- Condiciones y Políticas de WhatsApp LLC (Meta Platforms).
5. Datos Personales Tratados
| Categoría | Detalle | Fuente |
|---|---|---|
| Identificación | Nombre, apellidos, nº de teléfono WhatsApp, foto de perfil | Facilitados por la persona usuaria / WhatsApp |
| Metadatos | ID de mensaje, marca temporal, estado de entrega y lectura | Generados automáticamente |
| Contenido | Texto, archivos adjuntos, notas de voz, respuestas a plantillas | Conversaciones mantenidas |
| Datos de uso | Clics en botones, selección de opciones, historial de chat | Recogida automática |
| Inferencias | Segmentación por intereses, propensión de compra, RFM | Modelos internos |
6. Finalidades del Tratamiento y Bases Jurídicas
| Nº | Finalidad | Descripción | Base legal (art. 6 RGPD) |
|---|---|---|---|
| 6.1 | Prestación del servicio | Confirmaciones, recordatorios, soporte | Ejecución de contrato (b) |
| 6.2 | Marketing directo (clientes) | Ofertas y novedades de productos/servicios similares (“soft opt-in”) | Interés legítimo (f) + art. 21.2 LSSI |
| 6.3 | Prospección comercial (no clientes) | Newsletters, promociones, lead nurturing | Consentimiento expreso (a) |
| 6.4 | Elaboración de perfiles | Scoring para personalizar mensajes y frecuencia | Interés legítimo (f) |
| 6.5 | Analítica y métricas | Medición de rendimiento, A/B testing, mejora del canal | Interés legítimo |
| 6.6 | Prevención de fraude y spam | Detección de abusos, phishing, cuentas falsas | Interés legítimo / Obligación legal (c) |
BCNTECHIN realiza pruebas de equilibrio para asegurar que su interés legítimo no prevalece sobre los derechos de las personas interesadas.
7. Obtención y Gestión del Consentimiento
- Alta voluntaria: La persona usuaria inicia conversación (“opt-in”) o marca la casilla correspondiente en formularios.
- Doble confirmación opcional: Para determinadas campañas, se enviará plantilla de verificación que debe aceptarse.
- Baja (“opt-out”): Enviar “BAJA” o equivalente; procesamos la baja ≤ 48 h.
8. Segmentación y Automatización
8.1 Criterios
Historial de compras, interacción previa, ubicación aproximada, tiempo transcurrido desde última actividad, datos de terceros compatibles.
8.2 Decisiones automatizadas
Ajuste de ofertas y frecuencia de mensajes sin efectos legales significativos. Siempre puede solicitar revisión humana (art. 22 RGPD).
9. Comunicaciones con WhatsApp LLC (Meta) como Subencargado
- Los mensajes viajan cifrados entre BCNTECHIN y los servidores de WhatsApp.
- Meta procesa metadatos (p. ej., fecha, hora, número de destino) como encargado; se aplican Cláusulas Contractuales Estándar 2021/914 y medidas adicionales (TLS 1.3, pseudonimización del número mediante hash SHA-256 en backups).
10. Cesiones y Encargados Subsiguientes
Podremos compartir datos con:
a) Proveedores de la API (Twilio, Vonage) – envío y recepción de mensajes.
b) Plataformas CRM y analítica (HubSpot, Segment) – registro de interacciones.
c) Empresas del grupo / afiliados – campañas conjuntas, siempre bajo contrato de encargo.
d) Autoridades competentes – cumplimiento de obligaciones legales.
11. Transferencias Internacionales
Cuando los servicios se presten desde fuera del EEE, adoptamos:
- Decisión de adecuación, o
- SCC + cifrado, separación lógica de datos y auditorías anuales.
12. Plazos de Conservación
| Dato | Periodo |
|---|---|
| Historial de chat de clientes | 6 años desde la última interacción o fin del contrato |
| Conversaciones no clientes | 24 meses desde último mensaje |
| Metadatos agregados | Indefinido (anonimizados) |
| Listas de supresión | Indefinido (exclusivo para evitar reenvíos) |
13. Medidas de Seguridad
- Acceso restringido “need-to-know”, MFA y registros de auditoría.
- Encriptación AES-256 de backups en AWS (eu-west-1).
- Configuración oficial de verificación de negocio y API, evitando spoofing.
- Supervisión de tasas de bloqueo/reportes (< 0,05 %) y suspensiones proactivas de campañas que superen umbrales.
14. Derechos de las Personas Interesadas
Acceso · Rectificación · Supresión · Limitación · Portabilidad · Oposición (incl. marketing y perfilado).
Solicitudes a privacitat@citafacil.cat o dpo@citafacil.cat. Respuesta ≤ 30 días.
Reclamación ante la AEPD si considera vulnerados sus derechos.
15. Tratamiento de Datos de Menores
No se dirige el canal WhatsApp a menores de 16 años. Si detectamos un menor, bloquearemos el contacto y solicitaremos autorización parental verificable.
16. Modificaciones de la Política
Las revisiones se publicarán en https://www.citafacil.cat/politica-whatsapp y se notificarán por WhatsApp o correo con 30 días de antelación. El uso continuado tras la fecha efectiva implica aceptación de la versión modificada.
17. Legislación y Jurisdicción
Se aplica la legislación española y el RGPD. Conflictos sujetos a los tribunales de Girona, salvo disposición imperativa en contrario.
18. Aceptación
Al iniciar conversación, interactuar con nuestros mensajes o no ejercitar el derecho de baja, reconoces haber leído y comprendido esta Política de WhatsApp Business y consientes el tratamiento descrito. Si no estás de acuerdo, abstente de iniciar contacto o solicita “BAJA” en cualquier momento.