Acuerdo de Tratamiento de Datos

Este Acuerdo de Tratamiento de Datos (DPA) forma parte de los Términos y Condiciones y regula el tratamiento de datos personales que CitaLash(el «Encargado») realiza por cuenta del salón o profesional que usa el servicio (el «Responsable»), conforme al artículo 28 del RGPD.

El tratamiento tiene por objeto la prestación del servicio CitaLash (agenda, reservas, clientes, cobros y comunicaciones) y se mantiene mientras esté vigente el contrato entre las partes. A su finalización, se aplicará lo previsto en el apartado de devolución y supresión.

El Encargado trata, por cuenta del Responsable:

• Interesados: clientas y clientes del salón, y empleados del salón.
• Datos: identificación y contacto, historial de citas, notas y preferencias, e información de cobro gestionada vía Stripe.

• Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
• Garantizar la confidencialidad de quienes acceden a los datos.
• Aplicar medidas técnicas y organizativas apropiadas de seguridad (ver seguridad).
• Asistir al Responsable en la atención de los derechos de los interesados.
• Notificar al Responsable sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a tener constancia de ella, cualquier violación de seguridad que afecte a los datos personales tratados, con la información disponible conforme al artículo 33.3 RGPD.
• Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de estas obligaciones y permitir auditorías razonables, con preaviso y sin afectar al normal funcionamiento del Servicio para otros clientes.

El Responsable autoriza al Encargado a recurrir a los subencargados detallados y actualizados en subencargados del tratamiento (Stripe, Google Calendar, proveedor de email y, en su momento, proveedor de WhatsApp Business API), con contratos que imponen obligaciones de protección equivalentes. Informaremos de cualquier cambio previsto con al menos 30 días de antelación, pudiendo el Responsable oponerse por motivos legítimos.

Cuando un subencargado trate datos fuera del EEE, se aplicarán las garantías exigidas por el RGPD, como las Cláusulas Contractuales Tipo de la Comisión Europea.

A la finalización del contrato, el Encargado, a elección del Responsable, devolverá o suprimirá los datos personales, salvo que la normativa exija su conservación. El Responsable puede exportar sus datos en cualquier momento desde el panel.

Si tu organización necesita firmar un DPA específico o con cláusulas adicionales, escríbenos a privacidad@citalash.app y te lo facilitamos.