KendaApp
Volver al inicio

Política de privacidad

KendaApp — POLÍTICA DE PRIVACIDAD (v 2026-06-12) Última actualización: 12 de junio de 2026 Responsable del tratamiento: [Razón social de la empresa] Domicilio: Uruguay Contacto de privacidad: soporte@kendaapp.com Esta Política describe cómo KendaApp trata los datos personales cuando utilizas la aplicación móvil, el panel de negocio y los servicios asociados de reserva y gestión de turnos. Complementa los Términos y Condiciones y debe leerse junto con ellos. 1. Ámbito y roles 1.1. KendaApp actúa como responsable del tratamiento respecto de los datos necesarios para operar la Plataforma: cuentas de Usuario y Negocio, autenticación, reservas, notificaciones técnicas, soporte, seguridad, mejora del servicio y cumplimiento legal. 1.2. Cada Negocio que utiliza KendaApp puede actuar como responsable independiente respecto de los datos de sus clientes, pacientes o citas que gestiona en su agenda (por ejemplo, listas de clientes, notas clínicas en vertical dental, historiales de tratamiento). En esos casos, KendaApp puede actuar como encargado del tratamiento limitado a alojar y procesar la información en la infraestructura contratada, según las instrucciones del Negocio y la configuración de la Plataforma. 1.3. Esta Política aplica a clientes finales, visitantes que consultan información pública de negocios y propietarios o administradores de Negocios registrados. 1.4. KendaApp procurará que el tratamiento de datos personales se ajuste a la normativa imperativa aplicable según el domicilio, residencia habitual o establecimiento del titular, en particular: a) en Uruguay: la Ley N.º 18.331 de Protección de Datos Personales y Habeas Data, la regulación de la Unidad Reguladora y de Control de Datos Personales (URCDP) y la normativa de consumo y comercio electrónico imperativa uruguaya; b) en España: el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de protección de datos y garantía de los derechos digitales (LOPDGDD), el Real Decreto Legislativo 1/2007 (Ley General de Defensa de los Consumidores y Usuarios), la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE) y demás normativa imperativa española o de la Unión Europea que resulte aplicable; c) en otras jurisdicciones: la normativa local imperativa que corresponda al titular o al Negocio. 2. Principios Tratamos los datos personales de forma lícita, leal y transparente; los recogemos con fines determinados, explícitos y legítimos; limitamos la recogida a lo necesario; procuramos mantenerlos exactos y actualizados; los conservamos solo el tiempo necesario; y aplicamos medidas de seguridad acordes al riesgo. 3. Datos personales que podemos tratar 3.1. Datos de cuenta y perfil (cliente o propietario): nombre, correo electrónico, teléfono, ciudad, país, idioma preferido, rol (cliente/negocio), foto de perfil o avatar, identificador interno de usuario, metadatos de aceptación de documentos legales (versión y fecha de aceptación de Términos y Privacidad al registrarse). 3.2. Datos del Negocio: nombre comercial, categoría, descripción, dirección, coordenadas de ubicación en mapa, horarios, teléfono, logo e imágenes, servicios, promociones, métodos de pago aceptados (solo como información comercial, sin procesar cobros), moneda y configuración de agenda. 3.3. Datos de reservas y citas: negocio, servicio, fecha y hora, estado (pendiente, confirmada, cancelada, completada), profesional o recurso asignado (barbero, dentista, mesa, etc.), notas opcionales del cliente, y —solo en negocios clínicos dentales— notas clínicas introducidas por el propietario al gestionar la cita. 3.4. Datos de interacción en la Plataforma: favoritos, reseñas y valoraciones, búsquedas y filtros (ciudad, categoría), historial de reservas, recordatorios configurados y preferencias de la app (tema claro/oscuro, consentimiento de analítica). 3.5. Datos técnicos y de seguridad: tokens de notificaciones push (FCM), identificadores de dispositivo necesarios para el envío de avisos, registros técnicos de errores, eventos de analítica agregados sin identificación directa en los parámetros enviados, e información de sesión gestionada por el proveedor de autenticación. 3.6. Datos de clientes del Negocio (gestionados por el propietario): nombre, teléfono, correo, vínculo con cuenta de app si existe, historial de citas del negocio y datos de recordatorio (por ejemplo, próximo recall en barbería/peluquería o dental). 3.7. Datos de vertical dental (solo si el Negocio es clínica dental): pacientes, odontograma (estado por pieza dental), planes de tratamiento, ítems, pagos registrados en el plan, dentistas, servicios clínicos y datos de recall. Parte de esta información puede constituir dato sensible o dato de salud según la normativa aplicable. 4. Datos que no recogemos ni procesamos en la app 4.1. KendaApp no procesa pagos dentro de la aplicación ni almacena números completos de tarjetas de crédito, débito u otros instrumentos de pago. 4.2. No solicitamos datos sensibles de clientes finales salvo los estrictamente necesarios para una reserva en un Negocio que preste servicios de salud o estética, y en ese caso el tratamiento adicional corresponde principalmente al Negocio. 4.3. La analítica de uso opcional no envía correo, nombre ni identificadores de usuario en los eventos configurados actualmente en la app. 5. Finalidades del tratamiento 5.1. Crear y administrar cuentas; autenticar usuarios; recuperar acceso; vincular perfiles de cliente con negocios. 5.2. Permitir búsqueda de negocios, visualización de disponibilidad, solicitud y gestión de reservas. 5.3. Enviar confirmaciones, recordatorios, avisos de cambio de estado de citas, notificaciones operativas y mensajes de soporte (push, notificaciones locales, y correo electrónico solo para fines de autenticación o seguridad, como aviso de cambio de contraseña). 5.4. Mostrar negocios cercanos cuando el Usuario autoriza el acceso a la ubicación del dispositivo. 5.5. Validar direcciones y ubicaciones de negocios mediante servicios de geocodificación (consultas a proveedores de mapas). 5.6. Mejorar la estabilidad y seguridad: detección de errores, prevención de fraude, copias de seguridad y continuidad del servicio. 5.7. Medir de forma agregada el uso de la Plataforma, únicamente si el Usuario activa el consentimiento de «Análisis de uso anónimo» en su perfil. 5.8. Cumplir obligaciones legales, responder reclamos y cooperar con autoridades cuando exista base jurídica. 6. Bases jurídicas Dependiendo del caso, del tratamiento concreto y de la normativa imperativa aplicable según el domicilio, residencia habitual o establecimiento del titular, basamos el tratamiento en las bases previstas por la legislación uruguaya, española o europea que corresponda, entre ellas: a) ejecución del contrato o medidas precontractuales (cuenta, reservas, agenda del negocio); b) consentimiento (analítica opcional, permisos de ubicación, notificaciones push cuando el sistema lo exija, tratamiento de datos sensibles o de salud cuando corresponda); c) interés legítimo (seguridad, mejora técnica, prevención de abuso, soporte); d) obligación legal. En Uruguay, ello incluye la Ley N.º 18.331 y la normativa de la URCDP. En España, ello incluye el RGPD, la LOPDGDD y, cuando resulte aplicable, la normativa de consumo y de servicios de la sociedad de la información. 7. Geolocalización y mapas 7.1. La app puede solicitar permiso para acceder a la ubicación del dispositivo a fin de ordenar o mostrar negocios cercanos. El Usuario puede denegar el permiso; en ese caso se limitarán las funciones que dependen de la posición GPS. 7.2. Los propietarios pueden fijar la ubicación de su negocio en un mapa. Las coordenadas se almacenan para mostrar la ubicación a clientes. 7.3. Para validar direcciones escritas, la app puede enviar consultas de búsqueda a Nominatim (OpenStreetMap). Esas consultas contienen el texto de la dirección buscada y se rigen por la política de uso de ese servicio. Recomendamos no incluir datos personales innecesarios en el campo de búsqueda. 8. Notificaciones y comunicaciones 8.1. Push (FCM): al habilitar notificaciones, se genera y almacena un token asociado a tu cuenta para enviarte recordatorios de citas, confirmaciones, cancelaciones, novedades operativas y —en el caso de propietarios— avisos de nuevas reservas o recalls configurados. 8.2. Notificaciones locales: cuando la app está abierta, pueden mostrarse avisos en el dispositivo ante eventos en tiempo real (por ejemplo, cambios en citas del negocio). 8.3. Correo electrónico: Supabase Auth puede enviar correos de verificación o recuperación de cuenta. KendaApp puede invocar funciones serverless para enviar correos de seguridad (por ejemplo, notificación de cambio de contraseña). Los recordatorios operativos de citas y promociones se envían principalmente por push, no por correo masivo de marketing. 9. Analítica de uso (opcional) 9.1. La app integra Firebase Analytics. Solo se activa si el Usuario habilita explícitamente «Análisis de uso anónimo» en Preferencias del perfil. 9.2. Los eventos configurados actualmente son de carácter agregado (por ejemplo, registro completado por tipo de rol, primera reserva, primera gestión de cita por propietario) y no incluyen correo, nombre ni identificadores personales en los parámetros del evento. 9.3. El Usuario puede retirar el consentimiento en cualquier momento desactivando el interruptor; a partir de ese momento se deshabilita la recogida analítica en el dispositivo. 10. Registro de errores y seguridad 10.1. Para diagnosticar fallos, la app puede enviar informes de error a Sentry cuando está configurado en el entorno de producción. Se procura no incluir datos personales en esos informes; en depuración interna se limita el registro de identificadores sensibles. 10.2. Firebase y Supabase procesan datos técnicos necesarios para autenticación, base de datos y mensajería. 11. Almacenamiento local en el dispositivo 11.1. La app guarda en el dispositivo preferencias no sensibles (idioma, tema, consentimiento de analítica, flags de onboarding y coachmarks, cachés de listas de negocios, citas o detalle con tiempo de caducidad) mediante almacenamiento local. 11.2. Puede recordarse el correo de inicio de sesión en almacenamiento seguro del sistema operativo si el Usuario lo solicita. No se almacena la contraseña en texto claro en el dispositivo en los flujos actuales de la app. 11.3. Borradores de avatar o logo pendientes de subir tras el registro pueden guardarse temporalmente de forma local o segura hasta completar la verificación de correo. 12. Destinatarios y encargados del tratamiento Podemos compartir datos con proveedores que nos prestan servicios estrictamente necesarios, entre ellos: • Supabase (autenticación, base de datos PostgreSQL, almacenamiento de archivos, funciones serverless y tiempo real); • Google / Firebase (mensajería push y, si hay consentimiento, analítica); • Sentry (monitorización de errores); • OpenStreetMap / Nominatim (geocodificación de direcciones); • Resend u otro proveedor de correo transaccional (mensajes de seguridad vinculados a la cuenta); • Proveedores de infraestructura y soporte técnico contratados por KendaApp. Estos encargados tratan datos según instrucciones de KendaApp y con obligaciones contractuales de confidencialidad y seguridad, en la medida exigida por la ley aplicable. 13. Transferencias internacionales Los proveedores anteriores pueden ubicar servidores fuera de Uruguay, de España o del país del Usuario (por ejemplo, en la Unión Europea o Estados Unidos). Cuando se produzca una transferencia internacional, KendaApp procurará basarla en un mecanismo válido conforme a la normativa aplicable, incluyendo: a) en Uruguay: la regulación de la URCDP sobre transferencias internacionales, evaluación de territorios adecuados u otros instrumentos válidos previstos en la Ley N.º 18.331; b) en España y en el Espacio Económico Europeo: el capítulo V del RGPD, las cláusulas contractuales tipo aprobadas por la Comisión Europea, decisiones de adecuación, normas corporativas vinculantes u otros mecanismos previstos en la LOPDGDD; c) consentimiento específico, cuando sea el único mecanismo válido en el supuesto concreto. 14. Plazo de conservación 14.1. Los datos de la cuenta se conservan mientras la cuenta permanezca activa y durante el tiempo necesario para prestar el servicio, resolver disputas, atender reclamos o cumplir obligaciones legales. 14.2. Las cachés locales del dispositivo expiran automáticamente según plazos configurados (por ejemplo, listas de inicio, citas o detalle de negocio). 14.3. Tras la eliminación de cuenta por un cliente, se suprimen o anonimizan los datos personales asociados en los sistemas de KendaApp según la función de borrado implementada (perfil, favoritos, reseñas, tokens push y cuenta de autenticación). Las cuentas de negocio con local vinculado requieren gestión por soporte. 14.4. Los Negocios son responsables de conservar o suprimir los datos de sus propios clientes y pacientes conforme a su normativa sectorial. 15. Seguridad Aplicamos medidas técnicas y organizativas razonables: comunicaciones cifradas (HTTPS/TLS), controles de acceso por roles, políticas de seguridad a nivel de base de datos (RLS en Supabase), separación de entornos y buenas prácticas de desarrollo. Ningún sistema es completamente invulnerable; el Usuario debe proteger sus credenciales y su dispositivo. 16. Decisiones automatizadas KendaApp no adopta decisiones exclusivamente automatizadas con efectos jurídicos significativos sobre el Usuario. La disponibilidad de turnos se calcula según reglas de agenda configuradas por el Negocio y la lógica de la Plataforma, pero la confirmación o rechazo de citas corresponde al Negocio o a reglas explícitas de negocio. 17. Menores de edad La Plataforma está dirigida a personas con capacidad legal para contratar o con autorización parental cuando la ley lo exija. No recogemos intencionalmente datos de menores sin la base jurídica correspondiente. Si detectamos una cuenta de menor sin autorización válida, podremos solicitar verificación o eliminar la cuenta. 18. Derechos de los titulares Según la ley aplicable al titular, podrá solicitar, entre otros: • acceso a sus datos; • rectificación o actualización; • supresión o eliminación («derecho al olvido»); • limitación u oposición al tratamiento; • portabilidad en formato estructurado; • retiro del consentimiento cuando el tratamiento se base en consentimiento; • no ser objeto de decisiones basadas únicamente en el tratamiento automatizado con efectos jurídicos significativos, cuando la normativa lo reconozca; • presentar reclamo ante la autoridad de control competente. 18.1. En Uruguay, la Unidad Reguladora y de Control de Datos Personales (URCDP) es la autoridad de referencia. 18.2. En España, la Agencia Española de Protección de Datos (AEPD) es la autoridad de referencia. Los titulares residentes en España podrán ejercer los derechos reconocidos por el RGPD y la LOPDGDD, incluido el derecho a reclamar ante la AEPD si consideran que el tratamiento no se ajusta a la normativa. 18.3. Los usuarios en otras jurisdicciones podrán acudir a la autoridad local de protección de datos que corresponda. 19. Cómo ejercer tus derechos en la app 19.1. Exportar datos: desde el perfil (cliente o propietario) puedes generar una copia legible de tu perfil, citas, favoritos y reseñas en PDF o texto. 19.2. Eliminar cuenta (cliente): desde el perfil puedes solicitar la eliminación de tu cuenta y datos asociados en la Plataforma, salvo conservación exigida por ley. 19.3. Cuentas de negocio: la baja del perfil comercial y datos vinculados puede requerir contacto con soporte, especialmente si existe un negocio activo con historial de reservas. 19.4. Cualquier solicitud adicional: escribe a soporte@kendaapp.com indicando tu petición y, si es posible, el correo de la cuenta. Responderemos en un plazo razonable conforme a la ley aplicable; en particular, cuando resulte imperativo el RGPD, procuraremos atender las solicitudes en el plazo máximo de un (1) mes desde su recepción, prorrogable dos (2) meses adicionales cuando sea necesario por la complejidad o el número de solicitudes, informando al titular de los motivos de la demora. 20. Responsabilidad de los Negocios frente a sus clientes El Negocio que trate datos de salud, datos sensibles o ficheros de clientes debe contar con base jurídica propia, informar a sus pacientes o clientes cuando la ley lo exija y aplicar medidas de seguridad adecuadas a su actividad. En España, ello puede incluir obligaciones adicionales respecto de datos de categorías especiales, deberes de información al paciente y conservación de historiales clínicos conforme a la normativa sanitaria y de protección de datos aplicable. KendaApp proporciona la herramienta tecnológica, pero no sustituye las obligaciones legales del profesional o establecimiento. 21. Publicidad en la aplicación La Plataforma puede incorporar espacios publicitarios o promociones de terceros. En la configuración actual, la publicidad no utiliza datos sensibles de salud ni información clínica para segmentación. Si en el futuro se implementaran formas de publicidad personalizada, se informará y se recabará consentimiento cuando la ley lo requiera. 22. Cambios en esta Política Podemos actualizar esta Política para reflejar cambios legales, técnicos o funcionales, incluidas adaptaciones a la normativa uruguaya, española o europea. Publicaremos la versión vigente en la app con su fecha. Si el cambio es sustancial, procuraremos informarte por medios razonables. El uso continuado tras la publicación implicará aceptación cuando la ley lo permita. 23. Contacto Responsable: [Razón social de la empresa] Correo: soporte@kendaapp.com Domicilio: [completar] Sitio web: https://kendaapp.com Formulario: $kSupportFormUrl