Legal
Política de Privacidad
Cómo recopilamos, usamos y protegemos tus datos personales — con cobertura GDPR, CCPA y LGPD.
1. Resumen rápido
Si no querés leer 5,000 palabras de legal, este es el resumen honesto:
- Qué recopilamos: tus datos de cuenta, los datos de tu negocio y los datos de tus clientes que reservan citas (procesados en tu nombre).
- Para qué los usamos: operar el servicio (citas, recordatorios, microsite), mantenerlo seguro, facturar y cumplir obligaciones legales.
- Con quién los compartimos: sub-procesadores que necesitamos para operar (Twilio, Cloudflare, Railway, Resend, Meta vía Twilio). Lista completa más abajo.
- Nunca vendemos tus datos. Punto.
- Tus derechos: acceso, rectificación, eliminación, portabilidad, objeción, retiro de consentimiento. Escribí a privacy@marcly.app.
2. Quién es responsable de tus datos
Marcly, con domicilio en 75 avenida norte, local 3, San Salvador, El Salvador, es el responsable del tratamiento (data controller bajo GDPR / controlador bajo LGPD) de los datos recopilados directamente a través del sitio público y de las cuentas de titulares.
Para los datos de tus clientes finales (los que reservan citas), Marcly actúa como encargado del tratamiento (processor) y vos como responsable. Esto se rige por el contrato implícito en nuestros Términos; si necesitás un DPA formal por requisito regulatorio, escribí a legal@marcly.app.
Contacto de privacidad: privacy@marcly.app
3. Qué datos recopilamos
Recopilamos solo los datos necesarios para operar el servicio:
| Categoría | Ejemplos | Base legal (GDPR) |
|---|---|---|
| Datos de cuenta del titular | nombre, email, contraseña hasheada, teléfono, idioma preferido | Ejecución de contrato (GDPR 6(1)(b)) |
| Datos del negocio | nombre comercial, slug, logo, dirección, horarios, servicios y precios | Ejecución de contrato (GDPR 6(1)(b)) |
| Datos de clientes finales (procesados por cuenta del titular) | nombre, número de WhatsApp, email opcional, historial de citas | Ejecución de contrato y/o interés legítimo del titular (GDPR 6(1)(b)/(f)) |
| Mensajes WhatsApp y metadatos | contenido del mensaje, marca de tiempo, identificador de Twilio | Ejecución de contrato (GDPR 6(1)(b)) |
| Datos técnicos | dirección IP (hasheada con sal), navegador, sistema operativo, eventos de inicio de sesión | Interés legítimo: seguridad y prevención de fraude (GDPR 6(1)(f)) |
| Datos de pago | últimos 4 dígitos de la tarjeta, plan, fecha de renovación. La tarjeta completa NO la almacenamos — la procesa el procesador de pagos. | Ejecución de contrato (GDPR 6(1)(b)) |
No recopilamos categorías especiales de datos (origen racial, salud, religión, orientación sexual, etc.). Si tu negocio necesita procesar este tipo de datos, contactanos antes — requiere salvaguardas adicionales.
4. Cómo y por qué usamos los datos
- Prestar el servicio: agendar citas, enviar confirmaciones y recordatorios por WhatsApp/email, mostrar el microsite público.
- Seguridad: detectar abuso, prevenir fraude, registrar intentos de acceso (con IPs hasheadas).
- Mejora del producto: métricas agregadas y anonimizadas para entender uso. Nunca a nivel individual.
- Comunicaciones: emails operacionales (verificación, cambios de plan, alertas de seguridad). Newsletter de producto solo con tu opt-in explícito.
- Cumplimiento legal: facturación, contabilidad, respuesta a requerimientos judiciales válidos.
Decisiones automatizadas: no usamos algoritmos para tomar decisiones que produzcan efectos legales o significativos sobre vos o tus clientes. El bot de WhatsApp es asistencia conversacional, no autoriza ni rechaza solicitudes con efectos legales.
5. Con quién compartimos los datos
Para operar el servicio confiamos en estos sub-procesadores. Cada uno está obligado por contrato a procesar tus datos solo conforme a nuestras instrucciones y con medidas técnicas y organizativas adecuadas:
| Sub-procesador | Propósito | Ubicación | Política |
|---|---|---|---|
| Railway Corp. | Hospedaje de la aplicación y base de datos PostgreSQL | Estados Unidos | Ver política |
| Cloudflare, Inc. | Almacenamiento de archivos (R2), CDN, DNS, Turnstile (anti-bot) | Global / Estados Unidos | Ver política |
| Twilio, Inc. | Envío y recepción de mensajes WhatsApp Business | Estados Unidos | Ver política |
| Meta Platforms, Inc. | Plataforma WhatsApp Business API (a través de Twilio) | Estados Unidos / Irlanda | Ver política |
| Resend, Inc. | Envío de correos transaccionales (verificación, recordatorios) | Estados Unidos | Ver política |
Si agregamos o cambiamos un sub-procesador con impacto material para vos, te avisaremos por email con al menos 30 días de anticipación.
No vendemos datos a terceros. Tampoco compartimos datos con redes publicitarias (no usamos Google Ads, Facebook Pixel, etc. en la app).
6. Transferencias internacionales de datos
Marcly opera principalmente desde infraestructura ubicada en Estados Unidos (Railway, Cloudflare, Twilio, Resend). Si vos estás en la Unión Europea, Reino Unido, Brasil u otra jurisdicción con restricciones a transferencias internacionales, tus datos pueden ser transferidos fuera de tu país.
Estas transferencias se amparan en:
- Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea cuando aplica (GDPR).
- Adhesión de los sub-procesadores al EU-US Data Privacy Framework donde corresponde.
- Para LGPD: ejecución de contrato y consentimiento del titular.
7. Cuánto tiempo guardamos los datos
| Tipo de dato | Período |
|---|---|
| Datos de cuenta | Hasta solicitud de eliminación o 30 días tras cierre de cuenta |
| Citas (appointments) | 2 años para cumplimiento contable y disputas |
| Mensajes WhatsApp | 12 meses, luego se anonimizan |
| Intentos de login | 30 días para detección de abuso |
| Eventos de seguridad | 90 días para investigación de incidentes |
| Facturas | 5 años por obligación fiscal salvadoreña (Código Tributario) |
Cuando solicitás eliminación, anonimizamos los datos en el plazo de 30 días (excepto los que debemos retener por obligación legal — ej. facturas).
8. Tus derechos sobre tus datos
Según tu jurisdicción, tenés algunos o todos estos derechos:
- Acceso: obtener una copia de los datos que tenemos sobre vos.
- Rectificación: corregir datos inexactos o incompletos.
- Eliminación / olvido: pedir que borremos tus datos (sujeto a obligaciones legales).
- Portabilidad: recibir tus datos en formato estructurado y legible por máquina (JSON).
- Objeción: oponerte a tratamientos basados en interés legítimo.
- Restricción: limitar el tratamiento mientras se resuelve una disputa.
- Retiro de consentimiento: cuando el tratamiento se basa en consentimiento.
- No discriminación: ejercer derechos no afectará la calidad del servicio.
Para ejercerlos escribí a privacy@marcly.app desde el email de tu cuenta. Respondemos en el plazo legal aplicable (30 días GDPR, 45 días CCPA, 15 días LGPD).
Si no estás conforme con nuestra respuesta, podés presentar reclamación ante la autoridad de protección de datos competente.
10. Datos de menores
Marcly no está dirigido a menores de 16 años y no recopilamos conscientemente datos de menores de esa edad. En jurisdicciones con umbrales más altos (algunos estados de EE.UU. bajo COPPA: 13 años; algunos países UE: 16 años), aplicamos el más estricto.
Si descubrimos que recopilamos datos de un menor sin consentimiento parental verificable, los eliminaremos inmediatamente. Si sos padre/tutor y creés que tenemos datos de tu hijo/a, escribí a privacy@marcly.app.
11. Aviso para residentes UE / Reino Unido (GDPR / UK GDPR)
Si residís en el Espacio Económico Europeo, Suiza o Reino Unido, además de los derechos generales arriba, tenés derecho a:
- Presentar reclamación ante tu autoridad de protección de datos (ej. AEPD en España, CNIL en Francia, ICO en Reino Unido).
- Conocer la base legal específica de cada tratamiento (ver tabla en sección 3).
- Saber si transferimos tus datos fuera del EEE y bajo qué salvaguardas (sección 6).
Marcly no tiene representante en la UE en este momento (no superamos los umbrales del Art. 27 GDPR). Para consultas regulatorias escribí a privacy@marcly.app.
12. Aviso para residentes de California (CCPA / CPRA)
Si residís en California, tenés derecho a:
- Saber qué categorías de información personal recopilamos, los propósitos, fuentes y terceros con quien compartimos.
- Eliminar tu información personal (sujeto a excepciones legales).
- Corregir información inexacta.
- Optar por no vender ni compartir tu información personal.
- Limitar el uso de información personal sensible.
- No discriminación por ejercer estos derechos.
Para ejercer estos derechos escribí a privacy@marcly.app desde el email registrado o usá un agente autorizado con poder firmado.
13. Aviso para residentes de Brasil (LGPD)
Bajo la Ley General de Protección de Datos Personales (LGPD, Lei 13.709/2018), tenés derecho a:
- Confirmación de la existencia del tratamiento.
- Acceso a los datos.
- Corrección de datos incompletos, inexactos o desactualizados.
- Anonimización, bloqueo o eliminación de datos innecesarios o tratados en disconformidad con la LGPD.
- Portabilidad a otro proveedor.
- Eliminación de datos tratados con consentimiento.
- Información sobre con quién compartimos los datos.
- Información sobre las consecuencias de no proporcionar consentimiento.
- Revocación de consentimiento.
Encargado de Protección de Datos (DPO): privacy@marcly.app
Podés presentar reclamación ante la Autoridade Nacional de Proteção de Dados (ANPD).
14. Cambios a esta política
Podemos actualizar esta política. Si los cambios afectan tus derechos materialmente, te avisaremos por email con al menos 30 días de antelación. Versiones anteriores están disponibles bajo solicitud a privacy@marcly.app.
15. Contacto
Para cualquier asunto de privacidad:
- Privacidad / DPO: privacy@marcly.app
- Asuntos legales: legal@marcly.app
Marcly · 75 avenida norte, local 3, San Salvador, El Salvador