Encargo de tratamiento de datos

Responsable del tratamiento: la barbería o negocio que usa BarberBot para gestionar reservas, clientes, equipo y comunicaciones con sus usuarios.

Encargado del tratamiento: Shadai Iborra Cardó / IBORRA CARDÓ SHADAI, responsable legal de BarberBot (nombre comercial), accesible en https://barberbot.es y con contacto en soporte@barberbot.es y admin@barberbot.es.

BarberBot trata datos personales por cuenta del negocio con la única finalidad de prestar el servicio contratado: panel de control, agenda, clientes, equipo, automatizaciones y, en su caso, mensajería y reservas por WhatsApp.

Este encargo se mantiene mientras la cuenta del negocio permanezca activa o mientras sea necesario tratar datos para prestar el servicio, resolver incidencias, mantener copias de seguridad técnicas o cumplir obligaciones legales.

• Datos del titular de la cuenta y miembros del equipo.
• Datos de clientes finales registrados por el negocio.
• Datos de reservas, servicios, horarios, mensajes y preferencias relacionadas con la actividad del negocio.
• Metadatos técnicos y registros de seguridad necesarios para operar el servicio.

BarberBot no está concebido para tratar categorías especiales de datos personales en el sentido del artículo 9 del RGPD. El responsable se compromete a no introducir en la plataforma datos de salud, biométricos, ideología, religión, afiliación sindical, orientación sexual u otras categorías especialmente protegidas, salvo que exista una base jurídica suficiente y una adaptación contractual y técnica específica.

BarberBot tratará los datos únicamente siguiendo las instrucciones documentadas del negocio, tal como resultan del uso normal de la plataforma y de las configuraciones realizadas por el propio responsable dentro del panel.

Si BarberBot aprecia que una instrucción puede infringir la normativa aplicable de protección de datos o exceder del servicio contratado, podrá advertirlo al responsable y suspender su ejecución hasta recibir una instrucción aclarada, válida y compatible con la legalidad.

BarberBot aplica medidas técnicas y organizativas razonables para proteger la confidencialidad, integridad y disponibilidad de los datos, incluyendo controles de acceso, autenticación, aislamiento lógico, registros técnicos y medidas de hardening del servicio.

• Control de acceso lógico por usuario, rol, sesión y barbería.
• Aislamiento por `shopId` para evitar mezcla de datos entre barberías.
• Protección de credenciales, contraseñas cifradas y tokens técnicos.
• Registro de auditoría y eventos de seguridad para acciones relevantes.
• Medidas antiabuso y límites por barbería para el canal WhatsApp.
• Medidas de disponibilidad, restauración y continuidad apoyadas en la infraestructura utilizada.
• Revisión de incidencias, endurecimiento técnico y medidas de minimización razonables según el riesgo.

Estas medidas podrán actualizarse para adaptarse al estado de la técnica, al nivel de riesgo, a cambios de infraestructura y a obligaciones legales o contractuales sobrevenidas.

Para prestar el servicio, BarberBot puede apoyarse en proveedores de infraestructura, base de datos, correo, pagos, analítica técnica, hosting o mensajería. Cuando dichos proveedores intervienen en el tratamiento, lo harán bajo condiciones compatibles con este encargo y con la normativa aplicable.

Puedes consultar el resumen público de categorías de proveedores en el anexo de subencargados.

El responsable autoriza de forma general el uso de esos subencargados cuando sean necesarios para prestar BarberBot. BarberBot procurará mantener actualizado el anexo de subencargados y exigir a dichos proveedores obligaciones de protección de datos adecuadas a la naturaleza del tratamiento encomendado.

BarberBot garantiza que las personas autorizadas para tratar datos personales se comprometen a respetar la confidencialidad y solo acceden a la información cuando es necesario para operar, mantener o asegurar el servicio.

Esta obligación de confidencialidad subsistirá incluso una vez finalizada la relación contractual, sin perjuicio de las obligaciones legales de conservación, cooperación con autoridades o defensa frente a reclamaciones.

Si BarberBot tiene conocimiento de una violación de seguridad de los datos personales que afecte a información tratada por cuenta del responsable, lo notificará al negocio sin dilación indebida y en un plazo razonable desde que disponga de información suficiente sobre el incidente.

Dicha notificación incluirá, cuando sea posible, la naturaleza de la brecha, las categorías de datos afectadas, el impacto conocido o probable y las medidas adoptadas o propuestas para contenerla, mitigarla o remediarla.

Cuando sea técnicamente posible, BarberBot ayudará al negocio a atender solicitudes de acceso, rectificación, supresión, oposición, limitación o portabilidad que afecten a los datos tratados por cuenta del responsable.

BarberBot también prestará asistencia razonable al responsable ante reclamaciones, requerimientos de autoridades de control, inspecciones o auditorías relacionadas con el tratamiento realizado por cuenta del negocio, dentro de los límites del servicio contratado y de la información de la que disponga el encargado.

Al finalizar la relación, BarberBot procederá al borrado o supresión de los datos asociados a la cuenta conforme al funcionamiento del producto y a lo indicado en la página de eliminación de datos, salvo aquellos que deban conservarse por obligación legal, seguridad o defensa frente a reclamaciones.

Cuando sea técnicamente viable y compatible con la arquitectura del servicio, el responsable podrá solicitar antes de la supresión definitiva una devolución o exportación razonable de la información principal de su cuenta.

Tras la terminación, BarberBot solo conservará los datos mínimos imprescindibles para cumplir obligaciones legales, prevenir fraude, mantener evidencias de cumplimiento, resolver incidencias pendientes o defenderse frente a reclamaciones.