Naar inhoud
StippaStippa
FuncionesPreciosPreguntas frecuentesContacto
Iniciar sesiónEmpezar

Política de privacidad

Última actualización: 21 de junio de 2026

1. ¿Quiénes somos?

De Rechter Software (en adelante: "nosotros", "nos" o "Stippa") es responsable del tratamiento de los datos personales tal como se describe en esta política de privacidad.

  • De Rechter Software (que opera bajo el nombre comercial Stippa), empresario individual (eenmanszaak conforme al Derecho neerlandés)
  • Molenwater 20, 4511 BN Breskens, Países Bajos
  • Número de registro mercantil (KvK): 98466402
  • Número de IVA/NIF: NL005332100B80
  • Correo electrónico: support@stippa.nl (o support@derechtersoftware.nl)

Desempeñamos dos roles. Respecto de los datos de nuestros titulares de cuenta (las empresas que utilizan Stippa) y de sus empleados, actuamos como responsable del tratamiento. Respecto de los datos personales de los clientes finales que un titular de cuenta gestiona a través de Stippa, actuamos como encargado del tratamiento: el titular de la cuenta determina la finalidad y es el responsable del tratamiento, y nosotros tratamos dichos datos exclusivamente en nombre y por cuenta del titular de la cuenta. Las condiciones aplicables se recogen en nuestro contrato de encargo de tratamiento.

2. ¿Qué datos recopilamos?

Tratamos las siguientes categorías de datos personales:

  • Nombre y dirección de correo electrónico (en el registro y la gestión de citas)
  • Número de teléfono (opcional, para mensajes de recordatorio)
  • Datos de la cita (fecha, hora, servicio, empleado, notas)
  • Información de pago (tratada a través de Stripe; no almacenamos los datos completos de la tarjeta)
  • Datos técnicos (dirección IP, tipo de navegador, registros de uso)
  • Datos de Google Calendar (únicamente cuando un empleado vincula su agenda de Google; véase la sección 6 para la explicación completa)

3. ¿Para qué utilizamos sus datos y sobre qué base jurídica?

Tratamos cada dato para una finalidad concreta y sobre una base jurídica específica del artículo 6 del RGPD:

  • Programar, gestionar y confirmar citas; base jurídica: ejecución del contrato.
  • Enviar recordatorios y notificaciones; base jurídica: ejecución del contrato.
  • Procesar pagos; base jurídica: ejecución del contrato y cumplimiento de una obligación legal (fiscal).
  • Sincronizar citas con agendas externas (Google Calendar, iCal); base jurídica: su consentimiento expreso, que puede retirar en cualquier momento.
  • Asegurar, mantener y mejorar el servicio, incluidos el análisis de producto y la prevención del fraude; base jurídica: nuestro interés legítimo en ofrecer un servicio seguro y utilizable. Ponderamos este interés frente a su privacidad y limitamos el tratamiento a lo que resulte necesario para ello.
  • Cumplir obligaciones legales; base jurídica: obligación legal.

4. Comunicación a terceros

Comunicamos sus datos exclusivamente a encargados del tratamiento estrictamente necesarios para la prestación de nuestro servicio:

  • Supabase Inc. para el alojamiento de la base de datos (alojado en la UE)
  • Vercel Inc. para el alojamiento de la aplicación web
  • Upstash, Inc. para la limitación de tasa y la prevención de abusos (tratamiento temporal de direcciones IP)
  • Cloudflare, Inc. para la protección anti-bots/abusos (Turnstile)
  • Sentry (Functional Software, Inc.) para la monitorización de errores y la estabilidad
  • Inngest, Inc. para la ejecución de tareas en segundo plano (p. ej. recordatorios)
  • Grafana Labs para la gestión de registros (Loki; solo si está habilitado)
  • Stripe Payments Europe Ltd. y Mollie B.V. para el procesamiento de pagos (Mollie alojado en la UE)
  • Resend, Inc. para el envío de correos transaccionales (confirmaciones, recordatorios, notificaciones)
  • Twilio Inc. / WhatsApp Business para servicios de mensajería (opcional)
  • PostHog para la analítica de producto; en nuestro sitio web de marketing únicamente previo consentimiento prestado a través del banner de cookies, y dentro de la aplicación para titulares de cuenta con el fin de mejorar el servicio; los datos se tratan en servidores ubicados en la UE; véase la sección 10

Las siguientes integraciones solo se activan cuando usted o un miembro del personal las conecta: Google LLC para la sincronización de agenda (véase la sección 6) y Moneybird B.V. para una integración contable.

Nunca vendemos sus datos a terceros. En la medida en que se transfieran datos personales a subencargados del tratamiento situados fuera del Espacio Económico Europeo (incluidos los Estados Unidos, como en el caso de Stripe, Google, Vercel, Resend, Sentry, Cloudflare, Upstash o Inngest), dicha transferencia se basa principalmente en el Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework) (decisión de adecuación de la Comisión Europea de 10 de julio de 2023) para las entidades certificadas conforme al mismo. Como garantía adicional o subsidiaria se aplican las cláusulas contractuales tipo de la Comisión Europea (Standard Contractual Clauses, Decisión de Ejecución (UE) 2021/914).

5. Base jurídica del tratamiento

Como se explica en la sección 3, tratamos sus datos sobre la base de la ejecución de un contrato, un interés legítimo, una obligación legal o su consentimiento expreso. Cuando nos basamos en el consentimiento, puede retirarlo en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.

6. Integración con Google Calendar

Stippa ofrece a los empleados la posibilidad de vincular su agenda de Google mediante Google OAuth 2.0. Las disposiciones siguientes explican a qué datos de usuario de Google accedemos, cómo los usamos, con quién los compartimos, cómo los almacenamos y protegemos, y cómo puede retirar su consentimiento.

6.1 ¿A qué datos de Google accedemos?

Cuando usted o un empleado de su organización opta por vincular una agenda de Google, solicitamos únicamente el siguiente ámbito (scope) de OAuth: https://www.googleapis.com/auth/calendar.events.readonly. Se trata de un permiso de solo lectura; con este consentimiento Stippa no puede crear, modificar ni eliminar eventos en su agenda de Google. Con dicho consentimiento accedemos a:

  • La dirección de correo electrónico de la cuenta de Google vinculada (únicamente para mostrarla en el panel, de modo que el empleado vea qué cuenta está vinculada);
  • Las horas de inicio y fin, el estado y el identificador único de los eventos de la agenda principal de la cuenta de Google vinculada, dentro de una ventana de 90 días a partir del momento actual;
  • No leemos títulos, descripciones, ubicaciones ni datos de invitados de su agenda de Google existente, únicamente si un intervalo de tiempo está ocupado.

6.2 ¿Cómo utilizamos estos datos?

Los datos se utilizan exclusivamente para mostrar en Stippa los intervalos de tiempo ocupados de su agenda de Google, a fin de evitar reservas duplicadas. Stippa no escribe eventos en su agenda de Google; las citas que usted gestiona en Stippa permanecen únicamente en Stippa.

6.3 ¿Con quién compartimos estos datos?

No compartimos los datos de usuario de Google con ningún tercero. Los tokens y los datos de la agenda se utilizan únicamente para comunicarse con las API de Google en nombre del usuario vinculado. Nunca utilizamos los datos de usuario de Google con fines publicitarios ni para ninguna finalidad distinta de las descritas en esta política de privacidad.

6.4 ¿Cómo almacenamos y protegemos estos datos?

Los tokens de acceso y de actualización (access y refresh tokens) de OAuth se cifran con AES-256-GCM antes de su almacenamiento. Toda la comunicación con las API de Google se realiza a través de TLS 1.2 o superior. La base de datos está alojada dentro de la Unión Europea. El acceso a los tokens se limita a los procesos automatizados de sincronización; los tokens nunca son consultados por empleados de De Rechter Software.

6.5 Plazo de conservación y supresión

Conservamos los datos de usuario de Google mientras el empleado mantenga su agenda de Google vinculada a Stippa. Cuando la vinculación se deshace a través de Stippa (Panel, Empleados, pestaña "Sincronización de agenda", "Desvincular"):

  • los tokens y los tiempos de ocupación se eliminan de inmediato de nuestra base de datos;
  • se detiene el canal de notificaciones push de Google para dicha vinculación;
  • no se recuperan más datos de Google.

También puede retirar el acceso en cualquier momento a través de su cuenta de Google en myaccount.google.com/permissions. Además, puede presentar una solicitud de supresión a través de support@stippa.nl; tramitaremos dicha solicitud en un plazo de 30 días.

6.6 Uso limitado, publicidad y entrenamiento de IA/ML

El uso y la transferencia por parte de Stippa de los datos obtenidos de las API de Google a cualquier otra aplicación se ajustan a la Política de datos de usuario de los Servicios de la API de Google, incluidos los requisitos de Uso Limitado (Limited Use).

No utilizamos los datos obtenidos a través de las API de Google Workspace para desarrollar, mejorar o entrenar modelos genéricos de inteligencia artificial (IA) o de aprendizaje automático (ML). Tampoco transferimos dichos datos a terceros con esa finalidad. Los datos de usuario de Google no se utilizan para mostrar publicidad.

7. Plazos de conservación

Los datos personales se conservan durante el tiempo necesario para la finalidad para la que fueron recopilados, o durante el tiempo legalmente exigido:

  • Datos de citas y de clientes: por defecto, 2 años desde la última cita;
  • Datos relacionados con pagos: 7 años (obligación legal de conservación fiscal);
  • Tokens y datos de sincronización de Google Calendar: hasta que se deshaga la vinculación (véase la sección 6.5);
  • Archivos de registro técnicos: máximo 90 días;
  • Registros de auditoría de modificaciones en el panel: 2 años, por motivos de seguridad y cumplimiento.

8. Sus derechos

Usted tiene derecho a:

  • Acceder a sus datos personales
  • Rectificar o completar datos inexactos
  • Suprimir sus datos ("derecho al olvido")
  • Limitar el tratamiento
  • Portabilidad de los datos
  • Oponerse al tratamiento basado en el interés legítimo
  • Retirar el consentimiento prestado con anterioridad (como en la vinculación de una agenda externa), sin que ello afecte a la licitud del tratamiento anterior

Puede dirigir sus solicitudes a support@stippa.nl. Responderemos en un plazo de 30 días. Para evitar usos indebidos, podremos solicitarle que acredite su identidad. Si un titular de cuenta trata sus datos en condición de cliente final, puede dirigir su solicitud a dicho titular; nosotros, como encargado del tratamiento, prestaremos la colaboración necesaria.

9. Seguridad

Adoptamos medidas técnicas y organizativas apropiadas para proteger sus datos, entre ellas:

  • Cifrado de los datos en tránsito (TLS 1.2 o superior) y en reposo;
  • Cifrado de tokens sensibles (como los tokens de acceso y de actualización de OAuth) con AES-256-GCM antes de su almacenamiento;
  • Control de acceso basado en roles con seguridad a nivel de fila (row-level security) en la base de datos;
  • Evaluaciones de seguridad periódicas y registro de los accesos;
  • Un procedimiento de notificación de violaciones de seguridad de los datos a los interesados y a la autoridad de control competente conforme al RGPD.

10. Cookies y análisis

Utilizamos cookies funcionales y almacenamiento local que son estrictamente necesarios para el funcionamiento del servicio (gestión de la sesión, estado de inicio de sesión y preferencias). Estos se instalan siempre y no pueden desactivarse, dado que el servicio no funciona sin ellos.

En nuestro sitio web público de marketing utilizamos además PostHog para el análisis de producto, con el fin de comprender cómo utilizan el sitio web los visitantes y de mejorarlo. Este análisis se realiza únicamente después de que usted haya prestado su consentimiento a través del banner de cookies que aparece en su primera visita. El banner ofrece la posibilidad de rechazar el análisis de forma tan accesible como la de aceptarlo, conforme a la guía sobre el uso de cookies de la Agencia Española de Protección de Datos (AEPD). Si lo rechaza, o no realiza ninguna acción, no se llevará a cabo ningún análisis. Puede cambiar su elección en cualquier momento borrando la preferencia guardada en su navegador.

Dentro de la aplicación, una vez iniciada la sesión, utilizamos PostHog para el análisis de producto a nivel de cuenta (como qué funciones se utilizan), sobre la base de nuestro interés legítimo en mejorar el servicio. En este entorno no se realiza grabación de sesiones, ni registro de mapas de calor (heatmaps), ni registro automático de clics. Durante las sesiones de administración (suplantación por parte del soporte) el análisis se desactiva por completo.

Además, a través de Vercel Speed Insights recopilamos datos de rendimiento anonimizados (como tiempos de carga, tipo de navegador, tipo de dispositivo y país a nivel de país) para supervisar y mejorar la velocidad y la fiabilidad de la aplicación. En este caso no se instalan cookies ni se almacenan datos personales ni direcciones IP; los datos no permiten identificar a un visitante individual. Por ello, no se requiere consentimiento; el tratamiento se basa en nuestro interés legítimo.

Todos los datos de análisis se tratan en servidores ubicados dentro de la Unión Europea. No utilizamos cookies publicitarias ni compartimos datos con redes publicitarias.

11. Menores

Nuestro servicio no está destinado al uso por parte de personas menores de 16 años. No recopilamos conscientemente datos personales de menores de 16 años. Si sospecha que hemos recopilado dichos datos, póngase en contacto con nosotros para que podamos suprimirlos.

12. Decisiones automatizadas

No utilizamos decisiones automatizadas ni elaboración de perfiles que produzcan efectos jurídicos en usted o le afecten significativamente de modo similar.

13. Reclamaciones

¿Tiene alguna reclamación sobre cómo tratamos sus datos? Póngase en contacto con nosotros a través de support@stippa.nl. Si se encuentra en España, también tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) a través de aepd.es. Con carácter general, puede presentar una reclamación ante la autoridad de control de su Estado miembro de residencia. La autoridad de control del responsable del tratamiento es la Autoridad de Protección de Datos neerlandesa (Autoriteit Persoonsgegevens), autoriteitpersoonsgegevens.nl.

14. Modificaciones

Podemos actualizar esta política de privacidad de vez en cuando. La versión más reciente está siempre disponible en esta página. En caso de modificaciones sustanciales, le informaremos por correo electrónico o mediante un aviso en la aplicación.

StippaStippa

Gestión de citas, sin complicaciones.

Para quién

  • Para peluquerías
  • Centros de estética
  • Fisioterapeutas
  • Coaches
  • Entrenadores personales

Funciones

  • Widget de reservas
  • Pagos online
  • Recordatorios
  • Prevención de no-shows
  • Agenda online
  • Gestión de clientes

Producto

  • Funciones
  • Precios
  • Preguntas frecuentes
  • Contacto

Legal

  • Política de privacidad
  • Condiciones de servicio
  • Acuerdo de tratamiento de datos

© 2026 Stippa. Todos los derechos reservados.

De Rechter Software · Molenwater 20, 4511 BN Breskens · KvK 98466402 · btw NL005332100B80

······