Política de Privacidad
Última actualización: 30 de mayo de 2026
1. Responsable del tratamiento
Conforme al artículo 13 RGPD y artículo 11 LOPDGDD:
| Titular | Ignacio Revuelta Bracero |
| NIF | 48121408A |
| Domicilio | Calle de Cadarso 16, Local, 28008 Madrid (España) |
| Contacto privacidad | privacidad@pawky.io |
| Soporte | soporte@pawky.io |
No se ha designado Delegado de Protección de Datos (DPD) por no concurrir las circunstancias del art. 37 RGPD ni 34 LOPDGDD.
2. Qué es Pawky
Pawky es una plataforma SaaS de gestión integral para negocios de peluquería y estética canina. Permite gestionar clientes, mascotas, citas, facturación electrónica, inventario, empleados, marketing, email y presencia web. Opera principalmente en España, ofreciendo soporte multimoneda para mercados de la Unión Europea, Latinoamérica y Estados Unidos.
3. Datos que recopilamos
3.1 Usuarios profesionales (titular del negocio)
- Datos de registro: nombre, email, contraseña (hasheada con bcrypt)
- Datos del negocio: nombre comercial, razón social, NIF/CIF, dirección fiscal, teléfono, email
- Configuración de pasarelas de pago: claves API cifradas de Stripe, Redsys y/o PayPal
- Configuración de WhatsApp Business API: ID de cuenta, token de acceso (cifrado)
- Clave API de inteligencia artificial (Anthropic Claude, cifrada)
- Configuración de facturación electrónica (Verifactu/AEAT): clave API cifrada
- Si se registra con Google o Microsoft: identificador del proveedor, nombre y email
3.2 Clientes de los negocios (usuarios finales)
- Datos personales: nombre, apellidos, teléfono, email, dirección, NIF/NIE
- Datos de mascotas: nombre, especie, raza, fecha de nacimiento, peso, tamaño, número de chip, tipo de pelo, notas de salud
- Historial: citas, servicios recibidos, notas de peluquería, fotos antes/después
- Datos económicos: facturas, importes, método de pago, puntos de fidelización
- Consentimientos firmados: contenido, firma digital, dirección IP, fecha
- Portal del cliente: credenciales, historial de acceso, preferencia de 2FA
- Si usa login social: identificador de Google, Facebook o Microsoft
3.3 Integración de email (activación voluntaria)
- Tokens OAuth cifrados para Gmail, Outlook, Microsoft 365 o Zoho Mail
- Credenciales IMAP/SMTP cifradas (para cuentas genéricas)
- Contenido de emails sincronizados: remitente, destinatario, asunto, cuerpo, adjuntos (metadatos)
- Análisis de IA opcionales: resumen, sentimiento, etiquetas, respuesta sugerida
4. Finalidad del tratamiento
- Prestación del servicio SaaS de gestión empresarial
- Gestión de citas, clientes, mascotas e historial de servicios
- Facturación, cobros y cumplimiento fiscal (Verifactu/AEAT en España)
- Envío de comunicaciones operativas: confirmaciones de cita, recordatorios, notificaciones post-servicio (WhatsApp, email)
- Campañas de marketing del negocio (solo con consentimiento del cliente final)
- Gestión del programa de fidelización (puntos, recompensas)
- Sincronización de email para gestión centralizada de comunicaciones
- Análisis de emails con inteligencia artificial para resúmenes y sugerencias
- Recomendaciones de IA: sugerencias de citas, análisis de riesgo de no-show, previsión de ingresos, sugerencias de precios
- Autenticación mediante OAuth (Google, Microsoft, Facebook)
- Generación de página web pública del negocio con reserva online
- Portal del cliente con gestión de citas (cancelación, cambio)
5. Base jurídica
- Art. 6.1.b RGPD: Ejecución del contrato SaaS entre Pawky y el usuario profesional
- Art. 6.1.a RGPD: Consentimiento para integraciones opcionales (email, IA, marketing)
- Art. 6.1.c RGPD: Cumplimiento de obligaciones legales y fiscales
- Art. 6.1.f RGPD: Interés legítimo para seguridad, prevención de fraude y mejora del servicio
- Art. 28 RGPD: Relación encargado-responsable entre Pawky (encargado) y el negocio (responsable) para los datos de los clientes finales
6. Uso de la API de Google (Limited Use Disclosure)
El uso y la transferencia a cualquier otra aplicación de la información recibida de las APIs de Google se adhiere a la Google API Services User Data Policy, incluidos los requisitos de Uso Limitado (Limited Use).
Específicamente, Pawky:
- Solo accede a los datos de Gmail que el usuario autoriza explícitamente (scopes:
gmail.readonly,gmail.send) - Usa los datos exclusivamente para mostrar y gestionar emails dentro de la plataforma Pawky
- No vende, comparte ni transfiere datos de Gmail a terceros, excepto cuando sea necesario para proporcionar el servicio o cumplir la ley
- No usa datos de Gmail para publicidad ni para perfilar usuarios
- Permite al usuario revocar el acceso en cualquier momento desde la sección de Email del panel de control
- Los tokens OAuth se almacenan cifrados con AES-256-CBC y no se exponen en logs ni respuestas de la API
- El análisis con IA solo se realiza cuando el usuario hace clic explícitamente en "Analizar con IA", no de forma automática
7. Destinatarios y subencargados del tratamiento
Los datos pueden ser tratados por los siguientes terceros (subencargados), según los servicios que el usuario active:
Infraestructura
| Hetzner Online GmbH | Alojamiento de servidores — Alemania (UE) |
Pagos (si el negocio los configura)
| Stripe Payments Europe Ltd | Procesamiento de pagos con tarjeta — Irlanda (UE) |
| Redsys Servicios de Procesamiento S.L. | TPV virtual bancario — España (UE) |
| PayPal (Europe) S.à r.l. | Procesamiento de pagos — Luxemburgo (UE) |
Comunicaciones (si el negocio las configura)
| Meta Platforms (WhatsApp Business API) | Envío de mensajes WhatsApp — EE.UU./UE (cláusulas tipo) |
| Google LLC (Gmail API) | Sincronización de email — EE.UU. (cláusulas tipo + DPF) |
| Microsoft Corporation (Graph API) | Sincronización de email Outlook/M365 — EE.UU. (cláusulas tipo + DPF) |
Inteligencia artificial (si el negocio la activa)
| Anthropic PBC (API Claude) | Análisis y generación de texto con IA — EE.UU. (cláusulas tipo) |
Fiscal (España)
| Verifacti (AEAT) | Envío de facturas a la Agencia Tributaria — España (UE) |
Autenticación
| Google OAuth 2.0 | Inicio de sesión con Google |
| Microsoft OAuth 2.0 | Inicio de sesión con Outlook/M365 |
| Facebook OAuth | Inicio de sesión con Facebook (portal de clientes) |
Recursos externos
| Google Fonts | Tipografía Plus Jakarta Sans — No establece cookies, solo descarga de fuentes |
| Google Maps (Places API) | Autocompletado de direcciones — Solo datos introducidos por el usuario |
No vendemos ni compartimos datos personales con terceros para fines de marketing. Las transferencias internacionales fuera del EEE se realizan con garantías adecuadas: cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea y/o certificación Data Privacy Framework (DPF).
8. Conservación de datos
| Cuenta de usuario | Mientras la cuenta esté activa |
| Datos de clientes/mascotas | Mientras exista la relación comercial con el negocio |
| Facturas y datos fiscales | 4 años (Ley General Tributaria) / 6 años (Código de Comercio) cuando aplique |
| Emails sincronizados | Mientras la integración esté activa. Se eliminan al desconectar la cuenta |
| Consentimientos firmados | 5 años desde la firma (prueba del consentimiento, art. 7.1 RGPD) |
| Cookies de sesión | 120 minutos de inactividad |
| Al cancelar cuenta | Datos eliminados en 30 días, excepto los requeridos legalmente |
9. Derechos del interesado
Conforme al RGPD (artículos 15-22) y LOPDGDD, puedes ejercer los siguientes derechos:
- Acceso (art. 15): Obtener confirmación y copia de tus datos
- Rectificación (art. 16): Corregir datos inexactos
- Supresión (art. 17): Solicitar la eliminación de tus datos (la plataforma incluye función de anonimización)
- Limitación (art. 18): Restringir el tratamiento en determinadas circunstancias
- Portabilidad (art. 20): Recibir tus datos en formato JSON (la plataforma incluye función de exportación)
- Oposición (art. 21): Oponerse al tratamiento basado en interés legítimo
- No ser objeto de decisiones automatizadas (art. 22): Las funciones de IA son orientativas y no toman decisiones sin intervención humana
Para ejercer estos derechos: privacidad@pawky.io. Adjuntar copia del DNI o equivalente. Responderemos en el plazo máximo de un mes conforme al art. 12 RGPD.
Si consideras vulnerados tus derechos puedes reclamar ante la autoridad de control competente:
- España: Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid
- Tu país de residencia (UE): autoridad supervisora local según art. 77 RGPD
10. Medidas de seguridad
En cumplimiento del art. 32 RGPD, aplicamos las siguientes medidas técnicas y organizativas:
- Cifrado en tránsito: TLS 1.2/1.3 (HTTPS obligatorio, HSTS habilitado)
- Cifrado en reposo: tokens OAuth, claves API y contraseñas IMAP cifradas con AES-256-CBC (Laravel Crypt)
- Contraseñas: hasheadas con bcrypt (no almacenadas en texto plano)
- Headers de seguridad: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy
- Protección CSRF en todos los formularios y peticiones AJAX
- Rate limiting: 5 intentos/min en login, 120 req/min general, 3 registros/hora
- Autenticación de dos factores (TOTP) disponible para cuentas de clientes
- Verificación de firma en webhooks de pago (Stripe HMAC, Redsys HMAC-SHA256)
- Sanitización de HTML en emails recibidos (prevención XSS)
- Acceso a servidores restringido por clave SSH, sin acceso por contraseña
- Copias de seguridad cifradas y separadas geográficamente
11. Cookies
Pawky usa exclusivamente cookies técnicas necesarias para el funcionamiento. No usamos cookies de seguimiento, publicidad ni analítica de terceros. Consulta nuestra Política de Cookies completa.
12. Brechas de seguridad
En caso de brecha de seguridad que afecte a datos personales, notificaremos a la AEPD en un plazo máximo de 72 horas (art. 33 RGPD) y a los interesados afectados sin demora indebida cuando el riesgo sea alto (art. 34 RGPD).
13. Modificaciones
Esta política puede actualizarse. Los cambios significativos se notificarán por email al menos 30 días antes de su entrada en vigor. La versión vigente siempre estará disponible en esta URL.