Política de Privacidad y Contrato de Encargado del Tratamiento (DPA) – Eskedula Booking

Última revisión: 23/09/2025

Índice

Responsable del tratamiento
Ámbito y roles (Responsable/Encargado)
Datos personales que tratamos
Finalidades del tratamiento
Base jurídica
Destinatarios, subencargados y comunicaciones
Transferencias internacionales
Plazos de conservación
Derechos de las personas
Medidas de seguridad
Cookies
Contacto en materia de privacidad
Contrato de Encargado de Tratamiento (DPA)
Partes e identificación
Objeto y duración
Naturaleza del tratamiento y categorías
Obligaciones del Encargado (Eskedula Booking)
Subencargados autorizados
Transferencias y garantías
Obligaciones del Responsable (cliente)
Seguridad y gestión de brechas
Atención de derechos y cooperación
Destino de los datos al finalizar
Auditoría y verificación
Responsabilidad y jurisdicción

1. Responsable del tratamiento

El responsable del tratamiento de los datos es Javier Asenjo, NIF 44151205Z, actuando bajo el nombre comercial “Eskedula Booking”, con domicilio en Doctor Claudio Delgado 1, 20001 Donostia – San Sebastián (Gipuzkoa, España), correo eskedula@eskedula.es y teléfono 943 279 983.

2. Ámbito y roles (Responsable/Encargado)

Usuarios del SaaS (negocios y sus empleados): Eskedula Booking actúa como Responsable respecto a estos datos (gestión de cuentas, soporte, facturación).
Clientes finales de cada negocio: cada negocio es Responsable de sus clientes y Eskedula Booking actúa como Encargado según el DPA incluido en este documento.

3. Datos personales que tratamos

Usuarios (negocios): nombre y apellidos, datos de contacto, empresa, facturación, credenciales y roles.
Empleados/autorizados: nombre, apellidos, email, permisos y trazabilidad de acciones.
Clientes finales del negocio: nombre, contacto, citas, servicios, compras y notas internas.
Datos técnicos: IP, dispositivo/navegador, registros de acceso y uso.
Pagos de suscripción: gestionados íntegramente por Stripe; Eskedula Booking no almacena datos de tarjeta.

4. Finalidades del tratamiento

Prestar, mantener y mejorar el servicio SaaS.
Gestionar cuentas, facturación y cobros.
Seguridad y trazabilidad (logs de actividad).
Envío de notificaciones operativas y recordatorios de citas a clientes finales en nombre del negocio.
Estadística y analítica (incluida IA) para informes de negocio.
Atención al cliente y cumplimiento de obligaciones legales.

Analítica avanzada e inteligencia artificial (IA)

Eskedula ofrece funcionalidades de análisis avanzado e inteligencia artificial basadas en los datos que el propio negocio va generando en la plataforma (reservas, servicios, ventas, etc.).

Para realizar un análisis, el usuario debe pulsar de forma expresa el botón “análisis con IA” y seleccionar el tipo de análisis que desea respecto a los datos que tiene en pantalla.
Los datos que se envían al proveedor de IA se pseudonimizan o anonimizan de forma que no se identifica directamente al negocio ni a las personas usuarias, limitándose al contexto necesario para generar el análisis solicitado.
Las respuestas de la IA tienen carácter orientativo y no constituyen asesoramiento profesional, fiscal, laboral o contable.

No se adoptan decisiones automatizadas con efectos jurídicos o significativos para las personas; el usuario conserva en todo momento el control sobre la toma de decisiones.

Eskedula podrá enviar a los usuarios comunicaciones comerciales y boletines electrónicos relacionados con sus servicios únicamente cuando exista una base jurídica adecuada:

Consentimiento expreso: al marcar las casillas correspondientes durante el registro o al suscribirse al boletín, el usuario autoriza el envío de comunicaciones comerciales por correo electrónico u otros medios electrónicos equivalentes.
Relación contractual previa: en el caso de clientes, Eskedula podrá remitir comunicaciones sobre servicios propios similares a los contratados, de conformidad con el artículo 21.2 de la LSSI, siempre ofreciendo la posibilidad de oponerse.

En cualquier momento el usuario podrá revocar el consentimiento o oponerse al tratamiento con fines de marketing mediante los siguientes mecanismos:

Haciendo clic en el enlace de baja (“unsubscribe”) incluido en cada comunicación.
Remitiendo una solicitud a eskedula@eskedula.es.

Eskedula podrá realizar segmentaciones básicas de sus listas de usuarios (por ejemplo, en función del plan contratado o el uso del servicio) con el único fin de adaptar mejor las comunicaciones. En ningún caso se adoptarán decisiones automatizadas con efectos jurídicos o significativos para el interesado.

5. Base jurídica

Ejecución del contrato (art. 6.1.b RGPD): prestación del SaaS y soporte.
Interés legítimo (art. 6.1.f): seguridad, mejora del servicio, analítica agregada.
Obligación legal (art. 6.1.c): contabilidad y fiscalidad.
Consentimiento (art. 6.1.a): comunicaciones comerciales opcionales.

La elaboración de estadísticas agregadas y la anonimización de datos para mejorar el servicio y la experiencia de uso se basan en el interés legítimo de Eskedula Booking, aplicando siempre técnicas que impiden la identificación de personas físicas.

6. Destinatarios, subencargados y comunicaciones

No se ceden datos a terceros salvo obligación legal o necesidad para prestar el servicio. La infraestructura principal de la plataforma se aloja en servidores propios ubicados en España, gestionados directamente por Eskedula Booking.

Adicionalmente, se utilizan proveedores como servicios de correo electrónico, copias de seguridad externas (si aplica), Stripe (pagos) y OpenAI (analítica/IA), que actúan como subencargados bajo contrato y con garantías RGPD.

7. Transferencias internacionales

Cuando un proveedor trate datos fuera del EEE, Eskedula Booking aplicará Cláusulas Contractuales Tipo (SCC) u otros mecanismos del RGPD para garantizar un nivel adecuado de protección.

8. Plazos de conservación

Datos de cuenta mientras dure la relación.
Tras la baja, se bloquean y conservan por plazos legales (hasta 5 años de forma general).
Cuentas gratuitas inactivas podrán eliminarse previa notificación.
Las copias de seguridad cifradas de las bases de datos se conservan durante un máximo de 30 días, tras los cuales se sobrescriben conforme a los ciclos técnicos de backup establecidos.

Cuando se solicita la supresión de datos personales, estos se eliminan de los sistemas activos y, en su caso, quedarán únicamente en copias de seguridad cifradas hasta su eliminación definitiva al completar el ciclo de 30 días.

9. Derechos de las personas

Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones automatizadas escribiendo a eskedula@eskedula.es. También puedes reclamar ante la AEPD.

10. Medidas de seguridad

Control de accesos y roles, contraseñas cifradas.
Firewalls, monitoreo y detección de intrusiones.
Copias de seguridad periódicas y registro de actividad.
Principios de minimización y privacidad desde el diseño.

El personal de soporte solo accede a datos de clientes cuando es necesario para resolver una incidencia o prestar asistencia solicitada por el usuario.

11. Cookies

La plataforma utiliza cookies técnicas necesarias y, con tu consentimiento, cookies de analítica. Más información en la Política de Cookies.

12. Contacto en materia de privacidad

Email: eskedula@eskedula.es
Dirección: Doctor Claudio Delgado 1, 20001 Donostia – San Sebastián (Gipuzkoa, España)
Teléfono: 943 279 983

Contrato de Encargado de Tratamiento (DPA)

Este DPA forma parte integrante de las Condiciones de Uso y se acepta electrónicamente en el alta del servicio, conforme al art. 28 RGPD.

1. Partes e identificación

Responsable del tratamiento: el negocio que usa la plataforma y decide sobre los datos de sus clientes.
Encargado del tratamiento: Javier Asenjo (NIF 44151205Z), “Eskedula Booking”, domicilio: Doctor Claudio Delgado 1, 20001 Donostia – San Sebastián.

2. Objeto y duración

El Responsable encarga al Encargado el tratamiento de datos personales necesarios para prestar el servicio de gestión de reservas, clientes, servicios, ventas y comunicaciones. Vigencia: mientras dure la relación contractual. Tras su finalización, se aplicará lo dispuesto en la cláusula “Destino de los datos”.

3. Naturaleza del tratamiento y categorías

Operaciones: recogida, registro, organización, conservación, consulta, comunicación (recordatorios), supresión.
Datos: identificativos (nombre, apellidos), contacto (email, teléfono), citas, servicios, compras y notas.
Interesados: clientes finales del Responsable; usuarios autorizados del Responsable.
No se prevén categorías especiales salvo que el Responsable lo habilite con base legal suficiente; en tal caso asume sus obligaciones reforzadas.

4. Obligaciones del Encargado (Eskedula Booking)

Tratar los datos solo conforme a instrucciones documentadas del Responsable.
Garantizar la confidencialidad y la formación de su personal autorizado.
Aplicar medidas técnicas y organizativas adecuadas (art. 32 RGPD).
Asistir al Responsable en el ejercicio de derechos y cumplimiento (arts. 15 a 22, 32 a 36 RGPD).
Notificar sin dilación indebida las violaciones de seguridad que afecten a los datos encargados.
Suprimir o devolver los datos al finalizar la prestación, según indicaciones del Responsable, salvo obligación legal de conservación.
Poner a disposición la información necesaria y permitir auditorías razonables que no interfieran gravemente con las operaciones.

5. Subencargados autorizados

El Responsable autoriza el uso de subencargados necesarios para la prestación, imponiéndoles obligaciones equivalentes:

Infraestructura/hosting en la UE.
Correo y backups.
Stripe (pagos de suscripción).
OpenAI (procesamiento de lenguaje/análisis IA).
Otros proveedores técnicos equivalentes que se incorporen, manteniendo garantías RGPD.

6. Transferencias y garantías

Se realizarán solo cuando sean necesarias y con garantías adecuadas conforme a los arts. 44–49 RGPD (SCC u otros mecanismos), informando al Responsable cuando corresponda.

7. Obligaciones del Responsable (cliente)

Contar con base legal para tratar los datos de sus clientes en la plataforma.
Informar a los interesados de que utiliza Eskedula Booking como proveedor (encargado).
No introducir datos ilícitos ni categorías especiales sin garantías y consentimiento cuando proceda.
Custodiar credenciales y notificar incidentes de seguridad.

8. Seguridad y gestión de brechas

Eskedula Booking notificará al Responsable las violaciones de seguridad relevantes respecto de los datos encargados y colaborará para su documentación y, en su caso, notificación a la AEPD/interesados.

9. Atención de derechos y cooperación

Si un interesado se dirige directamente a Eskedula Booking en relación con sus derechos, la solicitud se remitirá al Responsable y se le prestará asistencia razonable.

10. Destino de los datos al finalizar

En un plazo máximo de 60 días desde la terminación, el Encargado suprimirá o devolverá los datos al Responsable (a elección de este), salvo obligación legal de conservación. Los respaldos se corregirán conforme a los ciclos de borrado seguro.

Cualquier restauración de copias de seguridad que implique datos personales encargados se realizará únicamente a petición del Responsable (o cuando sea estrictamente necesaria para la continuidad del servicio) y quedará documentada a efectos de trazabilidad.

Las copias de seguridad cifradas se conservan durante un máximo de 30 días, conforme a los ciclos técnicos establecidos, tras lo cual son sobrescritas de forma automática.

11. Auditoría y verificación

El Responsable podrá auditar de forma razonable y con preaviso, sin interferir gravemente con la actividad del Encargado. Los costes extraordinarios podrán repercutirse.

12. Responsabilidad y jurisdicción

Cada parte responde de los daños y sanciones causados por el incumplimiento de sus obligaciones.
Ley aplicable: España. Jurisdicción: Juzgados y Tribunales de Donostia – San Sebastián, salvo norma imperativa en contrario.

Anexo I – Subencargados del tratamiento

Para la prestación del servicio, Eskedula utiliza a los siguientes subencargados, que actúan en calidad de proveedores tecnológicos:

Proveedor	Servicio	Ubicación	Garantías RGPD
Stripe Payments Europe Ltd.	Pasarela de pagos	Irlanda / EE.UU.	SCC + Binding Corporate Rules
Google Ireland Ltd.	Analítica web (GA4)	Unión Europea / EE.UU.	SCC + configuración de anonimización de IP
OpenAI Ireland Ltd.	Procesamiento de datos de negocio para funcionalidades de IA	Unión Europea / EE.UU.	SCC + medidas adicionales de seguridad
Tawk.to Inc.	Soporte en tiempo real mediante chat embebido	Estados Unidos	SCC + compromisos contractuales de privacidad

Eskedula podrá actualizar este listado cuando incorpore nuevos proveedores, notificándolo a los clientes en el panel de control y actualizando esta sección.

Anexo II – Medidas técnicas y organizativas de seguridad

Eskedula aplica las siguientes medidas, de acuerdo con el artículo 32 del RGPD:

Cifrado de contraseñas con algoritmos hash robustos y cifrado TLS 1.2+ en todas las comunicaciones.
Cifrado en reposo de las bases de datos y copias de seguridad.
Control de accesos mediante usuarios individualizados, roles y autenticación multifactor para personal con acceso a sistemas críticos.
Segregación de entornos (desarrollo, pruebas, producción) para evitar accesos indebidos a datos reales.
Gestión de vulnerabilidades y actualizaciones periódicas de sistemas, frameworks y librerías.
Registro de accesos y auditorías con logs de seguridad en sistemas y bases de datos.
Backups diarios encriptados, con retención definida y pruebas de restauración periódicas.
Hardening de servidores y firewall perimetral.
Política de acceso a soporte: el personal de soporte accede a datos de clientes solo bajo petición documentada y con registro de actividad.
Pruebas de seguridad y monitorización proactiva de incidentes.