Política de privacidad
Última actualización: abril de 2026
1. Responsable del tratamiento
El Responsable del Tratamiento de los datos personales recogidos a través de OnRuly es:
- Razón social: OnRuly
- Domicilio social: Navarcles, 08270 Barcelona, España
- Email de contacto: support@onruly.com
2. Datos que recogemos
Recogemos los siguientes tipos de datos según el rol del usuario:
a) Datos del Negocio (usuario registrado)
- Nombre del negocio, nombre legal y NIF (para facturación).
- Email y contraseña (almacenada cifrada con bcrypt).
- Datos de configuración del panel (horarios, servicios, personal).
- Dirección IP y logs de acceso técnicos.
b) Datos de clientes finales del Negocio
- Nombre, email y teléfono introducidos por el Negocio.
- Historial de citas, preferencias y notas internas.
- Fecha de nacimiento y género (opcionales).
Nota: Para los datos de clientes finales, el Negocio actúa como Responsable y OnRuly como Encargado del Tratamiento conforme al art. 28 RGPD. El Negocio es responsable de obtener el consentimiento de sus clientes.
3. Finalidad y base legal del tratamiento
| Finalidad | Base legal (RGPD) |
|---|---|
| Prestación del servicio de gestión de citas | Art. 6.1.b — ejecución del contrato |
| Envío de recordatorios automáticos a clientes del Negocio | Art. 6.1.b — ejecución del contrato con el Negocio |
| Comunicaciones de servicio (facturas, avisos de cuenta, trial) | Art. 6.1.b — ejecución del contrato |
| Mejora del producto y detección de errores técnicos | Art. 6.1.f — interés legítimo |
| Envío de campañas de marketing del Negocio a sus clientes | Art. 6.1.a — consentimiento del cliente final (obtenido por el Negocio) |
4. Conservación de los datos
- Los datos del Negocio se conservan mientras la cuenta esté activa.
- Tras la cancelación o solicitud de baja, los datos se eliminan en un plazo máximo de 30 días, salvo obligación legal de conservación (ej. obligaciones fiscales: 5 años).
- Los datos de clientes finales se eliminan conjuntamente con los datos del Negocio.
- Los logs técnicos se conservan durante un máximo de 12 meses.
5. Destinatarios y transferencias internacionales
No vendemos ni cedemos datos personales a terceros con fines comerciales. Únicamente los compartimos con proveedores de infraestructura necesarios para la prestación del servicio, bajo acuerdos de encargado del tratamiento conformes al RGPD:
- Hosting y base de datos: Fly.io (servidores en la UE)
- Envío de emails transaccionales: Hostinger (cumple RGPD)
- Pagos de citas (opcional): Stripe, Inc. — transferencia cubierta por cláusulas contractuales tipo (SCCs)
Si algún proveedor implica transferencias fuera del EEE, se garantizan mediante las salvaguardas adecuadas previstas en el art. 46 RGPD (decisión de adecuación o cláusulas contractuales tipo).
6. Tus derechos
Como Responsable o usuario del Negocio, puedes ejercer en cualquier momento los siguientes derechos escribiendo a support@onruly.com:
Acceso
Conocer qué datos tuyos tratamos
Rectificación
Corregir datos inexactos o incompletos
Supresión
Solicitar el borrado de tus datos
Oposición
Oponerte a determinados tratamientos
Limitación
Restringir el tratamiento en ciertos casos
Portabilidad
Recibir tus datos en formato estructurado
También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).
El Negocio que quiera exportar sus datos puede hacerlo directamente desde el panel: Ajustes → Seguridad → Exportar clientes (CSV).
7. Cookies
OnRuly utiliza exclusivamente cookies técnicas estrictamente necesarias para el funcionamiento del servicio:
| Cookie | Finalidad | Duración |
|---|---|---|
| onruly_token | Sesión de usuario autenticado (httpOnly, secure) | 72 horas |
No utilizamos cookies de seguimiento, analítica de terceros ni publicidad. No es necesario el banner de cookies ya que las únicas cookies son técnicas y necesarias.
8. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas para proteger los datos frente a accesos no autorizados, pérdida o alteración: cifrado de contraseñas (bcrypt), comunicaciones HTTPS, autenticación JWT con expiración, aislamiento de datos por negocio y acceso restringido a producción.
9. Cambios en esta política
Podemos actualizar esta política ocasionalmente. En caso de cambios relevantes, lo notificaremos por email a los Negocios registrados con al menos 15 días de antelación.