Política de Privacidad — BKlayer

Responsable: Gabriel Baldemar Flores Díaz

Nombre comercial: BKlayer

Actividad: Plataforma de reservas e infraestructura para agentes de inteligencia artificial aplicada a negocios locales.

Actividad económica / IAE: Epígrafe IAE 763/2 — Programadores y analistas de informática

NIF: 09140930V

Domicilio fiscal: Calle Tordesillas, 2 2B, 28925 Alcorcón, Madrid, España

Email de privacidad: privacidad@bklayer.com

Email de contacto: admin@bklayer.com

Web: https://www.bklayer.com

Ámbito: Unión Europea y mercados internacionales.

BKlayer puede actuar con distintos roles según el tipo de tratamiento:

• Para los datos de negocios, cuentas, usuarios registrados, seguridad, facturación, soporte, comunicaciones y mejora operativa del servicio, BKlayer actúa como responsable del tratamiento.
• Para los datos de clientes finales tratados por cuenta de un negocio que usa BKlayer, BKlayer actúa normalmente como encargado del tratamiento y el negocio actúa como responsable.
• En determinados tratamientos técnicos, de seguridad, prevención de abuso, logs operativos, cumplimiento legal o defensa de derechos, BKlayer puede actuar como responsable independiente.

3.1 Datos de negocios y usuarios de BKlayer

Podemos tratar los siguientes datos:

• Nombre del negocio y responsable: identificación y configuración de la cuenta.
• Correo electrónico: comunicaciones, acceso, soporte y recuperación de cuenta.
• Teléfono: soporte, verificación y contacto operativo.
• Dirección del negocio: geolocalización, búsqueda pública y visualización en la página de reservas.
• Horarios, servicios, profesionales, turnos, capacidad y disponibilidad: cálculo y gestión de reservas.
• Número de WhatsApp Business o canal de mensajería: integración del canal de comunicación.
• Credenciales o permisos de Google Calendar: sincronización de agenda cuando el negocio lo conecte.
• Datos de uso del servicio: seguridad, diagnóstico, mejora y prevención de abuso.

3.2 Datos de clientes finales

Cuando una persona realiza o gestiona una reserva a través de BKlayer, podemos tratar:

• Nombre: identificación de la reserva.
• Teléfono: confirmación, comunicaciones, recordatorios y verificación OTP.
• Email, si se facilita: confirmaciones, comunicaciones y envío de archivo .ics cuando aplique.
• Fecha, hora, servicio, profesional, turno, número de personas o datos equivalentes: gestión de la reserva.
• Observaciones opcionales: personalización de la reserva o información relevante para el negocio.
• Historial de conversación por WhatsApp u otros canales integrados: gestión del flujo de reserva, soporte y trazabilidad operativa.

Las observaciones son opcionales. El usuario debe evitar incluir datos sensibles salvo que sean necesarios para la prestación del servicio. Si incluye información relacionada con salud, alergias, lesiones, accesibilidad u otras circunstancias personales, dicha información se tratará únicamente para gestionar correctamente la reserva y bajo la base legal que corresponda, incluyendo consentimiento explícito cuando proceda.

Tratamos datos personales conforme al Reglamento General de Protección de Datos, en particular:

• Art. 6.1.b GDPR: ejecución de un contrato o aplicación de medidas precontractuales.
• Art. 6.1.f GDPR: interés legítimo en prestar, proteger, mejorar y operar el servicio.
• Art. 6.1.a GDPR: consentimiento, cuando sea necesario.
• Art. 6.1.c GDPR: cumplimiento de obligaciones legales.

Cuando se traten categorías especiales de datos, como datos de salud incluidos voluntariamente por el usuario en observaciones, BKlayer y/o el negocio aplicarán la base legal correspondiente, incluyendo el consentimiento explícito cuando proceda.

Los datos se conservarán durante el tiempo necesario para cumplir las finalidades descritas y atender posibles responsabilidades legales.

Criterios internos previstos:

• Datos de cuenta: durante la relación contractual y, posteriormente, durante el plazo necesario para atender obligaciones legales o reclamaciones.
• Reservas confirmadas: hasta 3 años.
• Reservas canceladas: hasta 1 año.
• Historial de WhatsApp y conversaciones operativas: hasta 90 días, salvo que sea necesario conservarlo más tiempo por soporte, seguridad o cumplimiento.
• Códigos OTP: hasta 30 días.
• Logs de seguridad y operación: hasta 12 meses.

Estos plazos son criterios internos previstos y podrán aplicarse mediante procesos técnicos automáticos o manuales, salvo que exista una obligación legal de conservación superior.

BKlayer no vende datos personales.

Para prestar el servicio, podemos utilizar proveedores tecnológicos, actuando como subprocesadores o proveedores de servicio, entre ellos:

• Vercel: alojamiento y despliegue de la aplicación.
• Supabase: base de datos, autenticación y almacenamiento.
• Twilio / WhatsApp Business Platform: canal de WhatsApp y mensajería transaccional.
• Resend: emails transaccionales.
• Google Calendar API: sincronización de agenda cuando el negocio la conecta.
• OpenAI: procesamiento de lenguaje natural mediante modelos como GPT-4o mini, cuando esté activado, aplicando minimización de datos y evitando enviar datos innecesarios.
• Anthropic, OpenAI u otros proveedores de agentes externos: solo cuando el usuario o negocio utilice integraciones compatibles para operar reservas mediante agentes de IA.

Cuando alguno de estos proveedores se encuentre fuera del Espacio Económico Europeo, se aplicarán las garantías correspondientes conforme a la normativa aplicable, como cláusulas contractuales tipo u otros mecanismos válidos cuando proceda.

Los usuarios pueden ejercer sus derechos en materia de protección de datos escribiendo a: privacidad@bklayer.com

Derechos disponibles:

• Acceso.
• Rectificación.
• Supresión.
• Portabilidad.
• Oposición.
• Limitación del tratamiento.
• Retirada del consentimiento cuando el tratamiento se base en consentimiento.

Responderemos en el plazo legal aplicable, generalmente 30 días desde la recepción de la solicitud.

También puedes presentar una reclamación ante la Agencia Española de Protección de Datos: https://www.aepd.es

BKlayer aplica medidas técnicas y organizativas razonables para proteger los datos personales, incluyendo:

• Cifrado TLS/HTTPS en tránsito.
• Controles de acceso.
• Principio de mínimo privilegio.
• Verificación mediante OTP para operaciones sensibles.
• Logs de seguridad y operación.
• Separación de entornos cuando aplique.
• Revisiones y mejoras progresivas de seguridad.

Aunque aplicamos medidas de seguridad razonables, ningún sistema es completamente infalible.

Cuando un usuario contacta con un negocio a través de WhatsApp integrado con BKlayer:

• Los mensajes pueden ser procesados para gestionar reservas, cambios, cancelaciones, consultas y soporte.
• El historial puede conservarse durante el plazo indicado en esta política.
• BKlayer actúa normalmente como encargado del tratamiento del negocio respecto a los clientes finales.
• El uso de WhatsApp está sujeto también a las condiciones y políticas de privacidad de Meta/WhatsApp.
• BKlayer no utiliza los mensajes de WhatsApp para publicidad personalizada de terceros.

Meta/WhatsApp actúa como encargado del tratamiento respecto a los mensajes procesados a través de WhatsApp Business API, conforme al artículo 28 del RGPD. Las transferencias de datos a servidores de Meta en EE.UU. están amparadas por la Decisión de Adecuación UE-EE.UU. adoptada por la Comisión Europea conforme al artículo 45 del RGPD (Data Privacy Framework), así como por las Cláusulas Contractuales Tipo cuando aplique.

Los negocios que utilizan BKlayer a través del canal WhatsApp son responsables de informar a sus clientes finales sobre el uso de WhatsApp Business API en el tratamiento de sus datos, conforme al artículo 13 del RGPD, antes de iniciar la comunicación.

BKlayer puede ofrecer API pública, servidor MCP o integraciones con agentes de inteligencia artificial para facilitar reservas.

Agentes compatibles o previstos pueden incluir:

• Claude / Anthropic.
• ChatGPT / OpenAI.
• OpenClaw.
• Otros agentes autorizados por el usuario o negocio.

Cuando se utilicen estos agentes:

• Solo se transmitirán los datos necesarios para ejecutar la acción solicitada.
• Las reservas realizadas o gestionadas mediante agentes tienen los mismos derechos y garantías que las reservas realizadas directamente.
• Las acciones críticas, como crear, cancelar o reprogramar reservas, requieren confirmación explícita.
• El uso de cada agente externo puede estar sujeto también a la política de privacidad de su proveedor.

BKlayer puede utilizar:

• Cookies técnicas o esenciales: necesarias para sesión, autenticación y funcionamiento de la plataforma.
• Cookies de preferencias: idioma, interfaz y configuración.
• Cookies analíticas: medición y mejora del sitio, cuando estén activadas y con consentimiento si procede.

Las cookies técnicas no requieren consentimiento. Las cookies no esenciales se gestionarán conforme a la normativa aplicable.

BKlayer no está dirigido a menores de 16 años. Si detectamos que se han recogido datos de menores sin base legal adecuada, tomaremos medidas razonables para eliminarlos.

Podremos actualizar esta política para reflejar cambios legales, técnicos u operativos.

Los cambios relevantes se comunicarán con una antelación razonable cuando sea necesario.

La versión vigente estará siempre disponible en: https://www.bklayer.com/privacidad

Responsable: Gabriel Baldemar Flores Díaz

Email de privacidad: privacidad@bklayer.com

Email de contacto: admin@bklayer.com

Web: https://www.bklayer.com/privacidad

Plazo orientativo de respuesta:

• Consultas generales: 72 horas cuando sea posible.
• Derechos GDPR: plazo legal aplicable, generalmente 30 días.

Cuando un negocio conecta Google Calendar con BKlayer, BKlayer puede acceder a datos limitados de Google Calendar necesarios para sincronizar reservas y mantener la agenda operativa del negocio.

Los datos tratados pueden incluir:

• Email de la cuenta de Google conectada, para mostrar al negocio qué cuenta está vinculada.
• Identificador del calendario conectado, normalmente el calendario principal del negocio.
• Tokens OAuth de acceso y actualización, necesarios para mantener la sincronización sin pedir autorización en cada operación.
• Eventos de calendario relacionados con reservas, incluyendo título, fecha, hora, ubicación, servicio, cliente, profesional, referencia de reserva y notas operativas cuando sean necesarias.
• Cambios o eliminaciones de eventos relacionados con reservas, cuando la sincronización bidireccional o los webhooks de Google Calendar estén activados.

BKlayer utiliza los datos de Google Calendar exclusivamente para crear, actualizar, eliminar y sincronizar eventos relacionados con reservas del negocio, así como para mantener la disponibilidad operativa cuando proceda. BKlayer no vende datos de Google Calendar, no los utiliza para publicidad personalizada y no los usa para finalidades ajenas a la prestación del servicio.

Los tokens OAuth se almacenan en la infraestructura de BKlayer con controles de acceso y se usan únicamente para operar la integración autorizada por el negocio. El negocio puede desconectar Google Calendar desde la configuración del dashboard; al desconectar, BKlayer desactiva la integración y elimina o invalida los tokens almacenados en BKlayer. El usuario también puede revocar el acceso desde su cuenta de Google.

BKlayer no comparte datos obtenidos de Google Calendar con terceros salvo con proveedores necesarios para operar la infraestructura del servicio, como alojamiento, base de datos, seguridad, logs operativos y APIs de Google, siempre bajo las garantías y obligaciones aplicables.

El uso y la transferencia a cualquier otra aplicación de la información recibida de las APIs de Google por parte de BKlayer cumplirá con la Política de Datos de Usuario de los Servicios API de Google, incluidos los requisitos de Uso Limitado (Limited Use).