Iniciar sesion Reservar una demo
BORRADOR · pendiente de revisión legal

Política de privacidad de MindTattoo

Versión 1.0 · Última actualización: mayo 2026

1. Quiénes somos

Esta política se aplica a la plataforma MindTattoo, accesible en mindtattoo.app y app.mindtattoo.app. La operamos como prestador de servicios SaaS B2B dirigidos a tatuadores y estudios de tatuaje.

2. Nuestro papel: dos roles distintos

MindTattoo actúa con dos roles legales diferentes según el tipo de dato:

  • Responsable del tratamiento cuando tratamos datos de nuestros usuarios directos (artistas, estudios y miembros de su staff) para prestarles el servicio: datos de la cuenta, facturación a nosotros, soporte.
  • Encargado del tratamiento cuando alojamos y procesamos por cuenta del artista/estudio los datos de sus clientes finales (consentimientos, citas, briefs, etc.). En este caso el responsable es el artista o estudio, no MindTattoo. Las relaciones de encargo se rigen por el Contrato de Encargo del Tratamiento Art. 28 RGPD.

3. Datos que tratamos como responsable

De los usuarios de MindTattoo (artistas, estudios, staff):

  • Datos de identificación y contacto: email, nombre, teléfono.
  • Datos profesionales: nombre artístico, nombre del estudio, slug público, biografía.
  • Datos fiscales: NIF, dirección fiscal, IBAN (cifrado en reposo).
  • Aceptación del contrato de agencia comercial: fecha, IP, User-Agent.
  • Datos técnicos de uso: logs de acceso, métricas de uso de la plataforma.
  • Datos de pago de la suscripción si aplica.

Finalidades

  • Prestación del servicio contratado.
  • Facturación y cobro de la suscripción.
  • Soporte técnico y comunicaciones operativas (no marketing).
  • Mejora del producto a partir de datos agregados y anonimizados.
  • Cumplimiento de obligaciones legales (fiscal, prevención de fraude).

Bases legitimadoras

  • Ejecución del contrato de servicio (Art. 6.1.b RGPD).
  • Obligaciones legales (Art. 6.1.c RGPD).
  • Interés legítimo para seguridad y mejora del servicio (Art. 6.1.f RGPD).

4. Datos que tratamos como encargado

Por cuenta del artista/estudio (responsable):

  • Datos de identificación del cliente final: nombre, DNI (texto y foto), dirección, contacto.
  • Datos sanitarios: respuestas al cuestionario médico previo al tatuaje (Art. 9 RGPD, datos especialmente protegidos).
  • Datos biométricos: firma manuscrita capturada digitalmente.
  • Datos del tatuaje: brief, referencias, fotografías, ubicación corporal, técnica.
  • Datos de pago de fianzas y liquidaciones SEPA.

Tratamos estos datos únicamente bajo instrucciones documentadas del responsable y conforme al DPA firmado.

5. Subencargados de tratamiento

Para prestar el servicio utilizamos proveedores que tienen acceso técnico limitado a los datos:

  • OVHcloud (Francia) — alojamiento de la plataforma. Datos en la UE.
  • Resend (Estados Unidos) — envío de emails transaccionales, amparado por Cláusulas Contractuales Estándar.
  • Google Cloud Platform (acceso a Google Calendar API) — sólo si el usuario conecta su Google Calendar voluntariamente. Tokens cifrados en reposo.

Mantenemos esta lista actualizada en este apartado. Cuando un nuevo subencargado se sume, te lo notificaremos antes de su entrada en vigor con margen para objetar conforme al DPA.

6. Transferencias internacionales

Sólo se producen para los proveedores indicados (Resend, Google si aplica). Todas las transferencias fuera del Espacio Económico Europeo se realizan bajo Cláusulas Contractuales Estándar de la Comisión Europea o mecanismos equivalentes.

6 bis. Uso de datos de Google API (Google Calendar)

Si conectas voluntariamente tu Google Calendar, MindTattoo accede a la lista de tus calendarios y a los eventos del calendario que elijas, con la única finalidad de sincronizar tus citas: leer tu disponibilidad y crear, actualizar o eliminar los eventos correspondientes a tus reservas.

El uso y la transferencia por parte de MindTattoo de la información recibida de las APIs de Google se ajustará a la Política de Datos de Usuario de los Servicios de API de Google, incluidos sus requisitos de Uso Limitado (Limited Use).

En particular, los datos obtenidos de Google Calendar:

  • Se usan exclusivamente para ofrecerte y mejorar la función de sincronización de calendario que ves en la plataforma.
  • No se transfieren a terceros salvo lo estrictamente necesario para prestar esa función, con tu consentimiento, o por obligación legal.
  • No se utilizan para publicidad de ningún tipo.
  • No se utilizan para entrenar modelos de inteligencia artificial generalizados.
  • Ningún humano los lee, salvo que des tu consentimiento expreso, por motivos de seguridad, para cumplir la ley, o en forma agregada/anonimizada para operaciones internas.

Los tokens de acceso se guardan cifrados en reposo. Puedes revocar el acceso en cualquier momento desde Configuración → Integraciones en MindTattoo, o desde la página de permisos de tu cuenta de Google (myaccount.google.com/permissions).

6 ter. Uso de datos de Meta / WhatsApp

Si conectas voluntariamente tu cuenta de WhatsApp Business, MindTattoo accede al identificador de tu número y a tus plantillas de mensajes con la única finalidad de enviar, en tu nombre, mensajes de utilidad a tus clientes relacionados con sus citas (recordatorios, confirmaciones y solicitudes de seña).

  • El uso de la información obtenida de las APIs de Meta se ajusta a las Condiciones de la Plataforma de Meta y a la Política de WhatsApp Business.
  • No usamos estos datos para publicidad ni los vendemos. No los compartimos salvo lo estrictamente necesario para prestar el servicio.
  • Los tokens de acceso se guardan cifrados en reposo.
  • Puedes desconectar tu cuenta en cualquier momento desde Configuración → Integraciones.

Consulta cómo solicitar el borrado de tus datos en nuestra página de eliminación de datos.

7. Plazos de conservación

  • Cuenta de usuario: mientras dure la relación contractual. Tras la baja, conservamos sólo los datos requeridos por obligaciones legales (facturación: 4 años fiscales · auditoría: hasta 6 años).
  • Consentimientos informados de clientes: 5 años desde la firma (recomendación AEPD). Pasado ese plazo, los datos identificativos y la imagen del DNI se anonimizan automáticamente y queda únicamente el hash de auditoría.
  • Logs de acceso: 1 año.
  • Liquidaciones SEPA: 5 años (normativa de prevención de blanqueo).

8. Tus derechos

Como persona física tienes derecho a:

  • Acceder a tus datos.
  • Rectificarlos si son inexactos.
  • Solicitar su supresión.
  • Oponerte al tratamiento o solicitar su limitación.
  • Portabilidad de tus datos.
  • No ser objeto de decisiones automatizadas con efectos jurídicos.
  • Retirar tu consentimiento en cualquier momento.

Para ejercerlos:

  • Si eres usuario de MindTattoo: escribe a rgpd@mindtattoo.app con copia de tu DNI.
  • Si eres cliente de un artista/estudio: usa el formulario en mindtattoo.app/legal/derechos. Procesaremos tu solicitud en colaboración con el responsable (el artista/estudio) en un plazo máximo de 30 días naturales.

Tienes derecho a presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si consideras que el tratamiento no se ajusta a la normativa.

9. Seguridad

Adoptamos medidas técnicas y organizativas apropiadas según el riesgo:

  • Cifrado en tránsito (TLS 1.3) en todas las comunicaciones.
  • Cifrado en reposo para datos sensibles (IBAN, tokens OAuth) mediante Fernet con clave gestionada en variables de entorno protegidas.
  • Almacenamiento de documentos identificativos (DNI) en directorio privado sin exposición pública.
  • Auditoría completa de aceptaciones (fecha, IP, User-Agent, hash del documento) para firmas electrónicas simples (eIDAS).
  • Aislamiento multi-tenant a nivel de aplicación y base de datos.
  • Backups diarios cifrados con retención de 30 días.

10. Cookies

Usamos únicamente cookies estrictamente necesarias para el funcionamiento de la plataforma (sesión de autenticación, preferencia de idioma). No usamos cookies de tracking ni de publicidad.

11. Datos de contacto del responsable

MindTattoo
Email RGPD: rgpd@mindtattoo.app
Datos de identificación fiscal completos: por publicar en lanzamiento.

12. Cambios en esta política

Si modificamos esta política sustancialmente, te lo notificaremos por email y a través de tu panel de MindTattoo con margen razonable antes de la entrada en vigor.

Para cualquier consulta, escribe a rgpd@mindtattoo.app.