Ir al contenido principal
marai
Registrarse
Empezar gratis
← Inicio

Política de Privacidad

Última actualización: 17 de abril de 2026

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de este sitio web y del servicio Marai es:

Marai Software, S.L. (en adelante, «Marai»)
NIF: 39403669T
Domicilio social: C/ Ramón y Cajal, núm. 16, Planta 2, Puerta B, 08330 Premià de Mar (Barcelona), España
Correo electrónico: legal@maraiagenda.com
Contacto de privacidad: privacidad@maraiagenda.com
Delegado de Protección de Datos (designación voluntaria, art. 37.4 RGPD): dpo@maraiagenda.com

Esta política cumple con el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 34/2002 (LSSI-CE).

2. Datos que recogemos

Recogemos los siguientes datos en función del uso que hagas del servicio:

  • Datos de contacto: nombre, email y teléfono cuando rellenas el formulario de contacto o te registras en Marai.
  • Datos de cuenta y negocio: nombre del negocio, horarios, servicios, profesionales y configuración de la plataforma.
  • Datos de uso: páginas visitadas, funcionalidades utilizadas, dispositivo y navegador (mediante análisis web).
  • Datos técnicos: dirección IP y datos de sesión, necesarios para el funcionamiento del servicio y la seguridad.
  • Datos de pago: gestionados íntegramente por Stripe, Inc. Marai no almacena datos de tarjeta de crédito ni de débito.
  • Datos de integraciones opcionales: si el usuario conecta Google Calendar, recibimos y almacenamos cifrados los tokens OAuth y sincronizamos eventos del calendario principal (véase la sección específica «Integración con Google APIs»).

3. Finalidad del tratamiento

Usamos tus datos para:

  • Prestar el servicio de gestión de citas de Marai y ejecutar el contrato de suscripción.
  • Gestionar la facturación, el cobro y los impuestos aplicables al servicio.
  • Responder a tus consultas y solicitudes de soporte.
  • Enviarte información sobre el servicio si lo has solicitado explícitamente.
  • Mejorar el sitio web y el servicio mediante análisis agregado y anónimo.
  • Cumplir con obligaciones legales contables, fiscales y mercantiles.

4. Base jurídica del tratamiento

Cada finalidad se ampara en la siguiente base jurídica conforme al art. 6 RGPD:

  • Ejecución del contrato (art. 6.1.b RGPD): prestación del servicio contratado, gestión de la cuenta y facturación.
  • Consentimiento (art. 6.1.a RGPD): cookies analíticas y comunicaciones de marketing. Puedes retirar el consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento anterior (art. 7.3 RGPD).
  • Interés legítimo (art. 6.1.f RGPD): mejora del servicio, prevención del fraude y seguridad de la plataforma.
  • Obligación legal (art. 6.1.c RGPD): conservación de datos de facturación conforme a la normativa fiscal y mercantil española.

5. Conservación de datos

Conservamos tus datos mientras mantengas una cuenta activa. Tras la cancelación, los eliminamos en un plazo máximo de 30 días, salvo que exista obligación legal de conservarlos durante más tiempo:

Datos de cuentaMientras la cuenta esté activa + 30 días tras cancelaciónEjecución de contrato (art. 6.1.b RGPD)
Formulario de contacto12 meses desde la consultaInterés legítimo (art. 6.1.f RGPD)
Datos de facturación6 años (art. 30 Código de Comercio)Obligación legal (art. 6.1.c RGPD)
Logs de analítica (GA4)14 meses (config. GA4)Consentimiento (art. 6.1.a RGPD)
Sesiones Clarity13 meses (config. Clarity)Consentimiento (art. 6.1.a RGPD)
Tokens OAuth Google Calendar (cifrados AES-256-GCM)Hasta la desconexión + 24 horasConsentimiento (art. 6.1.a RGPD)

6. Tus derechos

Conforme al RGPD y la LOPDGDD, puedes ejercer los siguientes derechos:

  • Acceso (art. 15 RGPD): conocer qué datos tenemos sobre ti y cómo los tratamos.
  • Rectificación (art. 16 RGPD): corregir datos inexactos o incompletos.
  • Supresión (art. 17 RGPD): solicitar la eliminación de tus datos («derecho al olvido»).
  • Portabilidad (art. 20 RGPD): recibir tus datos en un formato estructurado y legible por máquina.
  • Oposición (art. 21 RGPD): oponerte a tratamientos basados en interés legítimo.
  • Limitación del tratamiento (art. 18 RGPD): restringir el tratamiento en los supuestos legalmente previstos.
  • Retirada del consentimiento (art. 7.3 RGPD): retirar el consentimiento prestado en cualquier momento, sin afectar a la licitud del tratamiento previo.

Para ejercer estos derechos, escribe a privacidad@maraiagenda.com. Responderemos en el plazo máximo de un mes desde la recepción de tu solicitud (art. 12.3 RGPD), prorrogable dos meses adicionales en casos de especial complejidad. Si consideras que el tratamiento no es conforme a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es (art. 77 RGPD).

7. Transferencias internacionales de datos

Utilizamos los siguientes proveedores que pueden tratar datos fuera del Espacio Económico Europeo (EEE). Todas las transferencias cuentan con garantías adecuadas conforme al RGPD:

Google Analytics 4Análisis webEE. UU.Marco de Privacidad de Datos UE-EE. UU. (DPF, art. 45 RGPD)
Microsoft ClarityMapas de calor y sesionesEE. UU.*Cláusulas Contractuales Tipo (art. 46.2.c RGPD)
UmamiAnalítica web sin cookiesUESin transferencia — datos anonimizados procesados en la UE
CloudflareCDN y protección anti-botEE. UU./UEDPF + Cláusulas Contractuales Tipo (art. 46.2.c RGPD)
Stripe, Inc.Procesamiento de pagosEE. UU.Marco de Privacidad de Datos UE-EE. UU. (DPF, art. 45 RGPD)
Google Tag ManagerGestión de etiquetas de análisisEE. UU.Marco de Privacidad de Datos UE-EE. UU. (DPF, art. 45 RGPD)
Google LLC (Calendar API)Sincronización bidireccional de calendarioEE. UU.Marco de Privacidad de Datos UE-EE. UU. (DPF, art. 45 RGPD) + Cláusulas Contractuales Tipo (art. 46.2.c RGPD)

* El responsable en el EEE para Microsoft Clarity es Microsoft Ireland Operations Limited, One Microsoft Place, Leopardstown, Dublín 18, Irlanda. Las transferencias a Microsoft Corporation (EE. UU.) se realizan mediante Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

Integración con Google APIs (Google Calendar)

Marai Agenda ofrece sincronización bidireccional opcional entre la agenda del profesional y su cuenta de Google Calendar. Esta funcionalidad se activa únicamente cuando el profesional concede consentimiento explícito mediante el flujo OAuth 2.0 de Google.

Ámbitos (scopes) OAuth solicitados:

  • https://www.googleapis.com/auth/userinfo.email — ver la dirección principal de correo electrónico de la Cuenta de Google del usuario. Se utiliza únicamente para mostrar qué cuenta está conectada en el panel de Marai.
  • https://www.googleapis.com/auth/calendar.events — ver y editar eventos del calendario principal del usuario. Necesario para crear citas de Marai en Google Calendar y detectar eventos externos que bloquean la disponibilidad.
  • No solicitamos ámbitos adicionales (no pedimos acceso a correos, contactos, Drive, archivos, ubicación, fotos ni a ningún otro servicio de Google).

Datos que recibimos de Google APIs:

  • Dirección de correo electrónico de la Cuenta de Google conectada (mediante el ámbito userinfo.email), utilizada únicamente para mostrar qué cuenta está conectada.
  • Eventos del calendario principal del profesional (mediante el ámbito calendar.events): título, horario de inicio y fin, descripción, asistentes, ubicación y estado del evento.

Finalidad del tratamiento:

  • Crear en Google Calendar los eventos correspondientes a las citas reservadas en Marai.
  • Detectar bloqueos externos (eventos personales creados en Google Calendar) y marcarlos como horario no disponible en Marai, evitando solapamientos.
  • No leemos eventos de calendarios secundarios a los que el usuario tenga acceso compartido. No accedemos a correos, contactos, Drive ni a ningún otro servicio de Google.

Almacenamiento y seguridad:

  • Los tokens OAuth (access token y refresh token) se almacenan cifrados en reposo mediante AES-256-GCM con claves gestionadas fuera de la base de datos.
  • Los datos sincronizados se almacenan únicamente en servidores gestionados dentro de la Unión Europea (Railway, región Fráncfort).
  • Todas las comunicaciones con Google APIs se realizan exclusivamente mediante HTTPS/TLS 1.2 o superior.

Limited Use disclosure — Cumplimiento de la Google API Services User Data Policy:

El uso y la transferencia por parte de Marai Agenda, a cualquier otra aplicación, de la información recibida desde las APIs de Google cumple estrictamente con la Google API Services User Data Policy, incluidos los requisitos de uso limitado (Limited Use). En particular:

  • El uso de los datos obtenidos de Google APIs se limita estrictamente a proporcionar y mejorar funciones orientadas al usuario que resultan visibles y prominentes en la interfaz de Marai (sincronización de citas y detección de eventos externos que bloquean la disponibilidad). Cualquier otro uso queda expresamente prohibido.
  • NO usamos los datos obtenidos de Google APIs para mostrar publicidad, ni para nuestros propios fines de marketing, retargeting, publicidad personalizada ni publicidad basada en intereses.
  • NO vendemos ni alquilamos los datos obtenidos de Google APIs a terceros, intermediarios de datos, agencias publicitarias ni revendedores de información.
  • NO transferimos los datos obtenidos de Google APIs salvo cuando sea estrictamente necesario para proporcionar o mejorar la funcionalidad de sincronización orientada al usuario (por ejemplo, al subencargado que aloja nuestra infraestructura dentro de la Unión Europea), para cumplir con obligaciones legales o con el consentimiento expreso del usuario.
  • NO utilizamos los datos obtenidos de Google APIs para entrenar, afinar o desarrollar modelos generalizados ni no personalizados de inteligencia artificial (IA) o aprendizaje automático (ML), ni los transferimos a terceros con esa finalidad.
  • NO utilizamos los datos obtenidos de Google APIs para determinar solvencia, evaluar el riesgo crediticio ni para fines de concesión de préstamos.
  • NO permitimos que personas lean los datos obtenidos de Google APIs, salvo (a) con el consentimiento afirmativo y explícito del usuario respecto a datos concretos, (b) cuando sea necesario por motivos de seguridad (por ejemplo, para investigar un fallo o un abuso), (c) para cumplir con obligaciones legales aplicables, o (d) cuando los datos se encuentren agregados y anonimizados y se utilicen para operaciones internas de conformidad con las prácticas habituales de privacidad.

Limited Use disclosure (mandatory English version per Google policy):

Marai Agenda's use and transfer to any other app of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements.

Retención y eliminación:

  • Los tokens y los datos sincronizados se eliminan automáticamente dentro de las 24 horas siguientes a la desconexión de la cuenta de Google por parte del usuario.
  • El usuario puede desconectar Google Calendar en cualquier momento desde Ajustes > Google Calendar en su panel de control, o revocando el acceso directamente en su cuenta de Google: https://myaccount.google.com/permissions.
  • Tras la desconexión o la revocación, todos los tokens cifrados se eliminan de nuestra base de datos y no se conserva ningún dato persistente de calendario.

Revocación:

El usuario puede revocar el acceso de Marai Agenda a Google APIs en cualquier momento desde https://myaccount.google.com/permissions, sin que ello afecte al resto de funcionalidades de su cuenta Marai.

Contacto específico para dudas sobre datos de Google:

privacidad@maraiagenda.com (asunto: «Google Calendar — datos personales»).

8. Marai como encargado del tratamiento

Cuando utilizas Marai para gestionar citas y datos de tus clientes, actúas como responsable del tratamiento de esos datos (art. 4.7 RGPD). En ese caso, Marai actúa como encargado del tratamiento (arts. 4.8 y 28 RGPD), procesando los datos de tus clientes exclusivamente en tu nombre y según tus instrucciones.

Como responsable del tratamiento, eres quien debe informar a tus clientes sobre el uso de sus datos, obtener las bases jurídicas necesarias y cumplir con el RGPD y la LOPDGDD respecto a esos datos. El contrato de servicio de Marai incluye las cláusulas de encargado del tratamiento exigidas por el art. 28 RGPD. Si tienes dudas sobre tus obligaciones como responsable, escríbenos a legal@maraiagenda.com.

9. Cookies

Marai utiliza cookies técnicas necesarias para el funcionamiento del servicio y, con tu consentimiento, cookies analíticas. Para más información, consulta nuestra Política de Cookies.

10. Cambios en esta política

Marai puede actualizar esta política para reflejar cambios normativos, en los proveedores o en los servicios ofrecidos. Los cambios sustanciales se comunicarán con al menos 30 días de antelación por email o mediante aviso destacado en el servicio.

Términos de uso Política de cookies Política de reembolsos Política de uso aceptable Eliminación de datos