Política de privacidad

Última actualización: 19 de mayo de 2026

Versión 3.0

1. Responsable del tratamiento

Wholeding Ltd, 11 Triq Giovanni Ricasoli, KKR106 Kalkara, Malta es el responsable del tratamiento de tus datos personales. Para cualquier consulta relacionada con la privacidad, contáctanos en privacy@wholeding.eu.

2. Datos personales que recopilamos

Recopilamos las siguientes categorías de datos personales:

Datos de cuenta: nombre completo, dirección de correo electrónico, fecha de nacimiento (para verificación de edad), idioma preferido y zona horaria.

Datos profesionales del terapeuta: biografía profesional, especializaciones, idiomas hablados, años de experiencia, foto de perfil, precio de las sesiones, agenda de disponibilidad y credenciales profesionales.

Datos de reservas y sesiones: fecha/hora de la sesión, duración, formato (p. ej. individual o de pareja), estado de la reserva, motivos de cancelación e historial de reprogramaciones.

Datos de pago: importes de pago, moneda y referencias de transacción. No almacenamos los datos de tu tarjeta — estos son procesados directamente por Stripe y nunca llegan a nuestros servidores.

Datos de comunicación: envíos a través de formularios de contacto y registros de entrega de correos electrónicos para notificaciones transaccionales (confirmaciones de reserva, recordatorios de sesión).

Datos del cuestionario de emparejamiento: tus respuestas a nuestro cuestionario de emparejamiento con terapeutas se recopilan de forma anónima. No podemos vincular las respuestas del cuestionario con tu identidad. Estos datos se utilizan exclusivamente para emparejarte con un terapeuta adecuado y para mejorar la experiencia de emparejamiento.

Datos técnicos: tokens de sesión de autenticación, dirección IP (para la supervisión de seguridad) e información del navegador (para la protección frente a bots).

Datos de análisis y publicidad (con consentimiento): cuando aceptas las cookies de análisis y publicidad, recopilamos eventos de interacción seudónimos (páginas visitadas, clics en elementos clave de llamada a la acción, cambios de idioma, métricas de rendimiento como Core Web Vitals) y datos de conversión (qué clic de Google Ads condujo a una reserva). Para los clientes autenticados, estos datos se asocian a un ID interno de usuario opaco; los administradores y los terapeutas quedan excluidos de este seguimiento. Consulta nuestra Política de cookies para la lista completa de cookies y los detalles de configuración.

Registros administrativos y de seguridad: mantenemos registros de auditoría internos que documentan las acciones de los administradores (con dirección IP y marca temporal) y registros de eventos de seguridad (intentos de autenticación, activaciones del límite de tasa y actividades sospechosas). Estos registros protegen la plataforma y nos ayudan a investigar incidentes.

Datos de terapeutas potenciales: si eres invitado a unirte como terapeuta, conservamos temporalmente tu nombre, dirección de correo electrónico y credenciales profesionales hasta 24 horas para procesar la invitación.

3. Cómo y por qué utilizamos tus datos

Tratamos tus datos personales para los siguientes fines y bases jurídicas:

Prestación del servicio (base jurídica: contrato, Art. 6(1)(b)): creación y gestión de tu cuenta, emparejamiento con terapeutas, programación y gestión de reservas, procesamiento de pagos y entrega de enlaces de sesión.

Comunicación (base jurídica: contrato, Art. 6(1)(b)): envío de confirmaciones de reserva, recordatorios de sesión y notificaciones de cuenta. Son correos electrónicos transaccionales necesarios para el servicio.

Verificación de edad (base jurídica: obligación legal, Art. 6(1)(c)): verificar que cumples con el requisito de edad mínima para utilizar la plataforma.

Mantenimiento de registros financieros (base jurídica: obligación legal, Art. 6(1)(c)): conservación de registros de pago según lo exigido por la normativa fiscal y financiera.

Seguridad y prevención del fraude (base jurídica: interés legítimo, Art. 6(1)(f)): supervisión de actividades sospechosas, registro de acciones administrativas, registro de eventos de seguridad y uso de protección frente a bots en formularios.

Análisis y medición de conversiones (base jurídica: consentimiento, Art. 6(1)(a)): medir cómo descubren y utilizan la plataforma los visitantes, evaluar el rendimiento de las campañas de marketing y del recorrido de reserva, y fundamentar mejoras en la experiencia del usuario. Este tratamiento solo se realiza después de que otorgues tu consentimiento a través del banner de cookies; puedes retirar el consentimiento en cualquier momento con la misma facilidad.

Mejora de la plataforma (base jurídica: interés legítimo, Art. 6(1)(f)): análisis de datos anónimos del cuestionario y patrones de uso agregados para mejorar el algoritmo de emparejamiento y la experiencia del usuario.

4. Encargados de tratamiento externos

Compartimos datos personales con los siguientes encargados de tratamiento externos de confianza, cada uno de los cuales trata los datos en nuestro nombre en virtud de un Acuerdo de Tratamiento de Datos:

Supabase (alojamiento de base de datos y autenticación) — aloja todos los datos de la plataforma en la UE (Fráncfort). Recibe: todos los datos de cuenta, datos de reserva y credenciales de autenticación.

Stripe (procesamiento de pagos) — procesa los pagos y los pagos a los terapeutas. Recibe: dirección de correo electrónico, importes de pago e ID de referencia de las reservas. Los datos de la tarjeta son gestionados directamente por el formulario de pago seguro de Stripe y nunca llegan a nuestros servidores. Stripe conserva los datos de las transacciones durante un mínimo de 7 años, según lo exige la normativa financiera — estos datos no pueden eliminarse al cerrar la cuenta.

Google (Calendar y Meet) — cuando un terapeuta conecta su Google Calendar, creamos eventos de calendario para las sesiones reservadas. Recibe: fecha/hora de la sesión, direcciones de correo electrónico de los participantes y una referencia de reserva. Se generan enlaces de Google Meet para las sesiones de vídeo. Esta integración es opcional y requiere el consentimiento explícito del terapeuta a través de la pantalla de consentimiento OAuth de Google.

Google (Analytics y Ads) — con tu consentimiento, utilizamos Google Analytics 4 (G-N8J2V47W6K) y Google Ads (AW-18159589539) para medir el uso del sitio, el rendimiento y la eficacia de las campañas de pago. Recibe: eventos de interacción seudónimos, rutas de página, idioma, tamaño de pantalla, ubicación aproximada derivada de IP anonimizada, un ID interno de usuario opaco para los clientes autenticados y datos de conversión. Google Signals está desactivado, por lo que no se realiza ningún seguimiento entre dispositivos ni demográfico basado en perfiles de Google autenticados. Consulta nuestra Política de cookies para todos los detalles, incluidas las cookies establecidas y los periodos de conservación.

Resend (entrega de correos electrónicos) — entrega correos electrónicos transaccionales en nuestro nombre. Recibe: dirección de correo electrónico del destinatario, nombre y contenido del correo electrónico (detalles de reserva, horarios de sesión). Resend no conserva el contenido de los correos electrónicos después de la entrega. Los registros de entrega se conservan durante aproximadamente 30 días.

Cloudflare (protección frente a bots) — proporciona protección CAPTCHA en los formularios de registro, inicio de sesión y contacto a través de Cloudflare Turnstile. Es una alternativa a los CAPTCHA tradicionales centrada en la privacidad que no utiliza cookies de seguimiento. Cloudflare puede recopilar la dirección IP y datos de interacción del navegador para verificar que eres una persona.

Vercel (previsto: supervisión del rendimiento web) — Actualmente inactivo. Hemos integrado la infraestructura para Vercel Analytics y Speed Insights, pero actualmente no se envía ningún dato a Vercel. Cuando habilitemos este servicio en el futuro, será de tipo opt-in a través de nuestro banner de consentimiento de cookies, y actualizaremos esta Política de privacidad antes de su activación.

No vendemos tus datos personales a ningún tercero. Los datos se comparten únicamente como se describe arriba y solo en la medida necesaria para prestar nuestros servicios.

5. Transferencias internacionales de datos

Tus datos se almacenan principalmente en la UE (Fráncfort) a través de Supabase. Algunos de nuestros encargados de tratamiento tienen su sede en los Estados Unidos:

  • Stripe — protegido por las Cláusulas Contractuales Tipo (CCT) de la UE y el EU-US Data Privacy Framework
  • Google (Calendar, Meet, Analytics, Ads) — protegido por las CCT de la UE y el EU-US Data Privacy Framework
  • Resend — protegido por las CCT de la UE
  • Cloudflare — protegido por las CCT de la UE y el EU-US Data Privacy Framework

Estos mecanismos garantizan que tus datos reciban un nivel adecuado de protección según lo exigido por el Capítulo V del RGPD.

6. Conservación de datos

Conservamos tus datos personales durante los siguientes periodos:

  • Datos de cuenta y de perfil: se conservan durante toda la vida de tu cuenta. Se eliminan cuando solicitas la eliminación de la cuenta.
  • Datos de reserva y de sesión: se conservan durante toda la vida de tu cuenta. Se eliminan cuando se elimina la cuenta de cualquiera de las partes.
  • Referencias de pago: se conservan hasta 10 años después de la transacción, según lo exigido por la normativa fiscal y financiera. Esto se aplica incluso después de la eliminación de la cuenta.
  • Registros de entrega de correos electrónicos: se eliminan automáticamente tras 7 días.
  • Registros de seguridad y auditoría: se conservan durante 1 año en nuestros sistemas operativos y luego se archivan durante 2 años más antes de su eliminación (3 años en total).
  • Datos de eventos webhook: se eliminan los contenidos detallados tras su procesamiento y se eliminan automáticamente tras 30 días.
  • Invitaciones para terapeutas: válidas durante 24 horas, luego eliminadas automáticamente.
  • Datos anónimos del cuestionario: se conservan indefinidamente para mejorar la experiencia de emparejamiento. Dado que estos datos son anónimos, no pueden vincularse contigo y no se ven afectados por la eliminación de la cuenta.
  • Datos de eventos de Google Analytics: Google los conserva durante 14 meses, tras los cuales los datos a nivel de evento se eliminan automáticamente. Los informes agregados siguen estando disponibles más allá de ese periodo.
  • Datos de atribución de Google Ads: las cookies _gcl_* caducan a los 90 días, tras lo cual ya no pueden utilizarse para atribuir una conversión a un clic.

Cuando eliminas tu cuenta, todos los datos personales vinculados a tu cuenta se eliminan permanentemente de nuestros sistemas, excepto cuando tenemos una obligación legal de conservarlos (p. ej. registros financieros) o cuando un encargado de tratamiento externo conserva los datos de forma independiente (p. ej. registros de transacciones de Stripe).

7. Cookies y seguimiento

Utilizamos las siguientes cookies y tecnologías de seguimiento:

Estrictamente necesarias (no requieren consentimiento):

  • Cookies de sesión de autenticación — gestionadas por Supabase para mantenerte conectado
  • Preferencia de consentimiento de cookies — registra si has aceptado o rechazado las cookies opcionales

Protección frente a bots (interés legítimo):

  • Cloudflare Turnstile — un CAPTCHA centrado en la privacidad que no establece cookies de seguimiento. Se utiliza en los formularios de registro, inicio de sesión y contacto para prevenir abusos automatizados.

Análisis y publicidad (con consentimiento):

  • Google Analytics 4 — mide el uso y el rendimiento del sitio. Establece las cookies _ga, _ga_N8J2V47W6K y (en algunas configuraciones) _gid.
  • Google Ads — mide la eficacia de las campañas de pago. Establece las cookies _gcl_au, _gcl_aw y _gcl_dc.

Un único interruptor de consentimiento en el banner de cookies cubre tanto el análisis como la publicidad. Utilizamos Google Consent Mode v2, por lo que antes del consentimiento estas etiquetas se cargan en un modo restringido y sin cookies y no transmiten datos de medición o publicidad. Puedes retirar el consentimiento en cualquier momento. Todos los detalles — incluidos los periodos de caducidad y la configuración de los datos — se encuentran en nuestra Política de cookies.

8. Tus derechos según el RGPD

Como interesado en la UE/EEE, tienes los siguientes derechos según el RGPD:

  • Derecho de acceso (Art. 15): solicitar una copia de todos los datos personales que tenemos sobre ti.
  • Derecho de rectificación (Art. 16): corregir datos personales inexactos. Puedes actualizar la información de tu perfil directamente en la configuración de tu cuenta.
  • Derecho de supresión (Art. 17): solicitar la eliminación de tus datos personales. Ten en cuenta que algunos datos pueden conservarse cuando tengamos una obligación legal (p. ej. registros financieros).
  • Derecho a la limitación (Art. 18): solicitar que limitemos el tratamiento de tus datos en determinadas circunstancias.
  • Derecho a la portabilidad de los datos (Art. 20): recibir tus datos personales en un formato estructurado y legible por máquina.
  • Derecho de oposición (Art. 21): oponerte al tratamiento basado en el interés legítimo. Cesaremos el tratamiento salvo que tengamos motivos legítimos imperiosos.
  • Derecho a retirar el consentimiento (Art. 7(3)): cuando el tratamiento se base en el consentimiento (como las cookies de análisis y publicidad), puedes retirar tu consentimiento en cualquier momento, con la misma facilidad con la que se otorgó, a través del control de preferencias de cookies.

Cómo ejercer tus derechos: envía tu solicitud a privacy@wholeding.eu. Responderemos en un plazo de 30 días. Podemos pedirte que verifiques tu identidad antes de procesar tu solicitud.

Derecho a presentar una reclamación: si no estás satisfecho con cómo gestionamos tus datos, tienes derecho a presentar una reclamación ante tu autoridad local de protección de datos. Para Malta, es la Office of the Information and Data Protection Commissioner (IDPC) en idpc.org.mt.

9. Seguridad de los datos

Implementamos medidas técnicas y organizativas adecuadas para proteger tus datos personales, entre las que se incluyen:

  • Todos los datos están cifrados en tránsito (HTTPS/TLS) y en reposo
  • Los tokens sensibles (p. ej. tokens de actualización OAuth de Google) están cifrados a nivel de aplicación antes del almacenamiento
  • Las políticas de seguridad a nivel de fila restringen el acceso a la base de datos solo a usuarios autorizados
  • Las acciones administrativas se registran en una pista de auditoría con marcas temporales y direcciones IP
  • La autenticación utiliza el flujo PKCE OAuth y el hash de contraseñas con bcrypt
  • La protección frente a bots previene el abuso automatizado de formularios y autenticación

10. Decisiones automatizadas

Nuestro cuestionario de emparejamiento con terapeutas utiliza tus respuestas para sugerir terapeutas adecuados. Este emparejamiento se realiza con datos anónimos y produce una recomendación no vinculante — eres libre de elegir cualquier terapeuta disponible. No se toman decisiones automatizadas con efectos jurídicos o significativos similares sobre ti.

11. Privacidad de los menores

Wholeding no está dirigido a personas menores de 18 años. Recopilamos la fecha de nacimiento para verificar la elegibilidad por edad. Si tomamos conocimiento de que hemos recopilado datos personales de una persona menor de 18 años, tomaremos medidas para eliminar esos datos con prontitud.

12. Cambios en esta política

Podemos actualizar esta Política de privacidad de vez en cuando. Cuando realicemos cambios sustanciales, te lo notificaremos actualizando la fecha en la parte superior de esta página y, cuando proceda, por correo electrónico. Te animamos a revisar esta página periódicamente.

13. Contacto

Para cualquier pregunta sobre esta Política de privacidad o para ejercer tus derechos de protección de datos, contáctanos en:

Wholeding Ltd
11 Triq Giovanni Ricasoli
KKR106 Kalkara, Malta

Correo electrónico: privacy@wholeding.eu

Utilizamos cookies para garantizar el correcto funcionamiento de nuestra plataforma. Puede elegir qué cookies opcionales permitir. Política de privacidad y Política de cookies.