En Mecha tratamos los datos de tu peluquería y de tus clientes con el mismo cuidado con el que tú los atiendes. Aquí te explicamos qué datos manejamos, para qué, y qué derechos tienes — en lenguaje claro.
Última actualización: junio de 2026
Identidad fiscal pendiente. Los datos de identificación del responsable (razón social, NIF y domicilio) están pendientes de cumplimentar y se completarán antes del lanzamiento comercial. Para cualquier asunto relacionado con tus datos, el canal de contacto válido es novanoidai@gmail.com.
01 · Privacidad
Política de privacidad
Esta política describe en detalle cómo Mecha recoge, almacena, trata y protege los datos personales en el marco del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), y la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
Responsable del tratamiento
Responsable del Servicio
Denominación social: Mecha OS Technologies, S.L. (en constitución).
NIF y Domicilio Social: Pendiente de inscripción mercantil definitiva (se publicarán e inscribirán antes del lanzamiento de la fase comercial de cobro).
Correo electrónico de contacto: novanoidai@gmail.com · Teléfono de atención: +34 690 792 975
Qué datos tratamos
Mecha recoge diferentes categorías de datos personales según la relación comercial establecida:
De los salones (Usuarios de la plataforma): Datos del negocio (nombre comercial, slug de reserva, NIF/CIF, dirección física, teléfono, email, logotipo), datos de los profesionales (nombre, color de calendario, especialidades, turnos y horarios laborales, comisiones) y credenciales de acceso vinculadas al personal.
De los clientes finales de los salones (CRM): Datos identificativos y de contacto (nombre completo, teléfono móvil, dirección de correo electrónico), historial completo de citas agendadas, canceladas o completadas, preferencias del cliente (bebida habitual, estilista preferido), alertas de salud (alergias o sensibilidades en el cuero cabelludo) e información técnica del tratamiento capilar (fórmulas de color de tintura, tonos, tiempos de exposición de color y notas añadidas por el profesional).
Galería multimedia del cliente: Fotos de antes y después de los tratamientos capilares. Estas imágenes se almacenan de forma segura en los buckets de almacenamiento de Supabase Storage (`cliente-fotos`).
Interacciones con el Asistente de IA: Historial y transcripciones de las conversaciones mantenidas por los clientes finales a través del chat automatizado de WhatsApp y llamadas de voz con el agente virtual, recopilados para analizar la intención del cliente (booking intent) y tramitar la cita.
Datos financieros y de pago: Los cobros de planes de suscripción a los salones y el pago de depósitos obligatorios por parte de los clientes se gestionan directamente a través del procesador de pagos Stripe. Mecha no almacena, ve ni retiene números de tarjetas de crédito o débito, únicamente recibe notificaciones de confirmación de transacciones (webhooks) y referencias del cliente en Stripe.
Datos de uso técnico: Direcciones IP, tipo de navegador, cookies necesarias para persistir la sesión (`sb-*-auth-token`) e ID de consentimiento de cookies.
Para qué los usamos
Tratamos los datos con las siguientes finalidades principales: prestar el servicio SaaS de gestión para salones, permitir la reserva online pública, gestionar la agenda interactiva y las comisiones, automatizar los recordatorios de citas e inyectar el asistente de IA conversacional para recibir reservas 24/7. No vendemos, alquilamos ni comercializamos con los datos de los salones ni de sus clientes bajo ningún concepto.
Base legal del tratamiento
Ejecución del contrato (Art. 6.1.b del RGPD): Esencial para gestionar las suscripciones de los salones, crear sus tenants multi-sede, procesar citas en Supabase y permitir el funcionamiento del portal de reservas.
Consentimiento del interesado (Art. 6.1.a del RGPD): Aplicable para la recogida de alergias médicas y sensibilidades en la ficha de cliente, almacenamiento de fotos antes/después en Supabase Storage, inyección de cookies de medición (Google Analytics), y la subida de datos externos de Booksy o Fresha. El interesado puede revocar este consentimiento en cualquier momento.
Interés legítimo (Art. 6.1.f del RGPD): Aplicable para monitorizar la seguridad técnica de la plataforma y recopilar estadísticas agregadas de uso y rendimiento (ocupación media, tasa de no-shows) con el fin de optimizar el software.
Obligación legal (Art. 6.1.c del RGPD): Para cumplir con las obligaciones contables, fiscales y laborales exigidas por las leyes españolas.
Co-responsabilidad y Encargo del tratamiento
El salón actúa como Responsable del Tratamiento de los datos de sus clientes finales y de su personal, ya que es quien define qué datos recopila y bajo qué base legal. Mecha actúa estrictamente como Encargado del Tratamiento bajo el Art. 28 del RGPD, tratando los datos de la base de datos únicamente de acuerdo con las instrucciones operativas del salón para prestarle el servicio técnico.
Conexión con Booksy y Fresha
Si el salón activa la integración opcional con Booksy o Fresha, Mecha actuará como encargado de recopilar mediante integración de APIs seguras los datos de reservas e historial autorizados por el salón. El salón garantiza contar con las autorizaciones oportunas de sus clientes para dicha sincronización.
Proveedores que nos ayudan a prestar el servicio
Para prestar el servicio, Mecha subcontrata proveedores de infraestructura (Subencargados del tratamiento) que cumplen con rigurosos contratos de protección de datos (Art. 28 RGPD) y certificaciones de seguridad (ISO 27001, SOC 2):
Supabase Inc. — Base de datos relacional PostgreSQL multi-tenant, autenticación segura y almacenamiento en la nube (Storage) en servidores dentro de la Unión Europea (Frankfurt, Alemania).
Vercel Inc. — Alojamiento de la landing page y el front-end web, con servidores CDN distribuidos y cumplimiento de seguridad estándar.
Stripe Payments Europe, Ltd. — Procesamiento seguro de depósitos y cobros por suscripción. Adscrita al estándar de seguridad PCI-DSS.
Google LLC — Sincronización del calendario interno con Google Calendar, inicio de sesión federado y analítica web (Google Analytics).
OpenAI, L.L.C. y Retell AI Inc. — Motores de Inteligencia Artificial para el procesamiento de conversaciones en el canal de WhatsApp y transcripciones/atención de llamadas de voz automatizadas.
Transferencias internacionales de datos
Determinados subencargados (como OpenAI o Retell AI) pueden procesar parte de la información en centros de datos ubicados en los Estados Unidos. Estas transferencias se realizan bajo garantías legales adecuadas, incluyendo las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea y la adhesión al marco de privacidad EU-U.S. Data Privacy Framework.
Conservación de los datos
Conservaremos los datos personales únicamente durante la vigencia de la suscripción del salón a Mecha. Una vez cancelada la cuenta, los datos pasarán a un estado bloqueado conforme a las leyes fiscales y mercantiles (durante el plazo de prescripción de responsabilidades legales, generalmente de 5 a 6 años) antes de su destrucción definitiva.
02 · Tus derechos
Tus derechos (RGPD)
Tanto los propietarios de los salones como sus clientes finales pueden ejercer gratuitamente y en cualquier momento sus derechos de protección de datos dirigiéndose al correo electrónico novanoidai@gmail.com adjuntando una copia de su DNI o documento equivalente para acreditar su identidad:
Acceso
Saber qué datos específicos tratamos y obtener un extracto en formato digital.
Rectificación
Actualizar o corregir información errónea de la ficha del salón o cliente.
Supresión
Exigir el borrado completo de los datos personales (Derecho al Olvido).
Oposición
Oponerte a tratamientos basados en el interés legítimo o perfiles de IA.
Limitación
Solicitar la suspensión del tratamiento mientras se verifica una impugnación.
Portabilidad
Recibir los datos estructurados en formato CSV para transferirlos a otra herramienta.
Si consideras que no hemos atendido debidamente tus derechos, tienes derecho a presentar una reclamación formal ante la Agencia Española de Protección de Datos (AEPD) a través de su portal en aepd.es.
Derecho de Supresión y Procedimiento de Eliminación de Datos
En Mecha garantizamos de forma absoluta la efectividad del Derecho de Supresión. Hemos estructurado el procedimiento de eliminación física de la siguiente manera:
Eliminación por el Salón (Propietario): Desde el panel de configuración de la cuenta (Tu cuenta · Cambiar plan / Eliminar cuenta), el propietario del salón puede activar la baja del tenant. Este proceso ejecuta automáticamente un borrado en cascada en Supabase que purga: perfiles de profesionales, horarios de turnos, bloqueos de agenda, citas históricas y la base de datos local de clientes asociados a su `negocio_id`.
Eliminación por el Cliente Final: El cliente final del salón puede solicitar al responsable del salón o directamente a Mecha (enviando un email a novanoidai@gmail.com) el borrado de sus datos personales. Al confirmarse, Mecha eliminará el registro del cliente en la tabla `clientes`, lo que destruirá su nombre, teléfono, email, notas de profesional, fórmulas de color y las fotos almacenadas en el bucket `cliente-fotos` de Supabase Storage de manera permanente.
Eliminación de fotos en Storage: Los archivos de imagen vinculados en la tabla `cliente_fotos` se purgan físicamente del backend de almacenamiento (Supabase Storage) tras la confirmación de la baja del cliente, sin posibilidad de recuperación.
Plazo de tramitación: Todas las solicitudes directas de eliminación de datos se completarán en un plazo máximo de 30 días a partir de la recepción de la solicitud de identidad confirmada, enviándose una confirmación por correo electrónico al solicitante.
03 · Aviso legal
Aviso legal
El sitio web mecha.app y el software Mecha OS son propiedad y están gestionados por el Prestador cuyos datos de identificación fiscal se indican en la sección 01 de esta política. El acceso, navegación y uso del portal implican la aceptación plena de este aviso legal y sus condiciones generales.
Condiciones de uso
Queda prohibida la reproducción total o parcial de los contenidos, código fuente, logotipos o interfaces sin autorización expresa por escrito. El uso fraudulento o automatizado del portal de reservas mediante bots que saturen el calendario de los salones dará lugar al bloqueo inmediato de la IP y a las acciones legales pertinentes.
Exención de afiliación de marcas
Las marcas registradas "Booksy", "Fresha", "Stripe" y "WhatsApp" son propiedad exclusiva de sus respectivos titulares. Mecha OS utiliza estas denominaciones con carácter exclusivamente informativo y descriptivo para indicar que cuenta con integraciones funcionales con las citadas herramientas, sin que exista relación de afiliación comercial ni patrocinio entre Mecha y dichas marcas.
Estimaciones de negocio
Las cifras de rendimiento, tasas de reducción de no-shows, incremento de ocupación y facturación estimadas que se muestran en el sitio web proceden de casos históricos y estudios del sector. Tienen carácter exclusivamente ilustrativo y no constituyen una garantía contractual de resultados para los nuevos salones.
04 · Cookies
Cookies
Usamos cookies estrictamente necesarias para el correcto funcionamiento técnico de la plataforma (iniciar sesión, persistir el tenant multi-sede y registrar tu decisión de cookies) y, de forma totalmente opcional, cookies de analítica web (Google Analytics con anonimización de IP habilitada) para medir la usabilidad del sitio. Ninguna cookie no necesaria se cargará antes de que otorgues tu consentimiento afirmativo.