Política de privacidad
Esta es nuestra Política de privacidad. Los Términos de uso (EULA) de Mimos están en una página aparte. Ver los Términos de uso →
1. Sobre esta política y a quién va dirigida
Mimos es una plataforma multiinquilino de software como servicio (SaaS) que las peluquerías caninas usan para gestionar clientes, mascotas, citas, mensajería y un escaparate de reservas online. La plataforma está operada por Mimos Technology Inc. ("Mimos", "nosotros"), 108 W 39th St, STE1006 PMB2057 New York City, 10018 NY, USA.
Esta política explica qué datos personales tratamos, por qué, sobre qué base legal, con quién los compartimos, cuánto tiempo los conservamos y qué derechos tienes. Se aplica a:
- Las peluquerías caninas que se suscriben a Mimos (nuestros clientes directos) y el personal de esos negocios que tiene una cuenta.
- Los dueños de mascotas ("clientes") cuyos datos un negocio guarda en Mimos o que reservan a través del escaparate online de un negocio.
- Las personas que visitan nuestra aplicación y nuestras páginas de reserva.
2. Nuestro papel: responsable y encargado del tratamiento
Mimos desempeña dos roles distintos en materia de protección de datos. Es importante que entiendas cuál te aplica a ti.
Somos el responsable de los datos personales cuando decidimos los fines y los medios del tratamiento, principalmente:
- Datos de la cuenta y del personal usuario (registro, autenticación, administración de la facturación, soporte, seguridad).
- Datos técnicos y de uso que recopilamos para hacer funcionar, asegurar y mejorar la plataforma.
- Las comunicaciones entre nosotros y nuestros clientes empresariales.
Somos un encargado del tratamiento (y la peluquería es el responsable) de los datos personales que un negocio introduce o genera sobre sus propios clientes y sus mascotas; por ejemplo, datos de contacto de los clientes, fichas de mascotas, historial de citas, fotos, cartillas de vacunación y registros de mensajes. Tratamos esos datos únicamente siguiendo las instrucciones documentadas del negocio con el fin de prestar el servicio. Cada negocio es responsable de contar con una base legal para recopilar estos datos y de responder a las solicitudes de privacidad de sus propios clientes; nuestro tratamiento se rige por un Acuerdo de Tratamiento de Datos (DPA) que forma parte de nuestros términos.
Si eres dueño de una mascota y quieres acceder a la información que una peluquería tiene sobre ti, corregirla o eliminarla, ponte en contacto directamente con esa peluquería: ellos controlan tu ficha. Nosotros les ayudaremos en nuestra condición de encargado del tratamiento.
3. Datos personales que tratamos
Los datos concretos que existen dependen de cómo configure cada negocio Mimos y de qué decida registrar. Las categorías de abajo reflejan lo que la plataforma es capaz de almacenar.
3.1 Cuentas de negocio y de personal usuario (Mimos como responsable)
- Identidad y contacto: nombre y apellidos, dirección de email y número de teléfono.
- Autenticación y seguridad: contraseña cifrada (hash), tokens de confirmación de email y de restablecimiento de contraseña, token de "recordarme", contadores de inicios de sesión fallidos y estado de bloqueo, y metadatos de inicio de sesión (marcas de tiempo y direcciones IP del inicio de sesión actual o último).
- Perfil: foto de avatar opcional y, para el personal que es reservable como peluquero, biografía, especialidades, color en el calendario, fecha de contratación y porcentaje de comisión.
- Datos de trabajo: horario laboral, ausencias (incluido cualquier motivo registrado), asignaciones de ubicación y la configuración o los ajustes del negocio.
- Rol y pertenencia: a qué negocio o negocios pertenece el usuario y su rol (administrador o miembro).
3.2 Datos de clientes y mascotas (Mimos como encargado, en nombre del negocio)
- Datos del dueño de la mascota ("cliente"): nombre, dirección(es) de email, número(s) de teléfono, dirección(es) postal o de facturación, notas de texto libre, origen de captación, relaciones del hogar y etiquetas.
- Preferencias de mensajería y consentimiento: si el cliente ha dado su consentimiento para recibir recordatorios automáticos o mensajes de marketing, cuándo se dio o se retiró el consentimiento, y el canal preferido (SMS, email o ninguno).
- Fichas de mascotas: nombre, especie, raza, fecha de nacimiento, sexo, tamaño, peso, pelaje/carácter, alergias y notas médicas, y fotos de la mascota (foto de perfil y fotos de antes y después del aseo).
- Cartillas de vacunación: nombre o tipo de vacuna, fechas de administración y de caducidad, verificación y cualquier motivo o nota de excepción, y un documento justificativo subido (foto o PDF de un certificado).
- Citas e historial de servicios: reservas, horas, estado, precios registrados en el momento, notas o instrucciones especiales de la cita, y qué miembro del personal realizó el servicio.
- Consentimientos y firmas: documentos de exención o consentimiento capturados al registrarse en el check-in, incluidas las marcas de consentimiento de fotos, el nombre del firmante y el contenido de la firma digital, además de la versión o el idioma del documento y la marca de tiempo.
- Reseñas y testimonios: valoraciones y comentarios de texto libre enviados por los clientes (algunos mediante enlaces con token), y el nombre o la foto del autor de cualquier testimonio que un negocio decida publicar.
- Comunicaciones: un registro de los mensajes enviados a los clientes o recibidos de ellos, incluido el teléfono o email del destinatario, el canal (SMS, WhatsApp, email), el cuerpo del mensaje, la dirección, el estado de entrega y cualquier error.
Nota sobre datos sensibles. Las alergias y las notas médicas sobre mascotas son información de salud animal, no datos personales de categoría especial sobre una persona. Sin embargo, los campos de texto libre (notas de clientes, notas de citas, comentarios de reseñas) podrían contener cualquier cosa que escriba un usuario. Los negocios deberían evitar registrar categorías especiales de datos personales sobre personas en estos campos.
3.3 Datos recopilados automáticamente
- Cookies de sesión y de autenticación (ver §6).
- Registros (logs) de servidor y de seguridad, incluidos la dirección IP, los metadatos de la solicitud y el user-agent, que se usan para operar, asegurar y depurar el servicio. Las contraseñas, los tokens, los códigos OTP y secretos similares se filtran y se excluyen de nuestros registros.
- Telemetría de rendimiento y trazas a través de nuestro proveedor de monitorización del rendimiento de la aplicación (ver §7), consistente en metadatos de solicitud y de trazas.
- Eventos de analítica de producto (p. ej. eventos de embudo o de uso con un identificador de sesión y el usuario autenticado, cuando proceda).
- Tokens de notificaciones push móviles para el personal que usa la app complementaria de iOS o Android (token del dispositivo, plataforma, entorno, hora de última conexión). Las notificaciones se entregan mediante Apple Push Notification service (APNs) en iOS y Firebase Cloud Messaging (FCM) en Android; los datos del token que se recopilan son los mismos en ambas plataformas.
- Datos de suscripción y compra de Mimos Pro (nuestro plan de pago). Cuando te suscribes a través de la App Store o Google Play, tratamos el identificador de transacción de la tienda, el identificador del producto (p. ej. el plan mensual o anual), un identificador pseudónimo por cuenta que la app envía a la tienda (
appAccountTokende Apple /obfuscatedAccountIdde Google, derivado del ID de tu cuenta) y el estado de la suscripción o del derecho de acceso resultante. Si te suscribes en la web a través de Stripe, tratamos tus identificadores de cliente y de suscripción de Stripe, el identificador del producto y el estado de la suscripción. Tratamos estos datos únicamente para conceder y gestionar el acceso a Mimos Pro.
No almacenamos números de tarjetas de pago ni datos de cuentas bancarias; Mimos no es una pasarela de pago.
4. Por qué tratamos los datos y nuestras bases legales
Cuando se aplica el GDPR (EU/EEA), la LGPD de Brasil u otras leyes de protección de datos aplicables, nos basamos en los siguientes fundamentos:
| Finalidad | Ejemplos | Base legal |
|---|---|---|
| Prestar el servicio a los negocios | Crear y mantener cuentas, almacenar fichas de clientes y mascotas, gestionar reservas | Ejecución de un contrato |
| Tratar datos de clientes y mascotas para un negocio | Alojar y operar los datos de CRM del negocio | Encargado que actúa según las instrucciones del negocio (el negocio se basa en su propia base legal) |
| Autenticación y seguridad de la cuenta | Inicio de sesión, restablecimiento de contraseña, bloqueo, limitación de frecuencia | Intereses legítimos / contrato |
| Comunicaciones del servicio | Confirmaciones, restablecimientos de contraseña, invitaciones, recordatorios y avisos de citas | Contrato / intereses legítimos; consentimiento para mensajes de marketing o recordatorios a clientes cuando sea necesario |
| Fiabilidad y monitorización de la seguridad | Seguimiento de errores, monitorización del rendimiento, prevención de abusos | Intereses legítimos |
| Cumplir obligaciones legales | Registros fiscales y contables, respuesta a solicitudes legítimas | Obligación legal |
| Mejorar el producto | Analítica agregada y de uso | Intereses legítimos |
Para nuestro propio marketing dirigido a negocios, o cuando se requiera consentimiento por otros motivos, nos basamos en el consentimiento, que puedes retirar en cualquier momento.
5. Mensajería a clientes y consentimiento
Mimos puede enviar mensajes por SMS y email a los clientes de un negocio (por ejemplo, recordatorios y confirmaciones de citas), con mensajería por WhatsApp disponible donde esté habilitada. La plataforma registra y aplica el consentimiento de mensajería: se almacena el estado del consentimiento del cliente y su marca de tiempo, y los mensajes automáticos a clientes están condicionados a ese consentimiento. Los clientes pueden retirar su consentimiento en cualquier momento poniéndose en contacto con el negocio o siguiendo las instrucciones para darse de baja cuando se faciliten. Los registros de mensajes se conservan como parte de los registros del negocio (ver §9).
6. Cookies y tecnologías similares
Mimos usa un pequeño número de cookies estrictamente necesarias para funcionar; no usa cookies publicitarias. Entre ellas:
- Una cookie de sesión (p. ej.
_pet_crm_session) para mantenerte con la sesión iniciada y protegerte frente a la falsificación de solicitudes entre sitios. Es HttpOnly, SameSite=Lax y (en producción) Secure (solo por HTTPS). - Una cookie de "recordarme" que solo se establece si eliges esa opción al iniciar sesión, para que sigas con la sesión iniciada entre sesiones del navegador; se borra al cerrar sesión.
Como estas cookies son esenciales para prestar un servicio que solicitas, no requieren consentimiento según las normas de ePrivacy. Si más adelante añadimos cookies no esenciales o analíticas de terceros que establezcan cookies, mostraremos un banner de consentimiento y actualizaremos esta sección.
7. Proveedores de servicios y subencargados
Compartimos datos personales con los terceros indicados a continuación estrictamente para prestar el servicio. Cada uno está vinculado por cláusulas de protección de datos. Esta lista puede cambiar; la mantendremos actualizada.
| Proveedor | Función | Datos implicados |
|---|---|---|
| Render | Alojamiento de la aplicación, base de datos gestionada PostgreSQL, copias de seguridad, registros | Todos los datos de la aplicación |
| Cloudflare R2 | Almacenamiento de objetos para los archivos subidos | Fotos (avatares, mascotas, aseo, testimonios), logotipos, justificantes de vacunación |
| Redis (gestionado) | Cola de trabajos en segundo plano / caché | Datos transitorios de trabajos que hacen referencia a registros |
| Resend | Envío de email transaccional | Nombre y email del destinatario, contenido del mensaje (confirmaciones, restablecimientos, invitaciones, recordatorios) |
| Sweego | Envío de SMS transaccionales (recordatorios y confirmaciones de citas) | Número de teléfono del destinatario (E.164), contenido del mensaje |
| Apple Push Notification service (APNs) | Notificaciones push de iOS a la app del personal | Token push del dispositivo, contenido de la notificación |
| Google — Firebase Cloud Messaging (FCM) | Notificaciones push de Android a la app del personal | Token push del dispositivo, contenido de la notificación |
| Apple — App Store / StoreKit | Procesar la suscripción a Mimos Pro y enviarnos datos de transacción y del derecho de acceso | Identificador de transacción, identificador de producto, identificador pseudónimo por cuenta (appAccountToken), estado de la suscripción |
| Google — Google Play Billing | Procesar la suscripción a Mimos Pro y enviarnos datos de transacción y del derecho de acceso | Identificador de compra/transacción, identificador de producto, identificador pseudónimo por cuenta (obfuscatedAccountId), estado de la suscripción |
| Stripe | Procesar la suscripción a Mimos Pro en la web (Stripe Checkout) y enviarnos datos de suscripción y del derecho de acceso | Identificadores de cliente y de suscripción de Stripe, identificador de producto/precio, estado de la suscripción (sin datos de la tarjeta) |
| Datadog | Monitorización del rendimiento de la aplicación (producción) | Metadatos de solicitud y trazas |
| Slack | Alertas operativas internas para Mimos (p. ej. nuevos registros o reservas) | Metadatos limitados de cuenta o reserva |
| Companion mobile backend webhook | Notificar a nuestra app móvil los cambios en los datos | ID de cuenta, tipo de evento, marca de tiempo (firmado) |
| Fontshare (Indian Type Foundry) | Sirve la fuente web utilizada en la interfaz | La IP/user-agent del navegador al cargar la fuente |
Previsto (todavía no activo): el seguimiento de errores mediante Sentry está integrado en nuestro código, pero no está habilitado en producción, por lo que hoy no trata datos personales. Si lo activamos, actualizaremos esta sección; los informes de error podrían incluir entonces la dirección IP, las cabeceras de la solicitud y los identificadores del usuario afectado.
No vendemos datos personales ni los compartimos para publicidad de terceros.
8. Transferencias internacionales de datos
Nuestros proveedores pueden tratar datos fuera del país en el que te encuentras, incluido Estados Unidos. Cuando se transfieren datos fuera del EEA/UK, nos basamos en garantías adecuadas como las Cláusulas Contractuales Tipo (Standard Contractual Clauses) de la Comisión Europea (y el UK Addendum cuando proceda), o la certificación de adecuación o del Data Privacy Framework de un proveedor. Los detalles de las garantías para una transferencia concreta están disponibles a petición en hola@joinmimos.com.
9. Conservación de los datos
- Los datos de la cuenta y del personal usuario se conservan mientras la suscripción del negocio esté activa y durante un periodo razonable después, tras lo cual se eliminan o anonimizan, con sujeción a las obligaciones legales de conservación (p. ej. fiscales o contables).
- Las fichas de clientes, mascotas, citas, fotos y cartillas de vacunación se conservan para el negocio (el responsable) durante todo el tiempo que este las mantenga. Algunos registros usan borrado lógico (marcados como eliminados y ocultos, pero conservados) para que el historial y los registros de citas sean coherentes; no se purgan automáticamente.
- Historial de cambios / registro de auditoría. Por integridad y responsabilidad, los cambios en los registros clave se versionan en un registro de auditoría y se conservan durante toda la vida de la cuenta salvo que se purguen.
- Los registros de mensajes se conservan como parte de los registros de comunicaciones del negocio.
- Cierre o eliminación de la cuenta. Cuando se elimina la cuenta de un negocio, se eliminan sus datos asociados (pertenencias, clientes, mascotas, citas, servicios, invitaciones, etc.). A petición, eliminaremos o devolveremos los datos de un negocio conforme a nuestro DPA y a la ley aplicable.
- Las copias de seguridad se conservan durante una ventana rotativa limitada y luego se sobrescriben; las solicitudes de eliminación se atienden de inmediato en los sistemas activos y se propagan a medida que las copias de seguridad se van renovando.
Si quieres que documentemos un calendario de conservación concreto, escríbenos a hola@joinmimos.com.
10. Cómo protegemos los datos
- Cifrado en tránsito: se aplica HTTPS/TLS en toda la aplicación (HSTS/force_ssl en producción); las cookies son Secure y HttpOnly.
- Protección de contraseñas: las contraseñas se cifran con bcrypt (factor de trabajo 12) y nunca se almacenan ni se registran en texto plano.
- Acceso por API: el acceso programático usa bearer tokens almacenados únicamente como un resumen HMAC-SHA256 con sal (el token en bruto nunca se persiste); los tokens pueden revocarse y caducar.
- Prevención de abusos: limitación de frecuencia en los endpoints de inicio de sesión, registro, restablecimiento de contraseña y OTP, y bloqueo de cuenta tras varios inicios de sesión fallidos.
- Higiene de registros: las contraseñas, los tokens, los OTP y otros secretos se filtran de los registros de la aplicación.
- Aislamiento entre inquilinos: los datos de cada negocio están lógicamente segregados por cuenta.
- Control de acceso: permisos basados en roles (administrador/miembro) y comprobaciones de políticas regulan el acceso dentro de una cuenta.
- Seguridad de la sesión móvil: la app móvil almacena su token de sesión en el almacenamiento seguro del dispositivo (Keychain de iOS / Keystore de Android), protegido opcionalmente por la biometría del dispositivo cuando la actives; los datos biométricos nunca salen de tu dispositivo y los gestiona por completo el sistema operativo.
Ningún sistema es perfectamente seguro, pero adoptamos medidas técnicas y organizativas razonables y apropiadas para proteger los datos personales, y notificaremos a las partes afectadas y a los reguladores una violación de datos personales cuando la ley lo exija.
11. Tus derechos
Con sujeción a la ley aplicable (como el GDPR y la LGPD), puedes tener derecho a:
- Acceder a los datos personales que tenemos sobre ti y recibir una copia.
- Rectificar datos inexactos o incompletos.
- Suprimir tus datos ("derecho al olvido") en determinadas circunstancias.
- Limitar u oponerte a determinados tratamientos, incluidos los basados en intereses legítimos y el marketing directo.
- Portabilidad de los datos: recibir tus datos en un formato estructurado y legible por máquina.
- Retirar el consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento.
- Presentar una reclamación ante tu autoridad local de protección de datos o de control.
Cómo ejercer tus derechos:
- Si Mimos es el responsable (los datos de tu cuenta o de personal usuario), escríbenos a hola@joinmimos.com. Responderemos dentro del plazo que exige la ley (un mes según el GDPR, prorrogable). Es posible que necesitemos verificar tu identidad.
- Si tus datos los introdujo una peluquería canina (es decir, eres cliente de ese negocio), ponte en contacto con ese negocio: es el responsable. Nosotros le daremos apoyo para atender tu solicitud.
12. Menores
Mimos está pensado para negocios y personas adultas. No va dirigido a menores y no recopilamos a sabiendas datos personales de menores. Si crees que un menor ha facilitado datos personales, ponte en contacto con nosotros y los eliminaremos.
13. Decisiones automatizadas
No usamos los datos personales descritos aquí para tomar decisiones que produzcan efectos jurídicos o que te afecten de forma similarmente significativa basándonos únicamente en medios automatizados.
14. Cambios en esta política
Podemos actualizar esta política para reflejar cambios en el producto, en nuestros proveedores o en la ley. Publicaremos la versión actualizada con una nueva fecha de "Última actualización" y, en caso de cambios importantes, daremos un aviso adicional (p. ej. dentro de la aplicación o por email). El uso continuado tras la fecha de entrada en vigor constituye su aceptación cuando la ley lo permita.
15. Contacto
Para preguntas, solicitudes o reclamaciones sobre privacidad:
Email: hola@joinmimos.com
Dirección postal: Mimos Technology Inc., 108 W 39th St, STE1006 PMB2057 New York City, 10018 NY, USA
Esta versión en inglés es el texto de referencia. Es posible que se faciliten traducciones a otros idiomas por comodidad; en caso de conflicto, prevalecerá la versión en inglés.