Legal

Política de Privacidad

Información sobre el tratamiento de tus datos personales conforme al Reglamento General de Protección de Datos (RGPD) y la legislación española aplicable.

Última actualización: mayo de 2026.
Esta política de privacidad se aplica a la web origar.es y a la aplicación móvil Allop (disponible en App Store y Google Play), así como a todas las instalaciones personalizadas de Allop para negocios clientes de Origar.

Roles en el tratamiento de datos

Origar actúa en dos roles distintos según los datos de que se trate. Es importante que sepas en cada caso quién es responsable de qué:

Origar como Responsable del Tratamiento

Para los datos de visitantes de origar.es y del formulario de contacto. Origar determina los fines y los medios del tratamiento.

Origar como Encargado del Tratamiento (art. 28 RGPD)

Para los datos de los clientes y empleados de cada salón gestionados a través de Allop. El salón es el Responsable del Tratamiento de esos datos; Origar los trata únicamente por cuenta y siguiendo las instrucciones del salón, en calidad de proveedor tecnológico (SaaS). Origar no determina los fines del tratamiento ni accede a esos datos para fines propios.

Esta distinción es la que establece el marco jurídico del RGPD (Reglamento UE 2016/679). El salón es el Responsable del Tratamiento respecto de los datos de sus clientes y empleados. Origar actúa como Encargado del Tratamiento y responderá de las obligaciones que le correspondan conforme al RGPD, al DPA y a las instrucciones documentadas del salón.

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recogidos a través de origar.es y del formulario de contacto es:

Origar no ha designado Delegado de Protección de Datos (DPO), al no concurrir ninguno de los supuestos previstos en el artículo 37 del RGPD (no somos autoridad pública, no realizamos monitorización sistemática a gran escala ni tratamos categorías especiales de datos en gran volumen).

Para los datos personales de los clientes y empleados de los salones tratados a través de Allop, el Responsable del Tratamiento es el propio salón o negocio. Origar actúa únicamente como Encargado del Tratamiento (art. 28 RGPD), procesando dichos datos por cuenta del salón y conforme a sus instrucciones. Véase la sección «Relación entre Origar y los salones clientes» más abajo.

Para cualquier consulta relacionada con la privacidad y la protección de tus datos, puedes contactarnos en la dirección de email indicada.

2. Datos que recogemos

2.1 App Allop — clientes del salón

Los datos de los clientes del salón son tratados por cuenta del salón correspondiente, que actúa como Responsable del Tratamiento. Origar, como Encargado, almacena y procesa estos datos exclusivamente para prestar el servicio tecnológico contratado por el salón.

Cuando utilizas la app Allop como cliente de un salón, se recogen los siguientes datos:

  • Datos de identificación: nombre y apellidos.
  • Datos de contacto: número de teléfono móvil (almacenado cifrado con AES-256).
  • Credenciales de acceso: contraseña (almacenada en forma de hash irreversible).
  • Datos de reservas: historial de citas, servicios contratados, profesional asignado, fecha y hora.
  • Datos de fidelización: número de sesiones realizadas y premios obtenidos.
  • Datos de facturación: información sobre pagos realizados en el salón (sin datos de tarjeta bancaria, que nunca se almacenan).

No recogemos datos de localización, acceso a fotos, contactos ni ningún otro recurso del dispositivo más allá de los estrictamente necesarios para el funcionamiento de la app.

2.2 Web origar.es — visitantes y contacto

Cuando visitas nuestra web o rellenas el formulario de contacto, podemos recoger:

  • Datos del formulario: nombre, email, nombre del negocio y el mensaje que nos envías.
  • Datos técnicos: dirección IP, tipo de navegador y sistema operativo (recogidos automáticamente por el servidor web para seguridad y diagnóstico técnico).

Esta web no utiliza cookies de seguimiento ni herramientas de analítica de terceros.

2.3 App Allop — empleados del salón

Al igual que los datos de clientes, los datos de empleados son tratados por cuenta del salón (Responsable del Tratamiento) con Origar como Encargado.

Si utilizas la app como empleado, se recogen:

  • Datos de identificación: nombre, apellidos y email profesional.
  • Datos de agenda: citas asignadas, especialidades y disponibilidad.
  • Credenciales de acceso: contraseña en hash irreversible.

3. Finalidad del tratamiento y base legal

Para los datos tratados por Origar como Responsable (visitantes de origar.es y formulario de contacto):

Finalidad Base legal
Responder consultas y solicitudes de contacto (web) Medidas precontractuales / ejecución de contrato (art. 6.1.b RGPD) — el tratamiento es necesario para atender la solicitud del interesado
Diagnóstico técnico y seguridad del servidor web Interés legítimo del responsable (art. 6.1.f RGPD) — interés concreto: garantizar la seguridad, estabilidad y correcto funcionamiento de la infraestructura. Los datos tratados son exclusivamente técnicos (IP, tipo de navegador), se procesan de forma automática y no se usan para identificar personas.

Para los datos tratados por Origar como Encargado del Tratamiento (datos de clientes y empleados de los salones a través de Allop), la base legal de cada tratamiento es determinada y gestionada por el salón correspondiente en su condición de Responsable del Tratamiento. El salón es quien debe informar a sus clientes y empleados sobre las bases legales aplicables.

4. Relación entre Origar y los salones clientes (Encargado del Tratamiento)

Origar proporciona a los salones un software de gestión (SaaS) que incluye funcionalidades de agenda, gestión de clientes, facturación y comunicaciones. En el marco de esta relación:

  • El salón es el Responsable del Tratamiento de los datos de sus clientes y empleados. Es quien determina los fines para los que se usan esos datos y quien debe contar con una base legal para tratarlos.
  • Origar es el Encargado del Tratamiento (art. 28 RGPD): trata los datos por cuenta del salón, siguiendo sus instrucciones documentadas, y únicamente para prestar el servicio contratado.
  • Entre Origar y cada salón existe un Acuerdo de Encargado del Tratamiento (DPA) que establece las instrucciones de tratamiento, las medidas de seguridad aplicadas y las obligaciones de cada parte. El DPA está disponible bajo solicitud a privacidad@origar.es.
  • Origar no cede ni utiliza los datos de clientes de los salones para fines propios, ni los combina con otras fuentes de datos.
  • Si un salón realiza tratamientos no conformes al RGPD que excedan las instrucciones documentadas en el DPA, el salón es el Responsable del Tratamiento de dichos actos. Origar responderá de las obligaciones que le correspondan como Encargado conforme al art. 28 RGPD y al DPA, pero no asume responsabilidad por decisiones de tratamiento que correspondan al salón.

Si eres cliente de un salón que usa Allop y quieres ejercer tus derechos RGPD sobre tus datos (acceso, supresión, portabilidad…), debes dirigirte directamente al salón. Origar puede atender solicitudes de ejercicio de derechos que el salón nos traslade, pero el canal principal es el salón como Responsable.

5. Conservación de los datos

Conservamos los datos personales durante el tiempo necesario para cumplir con las finalidades descritas:

  • Datos de cuenta y reservas (gestionados por cuenta del salón): el salón determina los plazos de conservación aplicables. Origar mantiene los datos en el sistema mientras el salón mantenga el servicio activo y, una vez rescindido el contrato, los elimina en el plazo acordado en el DPA (máximo 90 días).
  • Datos de facturación: durante los plazos exigidos por la normativa fiscal, mercantil y de prevención del fraude aplicable, y en todo caso mientras puedan surgir responsabilidades o reclamaciones derivadas de la relación contractual.
  • Datos de contacto web (origar.es): hasta 1 año desde la última comunicación, salvo que se establezca una relación comercial.
  • Datos técnicos del servidor (IP, logs de acceso): máximo 12 meses, salvo que su conservación sea necesaria para el ejercicio o defensa de reclamaciones legales.

6. Destinatarios de los datos

Los datos personales no se venden ni se ceden a terceros con fines comerciales. Únicamente se comparten con:

  • El salón o negocio al que pertenece tu cuenta. El salón es el Responsable del Tratamiento de tus datos como cliente y el destinatario principal de la información gestionada a través de Allop.
  • Origar — en calidad de Encargado del Tratamiento (art. 28 RGPD), el personal técnico autorizado de Origar puede acceder a los datos almacenados en su infraestructura cuando sea necesario para la prestación del servicio: mantenimiento del sistema, soporte técnico al salón, gestión de copias de seguridad, actualizaciones de seguridad y operación de la plataforma. Este acceso está restringido al mínimo necesario para cada tarea y queda registrado. Origar no accede a estos datos para fines propios ni los cede a terceros.
  • Twilio Inc. — proveedor de envío de SMS OTP (verificación de número de teléfono), con quien existe un acuerdo de encargado del tratamiento. Twilio es una empresa estadounidense; la transferencia de datos (exclusivamente el número de teléfono del destinatario del SMS) a los EE.UU. se ampara, según corresponda, en la certificación de Twilio bajo el EU-US Data Privacy Framework (Decisión de adecuación de la Comisión Europea de 10 de julio de 2023) y/o en las Cláusulas Contractuales Tipo incorporadas a su DPA (art. 46.2.c RGPD). Consulta su política en twilio.com/legal/privacy.
  • Hetzner Online GmbH — proveedor de infraestructura de servidores (VPS) ubicado en la Unión Europea (Alemania). Cumple con el RGPD.

Salvo la transferencia a Twilio Inc. (EE.UU.) descrita arriba, amparada en el EU-US Data Privacy Framework y/o en Cláusulas Contractuales Tipo, no realizamos otras transferencias internacionales de datos fuera del Espacio Económico Europeo.

7. Seguridad de los datos

Aplicamos las siguientes medidas técnicas y organizativas para proteger los datos:

  • Cifrado AES-256 de los números de teléfono almacenados en la base de datos.
  • Contraseñas almacenadas exclusivamente en forma de hash irreversible (bcrypt).
  • Comunicaciones cifradas mediante HTTPS/TLS en todas las conexiones.
  • Servidor de base de datos sin exposición pública (solo accesible localmente en el VPS).
  • Autenticación JWT con expiración. Invalidación automática al cambiar contraseña.
  • Acceso restringido al servidor: solo el personal técnico autorizado de Origar.
  • Copias de seguridad periódicas de la base de datos.

En caso de producirse una brecha de seguridad que suponga un riesgo para los derechos y libertades de los interesados, Origar la notificará a la Agencia Española de Protección de Datos (AEPD) en el plazo de 72 horas desde que tenga conocimiento de ella (art. 33 RGPD). Si la brecha supone un alto riesgo para los afectados, también se les notificará directamente (art. 34 RGPD).

8. Tus derechos

Si eres cliente de un salón que usa Allop, el Responsable del Tratamiento de tus datos es el salón. Para ejercer tus derechos RGPD, dirígete en primer lugar al salón. Origar atenderá las solicitudes que el salón nos traslade en su condición de Encargado.

Si eres visitante de origar.es o has enviado el formulario de contacto, puedes ejercer los siguientes derechos frente a Origar como Responsable:

  • Acceso: Puedes solicitar una copia de los datos personales que tenemos sobre ti.
  • Rectificación: Puedes solicitar la corrección de datos inexactos o incompletos.
  • Supresión ("derecho al olvido"): Puedes solicitar la eliminación de tus datos cuando ya no sean necesarios para las finalidades para las que fueron recogidos.
  • Limitación del tratamiento: Puedes solicitar que restrinjamos el uso de tus datos en determinadas circunstancias.
  • Portabilidad: Puedes solicitar tus datos en un formato estructurado y de uso común.
  • Oposición: Puedes oponerte al tratamiento basado en interés legítimo.
  • Retirada del consentimiento: Cuando el tratamiento se basa en tu consentimiento, puedes retirarlo en cualquier momento sin que esto afecte a la licitud del tratamiento previo.

Decisiones automatizadas y elaboración de perfiles: Origar no toma decisiones automatizadas que produzcan efectos jurídicos ni significativos sobre los interesados, ni elabora perfiles de usuarios con dichos efectos, de conformidad con el artículo 22 del RGPD.

Para ejercer cualquiera de estos derechos, escríbenos a privacidad@origar.es. Responderemos en el plazo de un mes (prorrogable dos meses adicionales en casos complejos, con notificación previa).

Si consideras que el tratamiento de tus datos no es conforme a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): aepd.es.

9. Eliminación de tu cuenta

Si eres cliente o empleado de un salón, la solicitud de eliminación de cuenta debe dirigirse prioritariamente al salón como Responsable del Tratamiento. No obstante, también puedes remitir tu solicitud a privacidad@origar.es indicando el número de teléfono vinculado; en este caso, Origar trasladará la petición al salón responsable y, una vez este nos lo instruya formalmente, ejecutaremos la eliminación técnica en los plazos establecidos.

También puedes enviar tu solicitud a privacidad@origar.es; la trasladaremos al salón responsable y, cuando este nos lo instruya, ejecutaremos la eliminación técnica en los plazos aplicables.

10. Menores de edad

Nuestros servicios no están dirigidos a menores de 14 años. Si eres menor de 14 años, no debes registrarte en la app ni facilitarnos tus datos personales. Si tenemos conocimiento de que hemos recogido datos de un menor sin el consentimiento parental, los eliminaremos de inmediato.

11. Cookies

La web origar.es utiliza únicamente cookies técnicas estrictamente necesarias para el funcionamiento básico del sitio. No utilizamos cookies de analítica de terceros, publicidad ni seguimiento de comportamiento.

La app móvil Allop no utiliza cookies. Almacena el token de sesión de forma segura en el Keychain del dispositivo (iOS) o en el DataStore cifrado (Android).

12. Cambios en esta política

Podemos actualizar esta política de privacidad para reflejar cambios en nuestras prácticas o en la normativa aplicable. Cuando realicemos cambios significativos, te lo notificaremos mediante un aviso en la app o por email. La fecha de la última actualización siempre aparece al inicio de este documento.

13. Contacto

Para cualquier pregunta sobre esta política de privacidad o sobre el tratamiento de tus datos personales: