Legal · Origen Agency

Política de privacidad

Última actualización: 26 de mayo de 2026

En Origen Agency tratamos tus datos personales con la máxima transparencia y solo para lo estrictamente necesario para prestarte el servicio. Esta política explica qué datos recopilamos, por qué, con quién los compartimos y los derechos que tienes sobre ellos.

1. Responsable del tratamiento

Titular: Origen Agency
Email de contacto: d.garcia@origenagency.com
Sitio web: https://crm.origenagency.com

2. Qué datos recopilamos

Recopilamos únicamente los datos necesarios para prestar el servicio del CRM y la gestión de reuniones agendadas:

Datos de cuenta: nombre, email, teléfono, empresa, puesto, foto de perfil (opcional).
Datos del CRM: leads que cargas tú mismo (nombre, teléfono, email, notas), eventos del calendario, plantillas de email, secuencias configuradas.
Datos de Google/Microsoft Calendar: acceso de solo lectura/escritura a tu calendario primario para crear, modificar o cancelar eventos cuando agendas reuniones desde el CRM.
Datos técnicos: dirección IP, navegador, sistema operativo, registros de acceso, cookies estrictamente técnicas.

3. Para qué usamos tus datos

Operar el CRM: mantener tu cuenta, mostrar tus leads, agendar reuniones, sincronizar tu calendario, enviar emails programados.
Soporte: atender consultas y resolver incidencias.
Mejora del producto: estadísticas agregadas y anonimizadas para detectar errores y mejorar rendimiento.
Cumplir obligaciones legales: fiscales, contables, defensa frente a reclamaciones.

No usamos tus datos para publicidad ni los vendemos a terceros.

4. Base legal

Ejecución del contrato (RGPD art. 6.1.b) para mantener tu cuenta y prestarte el servicio que contrataste.
Consentimiento (art. 6.1.a) para funcionalidades opcionales (analytics, marketing si los añadimos).
Obligación legal (art. 6.1.c) para conservación de datos fiscales y contables.
Interés legítimo (art. 6.1.f) para seguridad del servicio y mejora del producto.

5. Datos de Google APIs — Limited Use

Cumplimiento estricto de la Google API Services User Data Policy (Limited Use).

Cuando conectas tu cuenta de Google al CRM solicitamos acceso mediante OAuth 2.0 con los siguientes scopes:

calendar.events — crear, modificar y eliminar eventos en tu calendario primario.
calendar.readonly — leer tus eventos existentes para mostrarte disponibilidad.
gmail.send — enviar emails desde tu cuenta solo cuando tú lo solicitas explícitamente.
userinfo.email y userinfo.profile — identificarte cuando inicias sesión con Google.

Uso limitado. Los datos obtenidos de Google APIs (eventos de calendario, datos básicos de perfil, contenido de emails) se usan exclusivamente para:

Mostrarte tu disponibilidad y crear eventos al agendar reuniones desde el booking público.
Enviar emails de confirmación, recordatorio o seguimiento cuando tú lo configuras.
Identificarte cuando inicias sesión con tu cuenta de Google.

Nunca:

Usamos los datos de Google para entrenar modelos de IA o para publicidad.
Compartimos los datos de Google con terceros sin tu consentimiento explícito.
Permitimos que humanos accedan a tus datos de Google salvo: (a) con tu consentimiento, (b) por motivos de seguridad o investigación de fraude, (c) por requerimiento legal, o (d) de forma agregada y completamente anonimizada.

Cumplimos con la Google API Services User Data Policy, incluyendo los requisitos de Limited Use.

6. Subprocesadores

Para prestar el servicio usamos los siguientes proveedores. Todos cumplen RGPD y los criterios de transferencias internacionales post-Schrems II:

Supabase Inc. (EE.UU. / UE) — base de datos PostgreSQL gestionada, autenticación y storage. Política.
Resend (EE.UU. / UE) — envío de emails transaccionales. Política.
Google LLC (EE.UU.) — Google Calendar API y Gmail API, solo cuando conectas tu cuenta de Google.
Microsoft Corporation (EE.UU.) — Microsoft Graph API, solo cuando conectas tu cuenta Microsoft 365.
Zadarma (UE) — telefonía SIP para llamadas desde el CRM, solo si configuras la integración.

Las transferencias internacionales se realizan al amparo de cláusulas contractuales tipo aprobadas por la Comisión Europea y/o decisiones de adecuación.

7. Cuánto tiempo conservamos tus datos

Cuenta activa: durante toda la relación contractual.
Tras la baja: 30 días para permitir recuperación accidental; después, eliminación definitiva.
Datos fiscales/contables: 6 años por obligación legal.
Logs de seguridad: 12 meses.

8. Tus derechos (RGPD)

Puedes ejercer en cualquier momento los siguientes derechos:

Acceso a los datos que tenemos sobre ti.
Rectificación de datos inexactos.
Supresión ("derecho al olvido").
Limitación del tratamiento.
Portabilidad en formato estructurado (JSON / CSV).
Oposición al tratamiento.

Cómo ejercerlos: envía un email a d.garcia@origenagency.com indicando el derecho que ejerces y adjuntando copia de un documento que acredite tu identidad. Responderemos en un plazo máximo de 30 días.

Si consideras que tratamos tus datos de forma incorrecta, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD).

Revocación del acceso a Google. Puedes desconectar el acceso del CRM a tu cuenta de Google en cualquier momento desde myaccount.google.com/permissions.

9. Cookies

Usamos cookies estrictamente necesarias para el funcionamiento del servicio (sesión, preferencias de tema). Más detalle en nuestra Política de cookies.

10. Seguridad

Aplicamos medidas técnicas y organizativas: cifrado en tránsito (TLS 1.3), cifrado en reposo, autenticación de dos factores opcional, control de acceso por roles, registros de auditoría y políticas estrictas de Row-Level Security (RLS) en base de datos.

11. Cambios en esta política

Podemos actualizar esta política. Cualquier cambio sustancial te lo notificaremos por email con al menos 30 días de antelación. La fecha de última actualización aparece arriba.

12. Contacto

Para cualquier consulta sobre privacidad o datos personales: d.garcia@origenagency.com