CitaViva ("we," "us," or "our") operates the citaviva.com website and the CitaViva patient engagement platform (collectively, the "Service"). This Privacy Policy explains what information we collect, how we use it, and your choices regarding that information.

1. Who This Policy Applies To

This policy applies to:

• Dental practice clients who subscribe to the CitaViva platform
• Practice staff who use the CitaViva dashboard
• Patients who interact with a dental practice through WhatsApp via the CitaViva platform
• Website visitors who browse citaviva.com

2. Information We Collect

From dental practice clients and staff

• Business contact information (name, email, phone number)
• Practice details (name, address, PMS system type, WhatsApp business number)
• Account credentials
• Billing and payment information (processed by our payment provider; we do not store full card numbers)

From patients (via WhatsApp interactions)

• Name and phone number
• Appointment dates and times
• Language preference
• Messaging consent records

Information we do NOT collect or store

• WhatsApp message content — messages are processed in real time to facilitate scheduling and are never written to our database or logs
• Clinical or health data (diagnoses, treatment plans, X-rays, insurance details)
• Social Security numbers, financial account numbers, or biometric data

Automatically collected information

• Server logs (IP address, browser type, pages visited) when you visit citaviva.com
• Platform usage data (feature usage, login timestamps) for practice client accounts

From public Meta Platform sources (internal market research only)

• Publicly-listed Facebook page identifiers and page names of dental practices
• Publicly-viewable advertising creative and metadata from the Meta Ad Library (ad text, delivery start and stop dates, platforms, public page attribution)
• We do not collect private user data, individual user behavior, or engagement metrics from private accounts

3. How We Use Your Information

• To provide, maintain, and improve the CitaViva platform
• To facilitate appointment scheduling and send reminders on behalf of dental practices
• To communicate with practice clients about their accounts, billing, and service updates
• To detect and prevent fraud, abuse, or security incidents
• To comply with legal obligations, including HIPAA

We do not use patient data for marketing, advertising, profiling, or any purpose unrelated to the scheduling services requested by the dental practice.

4. HIPAA Compliance

CitaViva operates as a Business Associate under the Health Insurance Portability and Accountability Act (HIPAA). Of the eighteen HIPAA-defined identifiers, we handle only three: patient name, phone number, and appointment dates.

We execute a Business Associate Agreement (BAA) with every dental practice client before any patient data is processed. We also maintain BAAs with our infrastructure and service providers.

Key safeguards include:

• Encryption at rest (AES-256) and in transit (TLS 1.2+)
• Tenant-level data isolation (each practice's data is stored in a separate database schema)
• Role-based access controls and multi-factor authentication for administrative access
• Comprehensive audit logging with six-year retention
• No storage of message content at any layer of the system

5. How We Share Information

We do not sell, rent, or trade personal information. We share data only as follows:

• With the dental practice that the patient is interacting with (the practice is the data controller for their patients)
• With service providers who assist in delivering the platform, each under a BAA or equivalent data processing agreement
• When required by law, such as in response to a valid subpoena, court order, or regulatory request

6. Data Retention

• Practice client accounts: Retained for the duration of the subscription and up to 90 days after termination to allow data export.
• Patient scheduling data: Retained in accordance with the practice's instructions and applicable record-keeping requirements.
• Audit logs: Retained for six years per HIPAA requirements.
• Server logs: Retained for up to 90 days.

7. Data Security

We implement administrative, technical, and physical safeguards designed to protect information from unauthorized access, alteration, disclosure, or destruction. These include encryption, access controls, regular security assessments, and employee training. No method of transmission or storage is 100% secure, and we cannot guarantee absolute security.

8. Your Rights and Choices

Practice clients may access, update, or delete their account data at any time through the CitaViva dashboard or by contacting us.

Patients may opt out of WhatsApp messages at any time by replying "STOP" or by contacting their dental practice. Requests for access to or deletion of personal data should be directed to the dental practice, which is the data controller. We will cooperate with practices to fulfill such requests.

If you are a California resident, you may have additional rights under the CCPA. Contact us at [email protected] to exercise those rights.

9. Cookies and Tracking

The citaviva.com website uses only essential cookies required for basic site functionality (such as session management). We do not use advertising cookies, tracking pixels, or third-party analytics on this website.

10. Children's Privacy

The CitaViva platform is not directed at individuals under 18. Appointment scheduling for minors is managed by a parent or guardian through the dental practice. We do not knowingly collect personal information from children. In accordance with the Children's Online Privacy Protection Act (COPPA), we do not knowingly collect personal information from children under the age of 13.

11. International Users

The CitaViva platform is operated from the United States and is intended for use by dental practices in the United States. If you access the Service from outside the U.S., you understand that your information may be transferred to and processed in the United States.

12. Meta Platform Data and Developer App Usage

CitaViva operates a Meta developer application ("CitaViva Market Research") that queries the publicly available Meta Ad Library API and Graph API for market research purposes. Through this app, we collect only publicly-listed business information about dental practices, such as public Facebook page identifiers, public page names, and publicly-viewable advertising creative.

We use this data exclusively for internal market research — identifying dental practices in target geographic markets and understanding market-level advertising trends to inform our internal business and product strategy. We do not:

• Collect or store private user data
• Sell, rent, license, or redistribute Meta Platform Data
• Use this data to target, profile, or message individual consumers
• Combine Meta Platform Data with personal or health information
• Produce reports, dashboards, or derived datasets for third parties, including dental practice clients

We retain Meta Platform Data for up to 24 months for research continuity, after which it is deleted. You may request deletion of any data sourced through our Meta application by emailing [email protected].

CitaViva adheres to Meta's Platform Terms and Developer Policies. Data obtained through Meta Platform APIs is used solely as permitted by those policies and the scope approved through Meta's App Review process.

13. Changes to This Policy

We may update this Privacy Policy from time to time. If we make material changes, we will notify active practice clients by email at least 30 days before the changes take effect. The updated policy will be posted on this page with a revised effective date.

14. Contact

If you have questions or concerns about this Privacy Policy, contact us at:

CitaViva
Email: [email protected]
Nashville, TN

CitaViva (“nosotros” o “nuestro”) opera el sitio web citaviva.com y la plataforma de comunicación con pacientes CitaViva (en conjunto, el “Servicio”). Esta Política de Privacidad explica qué información recopilamos, cómo la utilizamos y las opciones que usted tiene respecto a dicha información.

1. A quién aplica esta política

Esta política aplica a:

• Consultorios dentales clientes que se suscriben a la plataforma CitaViva
• Personal del consultorio que utiliza el panel de CitaViva
• Pacientes que interactúan con un consultorio dental a través de WhatsApp mediante la plataforma CitaViva
• Visitantes del sitio web que navegan en citaviva.com

2. Información que recopilamos

De consultorios dentales clientes y su personal

• Información de contacto comercial (nombre, correo electrónico, número de teléfono)
• Datos del consultorio (nombre, dirección, tipo de sistema de gestión, número de WhatsApp Business)
• Credenciales de cuenta
• Información de facturación y pago (procesada por nuestro proveedor de pagos; no almacenamos números completos de tarjetas)

De pacientes (a través de interacciones por WhatsApp)

• Nombre y número de teléfono
• Fechas y horarios de citas
• Preferencia de idioma
• Registros de consentimiento para mensajería

Información que NO recopilamos ni almacenamos

• Contenido de mensajes de WhatsApp — los mensajes se procesan en tiempo real para facilitar el agendamiento y nunca se escriben en nuestra base de datos ni en los registros del sistema
• Datos clínicos o de salud (diagnósticos, planes de tratamiento, radiografías, información de seguros)
• Números de Seguro Social, números de cuentas financieras o datos biométricos

Información recopilada automáticamente

• Registros del servidor (dirección IP, tipo de navegador, páginas visitadas) cuando visita citaviva.com
• Datos de uso de la plataforma (uso de funciones, marcas de tiempo de inicio de sesión) para cuentas de consultorios clientes

De fuentes públicas de la Plataforma Meta (solo para investigación de mercado interna)

• Identificadores públicos de páginas de Facebook y nombres de página de consultorios dentales
• Creatividades publicitarias y metadatos visibles públicamente de la Biblioteca de Anuncios de Meta (texto del anuncio, fechas de inicio y fin de entrega, plataformas, atribución de página pública)
• No recopilamos datos privados de usuarios, comportamiento individual de usuarios ni métricas de interacción de cuentas privadas

3. Cómo utilizamos su información

• Para proporcionar, mantener y mejorar la plataforma CitaViva
• Para facilitar el agendamiento de citas y enviar recordatorios en nombre de los consultorios dentales
• Para comunicarnos con los consultorios clientes sobre sus cuentas, facturación y actualizaciones del servicio
• Para detectar y prevenir fraude, abuso o incidentes de seguridad
• Para cumplir con obligaciones legales, incluyendo HIPAA

No utilizamos datos de pacientes para marketing, publicidad, perfilamiento ni ningún propósito no relacionado con los servicios de agendamiento solicitados por el consultorio dental.

4. Cumplimiento de HIPAA

CitaViva opera como Asociado Comercial (Business Associate) bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). De los dieciocho identificadores definidos por HIPAA, manejamos solo tres: nombre del paciente, número de teléfono y fechas de citas.

Ejecutamos un Acuerdo de Asociado Comercial (BAA) con cada consultorio dental cliente antes de procesar cualquier dato de paciente. También mantenemos BAAs con nuestros proveedores de infraestructura y servicios.

Las medidas de seguridad principales incluyen:

• Cifrado en reposo (AES-256) y en tránsito (TLS 1.2+)
• Aislamiento de datos por consultorio (los datos de cada consultorio se almacenan en un esquema de base de datos separado)
• Controles de acceso basados en roles y autenticación multifactor para acceso administrativo
• Registro de auditoría completo con retención de seis años
• Sin almacenamiento de contenido de mensajes en ninguna capa del sistema

5. Cómo compartimos la información

No vendemos, alquilamos ni intercambiamos información personal. Compartimos datos solo de la siguiente manera:

• Con el consultorio dental con el que el paciente está interactuando (el consultorio es el controlador de datos de sus pacientes)
• Con proveedores de servicios que ayudan a operar la plataforma, cada uno bajo un BAA o acuerdo equivalente de procesamiento de datos
• Cuando lo requiera la ley, como en respuesta a una citación válida, orden judicial o solicitud regulatoria

6. Retención de datos

• Cuentas de consultorios clientes: Se retienen durante la duración de la suscripción y hasta 90 días después de la terminación para permitir la exportación de datos.
• Datos de agendamiento de pacientes: Se retienen de acuerdo con las instrucciones del consultorio y los requisitos aplicables de mantenimiento de registros.
• Registros de auditoría: Se retienen por seis años según los requisitos de HIPAA.
• Registros del servidor: Se retienen hasta por 90 días.

7. Seguridad de los datos

Implementamos medidas de seguridad administrativas, técnicas y físicas diseñadas para proteger la información contra acceso, alteración, divulgación o destrucción no autorizados. Estas incluyen cifrado, controles de acceso, evaluaciones de seguridad periódicas y capacitación de empleados. Ningún método de transmisión o almacenamiento es 100% seguro y no podemos garantizar seguridad absoluta.

8. Sus derechos y opciones

Los consultorios clientes pueden acceder, actualizar o eliminar los datos de su cuenta en cualquier momento a través del panel de CitaViva o contactándonos.

Los pacientes pueden dejar de recibir mensajes de WhatsApp en cualquier momento respondiendo “PARAR” o contactando a su consultorio dental. Las solicitudes de acceso o eliminación de datos personales deben dirigirse al consultorio dental, que es el controlador de datos. Cooperaremos con los consultorios para cumplir dichas solicitudes.

Si usted es residente de California, puede tener derechos adicionales bajo la CCPA. Contáctenos en [email protected] para ejercer esos derechos.

9. Cookies y rastreo

El sitio web citaviva.com utiliza solo cookies esenciales necesarias para la funcionalidad básica del sitio (como la gestión de sesiones). No utilizamos cookies publicitarias, píxeles de rastreo ni herramientas de análisis de terceros en este sitio web.

10. Privacidad de menores

La plataforma CitaViva no está dirigida a personas menores de 18 años. El agendamiento de citas para menores es gestionado por un padre o tutor a través del consultorio dental. No recopilamos intencionalmente información personal de menores. De conformidad con la Ley de Protección de la Privacidad Infantil en Línea (COPPA), no recopilamos intencionalmente información personal de niños menores de 13 años.

11. Usuarios internacionales

La plataforma CitaViva opera desde Estados Unidos y está destinada a consultorios dentales en Estados Unidos. Si accede al Servicio desde fuera de EE. UU., usted entiende que su información puede ser transferida y procesada en Estados Unidos.

12. Datos de la Plataforma Meta y uso de aplicación de desarrollador

CitaViva opera una aplicación de desarrollador de Meta ("CitaViva Market Research") que consulta la API de la Biblioteca de Anuncios de Meta y la API de Graph disponibles públicamente con fines de investigación de mercado. A través de esta aplicación, recopilamos únicamente información comercial de listados públicos sobre consultorios dentales, como identificadores públicos de páginas de Facebook, nombres de página públicos y creatividades publicitarias visibles públicamente.

Utilizamos estos datos exclusivamente para investigación de mercado interna — identificando consultorios dentales en mercados geográficos objetivo y comprendiendo las tendencias publicitarias a nivel de mercado para informar nuestra estrategia comercial y de producto interna. No:

• Recopilamos ni almacenamos datos privados de usuarios
• Vendemos, alquilamos, licenciamos ni redistribuimos Datos de la Plataforma Meta
• Utilizamos estos datos para dirigirnos a consumidores individuales, crear perfiles o enviarles mensajes
• Combinamos los Datos de la Plataforma Meta con información personal o de salud
• Producimos informes, paneles o conjuntos de datos derivados para terceros, incluidos los consultorios dentales clientes

Conservamos los Datos de la Plataforma Meta por un máximo de 24 meses para continuidad de la investigación, tras lo cual se eliminan. Puede solicitar la eliminación de cualquier dato obtenido a través de nuestra aplicación de Meta escribiendo a [email protected].

CitaViva cumple con los Términos de la Plataforma y las Políticas para Desarrolladores de Meta. Los datos obtenidos a través de las API de la Plataforma Meta se utilizan únicamente según lo permitido por dichas políticas y el alcance aprobado mediante el proceso de Revisión de Aplicaciones de Meta.

13. Cambios a esta política

Podemos actualizar esta Política de Privacidad de vez en cuando. Si realizamos cambios sustanciales, notificaremos a los consultorios clientes activos por correo electrónico al menos 30 días antes de que los cambios entren en vigor. La política actualizada se publicará en esta página con una fecha de vigencia revisada.

14. Contacto

Si tiene preguntas o inquietudes sobre esta Política de Privacidad, contáctenos en:

CitaViva
Correo electrónico: [email protected]
Nashville, TN