Privacy Policy

Effective Date: April 3, 2026

CitaViva ("we," "us," or "our") operates the citaviva.com website and the CitaViva patient engagement platform (collectively, the "Service"). This Privacy Policy explains what information we collect, how we use it, and your choices regarding that information.

1. Who This Policy Applies To

This policy applies to:

• Dental practice clients who subscribe to the CitaViva platform
• Practice staff who use the CitaViva dashboard
• Patients who interact with a dental practice through WhatsApp via the CitaViva platform
• Website visitors who browse citaviva.com

2. Information We Collect

From dental practice clients and staff

• Business contact information (name, email, phone number)
• Practice details (name, address, PMS system type, WhatsApp business number)
• Account credentials
• Billing and payment information (processed by our payment provider; we do not store full card numbers)

From patients (via WhatsApp interactions)

• Name and phone number
• Appointment dates and times
• Language preference
• Messaging consent records

Information we do NOT collect or store

• WhatsApp message content — messages are processed in real time to facilitate scheduling and are never written to our database or logs
• Clinical or health data (diagnoses, treatment plans, X-rays, insurance details)
• Social Security numbers, financial account numbers, or biometric data

Automatically collected information

• Server logs (IP address, browser type, pages visited) when you visit citaviva.com
• Platform usage data (feature usage, login timestamps) for practice client accounts

3. How We Use Your Information

• To provide, maintain, and improve the CitaViva platform
• To facilitate appointment scheduling and send reminders on behalf of dental practices
• To communicate with practice clients about their accounts, billing, and service updates
• To detect and prevent fraud, abuse, or security incidents
• To comply with legal obligations, including HIPAA

We do not use patient data for marketing, advertising, profiling, or any purpose unrelated to the scheduling services requested by the dental practice.

4. HIPAA Compliance

CitaViva operates as a Business Associate under the Health Insurance Portability and Accountability Act (HIPAA). Of the eighteen HIPAA-defined identifiers, we handle only three: patient name, phone number, and appointment dates.

We execute a Business Associate Agreement (BAA) with every dental practice client before any patient data is processed. We also maintain BAAs with our infrastructure and service providers.

Key safeguards include:

• Encryption at rest (AES-256) and in transit (TLS 1.2+)
• Tenant-level data isolation (each practice's data is stored in a separate database schema)
• Role-based access controls and multi-factor authentication for administrative access
• Comprehensive audit logging with six-year retention
• No storage of message content at any layer of the system

5. How We Share Information

We do not sell, rent, or trade personal information. We share data only as follows:

• With the dental practice that the patient is interacting with (the practice is the data controller for their patients)
• With service providers who assist in delivering the platform, each under a BAA or equivalent data processing agreement
• When required by law, such as in response to a valid subpoena, court order, or regulatory request

6. Data Retention

• Practice client accounts: Retained for the duration of the subscription and up to 90 days after termination to allow data export.
• Patient scheduling data: Retained in accordance with the practice's instructions and applicable record-keeping requirements.
• Audit logs: Retained for six years per HIPAA requirements.
• Server logs: Retained for up to 90 days.

7. Data Security

We implement administrative, technical, and physical safeguards designed to protect information from unauthorized access, alteration, disclosure, or destruction. These include encryption, access controls, regular security assessments, and employee training. No method of transmission or storage is 100% secure, and we cannot guarantee absolute security.

8. Your Rights and Choices

Practice clients may access, update, or delete their account data at any time through the CitaViva dashboard or by contacting us.

Patients may opt out of WhatsApp messages at any time by replying "STOP" or by contacting their dental practice. Requests for access to or deletion of personal data should be directed to the dental practice, which is the data controller. We will cooperate with practices to fulfill such requests.

If you are a California resident, you may have additional rights under the CCPA. Contact us at hello@citaviva.com to exercise those rights.

9. Cookies and Tracking

The citaviva.com website uses only essential cookies required for basic site functionality (such as session management). We do not use advertising cookies, tracking pixels, or third-party analytics on this website.

10. Children's Privacy

The CitaViva platform is not directed at individuals under 18. Appointment scheduling for minors is managed by a parent or guardian through the dental practice. We do not knowingly collect personal information from children.

11. International Users

The CitaViva platform is operated from the United States and is intended for use by dental practices in the United States. If you access the Service from outside the U.S., you understand that your information may be transferred to and processed in the United States.

12. Changes to This Policy

We may update this Privacy Policy from time to time. If we make material changes, we will notify active practice clients by email at least 30 days before the changes take effect. The updated policy will be posted on this page with a revised effective date.

13. Contact

If you have questions or concerns about this Privacy Policy, contact us at:

CitaViva
Email: hello@citaviva.com
Nashville, TN

Política de privacidad

Fecha de vigencia: 3 de abril de 2026

CitaViva (“nosotros” o “nuestro”) opera el sitio web citaviva.com y la plataforma de comunicación con pacientes CitaViva (en conjunto, el “Servicio”). Esta Política de Privacidad explica qué información recopilamos, cómo la utilizamos y las opciones que usted tiene respecto a dicha información.

1. A quién aplica esta política

Esta política aplica a:

• Consultorios dentales clientes que se suscriben a la plataforma CitaViva
• Personal del consultorio que utiliza el panel de CitaViva
• Pacientes que interactúan con un consultorio dental a través de WhatsApp mediante la plataforma CitaViva
• Visitantes del sitio web que navegan en citaviva.com

2. Información que recopilamos

De consultorios dentales clientes y su personal

• Información de contacto comercial (nombre, correo electrónico, número de teléfono)
• Datos del consultorio (nombre, dirección, tipo de sistema de gestión, número de WhatsApp Business)
• Credenciales de cuenta
• Información de facturación y pago (procesada por nuestro proveedor de pagos; no almacenamos números completos de tarjetas)

De pacientes (a través de interacciones por WhatsApp)

• Nombre y número de teléfono
• Fechas y horarios de citas
• Preferencia de idioma
• Registros de consentimiento para mensajería

Información que NO recopilamos ni almacenamos

• Contenido de mensajes de WhatsApp — los mensajes se procesan en tiempo real para facilitar el agendamiento y nunca se escriben en nuestra base de datos ni en los registros del sistema
• Datos clínicos o de salud (diagnósticos, planes de tratamiento, radiografías, información de seguros)
• Números de Seguro Social, números de cuentas financieras o datos biométricos

Información recopilada automáticamente

• Registros del servidor (dirección IP, tipo de navegador, páginas visitadas) cuando visita citaviva.com
• Datos de uso de la plataforma (uso de funciones, marcas de tiempo de inicio de sesión) para cuentas de consultorios clientes

3. Cómo utilizamos su información

• Para proporcionar, mantener y mejorar la plataforma CitaViva
• Para facilitar el agendamiento de citas y enviar recordatorios en nombre de los consultorios dentales
• Para comunicarnos con los consultorios clientes sobre sus cuentas, facturación y actualizaciones del servicio
• Para detectar y prevenir fraude, abuso o incidentes de seguridad
• Para cumplir con obligaciones legales, incluyendo HIPAA

No utilizamos datos de pacientes para marketing, publicidad, perfilamiento ni ningún propósito no relacionado con los servicios de agendamiento solicitados por el consultorio dental.

4. Cumplimiento de HIPAA

CitaViva opera como Asociado Comercial (Business Associate) bajo la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). De los dieciocho identificadores definidos por HIPAA, manejamos solo tres: nombre del paciente, número de teléfono y fechas de citas.

Ejecutamos un Acuerdo de Asociado Comercial (BAA) con cada consultorio dental cliente antes de procesar cualquier dato de paciente. También mantenemos BAAs con nuestros proveedores de infraestructura y servicios.

Las medidas de seguridad principales incluyen:

• Cifrado en reposo (AES-256) y en tránsito (TLS 1.2+)
• Aislamiento de datos por consultorio (los datos de cada consultorio se almacenan en un esquema de base de datos separado)
• Controles de acceso basados en roles y autenticación multifactor para acceso administrativo
• Registro de auditoría completo con retención de seis años
• Sin almacenamiento de contenido de mensajes en ninguna capa del sistema

5. Cómo compartimos la información

No vendemos, alquilamos ni intercambiamos información personal. Compartimos datos solo de la siguiente manera:

• Con el consultorio dental con el que el paciente está interactuando (el consultorio es el controlador de datos de sus pacientes)
• Con proveedores de servicios que ayudan a operar la plataforma, cada uno bajo un BAA o acuerdo equivalente de procesamiento de datos
• Cuando lo requiera la ley, como en respuesta a una citación válida, orden judicial o solicitud regulatoria

6. Retención de datos

• Cuentas de consultorios clientes: Se retienen durante la duración de la suscripción y hasta 90 días después de la terminación para permitir la exportación de datos.
• Datos de agendamiento de pacientes: Se retienen de acuerdo con las instrucciones del consultorio y los requisitos aplicables de mantenimiento de registros.
• Registros de auditoría: Se retienen por seis años según los requisitos de HIPAA.
• Registros del servidor: Se retienen hasta por 90 días.

7. Seguridad de los datos

Implementamos medidas de seguridad administrativas, técnicas y físicas diseñadas para proteger la información contra acceso, alteración, divulgación o destrucción no autorizados. Estas incluyen cifrado, controles de acceso, evaluaciones de seguridad periódicas y capacitación de empleados. Ningún método de transmisión o almacenamiento es 100% seguro y no podemos garantizar seguridad absoluta.

8. Sus derechos y opciones

Los consultorios clientes pueden acceder, actualizar o eliminar los datos de su cuenta en cualquier momento a través del panel de CitaViva o contactándonos.

Los pacientes pueden dejar de recibir mensajes de WhatsApp en cualquier momento respondiendo “PARAR” o contactando a su consultorio dental. Las solicitudes de acceso o eliminación de datos personales deben dirigirse al consultorio dental, que es el controlador de datos. Cooperaremos con los consultorios para cumplir dichas solicitudes.

Si usted es residente de California, puede tener derechos adicionales bajo la CCPA. Contáctenos en hello@citaviva.com para ejercer esos derechos.

9. Cookies y rastreo

El sitio web citaviva.com utiliza solo cookies esenciales necesarias para la funcionalidad básica del sitio (como la gestión de sesiones). No utilizamos cookies publicitarias, píxeles de rastreo ni herramientas de análisis de terceros en este sitio web.

10. Privacidad de menores

La plataforma CitaViva no está dirigida a personas menores de 18 años. El agendamiento de citas para menores es gestionado por un padre o tutor a través del consultorio dental. No recopilamos intencionalmente información personal de menores.

11. Usuarios internacionales

La plataforma CitaViva opera desde Estados Unidos y está destinada a consultorios dentales en Estados Unidos. Si accede al Servicio desde fuera de EE. UU., usted entiende que su información puede ser transferida y procesada en Estados Unidos.

12. Cambios a esta política

Podemos actualizar esta Política de Privacidad de vez en cuando. Si realizamos cambios sustanciales, notificaremos a los consultorios clientes activos por correo electrónico al menos 30 días antes de que los cambios entren en vigor. La política actualizada se publicará en esta página con una fecha de vigencia revisada.

13. Contacto

Si tiene preguntas o inquietudes sobre esta Política de Privacidad, contáctenos en:

CitaViva
Correo electrónico: hello@citaviva.com
Nashville, TN