Política de privacidad

1. Responsable del tratamiento

Para los datos de cuenta, acceso y facturación del servicio en línea, el responsable del tratamiento es el titular indicado arriba. Los datos clínicos o de pacientes que la clínica introduzca en la plataforma los trata la propia clínica como responsable; el titular del servicio actúa como encargado del tratamiento respecto de esos datos, según lo acordado con la organización cliente.

2. Finalidad y legitimación

• Gestión del servicio y del contrato (art. 6.1.b RGPD): cuenta de usuario, organización, perfiles, inventario y operaciones que usted registre en la aplicación.
• Seguridad y prevención de abuso (art. 6.1.f RGPD): registros técnicos, auditoría de accesos y medidas de seguridad.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD): cuando resulte aplicable (p. ej. conservación para reclamaciones).
• Consentimiento (art. 6.1.a RGPD): cuando active funciones opcionales o comunicaciones no esenciales, si las hubiera.

3. Categorías de datos

Identificadores de cuenta (nombre, correo electrónico), datos de la organización, datos de inventario y movimientos, datos mínimos de pacientes que la clínica decida registrar (p. ej. nombre y código interno), y datos técnicos de conexión imprescindibles para el servicio.

4. Conservación

Los datos se conservan mientras se mantenga la relación contractual y, en su caso, los plazos legales adicionales. Tras la baja, se aplicarán los mecanismos de supresión o bloqueo previstos en la configuración del servicio (incluido el derecho al olvido para la organización, cuando esté disponible en la aplicación).

5. Destinatarios y encargados

No vendemos datos personales a terceros. Para prestar el servicio recurrimos a subencargados del tratamiento sujetos a acuerdos de encargo (art. 28 RGPD) o a sus propias obligaciones como responsables, según el caso:

• Supabase (autenticación, base de datos y almacenamiento asociado): consulte su política de privacidad y ubicación de servidores; aplican garantías del capítulo V del RGPD si hubiera transferencias fuera del EEE.
• Vercel (alojamiento y ejecución de la aplicación web).
• Stripe (pasarela de pago y facturación): los datos de tarjeta y facturación sensibles los trata Stripe como responsable en los términos de su servicio; el titular de Vintora no almacena el número completo de tarjeta en la aplicación.
• Resend (u otro proveedor configurado) para el envío de correos transaccionales (p. ej. bienvenida, resúmenes u otros avisos operativos acordados).

Las organizaciones clientes pueden solicitar información sobre el encargo del tratamiento respecto de datos de pacientes u otros que introduzcan en la plataforma (incluida la documentación tipo prevista en el art. 28 RGPD), escribiendo a privacidad@ejemplo.com.

6. Transferencias internacionales

Si algún subencargado tratara datos fuera del Espacio Económico Europeo, se aplicarán las garantías del capítulo V del RGPD (decisiones de adecuación, cláusulas tipo u otras medidas permitidas).

7. Derechos

Puede ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad:

• Por correo a: privacidad@ejemplo.com
• Para consultas específicas de protección de datos: privacidad@ejemplo.com

Tiene derecho a reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).

8. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas: comunicaciones cifradas (HTTPS), control de acceso por autenticación, segregación de datos por organización y políticas de seguridad en el diseño del servicio.