Política de Privacidad

Última actualización: 26 de febrero de 2026

1. Responsable del Tratamiento

El responsable del tratamiento de los datos personales recogidos a través de la plataforma Sanetrix es:

  • Nombre comercial: Sanetrix®
  • Tipo de entidad: Empresario individual / Autónomo
  • NIE: Z2248368P
  • País de residencia fiscal: España
  • Correo electrónico: privacy@sanetrix.com

Sanetrix® es una marca registrada en España. El desarrollo técnico y la publicación en las tiendas de Apple y Google Play es realizado por CIERICORP TECHNOLOGY, S.A. DE C.V. (Querétaro, México), que actúa como encargado del tratamiento bajo un contrato de encargo de tratamiento conforme al artículo 28 del RGPD.

2. Normativa Aplicable

Esta Política de Privacidad se rige por:

  • Reglamento General de Protección de Datos (RGPD) — Reglamento (UE) 2016/679
  • Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
  • Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE) — en lo referente a cookies y comunicaciones electrónicas
  • Directiva ePrivacy (2002/58/CE) — modificada por la Directiva 2009/136/CE

Para usuarios fuera de la UE, también cumplimos con las regulaciones de protección de datos aplicables en su jurisdicción, incluyendo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) de México y HIPAA de Estados Unidos en lo que resulte aplicable.

3. Datos Personales que Recopilamos

Recopilamos las siguientes categorías de datos:

3.1. Datos de identificación y cuenta

  • Nombre completo, correo electrónico, número de teléfono
  • Credenciales de acceso (contraseña almacenada con hash bcrypt)
  • Fotografía de perfil (opcional)

3.2. Datos profesionales (médicos)

  • Cédula profesional, número de colegiado, especialidad
  • Nombre de la institución o clínica
  • Dirección profesional

3.3. Datos de salud (categoría especial — Art. 9 RGPD)

  • Expedientes clínicos electrónicos de los pacientes
  • Diagnósticos, prescripciones, resultados de laboratorio
  • Signos vitales, antecedentes médicos, alergias
  • Notas clínicas, consultas y seguimientos

Importante: Los datos de salud son introducidos exclusivamente por los profesionales sanitarios usuarios de la plataforma. Sanetrix actúa como herramienta técnica de gestión; la responsabilidad clínica sobre la veracidad y el tratamiento de los datos de salud de los pacientes corresponde al profesional sanitario responsable.

3.4. Datos de facturación

  • Información de pago procesada a través de Stripe (no almacenamos números de tarjeta)
  • Historial de suscripciones e importes

3.5. Datos técnicos y de diagnóstico

  • Dirección IP, tipo de navegador, sistema operativo
  • Registros de acceso y auditoría
  • Datos de uso de la plataforma (timestamps, acciones realizadas)
  • Informes de errores del cliente (mensajes de error, traza de pila, URL de la página, tipo de navegador) — recopilados automáticamente para diagnóstico y mejora de estabilidad
  • Datos de rendimiento de la aplicación y estado de la conexión en tiempo real (SignalR)

3.6. Identificadores y seguimiento

No recopilamos identificadores de publicidad (IDFA de Apple ni Advertising ID de Google). No realizamos seguimiento entre aplicaciones o sitios web de terceros. Sanetrix no participa en redes de publicidad y no comparte datos con fines de publicidad dirigida.

Si utiliza la aplicación móvil, podemos recopilar un token de dispositivo para el envío de notificaciones push (servicio técnico de APNs de Apple o FCM de Google). Este token se utiliza exclusivamente para entregarle notificaciones del Servicio y no se comparte con terceros.

4. Base Jurídica del Tratamiento

Finalidad Base jurídica (RGPD)
Prestación del Servicio Art. 6(1)(b) — Ejecución de contrato
Datos de salud del paciente Art. 9(2)(h) — Finalidad de medicina preventiva, diagnóstico médico, prestación de asistencia sanitaria
Facturación y pagos Art. 6(1)(b) — Ejecución de contrato
Seguridad y auditoría Art. 6(1)(f) — Interés legítimo
Cumplimiento legal Art. 6(1)(c) — Obligación legal
Comunicaciones del Servicio Art. 6(1)(f) — Interés legítimo
Funciones de IA (asistencia diagnóstica) Art. 6(1)(a) — Consentimiento explícito
Diagnóstico y estabilidad (informes de errores) Art. 6(1)(f) — Interés legítimo
Notificaciones push (token de dispositivo) Art. 6(1)(b) — Ejecución de contrato

5. Finalidad del Tratamiento

  • Provisión, mantenimiento y mejora de la plataforma de gestión clínica
  • Autenticación, control de acceso y seguridad de la cuenta
  • Procesamiento de pagos y gestión de suscripciones
  • Comunicaciones transaccionales y notificaciones del Servicio
  • Cumplimiento de obligaciones legales, fiscales y regulatorias
  • Auditoría de seguridad y prevención de fraude
  • Funciones de inteligencia artificial (solo con consentimiento expreso del usuario)
  • Análisis estadístico con datos anonimizados para mejora del Servicio

No utilizamos sus datos para publicidad, marketing de terceros ni elaboración de perfiles con fines comerciales.

6. Uso de Inteligencia Artificial

Sanetrix incorpora funciones de inteligencia artificial (IA) con las siguientes características:

  • Las funciones de IA son optativas — el usuario activa cada función explícitamente.
  • Los datos procesados por la IA pueden ser enviados a proveedores de servicios de IA (actualmente Anthropic/Claude) bajo acuerdos de procesamiento de datos.
  • La IA proporciona sugerencias de apoyo, nunca diagnósticos definitivos. La responsabilidad clínica es siempre del profesional sanitario.
  • No se utilizan datos de pacientes para entrenar modelos de IA de terceros.
  • El usuario puede desactivar las funciones de IA en cualquier momento desde la configuración de su cuenta.

7. Encargados del Tratamiento y Subencargados

Los siguientes terceros procesan datos en nuestro nombre, bajo contratos de encargo de tratamiento (Art. 28 RGPD):

Proveedor Finalidad Ubicación
CIERICORP TECHNOLOGY, S.A. DE C.V. Desarrollo técnico, mantenimiento, publicación en tiendas México
Amazon Web Services (AWS) Alojamiento, almacenamiento y bases de datos EE.UU. (us-east-1)
Stripe, Inc. Procesamiento de pagos EE.UU.
Amazon SES Envío de correos transaccionales EE.UU.
Anthropic, PBC Servicios de IA (solo si el usuario los activa) EE.UU.

8. Transferencias Internacionales de Datos

Sus datos pueden ser transferidos y procesados en servidores ubicados en Estados Unidos (AWS us-east-1) y México (CIERICORP). Para usuarios de la UE, estas transferencias están protegidas por:

  • EU-US Data Privacy Framework: AWS y Stripe están certificados bajo este marco.
  • Cláusulas Contractuales Tipo (SCCs): Incorporadas en los contratos con todos los subencargados.
  • Medidas técnicas complementarias: Cifrado AES-256 en reposo, TLS 1.3 en tránsito, y controles de acceso estrictos.

9. Medidas de Seguridad

Implementamos medidas técnicas y organizativas avanzadas para proteger sus datos:

  • Cifrado AES-256 para datos en reposo
  • Cifrado TLS 1.3 para datos en tránsito
  • Autenticación multifactor (2FA/TOTP)
  • Control de acceso basado en roles (RBAC)
  • Registro de auditoría de todas las operaciones sobre datos
  • Infraestructura en AWS con certificaciones SOC 2, ISO 27001
  • Copias de seguridad automatizadas y cifradas
  • Hashing bcrypt para contraseñas
  • Protección contra CSRF, XSS, inyección SQL
  • Monitorización continua y alertas de seguridad

10. Plazos de Conservación

Categoría de datos Plazo
Datos de cuenta Durante la relación contractual + 90 días
Expedientes clínicos Mínimo 5 años (legislación sanitaria aplicable)
Datos de facturación 6 años (Art. 30 Código de Comercio español)
Registros de auditoría 7 años
Logs del servidor 12 meses

11. Derechos del Interesado

Conforme al RGPD y la LOPDGDD, usted tiene los siguientes derechos:

  • Acceso (Art. 15 RGPD): Obtener confirmación y copia de sus datos.
  • Rectificación (Art. 16 RGPD): Corregir datos inexactos o incompletos.
  • Supresión (Art. 17 RGPD): Solicitar la eliminación de sus datos ("derecho al olvido").
  • Limitación (Art. 18 RGPD): Restringir el tratamiento en determinadas circunstancias.
  • Portabilidad (Art. 20 RGPD): Recibir sus datos en formato estructurado, de uso común y lectura mecánica.
  • Oposición (Art. 21 RGPD): Oponerse al tratamiento basado en interés legítimo.
  • No ser objeto de decisiones automatizadas (Art. 22 RGPD): Incluido el perfilado con efectos jurídicos.
  • Retirar el consentimiento en cualquier momento, sin que afecte a la licitud del tratamiento previo.

Cómo ejercer sus derechos

Envíe su solicitud a privacy@sanetrix.com indicando:

  • Su nombre completo y correo electrónico asociado a la cuenta
  • El derecho que desea ejercer
  • Copia de un documento de identidad

Responderemos en un plazo máximo de 30 días (ampliable a 60 días en casos complejos, con notificación previa).

Derecho a reclamar ante la Autoridad de Control

Si considera que el tratamiento de sus datos vulnera la normativa, puede presentar una reclamación ante:

  • Agencia Española de Protección de Datos (AEPD)
  • C/ Jorge Juan, 6, 28001 Madrid
  • Web: www.aepd.es

12. Menores de Edad

Sanetrix está diseñado para profesionales sanitarios y no está dirigido a menores de 18 años. No recopilamos conscientemente datos de menores de 16 años (14 años en España conforme al Art. 7 LOPDGDD) sin el consentimiento verificable de su representante legal.

Los datos de pacientes menores son introducidos por el profesional sanitario responsable, quien debe obtener el consentimiento correspondiente.

13. Cookies

Para información detallada sobre las cookies que utilizamos, consulte nuestra Política de Cookies.

En resumen: utilizamos únicamente cookies técnicas esenciales para el funcionamiento del Servicio (autenticación, sesión, seguridad CSRF). No utilizamos cookies de terceros para publicidad ni rastreo.

14. Eliminación de Cuenta

Puede eliminar su cuenta en cualquier momento desde Configuración → Cuenta → Zona de Peligro → Eliminar mi cuenta, o solicitándolo por correo a privacy@sanetrix.com.

Al eliminar su cuenta se borran sus datos personales y de perfil. Los datos que la ley obligue a conservar (expedientes clínicos, registros fiscales) se mantienen en formato pseudonimizado durante los plazos legales indicados en la sección 10.

Para más detalles, consulte Eliminar cuenta.

15. Apple App Store y Google Play

Sanetrix se distribuye en la App Store de Apple y Google Play a través de la cuenta de desarrollador de CIERICORP TECHNOLOGY, S.A. DE C.V., que actúa como publicador técnico bajo contrato.

  • Los pagos realizados a través de compras dentro de la app (In-App Purchases) son procesados directamente por Apple o Google según corresponda. Estas transacciones se rigen por los términos de servicio de Apple/Google.
  • Apple y Google pueden recopilar datos conforme a sus propias políticas de privacidad. Sanetrix no controla dicha recopilación.
  • Para cancelar suscripciones, debe hacerlo desde los ajustes de su cuenta de Apple ID o Google Play.

16. Cambios a esta Política

Nos reservamos el derecho de actualizar esta Política de Privacidad. Le notificaremos cualquier cambio material por correo electrónico y mediante un aviso en la plataforma con al menos 30 días de antelación. La fecha de última actualización se indica al inicio de este documento.

17. Contacto

Para cualquier consulta relacionada con la protección de datos:

Desarrollado por CIERICORP TECHNOLOGY, S.A. DE C.V. — ciericorp.com