Política de Privacidad de la Plataforma

Protección de datos de carácter personal según el RGPD — Plataforma app.proclinica.es

Última actualización: junio de 2026

Gustavo Alexander Sánchez Villegas, titular de la plataforma PROCLINICA (en adelante, «PROCLINICA»), en aplicación de la normativa vigente en materia de protección de datos de carácter personal, informa que los datos personales que se recogen a través del sitio web proclinica.es y de la aplicación app.proclinica.es se tratan conforme a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

1. Identificación del Responsable

Responsable del tratamiento: Gustavo Alexander Sánchez Villegas, en adelante PROCLINICA.

NIE: Y5465682E

Correo electrónico de protección de datos: privacidad@proclinica.es

Datos de contacto del Delegado de Protección de Datos (DPO): GRUPO ATICO34 SL — dpo@proclinica.es

2. Rol de PROCLINICA en el Tratamiento de Datos

PROCLINICA actúa en una doble condición en función del colectivo afectado:

  • a) Responsable del Tratamiento: respecto a los datos de las clínicas o centros que contratan la plataforma.
  • b) Encargado del Tratamiento (art. 28 RGPD): respecto a los datos de los pacientes y empleados de las clínicas o centros que contratan la plataforma (en adelante se denominará «clínica»). PROCLINICA trata dichos datos únicamente por cuenta y bajo las instrucciones de la clínica, que es el Responsable del Tratamiento. La relación entre PROCLINICA y cada clínica queda regulada mediante el Contrato de Encargado del Tratamiento incluido en los Términos y Condiciones del servicio.

Los pacientes que deseen ejercer sus derechos de protección de datos deberán dirigirse directamente a la clínica con la que tienen relación, que es quien actúa como Responsable del Tratamiento de sus datos.

3. Finalidad del Tratamiento de los Datos Personales

¿Con qué finalidad trataremos tus datos personales?

En PROCLINICA tratamos los datos personales recabados a través del sitio web y de la plataforma con las siguientes finalidades:

  • Gestión del registro y alta en la plataforma, acceso al servicio y gestión de la cuenta de usuario de la clínica.
  • Prestación del servicio SaaS contratado: mantenimiento y soporte de la plataforma para la correcta gestión de pacientes, historiales clínicos, citas, presupuestos, consentimientos informados, receta electrónica, videollamadas, registro de jornada laboral de empleados de la clínica y facturación.
  • Gestión de la suscripción, periodo de prueba gratuita de 7 días y facturación recurrente mediante Stripe Payments Europe, Ltd.
  • Procesamiento de cobros a pacientes a través de la plataforma, gestionado por Stripe Payments Europe, Ltd.
  • Cumplimiento de obligaciones fiscales, contables y mercantiles, incluyendo la emisión de facturas con los sistemas VeriFactu (AEAT) y TicketBAI (territorios forales del País Vasco), a través de Bilbabit, S.L.
  • Envío de recordatorios automáticos de citas a los pacientes de las clínicas clientes: por correo electrónico transaccional mediante Postmark (AC PM LLC) y por SMS mediante Brevo (Sendinblue SAS) y/o WhatsApp a través de la plataforma WhatsApp Business (Meta Platforms Ireland Ltd.).
  • Gestión de la agenda y citas de pacientes con sincronización con Google Calendar (Google Ireland Limited).
  • Videollamadas entre profesionales y pacientes mediante Google Meet (Google Ireland Limited) y mediante la herramienta JitsiMeet autoalojada en los servidores de PROCLINICA.
  • Funcionalidades de Inteligencia Artificial (opcionales): generación de resúmenes de historiales clínicos y transcripción de conversaciones médicas, implementadas mediante la API de OpenAI (licencia de pago).
  • Comunicaciones relacionadas con el servicio: avisos técnicos, actualizaciones y soporte.
  • Seguridad de la plataforma, prevención del fraude y cumplimiento normativo.
  • Envío de comunicaciones comerciales, únicamente con el consentimiento previo del usuario.

Te recordamos que puedes oponerte al envío de comunicaciones comerciales en cualquier momento, remitiendo un correo electrónico a privacidad@proclinica.es.

4. ¿Por Cuánto Tiempo se Conservan los Datos Personales?

Los datos personales se conservarán durante la vigencia de la relación contractual y, una vez extinguida esta, durante los plazos legalmente previstos:

  • Datos fiscales y contables: 6 años (art. 30 del Código de Comercio).
  • Datos de facturación VeriFactu y TicketBAI: conforme a la normativa tributaria aplicable.
  • Registros de acceso y logs de auditoría: hasta 12 meses.
  • Datos de la plataforma asociados a la cuenta de la clínica: se eliminan de forma definitiva e irreversible transcurridos 30 días naturales desde la cancelación del servicio, salvo que el cliente solicite su exportación dentro de dicho plazo.

5. Legitimación

El tratamiento de los datos se realiza con las siguientes bases jurídicas:

  • Ejecución de un contrato (art. 6.1.b RGPD): para la gestión de la suscripción, prestación del servicio y procesamiento de pagos.
  • Cumplimiento de obligaciones legales (art. 6.1.c RGPD): para el cumplimiento de obligaciones fiscales, contables y de otra naturaleza.
  • Interés legítimo (art. 6.1.f RGPD): para la seguridad de la plataforma, prevención del fraude y comunicaciones del servicio.
  • Consentimiento (art. 6.1.a RGPD): para el envío de comunicaciones comerciales y, cuando proceda, para el tratamiento de datos de salud mediante IA.

En caso de que no nos facilites tus datos o lo hagas de forma errónea o incompleta, no podremos gestionar el registro ni prestar los servicios contratados.

6. Funcionalidades con Implicaciones Especiales en Materia de Privacidad

Inteligencia Artificial (OpenAI)

PROCLINICA integra funcionalidades de Inteligencia Artificial para la generación automática de resúmenes de historiales clínicos y la transcripción y resumen de conversaciones entre médico y paciente. Estas funcionalidades se implementan a través de la API de OpenAI, LLC, actuando OpenAI como sub-encargado del tratamiento. Los datos enviados a OpenAI a través de la API de pago no se utilizan para el entrenamiento de modelos de IA. Estas funcionalidades son opcionales y deben ser habilitadas expresamente por la clínica, que deberá informar al paciente y obtener, cuando sea necesario, su consentimiento explícito conforme al art. 9.2.a) RGPD.

Videollamadas

La plataforma ofrece dos modalidades de videollamada para teleconsultas entre profesional y paciente:

  • Google Meet: integración con el servicio de Google Ireland Limited. Los datos son procesados por Google conforme a sus propias condiciones y al DPA suscrito con PROCLINICA, con posible tratamiento por Google LLC en EE.UU. al amparo de Cláusulas Contractuales Tipo.
  • JitsiMeet autoalojado: instancia propia alojada en los servidores de PROCLINICA en OVHcloud (Francia, UE). Los datos no salen de la infraestructura propia.

Las videollamadas no son grabadas por PROCLINICA salvo que la clínica active la funcionalidad de transcripción mediante IA.

Agenda y gestión de citas con Google Calendar

La plataforma permite la sincronización de la agenda de citas con Google Calendar, servicio de Google Ireland Limited. Esta integración implica la comunicación de datos de citas (nombre del paciente, fecha, hora y, en su caso, tipo de consulta) a Google. El tratamiento se realiza en Irlanda (UE) con posible acceso por Google LLC en EE.UU. bajo Cláusulas Contractuales Tipo. La clínica debe asegurarse de que el paciente ha sido informado de esta sincronización.

Registro de jornada laboral

La plataforma incluye una funcionalidad de fichaje horario para los empleados de las clínicas clientes. PROCLINICA actúa como Encargado del Tratamiento y la clínica como Responsable, en cumplimiento del Real Decreto-ley 8/2019. La clínica debe informar a sus trabajadores del tratamiento de sus datos a través de la plataforma.

Receta electrónica

La funcionalidad de receta electrónica implica el tratamiento de datos de salud de los pacientes. PROCLINICA trata dichos datos exclusivamente como Encargado del Tratamiento, siguiendo las instrucciones de la clínica cliente.

Recordatorios automáticos

La plataforma envía recordatorios de citas a los pacientes mediante tres canales gestionados por sub-encargados distintos:

  • Correo electrónico transaccional a través de Postmark (AC PM LLC, EE.UU.)
  • SMS a través de Brevo (Sendinblue SAS, Francia)
  • Mensajería WhatsApp a través de la plataforma WhatsApp Business (Meta Platforms Ireland Ltd., Irlanda/EE.UU.).

Cada uno de estos envíos implica la comunicación del nombre y datos de contacto del paciente al proveedor correspondiente. La clínica debe asegurarse de que el paciente ha sido informado de estas comunicaciones.

Facturación electrónica: VeriFactu y TicketBAI

La generación, firma, envío y custodia de registros de facturación electrónica conforme a los sistemas VeriFactu (AEAT) y TicketBAI (territorios forales del País Vasco) se realiza a través de Bilbabit, S.L., empresa española que actúa como sub-encargado del tratamiento. El tratamiento se realiza en España, sin transferencia internacional de datos.

7. Transferencias Internacionales de Datos y Destinatarios

PROCLINICA utiliza una cadena de proveedores tecnológicos para la prestación del servicio. A continuación se detalla la relación completa de sub-encargados, la finalidad de cada tratamiento, su ubicación y las garantías aplicables en caso de transferencia internacional de datos fuera del Espacio Económico Europeo (EEE):

Sub-encargadoFinalidadUbicaciónGarantía RGPD
OVHcloud (OVH SAS)Infraestructura cloud: alojamiento de la aplicación, bases de datos, almacenamiento de historiales clínicos y documentación asociadaFrancia (UE)Sin transferencia internacional
Amazon Web Services EMEA SARL (AWS S3)Almacenamiento de objetos y copias de seguridad cifradasRegión UE (París/Fráncfort)CCT — AWS EMEA SARL entidad UE; posible acceso técnico desde EE.UU. https://aws.amazon.com/compliance/gdpr-center/
OpenAI, LLCIA: resumen de historiales clínicos y transcripción de consultas médicasEE.UU.Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Decisión 2021/914/UE) https://openai.com/es-ES/policies/data-processing-addendum/
Meta Platforms Ireland Ltd. (WhatsApp Business)Recordatorios automáticos de citas vía WhatsAppIrlanda (UE) / EE.UU.Acuerdo EU-US y Suiza-U.S., Data Privacy Framework (Decisión de adecuación 10 de julio de 2023). Para más información: https://www.whatsapp.com/legal/data-privacy-framework

WhatsApp Ireland Limited, además, cuenta con cláusulas contractuales tipo adoptadas por la Comisión Europea (Información disponible en: https://www.whatsapp.com/legal/business-data-transfer-addendum?lang=es).
AC PM LLC (Postmark)Envío de correos electrónicos transaccionales a pacientesEE.UU.CCT
Sendinblue SAS (Brevo)Envío de SMS transaccionales a pacientesFrancia (UE)Sin transferencia internacional
Stripe Payments Europe, Ltd.Procesamiento de pagos, suscripciones y cobros clínica-pacienteIrlanda (UE) / EE.UU.Adherida al amparo del acuerdo EU-US Data Privacy Framework (Información disponible en: https://www.dataprivacyframework.gov/list) y, además, cuenta con cláusulas contractuales tipo adoptadas por la Comisión Europea
Bilbabit, S.L.Facturación electrónica: VeriFactu y TicketBAIEspaña (UE)Sin transferencia internacional
Google Ireland Limited (Google Calendar)Gestión de agenda y citas de pacientesIrlanda (UE) / EE.UU.Adherida al amparo del acuerdo EU-US Data Privacy Framework (Información disponible en: https://www.dataprivacyframework.gov/s/participant-search) y, además, cuenta con cláusulas contractuales tipo adoptadas por la Comisión Europea.
Google Ireland Limited (Google Meet)Videoconsultas clínicas y telemedicinaIrlanda (UE) / EE.UU.Adherida al amparo del acuerdo EU-US Data Privacy Framework (Información disponible en: https://www.dataprivacyframework.gov/s/participant-search) y, además, cuenta con cláusulas contractuales tipo adoptadas por la Comisión Europea.

Las transferencias internacionales de datos a países fuera del EEE se realizan al amparo de Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea, conforme al art. 46.2.c) RGPD. Puede solicitar información sobre las garantías específicas de cada transferencia escribiendo a privacidad@proclinica.es.

Los datos no se comunicarán a ningún otro tercero adicional, salvo obligación legal.

8. Inteligencia Artificial

PROCLINICA integra funcionalidades de Inteligencia Artificial con el objetivo de mejorar la eficiencia de la gestión clínica. Concretamente, la IA permite generar resúmenes automáticos de historiales clínicos y transcribir las conversaciones que el profesional mantiene con el paciente durante la consulta, mediante la API de OpenAI, LLC.

El tratamiento mediante IA puede implicar el procesamiento de datos de categoría especial (datos de salud, art. 9 RGPD). Las funcionalidades de IA son opcionales y deben ser habilitadas expresamente por la clínica. Su uso se fundamenta en el consentimiento explícito del paciente (art. 9.2.a RGPD) y/o en el interés legítimo del responsable, según la naturaleza del tratamiento específico.

Aunque la generación de resúmenes y transcripciones se apoya en sistemas automatizados, no se adoptan decisiones individuales basadas exclusivamente en tratamientos automatizados que produzcan efectos jurídicos o significativos para el paciente sin intervención del profesional sanitario.

PROCLINICA y OpenAI aplican medidas técnicas y organizativas adecuadas, incluyendo cifrado y control de accesos, para asegurar que los datos tratados mediante IA reciben un nivel de protección equivalente al exigido por el RGPD. Los datos enviados a OpenAI a través de la API de pago no se utilizan para entrenar sus modelos.

9. Protección de la Información y Medidas de Seguridad

PROCLINICA adopta las medidas técnicas y organizativas necesarias para garantizar la seguridad, integridad y confidencialidad de los datos personales, conforme al art. 32 RGPD. A continuación se detallan las principales medidas implementadas:

Seguridad técnica

  • Cifrado de datos en tránsito mediante TLS 1.3 (HTTPS) en todas las comunicaciones.
  • Cifrado de datos en reposo mediante AES-256.
  • Cifrado de bases de datos y almacenamiento persistente.
  • Autenticación segura de API mediante JWT / Bearer Tokens con expiración y rotación de tokens.
  • Rate limiting para prevención de abuso y ataques de fuerza bruta.
  • Monitorización continua del sistema mediante logs y alertas de seguridad.

Seguridad de aplicación y acceso

  • Sistema de autenticación y autorización basado en roles (RBAC).
  • Control de acceso granular por usuario y permisos, con aplicación del principio de mínimo privilegio.
  • Aislamiento multi-tenant entre clínicas, con separación lógica total de datos.
  • Implementación de Row Level Security (RLS) en la base de datos para aislamiento a nivel de registro.
  • Registro de actividad de usuarios mediante logs de auditoría de accesos y acciones críticas.
  • Separación de entornos de desarrollo, pruebas y producción.

Seguridad de infraestructura

  • Infraestructura alojada en servidores ubicados en la Unión Europea.
  • Acceso a servidores protegido mediante VPN.
  • Copias de seguridad automáticas cada 24 horas (04:00 h), con cifrado de backups.
  • Copias de seguridad almacenadas en OVHcloud (Francia) y AWS S3 (región UE).

PROCLINICA realiza copias de seguridad de los contenidos alojados en sus servidores; no obstante, no se responsabiliza de la pérdida o borrado accidental de datos imputable al propio usuario o a la clínica cliente.

10. Derechos de los Interesados

El usuario podrá ejercer en cualquier momento los siguientes derechos ante PROCLINICA, en su condición de Responsable del Tratamiento de los datos de las clínicas y profesionales:

  • Acceso (art. 15 RGPD): conocer qué datos trata PROCLINICA sobre usted.
  • Rectificación (art. 16 RGPD): corregir datos inexactos o incompletos.
  • Supresión (art. 17 RGPD): solicitar la eliminación de sus datos.
  • Limitación del tratamiento (art. 18 RGPD): solicitar la restricción del tratamiento en los supuestos legalmente previstos.
  • Portabilidad (art. 20 RGPD): recibir sus datos en formato estructurado y de uso común.
  • Oposición (art. 21 RGPD): oponerse al tratamiento de sus datos.

El ejercicio de estos derechos puede realizarlo a través del correo electrónico privacidad@proclinica.es, para lo que podremos solicitar documentación que acredite su identidad en caso de resultar necesario.

Si considera que sus derechos no han sido atendidos adecuadamente, puede presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

Los pacientes de las clínicas clientes deberán dirigir sus solicitudes de ejercicio de derechos directamente a la clínica correspondiente, que es quien actúa como Responsable del Tratamiento de sus datos.

11. Exactitud de los Datos Personales

El titular de los datos garantiza que los datos facilitados son veraces, exactos, completos y actualizados. El usuario se compromete a mantenerlos actualizados y a comunicar a PROCLINICA cualquier modificación a través de los canales indicados. PROCLINICA no será responsable de los perjuicios que pudieran derivarse de datos incorrectos o no actualizados facilitados por el usuario.

12. Uso de Cookies

El sitio web proclinica.es y la aplicación utilizan cookies propias y de terceros. Las cookies técnicas son necesarias para el funcionamiento del servicio. Las cookies analíticas y de preferencias requieren su consentimiento previo. Para información detallada, consulte nuestra Política de Cookies en: https://proclinica.es/cookies.

13. Comunicaciones Comerciales

En aplicación de la LSSICE, PROCLINICA no enviará comunicaciones publicitarias o promocionales por medios electrónicos que previamente no hubieran sido solicitadas o expresamente autorizadas. En el caso de usuarios con relación contractual previa, PROCLINICA podrá enviar comunicaciones comerciales referentes a productos o servicios similares a los contratados. En todo caso, el usuario podrá oponerse escribiendo a privacidad@proclinica.es.

14. Derechos de Propiedad Intelectual

PROCLINICA es titular de todos los derechos de autor, propiedad intelectual e industrial sobre el software, código fuente, diseño, logotipos, marca y documentación de la plataforma. No se permite la reproducción, publicación y/o uso no estrictamente privado de los contenidos sin el consentimiento previo y por escrito de PROCLINICA. El usuario no adquiere derecho alguno sobre el software necesario para la prestación del servicio, salvo la licencia de uso estrictamente necesaria para el cumplimiento de los servicios contratados y únicamente durante su duración.

15. Tratamiento de los Datos en Calidad de Encargado del Tratamiento

Para la prestación de los servicios contratados, en lo relativo al tratamiento de los datos de los pacientes, menores y empleados de las clínicas clientes, PROCLINICA ostenta la figura de ENCARGADO DEL TRATAMIENTO y la CLÍNICA (quien contrata el servicio) la de RESPONSABLE DEL TRATAMIENTO.

Finalidad del encargo: soporte y mantenimiento del software PROCLINICA para la gestión clínica integral, mediante el cual PROCLINICA trata determinados datos personales por cuenta de la clínica, incluyendo historiales clínicos, datos de pacientes y menores, consentimientos, presupuestos, recetas, datos de citas (incluida su sincronización con Google Calendar), grabaciones/transcripciones de videollamadas, datos de jornada laboral de empleados y cobros a pacientes.

Duración: mientras dure la relación contractual y, en su caso, hasta la supresión o devolución de los datos conforme al procedimiento de cancelación del servicio.

16. Obligaciones del Encargado del Tratamiento

PROCLINICA y todo su personal se obliga a:

  • Utilizar los datos personales objeto de tratamiento únicamente para la finalidad objeto de este encargo. En ningún caso podrá utilizarlos para fines propios.
  • Tratar los datos de acuerdo con las instrucciones documentadas del Responsable del Tratamiento (la clínica). Si PROCLINICA considera que alguna instrucción infringe el RGPD, informará inmediatamente a la clínica.
  • Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  • Adoptar todas las medidas técnicas y organizativas de seguridad requeridas por el artículo 32 RGPD, descritas en la cláusula 9 de la presente Política.
  • Respetar las condiciones para recurrir a sub-encargados, conforme a la lista de proveedores de la cláusula 7, informando al Responsable con al menos 15 días de antelación de cualquier cambio previsto.
  • Asistir al Responsable del Tratamiento en la atención de solicitudes de ejercicio de derechos de los interesados, así como en el cumplimiento de sus obligaciones relativas a seguridad, notificación de brechas, evaluaciones de impacto y consulta previa.
  • Notificar al Responsable del Tratamiento, sin demora indebida y en todo caso antes de 72 horas desde su conocimiento, cualquier violación de la seguridad de los datos personales.
  • Suprimir o devolver todos los datos personales al Responsable del Tratamiento, a su elección, una vez finalizada la prestación del servicio. Transcurridos 30 días naturales desde la fecha de baja, los datos serán eliminados de forma definitiva e irreversible.
  • Proporcionar al Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones del encargado, así como permitir y contribuir a la realización de auditorías e inspecciones con preaviso mínimo de 15 días hábiles.
  • Llevar por escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, conforme al artículo 30.2 RGPD.

17. Medidas Técnicas y Organizativas de Seguridad

PROCLINICA implementa las siguientes medidas de seguridad conforme al artículo 32 RGPD:

CategoríaMedida implementada
Cifrado en tránsitoProtocolo TLS 1.3 (HTTPS) en todas las comunicaciones con la Plataforma
Cifrado en reposoCifrado AES-256 de datos almacenados en bases de datos y almacenamiento persistente
Autenticación de APIJWT / Bearer Tokens con expiración automática y rotación para prevención de secuestro de sesión
Control de accesosRBAC (Role-Based Access Control) con principio de mínimo privilegio; RLS (Row Level Security) en PostgreSQL
Aislamiento multi-tenantSeparación lógica total de datos entre clínicas en la base de datos
Prevención de abusoRate limiting para protección contra ataques de fuerza bruta
Copias de seguridadBackups automáticos cifrados cada 24 horas (04:00 h) en OVHcloud (Francia) y AWS S3 (región UE)
Logs de auditoríaRegistro centralizado de accesos, acciones críticas y operaciones sobre historiales clínicos
Seguridad de infraestructuraAcceso a servidores protegido mediante VPN; servidores ubicados en la Unión Europea
Separación de entornosEntornos de desarrollo, pruebas y producción separados
SesionesExpiración automática de sesiones inactivas; protección contra reutilización de tokens

18. Actualización de la Política de Privacidad

PROCLINICA podrá modificar la presente Política de Privacidad para adaptarla a cambios legislativos, jurisprudenciales o de las funcionalidades del servicio. Cuando los cambios sean significativos, se notificará a los usuarios con al menos 15 días de antelación mediante correo electrónico o aviso en la plataforma. La versión actualizada estará siempre disponible en: https://proclinica.es/privacidad.

El usuario manifiesta que todos los datos facilitados son ciertos y correctos, y se compromete a mantenerlos actualizados comunicando los cambios a PROCLINICA a través de los canales indicados en esta política.