Política de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos de navegación y cuenta de usuario es Psicogest Solutions SL (CIF B22607246), con domicilio en Calle de Béjar 13, 28028 Madrid (España). Contacto: ventas@psicogest.es.

2. Roles en el tratamiento de datos

Cuando PsicoGest es utilizada por profesionales de la salud mental, estos actúan como Responsables del tratamiento de los datos de sus pacientes, mientras que PsicoGest actúa como Encargado del Tratamiento, conforme al Contrato de Encargo.

Para los datos de cuenta, soporte, facturación y navegación, PsicoGest actúa como Responsable.

3. Información que recopilamos

• Datos de cuenta: nombre, correo electrónico, datos profesionales, facturación.
• Datos de pacientes: datos personales y de salud introducidos por el profesional con consentimiento informado.
• Datos técnicos: IP, dispositivo, navegador y cookies (previo consentimiento para las no esenciales).
• Datos de uso: accesos, logs y actividad agregada/anonimizada para seguridad y mejora del servicio.

4. Finalidades y bases legales

• Prestación del servicio y mantenimiento de la plataforma (ejecución de contrato).
• Gestión de soporte, facturación y comunicaciones (ejecución de contrato).
• Seguridad, auditoría y prevención de fraude (interés legítimo).
• Cumplimiento de obligaciones legales (fiscales, sanitarias o requerimientos de autoridad).
• Consentimiento explícito (registro, cookies no esenciales y consentimiento informado de pacientes).

5. Protección de datos de pacientes

PsicoGest cumple estrictamente el RGPD, la LOPDGDD y la Ley 41/2002 de autonomía del paciente. Los profesionales deben contar con el consentimiento informado de cada paciente antes de almacenar información en PsicoGest.

• Cifrado fuerte (AES-256) de datos en reposo.
• Cifrado de datos en tránsito (TLS 1.2+).
• Control de acceso por roles y políticas RLS en tablas sensibles.
• Backups y procedimientos de restauración.

5 bis. Procesamiento con IA

Las funciones de IA de PsicoGest procesan únicamente texto previamente anonimizado por el sistema (eliminación de identificadores directos e indirectos). Por ello, el contenido enviado a proveedores de IA no constituye dato personal y queda fuera del ámbito de aplicación del RGPD. Este diseño evita transferencias internacionales de datos personales.

Si en el futuro alguna función de IA necesitara tratar datos personales, PsicoGest lo comunicará previamente, incorporará al proveedor como subencargado (con DPA y garantías como Cláusulas Contractuales Tipo) y lo reflejará en /subencargados.

6. Seguridad técnica y organizativa

• Cifrado de datos en tránsito (TLS 1.2+) y cifrado fuerte en reposo.
• Registros y auditorías de accesos y operaciones sensibles.
• Copias de seguridad regulares y procedimientos de restauración.
• Gestión de incidentes con notificación al Responsable en menos de 72 horas cuando proceda.

7. Destinatarios y subencargados

Los subencargados que colaboran en la prestación del servicio se publican en /subencargados.

Entre ellos se incluyen, a título enunciativo:

• Supabase: base de datos y almacenamiento principal en la Unión Europea (región Frankfurt, Alemania).
• Vercel: infraestructura web y CDN. Trata datos técnicos mínimos necesarios (p. ej. IP, user-agent, logs de seguridad) para la correcta prestación y protección del servicio.
• Brevo: plataforma de envío de emails transaccionales y de servicio (por ejemplo, correos de bienvenida, notificaciones sobre uso de la plataforma y comunicaciones relacionadas con consentimientos y documentos LOPD dirigidos a pacientes). Los datos se alojan en servidores ubicados dentro de la Unión Europea.

8. Transferencias internacionales de datos

PsicoGest diseña sus servicios para que el tratamiento de datos personales se realice preferentemente dentro del Espacio Económico Europeo (EEE). La base de datos principal de pacientes y usuarios se aloja en servidores ubicados en la Unión Europea (Supabase, región Frankfurt), al igual que el servicio de envío de emails (Brevo).

El uso de determinados proveedores de infraestructura global, como Vercel, puede implicar transferencias de datos técnicos (por ejemplo, direcciones IP, cabeceras HTTP, información de dispositivo) asociadas a la navegación y a la seguridad de la plataforma. PsicoGest configura estos servicios para minimizar el volumen de datos personales tratados y, cuando corresponde, se basa en Cláusulas Contractuales Tipo u otras garantías adecuadas previstas en el RGPD.

Si excepcionalmente se previera una nueva transferencia de datos personales a un tercer país distinta de las descritas, PsicoGest aplicará las garantías adecuadas (por ejemplo, Cláusulas Contractuales Tipo u otra base de adecuación) e informará previamente a los usuarios afectados.

9. Conservación y plazos de supresión

PsicoGest aplica una política de conservación limitada conforme al principio de minimización del RGPD, eliminando o anonimizando los datos cuando dejan de ser necesarios para la finalidad original o por obligación legal.

• Cuentas de usuario: mientras exista la relación contractual o de soporte, y 5 años tras su finalización para obligaciones fiscales.
• Datos de pacientes: se eliminan o devuelven al profesional Responsable a la baja del servicio, según el Contrato de Encargo.
• Logs y accesos: 6 meses por motivos de seguridad y auditoría.
• Copias de seguridad: retención rotatoria de 30 días, garantizando la recuperación de datos.
• Tickets de soporte: 12 meses tras el cierre, salvo que se extienda por una obligación legal o auditoría.

10. Derechos de los interesados y procedimiento

Puedes ejercer tus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad (Derechos ARSOPL) contactando con ventas@psicogest.es.

• Envía tu solicitud indicando el derecho que deseas ejercer y adjuntando prueba de identidad.
• Responderemos en un máximo de 30 días, ampliable a 2 meses en casos complejos (se notificará el motivo).
• Cuando la solicitud afecte a datos de pacientes, PsicoGest asistirá al profesional Responsable para su correcta tramitación.

Si no estás conforme con la respuesta o crees que se han vulnerado tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

11. Cookies

Utilizamos cookies técnicas necesarias y, previo consentimiento, cookies analíticas y de preferencias. Puedes obtener más información o gestionar tus preferencias en nuestra Política de Cookies.

12. Datos de menores

PsicoGest no está dirigida a menores de 16 años. En los casos en que se traten datos de menores (p. ej., pacientes pediátricos), el profesional debe obtener el consentimiento de sus tutores legales conforme al RGPD y la LOPDGDD.

13. Cambios en esta política

PsicoGest podrá actualizar esta política para reflejar cambios legales o técnicos. En caso de modificaciones sustanciales, se notificará a los usuarios por correo o aviso en la plataforma. Se recomienda revisar periódicamente esta página.

14. Contacto y Delegado de Protección de Datos (DPO)

Para cualquier duda sobre privacidad, protección de datos o si necesitas contactar con el Delegado de Protección de Datos (DPO), puedes escribir a ventas@psicogest.es.

15. Gestión de incidentes de seguridad

PsicoGest ha implantado un procedimiento de detección, análisis y notificación de incidentes de seguridad conforme al RGPD. En caso de brecha con riesgo para los derechos de las personas, se notificará sin dilación indebida y en menos de 72 horas desde que sea conocida a la autoridad de control y/o a los afectados.

El profesional Responsable será informado de los hechos, medidas adoptadas y recomendaciones para los datos de sus pacientes, conforme al Contrato de Encargo.

16. Registro de Actividades de Tratamiento (art. 30 RGPD)

PsicoGest mantiene un registro actualizado de las actividades de tratamiento tanto en calidad de Responsable como de Encargado. A continuación se publica un resumen a efectos de transparencia.

A. PsicoGest como Responsable del Tratamiento

• Finalidad: gestión de cuentas, facturación, soporte técnico y comunicaciones legítimas.
• Categorías de datos: profesionales registrados (nombre, email, datos fiscales y de pago).
• Base jurídica: ejecución de contrato y cumplimiento de obligaciones legales.
• Conservación: duración del contrato + 5 años (requisitos fiscales).
• Destinatarios: Administración Tributaria y proveedores IT (Supabase, Vercel, Brevo en lo que corresponda).
• Medidas técnicas: cifrado TLS y en reposo, RLS, backups automáticos, control de acceso.

B. PsicoGest como Encargado del Tratamiento

• Finalidad: prestación del software de gestión clínica en nombre del profesional Responsable.
• Responsables: psicólogos o centros sanitarios usuarios de la plataforma.
• Datos tratados: identificativos y de salud de pacientes, introducidos por el profesional.
• Interesados: pacientes y profesionales sanitarios.
• Subencargados: Supabase (DB y Storage en UE), Vercel (hosting frontend/edge), Brevo (emails transaccionales alojados en la UE).
• Transferencias: solo las estrictamente necesarias para la prestación del servicio (principalmente datos técnicos a proveedores de infraestructura global). El uso de IA se realiza con texto anonimizado.
• Medidas: cifrado en reposo y en tránsito, RLS en tablas sensibles, logs de acceso y notificación <72h.