Política de Privacidad
BORRADOR — NO VIGENTE. Esta política se publicará cuando Klinivo inicie operaciones en la Unión Europea. El servicio aún no está disponible en la UE. Su entrada en vigor está condicionada a la migración de la infraestructura a una región de la UE (eu-west-1, Irlanda); hasta entonces la plataforma opera exclusivamente en Brasil. No trate este documento como vigente ni como base para el tratamiento de datos de residentes en la UE.
AVISO DE EMERGENCIA: Este servicio NO es un servicio de emergencia médica.
En caso de emergencia, llame al 112 o acuda al servicio de urgencias más cercano.
Síntomas que requieren atención de emergencia incluyen:
- Dolor en el pecho o dificultad para respirar
- Pérdida de consciencia
- Sangrado severo
- Signos de ictus (cara caída, debilidad en brazos, habla arrastrada)
- Pensamientos suicidas o de autolesión
No utilice esta plataforma para emergencias médicas.
2. Introducción e Identidad del Responsable
2.1 Quiénes Somos
Klinivo es una plataforma de gestión de consultorios médicos con inteligencia artificial, desarrollada por HC Desenvolvimento de Softwares Ltda. (empresa brasileña que opera en la Unión Europea). Nuestro objetivo es permitir que los profesionales de la salud se centren en sus pacientes, no en el papeleo administrativo.
Ofrecemos herramientas para:
- Programación de citas presenciales y de telemedicina
- Consultas por vídeo con calidad profesional
- Documentación clínica asistida por inteligencia artificial
- Recetas digitales integradas
- Historial médico electrónico seguro y accesible
- Portal del paciente con acceso a su información de salud
Nos tomamos la privacidad muy en serio. Esta política explica, de forma clara y accesible, cómo tratamos sus datos personales de conformidad con el Reglamento General de Protección de Datos (RGPD — Reglamento UE 2016/679) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
2.2 Identificación del Responsable del Tratamiento
| Información | Datos |
|---|---|
| Razón Social | HC Desenvolvimento de Softwares Ltda. |
| Nombre de Fantasía | Tech Rocks |
| Nombre Comercial (marca) | Klinivo |
| CNPJ (Brasil) | 06.871.228/0001-33 |
| País de constitución | Brasil (Belo Horizonte — MG) |
| Operaciones UE | Requisito previo al lanzamiento: infraestructura en eu-west-1 (Irlanda, AWS). Pendiente de migración — la plataforma aún no opera en la UE. |
| Contacto general | [email protected] |
2.3 Delegado de Protección de Datos (DPD)
De conformidad con el artículo 37 del RGPD y el artículo 34 de la LOPDGDD, Klinivo designa un Delegado de Protección de Datos (DPD) de carácter obligatorio, dado que tratamos datos de salud (categorías especiales) a gran escala.
| Información | Datos |
|---|---|
| Cargo | Delegado de Protección de Datos |
| Contacto | [email protected] |
| Plazo de respuesta | 1 mes desde la recepción de la solicitud |
El DPD es su punto de contacto para todas las cuestiones relacionadas con el tratamiento de sus datos personales y el ejercicio de sus derechos en virtud del RGPD y la LOPDGDD.
3. Ámbito y Aplicabilidad
3.1 A Quién Se Aplica Esta Política
Esta política se aplica a todos los usuarios de la plataforma Klinivo en España y la Unión Europea, incluyendo:
- Pacientes — personas que reciben atención sanitaria a través de la plataforma
- Profesionales sanitarios (médicos) — que utilizan Klinivo para gestionar su consulta
- Personal de clínica — secretarias, recepcionistas, administradores
- Responsables de organización — titulares de organizaciones enterprise
3.2 Tipos de Organización
Klinivo opera con dos modelos de organización que determinan responsabilidades en materia de protección de datos:
| Tipo | Descripción | Responsable de Facturación | Registro |
|---|---|---|---|
| PÚBLICA | Médicos independientes que se registran individualmente | Cada médico (PROVEEDOR) | Autoservicio |
| PRIVADA | Clínicas y empresas sanitarias | Titular de la organización (PROPIETARIO) | Solo por invitación |
En organizaciones PÚBLICAS: Cada médico es responsable de contratar y gestionar sus propios módulos de IA. Klinivo actúa como responsable del tratamiento para los datos de la plataforma.
En organizaciones PRIVADAS: El titular de la organización gestiona la facturación y los módulos para toda la entidad. Klinivo actúa como responsable del tratamiento; la organización puede actuar como corresponsable según el acuerdo establecido.
3.3 Modelo de Negocio
Klinivo ofrece una plataforma base gratuita (programación, gestión de pacientes, SOAP manual, portal del paciente, recetas digitales) y planes de pago con precios en euros:
| Plan | Precio (EUR) | Qué añade |
|---|---|---|
| Gratis | €0 | Núcleo completo + telemedicina 1 a 1 + recordatorios por email + 1 secretaria |
| Essential | €89/mes | Recordatorios por WhatsApp y SMS (1.000/mes) |
| Pro | €209/mes | Smart Intake + AI Scribe, consultas ilimitadas |
| Premium | €319/mes | Mismas funciones, para consultas de alto volumen |
Automatización y Analítica son exclusivos Enterprise y solo están disponibles mediante contrato negociado para organizaciones PRIVADAS.
La telemedicina 1 a 1 está incluida en todos los planes (núcleo gratuito). Puede subir o bajar de plan en cualquier momento, sin contratos a largo plazo.
4. Datos que Recopilamos
Recopilamos únicamente los datos necesarios para prestar nuestros servicios, siguiendo el principio de minimización de datos (RGPD Art. 5.1.c).
4.1 Datos Personales de Identificación
Cuando crea una cuenta o es registrado por su clínica:
| Dato | Finalidad |
|---|---|
| Nombre completo | Identificación en el sistema y el historial médico |
| Nombre preferido | Tratamiento respetuoso conforme a la identidad del paciente |
| Fecha de nacimiento | Tratamiento adecuado a la edad, verificación de identidad |
| Correo electrónico | Acceso a la cuenta, confirmaciones, comunicaciones |
| Teléfono | Recordatorios de citas, contacto directo de la clínica |
| Documento de identidad nacional (tipo según jurisdicción del consultorio) — DNI/NIE (España), NIF (Portugal), NINO (Reino Unido), CPF (Brasil), SSN (EUA), Pasaporte (pacientes internacionales) | Identificación inequívoca, recetas digitales, identificación fiscal cuando aplique, cumplimiento regulatorio sanitario. Campo obligatorio — almacenado íntegramente (sin enmascaramiento) con cifrado en reposo. El enmascaramiento se aplica únicamente en visualización para roles de menor privilegio (STAFF, SECRETARY, MANAGER) |
| Tipo del documento de identidad | Identifica el tipo del documento (DNI, NIE, NIF, NINO, CPF, SSN, PASSPORT) para validación específica por país |
| Grupo sanguíneo (formato estructurado: A+, A-, B+, B-, AB+, AB-, O+, O-) | Seguridad transfusional, decisiones clínicas de emergencia. Base jurídica: prestación sanitaria (RGPD Art. 9(2)(h)). Campo opcional, validado por patrón regex y por restricción CHECK en la base de datos (chk_patient_blood_type) |
| Datos del contacto de emergencia (nombre, teléfono, relación) | Contacto en caso de emergencia clínica. Opcional — si proporciona cualquiera de estos datos, nombre y teléfono pasan a ser obligatorios (regla aplicada por validador @ValidEmergencyContact en el DTO y por restricción chk_patient_emergency_contact_complete en la base de datos). Base jurídica: interés vital (RGPD Art. 6(1)(d) + Art. 9(2)(c)). Es su responsabilidad informar a la persona designada de que sus datos han sido comunicados a Klinivo para fines de contacto en emergencia (RGPD Art. 14 — datos de terceros recogidos indirectamente) |
| CIP (Código de Identificación Personal del SNS) | Identificación en el Sistema Nacional de Salud (opcional) |
| Identidad de género (administrativo) | Identificación administrativa y tratamiento respetuoso |
| Sexo biológico (uso clínico) | Relevancia clínica para decisiones de tratamiento y prescripción |
| Pronombres (opcional) | Comunicación respetuosa según la preferencia del paciente |
| Dirección | Operaciones sanitarias, situaciones de emergencia |
4.2 Datos de Salud (Categoría Especial)
Durante sus consultas, su médico registra datos clínicos que constituyen categorías especiales de datos personales conforme al artículo 9 del RGPD:
| Dato | Finalidad |
|---|---|
| Historial médico | Continuidad del cuidado, decisiones clínicas seguras |
| Síntomas reportados | Diagnóstico y tratamiento |
| Notas SOAP | Documentación clínica estandarizada |
| Recetas | Registro del tratamiento |
| Signos vitales | Monitorización de salud (en consultas presenciales) |
| Alergias | Seguridad en la prescripción |
| Preguntas ICE | Ideas, preocupaciones y expectativas del paciente |
| Cuestionarios de salud mental | PHQ-9 (depresión), GAD-7 (ansiedad) — solo con consentimiento |
El sexo biológico se recoge como dato clínico distinto de la identidad de género. Se procesa bajo el Art. 9(2)(h) (prestación sanitaria) porque es médicamente necesario para la dosificación precisa de medicamentos, rangos de referencia de laboratorio y protocolos de cribado apropiados por edad. Puede negarse a proporcionar esta información, aunque puede limitar la precisión de ciertas funciones de apoyo a la decisión clínica.
4.3 Datos de Dispositivo y Uso
Para garantizar el funcionamiento, seguridad y mejora de la plataforma:
| Dato | Finalidad |
|---|---|
| Dirección IP | Seguridad, detección de accesos no autorizados |
| Tipo de navegador y sistema operativo | Compatibilidad técnica |
| Páginas visitadas y acciones realizadas | Mejora de la experiencia de usuario |
| Fecha y hora de acceso | Registros de auditoría |
| Informes de errores | Identificación y corrección de problemas técnicos |
| Respuestas NPS (satisfacción) | Mejora de la calidad del servicio |
| Registros de acceso API | Seguridad y monitorización de uso (Enterprise) |
Protecciones de privacidad en analítica:
- Todos los campos de formulario están enmascarados en grabaciones de sesión
- Los datos clínicos utilizan enmascaramiento CSS adicional (clase
.patient-data) - Ningún dato de salud se incluye en analítica
- Las respuestas NPS son anonimizadas para informes agregados
- Los identificadores de usuario están pseudonimizados (organization_id + rol, no correo electrónico)
5. Cómo Recopilamos los Datos
5.1 Recopilación Directa
Datos que usted nos proporciona activamente:
- Registro de cuenta (nombre, correo electrónico, teléfono)
- Información de perfil clínico
- Respuestas a cuestionarios de intake
- Fotos de síntomas (con consentimiento)
- Preferencias de notificación
- Información de pago (procesada por Stripe)
5.2 Recopilación Automatizada
Datos generados por el uso de la plataforma:
- Registros de sesión (cookies esenciales)
- Datos de navegación y uso (analítica anonimizada)
- Registros de auditoría y seguridad
- Datos técnicos del dispositivo
5.3 Integraciones de Terceros
Datos recibidos de servicios integrados:
- Stripe — estado de pagos y suscripciones
- AWS Cognito — tokens de autenticación
- Twilio — confirmación de entrega de mensajes
- Proveedor de SSO (Enterprise) — atributos SAML para autenticación
6. Base Jurídica del Tratamiento
El RGPD (artículos 6 y 9) y la LOPDGDD exigen que tengamos una base jurídica válida para cada tratamiento de datos personales.
6.1 Datos Personales Ordinarios (RGPD Art. 6)
| Base Jurídica | Artículo | Cuándo la Aplicamos | Ejemplos |
|---|---|---|---|
| Ejecución de contrato | Art. 6.1.b | Prestar el servicio contratado | Inicio de sesión, programación, pagos, gestión de cuenta |
| Obligación legal | Art. 6.1.c | Cumplir leyes y regulaciones | Retención de historial médico (Ley 41/2002), datos fiscales |
| Intereses vitales | Art. 6.1.d | Protección de la salud del interesado | Detección de signos de emergencia (triaje) |
| Consentimiento | Art. 6.1.a | Funcionalidades opcionales | Marketing, encuestas de satisfacción |
| Interés legítimo | Art. 6.1.f | Seguridad y mejora del servicio | Registros de acceso, analítica de uso, prevención de fraude |
6.2 Categorías Especiales — Datos de Salud (RGPD Art. 9)
Sus datos de salud reciben protección reforzada como categoría especial de datos personales:
| Excepción Aplicada | Artículo | Cuándo la Aplicamos |
|---|---|---|
| Atención sanitaria | Art. 9.2.h | Tratamiento clínico básico: historial médico, SOAP, recetas, signos vitales |
| Obligación legal en materia sanitaria | Art. 9.2.h + LOPDGDD | Retención de historiales clínicos conforme a la Ley 41/2002 |
| Consentimiento explícito | Art. 9.2.a | Funcionalidades de IA que van más allá del tratamiento básico |
| Intereses vitales | Art. 9.2.c | Comprobación de interacciones medicamentosas, triaje de emergencia |
Importante:
- No necesita consentir para el tratamiento básico de datos de salud necesarios para su atención sanitaria
- Sí necesita consentir explícitamente para las funcionalidades de IA (transcripción, generación de SOAP, intake inteligente)
- El consentimiento para IA es granular (por funcionalidad) y revocable en cualquier momento sin afectar a la plataforma base
6.3 Especificidades de la LOPDGDD
La Ley Orgánica 3/2018 complementa el RGPD con requisitos adicionales para España:
- Art. 34 LOPDGDD: Designación obligatoria de DPD para entidades que tratan datos de salud — cumplido por Klinivo
- Art. 7 LOPDGDD: Consentimiento de menores a partir de 14 años (véase Sección 13)
- Art. 21 LOPDGDD: Comunicaciones comerciales electrónicas — solo con consentimiento previo o relación contractual preexistente
- Ley 41/2002 (Autonomía del paciente): Conservación mínima de historiales clínicos de 5 años
7. Cómo Utilizamos sus Datos
7.1 Plataforma Base (Gratuita)
| Finalidad | Datos Utilizados | Base Jurídica |
|---|---|---|
| Gestión de citas | Nombre, contacto, horarios | Ejecución de contrato |
| Historial médico electrónico | Datos clínicos | Atención sanitaria (Art. 9.2.h) |
| Recetas digitales | Datos de identificación, medicación | Atención sanitaria + obligación legal |
| Portal del paciente | Datos de perfil, historial | Ejecución de contrato |
| Check-in y sala de espera | Nombre, hora de cita | Ejecución de contrato |
7.2 Funcionalidades de IA (Por Módulo, Requieren Consentimiento)
| Módulo | Datos Procesados | Tratamiento |
|---|---|---|
| AI Scribe | Audio de la consulta, texto transcrito | Transcripción en tiempo real, generación de borrador SOAP |
| Smart Intake | Respuestas del paciente, fotos de síntomas | Recopilación inteligente de síntomas antes de la consulta |
| Telemedicina | Audio/vídeo en tiempo real | Consultas por vídeo HD (sin grabación permanente) |
| Recordatorios | Teléfono, nombre, hora de cita | Envío de recordatorios por WhatsApp/SMS |
| Automatización | Datos de eventos clínicos | Ejecución de flujos de trabajo automatizados |
| Analítica | Datos agregados de operaciones | Generación de informes y paneles personalizados |
7.3 Analítica y Mejora del Servicio
- PostHog: Eventos de uso anonimizados para mejora del producto (sin datos de salud)
- Sentry: Informes de errores técnicos (sin datos de salud)
- Encuestas NPS: Puntuaciones de satisfacción voluntarias, anonimizadas en agregado
7.4 Comunicaciones
| Tipo | Canal | Base Jurídica |
|---|---|---|
| Confirmaciones de cita | Correo electrónico, WhatsApp/SMS | Ejecución de contrato |
| Recordatorios de cita | WhatsApp/SMS | Consentimiento (módulo Recordatorios) |
| Alertas de seguridad | Correo electrónico | Interés legítimo |
| Novedades del servicio | Correo electrónico | Consentimiento |
| Encuestas de satisfacción | Correo electrónico/SMS | Consentimiento |
8. Tratamiento Específico de IA
8.1 Transparencia sobre Modelos de IA
Klinivo utiliza los siguientes modelos de inteligencia artificial:
| Modelo | Proveedor | Ubicación del Tratamiento (objetivo UE) | Finalidad |
|---|---|---|---|
| Claude (Sonnet/Haiku) | Anthropic (vía AWS Bedrock) | eu-west-1 (Irlanda, UE)† | Generación de texto, SOAP, intake, resúmenes, búsqueda de pacientes |
| Groq Whisper | Groq | Estados Unidos* | Transcripción de audio (voz a texto) |
| pyannote (diarización) | pyannote.audio (en el servicio de IA) | eu-west-1 (Irlanda, UE)† | Separación de interlocutores en grabaciones de un solo micrófono |
| XGBoost | Interno (Klinivo) | eu-west-1 (Irlanda, UE)† | Predicción de inasistencia |
*Con garantías adecuadas (véase Sección 10). La transcripción por Groq se realiza en EE. UU.; antes del lanzamiento en la UE se evaluará un proveedor con región UE o alojamiento propio.
†Ubicación objetivo previa al lanzamiento en la UE. Hasta completar la migración de la infraestructura a la UE, la plataforma opera en Brasil/EE. UU. (us-east-1) y no presta servicio a residentes en la UE.
8.2 Supervisión Humana
La IA de Klinivo está diseñada como herramienta de asistencia, no de sustitución:
- La IA NO sustituye al médico — Todas las decisiones clínicas son responsabilidad del profesional sanitario
- Revisión obligatoria — Ningún contenido generado por IA se guarda en el historial sin aprobación explícita del médico
- La IA no diagnostica — Solo asiste en la documentación, organización y sugerencias
- La IA no prescribe — Las recetas son responsabilidad exclusiva del médico
- Indicador visual — Un indicador muestra siempre cuándo la IA está activa durante la consulta
8.3 Funcionalidades de IA Disponibles
| Funcionalidad | Descripción | Requiere Consentimiento |
|---|---|---|
| Transcripción en tiempo real | Convierte la conversación en texto durante la consulta | Sí |
| Diarización | Identifica quién habla (médico vs. paciente) | Sí |
| Generación de SOAP | Crea borrador de nota clínica a partir de la transcripción | Sí |
| Intake inteligente | Recoge síntomas por conversación antes de la consulta | Sí |
| Subida de fotos en intake | Permite subir fotos de síntomas durante el intake | Sí |
| Triaje | Identifica signos de emergencia | No (seguridad) |
| Diagnóstico diferencial | Sugiere diagnósticos basados en síntomas | Sí |
| Resumen del paciente por IA | Genera resumen conciso del historial clínico | Sí |
| Búsqueda por IA | Permite buscar usando lenguaje natural | Sí |
| Verificador de síntomas | Sugiere especialidad médica adecuada | Sí |
| Interacciones medicamentosas | Alerta sobre riesgos en recetas | No (seguridad) |
| Preguntas ICE | Recoge ideas, preocupaciones y expectativas del paciente | Sí |
| Cribado de salud mental | Cuestionarios PHQ-9 y GAD-7 | Sí |
8.4 Cómo la IA Procesa sus Datos
- Usted elige activarla — Las funcionalidades de IA son opcionales y requieren consentimiento explícito
- Minimización de identificadores — Se eliminan los identificadores directos de los metadatos enviados a los proveedores de IA; el audio se referencia mediante identificadores internos. El contexto clínico necesario puede acompañar la solicitud, siempre bajo cláusulas que prohíben la retención y el entrenamiento
- La IA procesa el texto — Genera transcripción, resumen o sugerencia
- El médico revisa todo — Nada se guarda sin aprobación del profesional
- El audio se suprime — En 24 horas, solo permanece el texto aprobado
8.5 Decisiones Automatizadas (RGPD Art. 22)
Klinivo no toma decisiones exclusivamente automatizadas que produzcan efectos jurídicos o le afecten significativamente. Todo contenido generado por IA es revisado y aprobado por un profesional sanitario antes de incorporarse a su historial médico.
Tiene derecho a:
- Saber cuándo se usa IA — un indicador visual muestra cuándo la IA está activa
- Solicitar revisión humana — de cualquier contenido generado por IA
- Rechazar el uso de IA — puede usar la plataforma completa sin funcionalidades de IA
- Entender la lógica — le explicamos cómo funciona cada funcionalidad de IA
- Expresar su punto de vista — puede impugnar cualquier resultado de IA
9. Compartición de Datos y Terceros
9.1 Subencargados del Tratamiento
Compartimos datos con los siguientes subencargados que nos ayudan a prestar el servicio:
| Subencargado | Datos Compartidos | Finalidad | Ubicación | Garantías |
|---|---|---|---|---|
| AWS (Amazon Web Services) | Datos cifrados (base de datos, archivos, IA) | Infraestructura en la nube | eu-west-1 (Irlanda, UE) | DPA firmado, SOC 2, ISO 27001 |
| Groq | Audio anonimizado | Transcripción de audio | Estados Unidos | DPA firmado, CCTs |
| Stripe | Nombre, email, importe | Procesamiento de pagos | UE (con infraestructura US) | PCI-DSS, CCTs |
| Twilio | Teléfono, nombre, hora de cita | Recordatorios WhatsApp/SMS | Estados Unidos | DPA firmado, CCTs |
| AEMPS | Datos del medicamento controlado | Recetas de sustancias controladas | España | Obligación legal (Ley 29/2006 de garantías del medicamento) |
| PostHog | Eventos de uso (sin datos de salud) | Analítica de producto | UE | DPA firmado |
| Sentry | Datos de error (sin datos de salud) | Seguimiento de errores | UE | DPA firmado |
9.2 Cómo Protegemos las Comunicaciones
- Minimización de identificadores en el envío a IA — se eliminan los identificadores directos de los metadatos; el audio se referencia mediante identificadores internos
- Principio de minimización — solo compartimos lo estrictamente necesario para cada función
- Contratos de encargo del tratamiento (DPA) con todos los subencargados
- Cláusulas Contractuales Tipo (CCTs) para transferencias internacionales
- Los proveedores de IA no pueden utilizar sus datos para entrenamiento de modelos
- Ningún dato clínico va a Stripe o Twilio — solo la información necesaria para sus funciones
9.3 No Vendemos sus Datos
Klinivo no vende, alquila ni comercializa sus datos personales a terceros bajo ninguna circunstancia.
10. Transferencias Internacionales de Datos
10.1 Tratamiento en la Unión Europea
Estado objetivo (previo al lanzamiento en la UE). La tabla siguiente describe la arquitectura prevista para cuando Klinivo opere en la UE. Hasta completar la migración, la infraestructura reside en us-east-1 (EE. UU.) y la plataforma no presta servicio a residentes en la UE. La residencia de datos en la UE es un requisito previo a cualquier lanzamiento europeo.
Una vez completada la migración, la mayor parte de sus datos se procesarán dentro de la Unión Europea:
| Servicio | Ubicación (objetivo UE) | Transferencia Internacional |
|---|---|---|
| Base de datos (Aurora PostgreSQL) | eu-west-1 (Irlanda) | No — intra-UE |
| Almacenamiento de archivos (S3) | eu-west-1 (Irlanda) | No — intra-UE |
| IA (AWS Bedrock) | eu-west-1 (Irlanda) | No — intra-UE |
| Analítica (PostHog) | UE | No — intra-UE |
| Errores (Sentry) | UE | No — intra-UE |
10.2 Transferencias a Terceros Países
Algunos servicios requieren transferencia de datos fuera de la UE:
| Servicio | País de Destino | Datos Transferidos | Mecanismo de Protección |
|---|---|---|---|
| Groq (transcripción) | Estados Unidos | Audio anonimizado | Cláusulas Contractuales Tipo (CCTs) |
| Twilio (recordatorios) | Estados Unidos | Teléfono, nombre, hora | Cláusulas Contractuales Tipo (CCTs) |
| Stripe (pagos) | Estados Unidos | Nombre, email, importes | Cláusulas Contractuales Tipo (CCTs), PCI-DSS |
| AWS Cognito (autenticación) | Estados Unidos (us-east-1) | Tokens de autenticación, perfil de usuario | Cláusulas Contractuales Tipo (CCTs) |
10.3 Transferencias UE-Brasil
HC Desenvolvimento de Softwares Ltda. es una empresa brasileña. Las transferencias de datos entre la UE y Brasil se amparan en:
- Cláusulas Contractuales Tipo (CCTs) — y las demás garantías adecuadas previstas en el Capítulo V del RGPD, salvo que resulte aplicable una decisión de adecuación de la Comisión Europea
- Medidas técnicas adicionales — cifrado de extremo a extremo para todos los datos transferidos
10.4 Garantías Aplicadas
Para todas las transferencias internacionales:
- Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914)
- Certificaciones de seguridad de los destinatarios (SOC 2, ISO 27001)
- Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256)
- Prohibición contractual de uso de datos para entrenamiento de modelos de IA
- Evaluaciones de impacto de transferencia (TIA) documentadas
11. Retención de Datos
Conservamos sus datos solo el tiempo necesario para la finalidad del tratamiento, conforme al principio de limitación del plazo de conservación (RGPD Art. 5.1.e):
| Categoría de Datos | Plazo de Conservación | Justificación Legal |
|---|---|---|
| Historial médico | Mínimo 5 años | Ley 41/2002, Art. 17; CCAA pueden ampliar |
| Datos de facturación | 6 años | Código de Comercio español, Art. 30 |
| Grabaciones de audio | 24 horas | Minimización de datos (RGPD Art. 5.1.c) |
| Caché de IA | 24 horas | Rendimiento, después suprimida |
| Registros del sistema | 7 días | Seguridad operativa |
| Registros de acceso | 2 años | Seguridad y auditoría |
| Datos de cuenta | Duración de la relación + 5 años | Obligaciones legales post-contractuales |
| Respuestas NPS | 2 años | Mejora del servicio |
| Eventos de analítica | 1 año | Mejora del producto |
| Informes de error | 90 días | Soporte técnico |
| Registros de acceso API | 1 año | Auditoría de seguridad |
| Datos de marketing (consentimiento) | Hasta revocación del consentimiento | Consentimiento (Art. 6.1.a) |
Qué Sucede Después del Plazo de Conservación
- Historial médico: El contenido clínico se conserva según la legislación sanitaria autonómica aplicable. Los datos de identificación pueden anonimizarse
- Audio: Suprimido automáticamente mediante política de ciclo de vida de S3
- Datos de cuenta: Suprimidos o anonimizados tras el período legal de conservación
- Otros datos: Suprimidos permanentemente mediante métodos seguros
Cierre de Cuenta y Transferencia de Custodia
El deber de conservar la historia clínica corresponde al médico o la clínica (responsable de los datos clínicos); Klinivo actúa como encargado del tratamiento que almacena los datos por cuenta del responsable mientras el contrato está activo. Al cerrarse una cuenta (cancelación, inactividad o sucesión):
- Ventana de exportación de 90 días — facilitamos la exportación completa y estructurada de toda la historia clínica y los datos de la cuenta (portabilidad), con avisos a 30, 7 y 1 día del cierre.
- Fin de la custodia operativa activa — tras la ventana dejamos de mantener los datos en producción; el deber de conservación lo ejerce el responsable, que recibió la exportación íntegra.
- Supresión vs. archivado — los datos fuera de cualquier plazo legal se suprimen definitivamente; los datos aún sujetos a retención obligatoria (historia clínica, consentimientos, datos fiscales en plazo) no se suprimen — se trasladan a archivado de baja frecuencia (cold storage) bajo la custodia del responsable, o se le entregan. Registramos de forma auditable qué se suprimió, archivó o conservó.
- Cuentas gratuitas inactivas (sin acceso durante más de 12 meses y que nunca contrataron un plan de pago) siguen el mismo flujo; las cuentas gratuitas con historia clínica efectiva nunca se suprimen.
- Fallecimiento o sucesión — el sucesor legal asume la custodia; previa solicitud formal a
[email protected]realizamos la exportación íntegra con un preaviso mínimo de 60 días a los pacientes.
Registros Clínicos Asistidos por IA
Los registros clínicos que contienen contenido generado por IA (por ejemplo, notas SOAP que incorporan texto de transcripción) se conservan durante el período mínimo requerido por la regulación médica aplicable (5 años mínimo en la UE). Las solicitudes de eliminación de datos eliminan grabaciones de audio sin procesar, datos de sesión de IA y predicciones en caché, pero los registros clínicos finalizados se conservan y se marcan claramente como "asistidos por IA" durante el período de retención legalmente obligatorio.
Registros de Auditoría de IA
Los registros de auditoría de IA se anonimizan (se eliminan los identificadores personales) en lugar de eliminarse, preservando la pista de auditoría requerida para la responsabilidad regulatoria mientras se elimina cualquier vínculo con el individuo.
Registros de Consentimiento
Los registros de consentimiento se conservan durante 7 años después del cierre de la cuenta como prueba de la base legal de procesamiento, conforme al principio de responsabilidad del Artículo 5(2) del RGPD.
12. Sus Derechos
El RGPD y la LOPDGDD le garantizan un conjunto de derechos sobre sus datos personales. Puede ejercerlos en cualquier momento contactando con nuestro DPD.
12.1 Derechos Garantizados
| Derecho | Artículo RGPD | Descripción | Cómo Ejercerlo |
|---|---|---|---|
| Acceso | Art. 15 | Obtener confirmación y copia de sus datos | Portal del paciente o DPD |
| Rectificación | Art. 16 | Corregir datos inexactos o incompletos | Edite su perfil del paciente directamente (nombre, correo electrónico, teléfono, foto) o contacte al DPD. Las modificaciones de correo electrónico están sujetas a verificación de unicidad — si la dirección ya está en uso por otro paciente de la misma organización, la actualización es rechazada (HTTP 409 Conflict) |
| Supresión | Art. 17 | Derecho al olvido (con excepciones legales) | Contacte al DPD |
| Limitación | Art. 18 | Restringir el tratamiento en determinadas circunstancias | Contacte al DPD |
| Portabilidad | Art. 20 | Recibir sus datos en formato estructurado y legible por máquina | Exportar en portal o contacte al DPD |
| Oposición | Art. 21 | Oponerse a tratamientos basados en interés legítimo | Contacte al DPD |
| No ser objeto de decisiones automatizadas | Art. 22 | Solicitar revisión humana de decisiones automatizadas | Contacte al DPD |
| Retirada del consentimiento | Art. 7.3 | Retirar consentimiento dado, sin efecto retroactivo | Configuración de la cuenta o DPD |
12.2 Plazo de Respuesta
- Solicitudes ordinarias: 1 mes desde la recepción
- Solicitudes complejas o numerosas: Prórroga de hasta 2 meses adicionales, previa notificación motivada dentro del primer mes
- Confirmación de recepción: Inmediata
12.3 Limitaciones al Derecho de Supresión
Algunos datos no pueden ser suprimidos aunque lo solicite, debido a obligaciones legales:
- Historial médico: Conservación obligatoria de al menos 5 años (Ley 41/2002); las CCAA pueden establecer plazos mayores
- Registros fiscales: Conservación obligatoria de 6 años (Código de Comercio)
- Registros de auditoría: Necesarios para la seguridad y el cumplimiento normativo
En estos casos, sus datos de identificación pueden ser anonimizados, pero el contenido clínico o fiscal se conserva conforme a la legislación vigente.
12.4 Procedimiento de Supresión de Datos
Puede solicitar la supresión de sus datos en cualquier momento:
Cómo funciona:
- Solicite la supresión — a través del portal del paciente o contactando al DPD ([email protected])
- Período de gracia de 30 días — puede cancelar durante este período
- Ejecución automática — tras el período de gracia, la supresión se procesa automáticamente
- Confirmación — recibirá un correo electrónico confirmando la supresión completada
Lo que se suprime:
- Sesiones de chat de IA e historial de conversaciones
- Archivos de audio de consultas
- Caché de datos de IA
- Fotos y documentos subidos
- Datos de perfil (a menos que exista obligación legal de conservación)
Lo que NO se puede suprimir:
- Historial médico exigido por ley (mínimo 5 años)
- Registros de transacciones (obligaciones fiscales, 6 años)
- Registros de auditoría anonimizados (sin datos personales identificables)
Cancelación: Puede cancelar su solicitud de supresión en cualquier momento durante el período de gracia de 30 días a través del portal del paciente o contactando con soporte.
12.5 Ejercicio Gratuito
El ejercicio de sus derechos es gratuito. Solo podremos cobrar un canon razonable o negarnos a actuar si las solicitudes son manifiestamente infundadas o excesivas (RGPD Art. 12.5).
12.6 Autoservicio para el Derecho de Rectificación
Puede ejercer su derecho de rectificación (RGPD Art. 16) directamente desde el portal del paciente (Configuración > Perfil), sin necesidad de contactar al DPD, para los siguientes datos:
- Nombre completo
- Correo electrónico (sujeto a regla de unicidad — ver 12.1)
- Teléfono principal y secundario
- Foto de perfil
Cada modificación se aplica de inmediato y se registra en un log de auditoría (updatedAt, updatedBy, y campo version para bloqueo optimista contra modificaciones concurrentes), preservando la integridad de la trazabilidad. Los datos clínicos (historial médico, recetas, signos vitales) solo pueden ser modificados por profesionales sanitarios, en cumplimiento de los requisitos de integridad del historial médico.
13. Privacidad de Menores
13.1 Edad de Consentimiento Digital vs Salvaguarda Clínica
De conformidad con el artículo 7 de la LOPDGDD, la edad mínima para prestar consentimiento al tratamiento de datos personales en España en servicios de la sociedad de la información es de 14 años.
No obstante, Klinivo trata datos de salud (categoría especial conforme al RGPD Art. 9), por lo que aplicamos una salvaguarda reforzada: para cualquier paciente con edad inferior a 18 años exigimos obligatoriamente los datos del representante legal en el registro. Esta política se alinea con el artículo 9.4 de la Ley 41/2002 (consentimiento informado en contextos de riesgo grave, reformado por Ley 26/2015 para elevar el umbral a 18 años) y con el principio del superior interés del menor. Esta regla de 18 años se aplica de forma uniforme en todas las jurisdicciones donde Klinivo opera (Brasil, Portugal, España, Reino Unido), constituyendo protección por encima del mínimo legal de cada jurisdicción (el RGPD Art. 8(1) permite expresamente medidas nacionales más protectoras para menores).
13.2 Datos del Representante Legal Recogidos Obligatoriamente (Pacientes Menores de 18 Años)
Para cualquier paciente menor de 18 años, recogemos obligatoriamente los siguientes datos del representante legal en el registro. La ausencia de cualquier campo obligatorio provoca el rechazo del registro por el servidor (HTTP 400, mensaje patient.guardian.required.for.minor) — no se trata de validación únicamente en el frontend sino de regla aplicada en las capas de aplicación y base de datos:
| Dato del Representante | Finalidad | Obligatorio |
|---|---|---|
| Nombre completo | Identificación inequívoca | Sí |
| Documento de identidad (DNI/NIE, NIF, CPF, NINO, SSN o Pasaporte) | Verificación de identidad del representante (RGPD Art. 8(2) — consentimiento verificable) | Sí |
| Tipo del documento | Validación específica por tipo de documento | Sí |
| Teléfono | Confirmación del consentimiento, contacto en emergencias | Sí |
| Parentesco/relación legal (MAE, PAI, AVO, TIO, TUTOR_LEGAL, OUTRO) | Acreditación del vínculo legal | Sí |
Marca temporal del consentimiento (guardian_consent_at) |
Prueba inmutable del momento exacto del consentimiento. Generada exclusivamente por el servidor mediante timeProvider.nowOffsetUtc() en el momento en que el representante legal marca la casilla de consentimiento — no es proporcionada por el cliente, evitando antedatación y garantizando la integridad probatoria del consentimiento parental conforme al RGPD Art. 7(1) (accountability — carga de la prueba) |
Asignado por el servidor |
Una restricción CHECK en la base de datos (chk_patient_guardian_consent_implies_info) impide que la marca temporal exista sin que los demás campos del representante estén cumplimentados — preservando la cadena de evidencia exigida por el RGPD.
13.3 Pacientes Adultos (≥ 18 Años)
Los pacientes mayores de 18 años pueden consentir de forma autónoma a todos los tratamientos, gestionar sus preferencias de IA, rectificar sus datos y ejercer todos los derechos del RGPD directamente desde el portal del paciente.
13.4 Verificación de Edad
- Solicitamos la fecha de nacimiento en el registro
- El servidor calcula la edad en el momento de la grabación y aplica la regla del representante legal para menores de 18 años
- El profesional sanitario conserva su responsabilidad profesional de evaluar la madurez del menor en el punto de atención clínica, conforme a la Ley 41/2002 y al criterio del menor maduro
13.5 Tratamiento Clínico de Datos de Menores
Independientemente de la edad, el tratamiento de datos de salud de menores para fines de atención sanitaria se ampara en el artículo 9.2.h del RGPD (atención sanitaria), siendo el profesional sanitario quien actúa bajo su obligación profesional. Los datos del representante legal son recopilados para fines de identificación del consentidor y como contacto clínico, no sustituyen el deber profesional del sanitario.
14. Medidas de Seguridad
14.1 Medidas Técnicas
| Protección | Implementación |
|---|---|
| Cifrado en tránsito | TLS 1.3 para todas las comunicaciones |
| Cifrado en reposo | AES-256 para base de datos, archivos y copias de seguridad |
| Control de acceso | Autenticación multifactor (MFA), roles y permisos basados en RBAC |
| Aislamiento multitenant | Filtros de Hibernate con organization_id, aislamiento a nivel de esquema |
| Auditoría de acceso | Registro de todos los accesos a datos de salud |
| Monitorización | Detección de intrusiones, alertas de seguridad en tiempo real |
| Copias de seguridad | Automáticas, cifradas, con recuperación verificada periódicamente |
| Cierre de sesión automático | Timeout por inactividad |
| Trazabilidad por registro | Cada registro de paciente incluye createdAt/updatedAt en UTC, atribución de usuario (createdBy/updatedBy — UUID Cognito) y campo version para bloqueo optimista contra modificaciones concurrentes |
| Integridad de modificaciones | El bloqueo optimista rechaza actualizaciones concurrentes con HTTP 409 Conflict, preservando la integridad cronológica de las ediciones e impidiendo pérdida silenciosa de datos en ediciones simultáneas |
| Restricciones de integridad en la base de datos | Restricciones CHECK en PostgreSQL aplican reglas de validación clínica y de consentimiento independientemente de la capa de aplicación: chk_patient_blood_type, chk_patient_emergency_contact_complete, chk_patient_guardian_consent_implies_info, chk_patient_guardian_relationship |
14.2 Medidas Organizativas
- Formación del personal en protección de datos y seguridad de la información
- Acceso a datos limitado al mínimo necesario para cada rol (principio de necesidad de conocer)
- Evaluaciones periódicas de riesgos de seguridad
- Política documentada de respuesta a incidentes
- Programa de gestión de subencargados del tratamiento
14.3 Notificación de Violaciones de Seguridad
En caso de violación de seguridad que afecte a sus datos personales:
| Paso | Acción | Plazo |
|---|---|---|
| 1 | Contención — Aislamiento del incidente | Máximo 4 horas |
| 2 | Investigación — Determinación del alcance e impacto | Máximo 48 horas |
| 3 | Notificación a la AEPD | 72 horas desde que se tiene conocimiento (RGPD Art. 33) |
| 4 | Notificación a los afectados | Sin dilación indebida si existe riesgo alto para sus derechos (RGPD Art. 34) |
14.4 Información sobre la Notificación
En caso de notificación, le informaremos sobre:
- Naturaleza de la violación y datos afectados
- Nombre y datos de contacto del DPD
- Consecuencias probables de la violación
- Medidas adoptadas o propuestas para poner remedio
- Recomendaciones para mitigar posibles efectos adversos
15. Cookies y Rastreo
15.1 Tipos de Cookies Utilizadas
| Tipo | Finalidad | Consentimiento |
|---|---|---|
| Estrictamente necesarias | Mantener la sesión, seguridad CSRF, preferencias esenciales | No requerido (Art. 22.2 LSSI-CE) |
| Funcionales | Recordar idioma, preferencias de visualización | Requerido |
| Analíticas | Comprender el uso de la plataforma (PostHog) | Requerido |
15.2 Gestión de Cookies
- Puede gestionar sus preferencias de cookies a través del banner de cookies al acceder a la plataforma
- Puede modificar sus preferencias en cualquier momento desde la configuración de su cuenta
- Puede deshabilitar cookies en la configuración de su navegador (las cookies esenciales son necesarias para el funcionamiento de la plataforma)
Para información detallada, consulte nuestra Política de Cookies disponible en la plataforma.
16. Cambios en Esta Política
16.1 Notificación de Cambios
| Tipo de Cambio | Notificación | Plazo |
|---|---|---|
| Cambios significativos (nueva base jurídica, nuevos destinatarios, nuevos derechos) | Correo electrónico + aviso en la plataforma | 30 días de antelación |
| Cambios menores (correcciones, aclaraciones, ajustes de formato) | Actualización de fecha y publicación | Inmediato |
16.2 Su Aceptación
Continuar utilizando la plataforma después de los cambios implica aceptación. Para cambios significativos que afecten a sus derechos o a las bases jurídicas del tratamiento, podremos solicitar un nuevo consentimiento cuando sea necesario.
17. Contacto y Reclamaciones
17.1 Delegado de Protección de Datos (DPD)
Para ejercer sus derechos, formular consultas o presentar reclamaciones sobre el tratamiento de sus datos:
| Canal | Datos |
|---|---|
| Correo electrónico | [email protected] |
| Plazo de respuesta | 1 mes (prorrogable hasta 3 meses para solicitudes complejas) |
| Idiomas | Español, inglés, portugués |
17.2 Reclamación ante la AEPD
Si no está satisfecho con nuestra respuesta o considera que el tratamiento de sus datos vulnera la normativa vigente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
| Canal | Datos |
|---|---|
| Sitio web | https://www.aepd.es |
| Sede electrónica | https://sedeagpd.gob.es |
| Teléfono | 901 100 099 |
| Dirección postal | C/ Jorge Juan, 6 — 28001 Madrid |
Conforme al artículo 77 del RGPD y el artículo 63 de la LOPDGDD, tiene derecho a presentar una reclamación ante la AEPD sin necesidad de agotar previamente la vía ante Klinivo, aunque le recomendamos contactar primero con nuestro DPD para intentar resolver su consulta.
17.3 Proceso de Reclamación Interna
- Envíe su reclamación a [email protected] con la descripción del problema
- Acuse de recibo — le confirmaremos la recepción en un plazo máximo de 5 días hábiles
- Investigación — analizaremos su reclamación y le mantendremos informado
- Resolución — le comunicaremos nuestra decisión motivada en un plazo máximo de 1 mes
- Si no está conforme — puede acudir a la AEPD en cualquier momento
17.4 Soporte General
Para consultas no relacionadas con la privacidad:
| Canal | Datos |
|---|---|
| Correo electrónico | [email protected] |
| Horario | Lunes a viernes, 09:00 a 18:00 (hora de Madrid, CET/CEST) |
Legislación Aplicable
Esta política cumple con la siguiente normativa:
- RGPD — Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016
- LOPDGDD — Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
- LSSI-CE — Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico
- Ley 41/2002 — Ley básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
- Normativa sanitaria autonómica aplicable — según la Comunidad Autónoma del interesado
Glosario
| Término | Definición |
|---|---|
| AEPD | Agencia Española de Protección de Datos, autoridad supervisora en España |
| CCTs | Cláusulas Contractuales Tipo, mecanismo aprobado por la Comisión Europea para transferencias internacionales |
| Cifrado | Técnica que transforma datos en código ilegible sin la clave correcta |
| Diarización | Identificación de quién está hablando en una grabación de audio |
| DPA | Data Processing Agreement (Acuerdo de Encargo del Tratamiento) |
| DPD | Delegado de Protección de Datos, responsable de cuestiones de privacidad |
| ICE | Ideas, Preocupaciones (Concerns), Expectativas — técnica de comunicación clínica |
| LOPDGDD | Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales |
| PHQ-9 | Cuestionario de Salud del Paciente — cribado de depresión |
| GAD-7 | Escala de Trastorno de Ansiedad Generalizada — cribado de ansiedad |
| RGPD | Reglamento General de Protección de Datos (Reglamento UE 2016/679) |
| SOAP | Formato de nota clínica: Subjetivo, Objetivo, Evaluación (Assessment), Plan |
| TLS | Transport Layer Security, protocolo de seguridad para comunicaciones en internet |
| Transcripción | Conversión de audio a texto |
| Triaje | Evaluación de urgencia para priorizar la atención sanitaria |
Preguntas Frecuentes
P: ¿Cómo puedo acceder a mis datos?
Entre al Portal del Paciente y haga clic en "Mis Datos" en su perfil. Puede ver y exportar sus datos en formato estructurado. Para el historial médico completo, solicítelo al DPD en [email protected].
P: ¿Puedo usar la plataforma sin IA?
Sí. Todas las funcionalidades de IA son opcionales y requieren su consentimiento explícito. Puede programar citas, participar en consultas y acceder a su historial médico sin utilizar ninguna funcionalidad de IA. La plataforma base es completa y funcional sin módulos de pago.
P: ¿El médico puede ver toda mi información?
Su médico ve el historial de consultas realizadas con él, sus alergias, medicamentos actuales y resúmenes de salud. No ve automáticamente consultas con otros médicos, a menos que estén en la misma clínica y usted lo autorice.
P: ¿Durante cuánto tiempo se guardan mis datos?
El historial médico se conserva un mínimo de 5 años conforme a la Ley 41/2002 (las CCAA pueden establecer plazos mayores). El audio de consultas se suprime en 24 horas. Los datos de facturación se conservan 6 años. Puede solicitar la supresión de datos no obligatorios en cualquier momento.
P: ¿Cómo funciona la transcripción de audio?
Si usted y su médico optan por activarla, la conversación se transcribe en tiempo real. Se eliminan los identificadores directos de los metadatos antes del procesamiento. El audio se suprime en 24 horas; solo la transcripción aprobada por el médico permanece en el historial.
P: ¿Mis datos se comparten con otras empresas?
Compartimos datos solo con los subencargados necesarios para el servicio (infraestructura, pagos, comunicaciones). Nunca vendemos sus datos. Los proveedores de IA reciben solo texto anonimizado y tienen prohibido usar sus datos para entrenamiento de modelos.
P: ¿Dónde se almacenan mis datos?
Una vez que Klinivo opere en la UE, la base de datos principal, los archivos y los modelos de IA se procesarán en la Unión Europea (eu-west-1, Irlanda), y algunos servicios auxiliares (autenticación, recordatorios) podrán transferir datos a Estados Unidos con las garantías adecuadas (Cláusulas Contractuales Tipo). Mientras tanto, la plataforma opera en us-east-1 (EE. UU.) y no presta servicio a residentes en la UE.
P: ¿Cómo solicito la supresión de mis datos?
A través del Portal del Paciente (sección Privacidad) o enviando un correo electrónico a [email protected]. Hay un período de gracia de 30 días durante el cual puede cancelar. Tras ese período, la supresión se ejecuta automáticamente. El historial médico puede conservarse por exigencia legal.
P: ¿Qué son las preguntas ICE?
ICE significa Ideas, Preocupaciones (Concerns) y Expectativas. Es una técnica de comunicación clínica donde el médico puede pedirle que comparta lo que piensa sobre su condición, qué le preocupa y qué espera del tratamiento. Esta funcionalidad es opcional y requiere su consentimiento.
P: ¿Qué son los cuestionarios PHQ-9 y GAD-7?
Son cuestionarios estandarizados de cribado de salud mental. El PHQ-9 evalúa síntomas de depresión y el GAD-7 evalúa síntomas de ansiedad. Solo se aplican si usted consiente y su médico los considera apropiados para su atención.
P: ¿Puedo presentar una reclamación?
Sí. Puede contactar con nuestro DPD ([email protected]) o presentar una reclamación directamente ante la AEPD (https://www.aepd.es). Le recomendamos contactar primero con nuestro DPD para intentar resolver su consulta.
Esta Política de Privacidad fue actualizada el 5 de abril de 2026.
HC Desenvolvimento de Softwares Ltda. — [email protected]