Política de privacidad

Información sobre el tratamiento de datos personales conforme al Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 41/2002 básica reguladora de la autonomía del paciente. Última actualización: 2026-05-03.

1. Responsable del tratamiento

  • Identidad: Victoria Voces Domingo (profesional autónoma).
  • NIF: [Pendiente de publicación previa al lanzamiento].
  • Domicilio profesional: [Madrid · pendiente de publicación].
  • Email: psiquiatra@dravictoriavoces.com.
  • Colegiación: n.º 282880963 · ICOM Madrid.

Dado el volumen y la naturaleza del tratamiento (consulta privada unipersonal), no resulta obligatoria la designación de un Delegado de Protección de Datos (DPO) conforme al artículo 37 del RGPD. Para cualquier cuestión relativa a tus datos puedes escribir directamente al email indicado, identificando el asunto como «RGPD».

2. Finalidades del tratamiento

  1. Gestión de la consulta médica: agenda, reserva, recordatorios, historia clínica, prescripciones, informes.
  2. Facturación y obligaciones fiscales: emisión de factura, contabilidad, conservación tributaria.
  3. Comunicación con el paciente: respuesta a consultas previas a la primera cita, atención post-consulta, gestión de cancelaciones.
  4. Cumplimiento de obligaciones legales: conservación de la documentación clínica, comunicaciones obligatorias a autoridades sanitarias en los supuestos previstos por la ley.
  5. Mejora del sitio web (analítica anónima opcional, sólo previo consentimiento expreso).

3. Bases jurídicas

  • Ejecución de un contrato (art. 6.1.b RGPD) para la prestación de la asistencia sanitaria solicitada y la gestión de la cita.
  • Tratamiento de datos de salud (categoría especial) · art. 9.2.h RGPD: fines de medicina preventiva, diagnóstico médico, prestación de asistencia sanitaria y gestión de los sistemas y servicios sanitarios, sobre la base del secreto profesional.
  • Cumplimiento de obligaciones legales (art. 6.1.c): Ley 41/2002 (autonomía del paciente y documentación clínica), normativa fiscal (Ley 58/2003 LGT, Ley 37/1992 IVA, Real Decreto 1619/2012 de facturación) y Ley 12/2001 de la Comunidad de Madrid (conservación de la historia clínica).
  • Consentimiento (art. 6.1.a) para el envío de comunicaciones no estrictamente asistenciales y para las cookies de analítica.

4. Categorías de datos tratados

  • Identificativos y de contacto: nombre, apellidos, fecha de nacimiento, email, teléfono (si lo proporciona el paciente), dirección postal cuando proceda.
  • Económicos y de facturación: NIF, datos fiscales, datos de tarjeta a través de pasarela segura (tokenización vía Stripe; la consulta no almacena el PAN).
  • Datos de salud (categoría especial): motivo de consulta, antecedentes médicos, evolución clínica, diagnósticos, prescripciones, informes aportados por el paciente.
  • Datos de navegación: dirección IP, tipo de dispositivo y métricas anónimas si has consentido la analítica.

5. Plazos de conservación

  • Historia clínica: mínimo 5 años desde el alta de cada proceso asistencial conforme al artículo 17.1 de la Ley 41/2002 y al artículo 28 de la Ley 12/2001 de la Comunidad de Madrid. Determinados documentos clínicos se conservan indefinidamente cuando así lo exija la normativa aplicable.
  • Documentación fiscal y contable: 6 años conforme al Código de Comercio y normativa tributaria.
  • Datos de contacto sin reserva confirmada: 12 meses desde la última interacción, salvo solicitud expresa de supresión.
  • Cookies: ver política de cookies.

6. Destinatarios y encargados del tratamiento

Tus datos no se ceden a terceros salvo obligación legal. Para prestar el servicio se utilizan los siguientes encargados del tratamiento, con los que existe el correspondiente contrato del artículo 28 RGPD:

  • Cal.com, Inc. (USA) — gestión de la agenda y la reserva de citas. Transferencia internacional cubierta por cláusulas contractuales tipo de la Comisión Europea y, cuando aplique, por el EU-US Data Privacy Framework.
  • Stripe Payments Europe, Ltd. (Irlanda) — procesamiento de pagos y card-on-file. La consulta no almacena datos de tarjeta; se utiliza tokenización conforme al estándar PCI-DSS.
  • Sanity.io — gestión de los contenidos editoriales (blog). No almacena datos clínicos.
  • n8n (instancia self-hosted en Hetzner Online GmbH, Alemania) — automatización de flujos administrativos (recordatorios, facturación, sincronización con Odoo).
  • Resend, Inc. — envío de emails transaccionales de confirmación, recordatorios y comunicaciones administrativas mediante el dominio dravictoriavoces.com.
  • Vercel Inc. (USA) — hosting del sitio web y, si has consentido, analítica anónima (Vercel Analytics y Speed Insights).
  • Odoo S.A. (Bélgica) — facturación, contabilidad y obligaciones fiscales.
  • Cloudflare, Inc. (USA) — DNS y protección anti-DDoS del dominio.

Las transferencias internacionales fuera del Espacio Económico Europeo se amparan en cláusulas contractuales tipo, en decisiones de adecuación o en otras garantías equivalentes previstas en el Capítulo V del RGPD.

7. Derechos del interesado

Puedes ejercer los siguientes derechos enviando un email a psiquiatra@dravictoriavoces.com con el asunto «RGPD» y acreditando tu identidad:

  • Acceso a tus datos.
  • Rectificación de datos inexactos o incompletos.
  • Supresión cuando ya no sean necesarios o retires el consentimiento (con los límites del artículo 17.3 RGPD para la documentación clínica).
  • Limitación del tratamiento.
  • Oposición al tratamiento.
  • Portabilidad de los datos en formato estructurado.
  • A no ser objeto de decisiones automatizadas con efectos jurídicos (no se realizan).

Si consideras que el tratamiento no se ajusta a la normativa aplicable, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).

8. Seguridad

Se aplican medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo cifrado en tránsito (HTTPS/TLS), autenticación reforzada en herramientas que tratan datos clínicos, copias de seguridad periódicas y control de accesos basado en el principio de mínimo privilegio.

9. Menores de edad

Los datos de pacientes menores de edad son aportados por su progenitor/a o representante legal, que actúa como representante a efectos del consentimiento conforme al artículo 7 LOPDGDD. Los adolescentes a partir de 14 años pueden prestar su consentimiento respecto del tratamiento de sus datos sanitarios siempre que cuenten con capacidad suficiente, manteniéndose en todo caso el deber de información a su representante legal.

10. Modificaciones

Esta política puede actualizarse cuando lo exija la normativa, cuando cambien los encargados del tratamiento o cuando se introduzcan nuevas funcionalidades. La fecha de la última actualización se publica al inicio del documento.