Saltar al contenido principal
Volver al inicio
Hispanoclínicas

Cumplimiento RGPD

Última actualización:
13 de junio de 2026
Versión
1.0
Vigente desde
13 de junio de 2026

Hispanoclínicas es una plataforma diseñada para gestionar datos de salud, una de las categorías especiales de datos más sensibles según el art. 9 del Reglamento (UE) 2016/679 (RGPD). Esta página explica nuestro compromiso con el cumplimiento normativo, los roles de tratamiento y las medidas que aplicamos para proteger los datos de cada clínica y de sus pacientes.

1. Compromiso RGPD

Hispanoclínicas incorpora la protección de datos desde el diseño y por defecto (art. 25 RGPD). Esto significa que cada decisión de producto — arquitectura multi-inquilino, control de acceso por roles, cifrado en reposo — se toma teniendo en cuenta el impacto en la privacidad, sin esperar a la fase de auditoría.

2. Roles de tratamiento: responsable y encargado

La distinción de roles es fundamental en el modelo de Hispanoclínicas:

  • Clínica (Responsable del tratamiento): determina los fines y los medios del tratamiento de los datos de sus pacientes. Es responsable de obtener la base jurídica adecuada (generalmente, ejecución de un contrato de atención sanitaria o consentimiento explícito del paciente).
  • Hispanoclínicas (Encargado del tratamiento): trata los datos de los pacientes única y exclusivamente para prestar el servicio contratado, siguiendo las instrucciones documentadas de cada clínica. No los usa para fines propios.
  • Hispanoclínicas (Responsable del tratamiento): respecto de los datos de sus propios clientes (personal de las clínicas, usuarios de la plataforma), actúa como responsable conforme a su Política de Privacidad.

3. Acuerdo de Encargo de Tratamiento (DPA)

El DPA entre Hispanoclínicas y cada clínica establece las instrucciones de tratamiento, las medidas de seguridad, el régimen de subencargados y los derechos de auditoría conforme al art. 28 RGPD. El DPA forma parte integrante de los Términos de Uso y se acepta al contratar el servicio. Para obtener una copia firmada o solicitar un DPA personalizado escribe a [email protected].

4. Subencargados

Hispanoclínicas utiliza los siguientes subencargados para la prestación del servicio. Todos ellos han firmado cláusulas de encargado de tratamiento y cuentan con garantías adecuadas para transferencias internacionales:

CategoríaFinalidadUbicaciónGarantía
Infraestructura cloudAlmacenamiento de datos y computación de la plataforma.Unión Europea (EEE)Encargado de tratamiento (art. 28) · datos en el EEE
Correo transaccionalConfirmaciones de cita, invitaciones y notificaciones del sistema.UE / EE. UU.Cláusulas Contractuales Tipo (SCC) · Data Privacy Framework
Pasarelas de pagoProcesamiento seguro de cobros. Hispanoclínicas nunca accede a datos de tarjeta.UE / EE. UU.Tokenización PCI-DSS · SCC cuando aplique
Mensajería (WhatsApp Business API)Comunicación entre clínicas y pacientes; mensajes transmitidos cifrados.UE / EE. UU.Cláusulas Contractuales Tipo (SCC)

Notificamos a las clínicas los cambios en la lista de subencargados con al menos 14 días de antelación.

5. Medidas de seguridad (art. 32 RGPD)

  • Cifrado en tránsito: toda la comunicación entre clientes y la plataforma utiliza TLS 1.2 o superior.
  • Cifrado en reposo: los datos de la base de datos y los archivos almacenados están cifrados.
  • Aislamiento multi-inquilino: cada clínica opera en su propio espacio lógico aislado mediante Row-Level Security (RLS) en la base de datos.
  • Control de acceso por roles (RBAC): el personal de las clínicas accede únicamente a las funciones y datos que corresponden a su rol.
  • Registros de auditoría: todas las acciones relevantes quedan registradas con usuario, timestamp y dirección IP.
  • Evaluaciones de seguridad: revisiones periódicas de vulnerabilidades y pruebas de penetración.

6. Notificación de brechas de seguridad (arts. 33-34 RGPD)

En caso de detectarse una brecha de seguridad que afecte a datos personales, Hispanoclínicas se compromete a:

  • Notificar a la clínica responsable en un plazo máximo de 72 horas desde el conocimiento del incidente.
  • Proporcionar toda la información necesaria para que la clínica pueda evaluar si debe notificar a su autoridad de control y/o a los afectados.
  • Colaborar activamente en la contención del incidente y en la adopción de medidas correctoras.

7. Derechos de los interesados

La plataforma facilita a las clínicas el ejercicio de los derechos de sus pacientes:

  • Acceso y portabilidad: exportación de la historia clínica completa en formato estándar (PDF / JSON).
  • Rectificación: actualización de datos desde el perfil del paciente.
  • Supresión («derecho al olvido»): eliminación de datos desde el panel de administración, sujeta a plazos legales de conservación en materia sanitaria.
  • Solicitudes de ejercicio de derechos (DSR): flujo integrado de gestión disponible en el panel de administración de la clínica (sección Configuración → Privacidad).

8. Transferencias internacionales

Los datos se almacenan y procesan principalmente dentro del Espacio Económico Europeo. Cuando algún subencargado implique una transferencia fuera del EEE, Hispanoclínicas aplica las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea o, en su caso, otras garantías adecuadas previstas en el art. 46 RGPD (como la adhesión al marco de adecuación UE-EE. UU. Data Privacy Framework, cuando aplique).

9. Contacto del Delegado de Protección de Datos (DPO)

Para cualquier consulta sobre el tratamiento de datos, el ejercicio de derechos o solicitudes de auditoría, puedes contactar a nuestro Delegado de Protección de Datos en: [email protected].

¿Tienes preguntas sobre este documento? [email protected]