✅ Clínicas Llenas actúa como Encargado del Tratamiento de los datos de pacientes de las clínicas clientes, y como Responsable del Tratamiento de los datos de sus propios clientes (directores y personal de clínicas).
1. Marco Normativo Aplicable
Dado que Clínicas Llenas presta servicios a clínicas ubicadas en la Unión Europea, le aplica el Reglamento (UE) 2016/679 (RGPD) en virtud del principio de aplicación territorial del artículo 3.2 RGPD. Adicionalmente:
- Ley Orgánica 3/2018 (LOPDGDD) — para tratamientos que afectan a personas en España
- Directiva 2002/58/CE (ePrivacy) — para comunicaciones electrónicas
- Ley 34/2002 (LSSI-CE) — para servicios de la sociedad de la información en España
2. Roles de Tratamiento
2.1 Clínicas Llenas como Responsable
Somos responsables del tratamiento de datos de:
- Visitantes del sitio web (datos de navegación, formulario de contacto)
- Contactos comerciales y clientes (responsables/personal de clínicas)
2.2 Clínicas Llenas como Encargado
Cuando las clínicas nos facilitan acceso a datos de sus pacientes para automatizar comunicaciones, actuamos como encargados del tratamiento conforme al Art. 28 RGPD. En este rol:
- Tratamos los datos únicamente según instrucciones documentadas de la clínica
- No cedemos ni usamos los datos para fines propios
- Aplicamos medidas de seguridad técnicas y organizativas adecuadas
- Asistimos a la clínica en el cumplimiento de sus obligaciones RGPD
- Eliminamos o devolvemos los datos al finalizar el contrato
⚠️ Los datos de pacientes son datos de salud (categoría especial, Art. 9 RGPD). Se requiere base jurídica reforzada y medidas de seguridad adicionales.
3. Contrato de Encargado de Tratamiento (DPA)
Suscribimos un Data Processing Agreement (DPA) con cada clínica cliente, que cubre:
- Descripción del tratamiento (objeto, duración, naturaleza, finalidad)
- Tipo de datos personales y categorías de interesados
- Obligaciones y derechos del responsable
- Subencargados autorizados
- Transferencias internacionales y garantías aplicables
- Procedimiento de notificación de brechas de seguridad
Solicita una copia de nuestro DPA estándar en: hola@clinicasllenas.com
4. Transferencias Internacionales
Clínicas Llenas es una empresa estadounidense. Las transferencias de datos desde la UE a EE.UU. se realizan bajo las siguientes garantías:
- Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea — aplicadas con todos nuestros sub-encargados
- Evaluaciones de impacto de transferencia (TIA) realizadas para cada proveedor
Sub-encargados principales: Vercel Inc. (infraestructura), Resend Inc. (email), [OTROS PENDIENTE].
5. Medidas de Seguridad
- Cifrado TLS 1.3 en todas las comunicaciones
- Cifrado en reposo de bases de datos
- Acceso a datos restringido por roles y principio de mínimo privilegio
- Autenticación de doble factor (2FA) para accesos internos
- Registros de auditoría (logs)
- Plan de respuesta ante incidentes de seguridad
- Revisiones de seguridad periódicas
6. Notificación de Brechas
En caso de brecha de seguridad que afecte a datos personales, notificaremos a la clínica responsable en un plazo máximo de 72 horas desde que tengamos conocimiento, conforme al Art. 33 RGPD, para que pueda cumplir con sus obligaciones de notificación a la autoridad supervisora.
7. Delegado de Protección de Datos (DPO)
[PENDIENTE — indicar si tienen DPO designado o no aplica, y datos de contacto si aplica]
8. Derechos de los Interesados
Para ejercer derechos RGPD (acceso, rectificación, supresión, portabilidad, oposición): hola@clinicasllenas.com
Responderemos en un máximo de 30 días. En caso de reclamación, puedes acudir a la AEPD.