RGPD para Clínicas — Protección de Datos Pacientes

Infraestructura y localización de datos

Todos los datos de pacientes procesados por Cliniflux se almacenan exclusivamente en servidores ubicados en la Unión Europea. Nunca salen de la UE.

Proveedor de infraestructura

Railway (AWS EU — Irlanda)

Localización física

Unión Europea (Irlanda, eu-west-1)

Cifrado en tránsito

TLS 1.3 — todos los endpoints

Cifrado en reposo

AES-256 — base de datos PostgreSQL

Retención de datos

Máximo 2 años desde último uso · Eliminación bajo solicitud

Copias de seguridad

Diarias · Cifradas · Retención 30 días

Marco legal aplicable

Cliniflux actúa como Encargado del Tratamiento de los datos de pacientes. Tu clínica es la Responsable del Tratamiento. Esta relación está regulada mediante un Acuerdo de Tratamiento de Datos (DPA) que puedes firmar online.

RGPD (UE) 2016/679 — Reglamento General de Protección de Datos
LOPDGDD (LO 3/2018) — Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales española
Datos de categoría especial — Los datos de salud son categoría especial del Art. 9 RGPD. Aplicamos medidas reforzadas.
Consentimiento explícito — Los mensajes de WhatsApp enviados a pacientes requieren consentimiento previo, que tu clínica debe obtener y documentar.
Derechos ARSOL — Acceso, Rectificación, Supresión, Oposición y Limitación — atendemos las solicitudes de pacientes en 72h.

Medidas de seguridad implementadas

Autenticación de dos factores (2FA) obligatoria para acceso al panel de control
Control de acceso basado en roles — cada usuario solo ve lo que necesita
Registros de auditoría (logs) de todos los accesos y operaciones sobre datos
Pseudonimización de datos de conversación en los registros internos
Política de contraseñas seguras con rotación periódica
Plan de respuesta ante incidentes de seguridad — notificación a la AEPD en <72h si procede
Evaluación de Impacto de Protección de Datos (EIPD) realizada para categorías especiales

Acuerdo de Tratamiento de Datos (DPA)

Descarga el acuerdo de tratamiento para firmar con tu clínica. Cubre todos los requisitos del Art. 28 RGPD para encargados del tratamiento.

Solicitar DPA firmado

O escríbenos a hola@cliniflux.es · Respondemos en 48h laborables

Preguntas frecuentes sobre RGPD

¿Necesito el consentimiento del paciente para enviarle mensajes por WhatsApp?
Sí. Para mensajes de marketing o reactivación, necesitas consentimiento explícito previo (Art. 6.1.a RGPD). Para mensajes de servicio (recordatorios de cita pactada), puede ampararse en la ejecución del contrato (Art. 6.1.b). Recomendamos documentar siempre el consentimiento.

¿Necesita mi clínica un Delegado de Protección de Datos (DPD/DPO)?
Las clínicas que tratan datos de salud a gran escala (Art. 37 RGPD) están obligadas. Si tienes dudas sobre si aplica a tu clínica, consulta a un especialista legal o a la AEPD.

¿Qué pasa si hay una brecha de seguridad?
Cliniflux te notificará en menos de 24h si detectamos cualquier incidente que afecte a datos de tus pacientes. Gestionamos conjuntamente la notificación a la AEPD si es obligatoria (plazo legal: 72h).

¿Puedo exportar o eliminar todos los datos de mis pacientes?
Sí. Desde el panel de control puedes exportar todos los datos en formato CSV en cualquier momento. Si das de baja tu cuenta, eliminamos todos tus datos en un plazo máximo de 30 días.

¿Tienes preguntas sobre RGPD?

Nuestro equipo responde en 48h laborables.

Nombre

Clínica

Teléfono (opcional)

Tu pregunta

Protección de datos de pacientes.Sin letra pequeña.