Política de privacidad

1. Responsable del tratamiento

Para los datos de cuenta de usuario, organización, facturación del servicio SaaS, registros técnicos indispensables y demás tratamientos descritos en relación con la prestación de la plataforma Vintora, el responsable del tratamiento es el titular indicado en el apartado final de este documento («Identificación del prestador»).

Los datos relativos a pacientes u otras personas que la clínica o empresa cliente introduzca en la aplicación los trata la propia organización cliente como responsable del tratamiento, en el ejercicio de su actividad profesional. El titular del servicio Vintora actúa como encargado del tratamiento respecto de esos datos, únicamente sobre la base de instrucciones documentadas de la organización y para la ejecución del servicio contratado, con las obligaciones previstas en el artículo 28 del RGPD y la normativa desarrollada.

Por diseño, la ficha de paciente en la aplicación utiliza un código interno obligatorio propio de la organización y admite un nombre para mostrar opcional; así puede limitarse la inclusión de datos personales innecesarios.

Si tiene dudas sobre quién es responsable en cada supuesto (cuenta frente a datos que usted introduce como clínica), puede escribirnos a hola@vintora-web.com.

2. Finalidades del tratamiento y base legal

Tratamos los datos personales con las finalidades y bases siguientes, sin perjuicio de actualizaciones puntuales que se reflejen en esta política o, cuando proceda, en información adicional específica:

• Prestación del servicio y ejecución del contrato o medidas precontractuales (art. 6.1.b RGPD): alta y gestión de cuentas, perfiles de usuario, organización o clínica registrada, inventario, movimientos de stock, categorías, proveedores, funcionalidades de informes y cuantas operaciones resulten necesarias para que la aplicación funcione según lo anunciado.
• Cumplimiento de obligaciones legales (art. 6.1.c RGPD): cuando la normativa aplicable exija conservar información, atender requerimientos de autoridades o cumplir deberes fiscales o contables en la medida en que afecten al titular del servicio.
• Interés legítimo (art. 6.1.f RGPD): seguridad de la plataforma, prevención de fraude o abuso, mejora técnica razonable del servicio, gestión de incidencias y, en su caso, defensa de reclamaciones, siempre respetando sus derechos y libertades fundamentales.
• Consentimiento (art. 6.1.a RGPD): cuando lo exija la normativa para una actividad concreta (por ejemplo, ciertas comunicaciones electrónicas no esenciales o cookies no estrictamente necesarias, si en el futuro se incorporasen). En esos casos podrá retirar el consentimiento en cualquier momento sin afectar a la licitud del tratamiento previo.

3. Categorías de datos tratados

Según el uso que haga cada organización, pueden tratarse, entre otros, los siguientes tipos de datos:

• Datos identificativos y de contacto: nombre, correo electrónico y datos análogos asociados a la cuenta de usuario o a la organización.
• Datos de la relación contractual: información de la organización cliente, identificadores internos en la base de datos, estado de suscripción o facturación cuando se utilice un procesador de pagos (los datos bancarios o de tarjeta sensibles los trata el proveedor de pagos como responsable autónomo en sus propios términos).
• Datos de uso de la aplicación: registros de inventario, movimientos, categorías, fichas de proveedores (solo denominación comercial y notas internas opcionales; sin email, teléfono, dirección ni persona de contacto en la interfaz) y, si la clínica los introduce, datos mínimos de pacientes definidos por el diseño del producto (código interno obligatorio y nombre para mostrar opcional), sin incorporar por defecto el resto de categorías especiales salvo lo que la propia clínica decida registrar.
• Datos técnicos: dirección IP, identificadores de sesión, registros de seguridad y metadatos necesarios para la autenticación y la continuidad del servicio.

La aplicación está pensada para minimizar la recogida de datos personales: no exige por diseño DNI ni teléfono del paciente; la identificación operativa prevista es el código interno de la clínica (obligatorio) y el nombre para mostrar es opcional. En proveedores solo se solicita el nombre (obligatorio) y notas internas opcionales; no hay campos de contacto, email, teléfono ni dirección en el producto. La organización cliente decide si cumplimenta campos opcionales y qué referencias utiliza.

4. Plazos de conservación

Los datos se conservan mientras se mantenga la relación contractual y el usuario o la organización no soliciten supresión en los términos previstos en la aplicación y en la ley.

• Tras la baja del servicio, se aplicarán los mecanismos de borrado o bloqueo previstos contractual y técnicamente (incluidas opciones de eliminación de organización cuando estén disponibles en el producto), salvo que exista obligación legal de conservación.
• Los plazos legales generales (p. ej. mercantiles, fiscales o prescriptivos) podrán implicar la conservación bloqueada de determinada información durante los años que marque la normativa.
• Los logs o copias de seguridad técnica se gestionarán con criterios de rotación y minimización acordes con el riesgo y la normativa aplicable.

5. Destinatarios y encargados del tratamiento

No vendemos datos personales ni cedemos información identificativa a terceros para que luego le envíen publicidad ajena al servicio contratado.

Para prestar el servicio recurrimos a proveedores que actúan como encargados del tratamiento (art. 28 RGPD) o, en algunos casos, como responsables independientes respecto de tratamientos propios (por ejemplo, pasarela de pago). A fecha de la última revisión de este texto, los subencargados o servicios relevantes incluyen, sin carácter limitativo:

• Supabase: autenticación de usuarios, base de datos aplicativa y almacenamiento técnico asociado. Puede consultar su documentación sobre privacidad, localización y medidas de seguridad.
• Vercel u otro proveedor de alojamiento y despliegue de la aplicación web: ejecución del código del sitio y distribución de contenidos; el tratamiento suele incluir datos técnicos de conexión y metadatos de funcionamiento.
• Stripe (u otro procesador de pagos configurado): datos relacionados con el pago, facturación recurrente y cumplimiento normativo en materia de medios de pago. Los datos de tarjeta o instrucción de adeudo directo los trata Stripe según sus propios términos; Vintora no necesita almacenar el número completo de tarjeta en su base de datos para el flujo habitual.
• Resend (u otro proveedor de envío de correo electrónico transaccional): envío de mensajes tales como bienvenida, avisos operativos o resúmenes ligados al servicio, según la configuración activa.

La relación contractual con encargados se documenta con las cláusulas tipo o acuerdos de tratamiento previstos en el RGPD. Las organizaciones clientes pueden solicitar información sobre el encargo del tratamiento respecto de datos de pacientes u otros que introduzcan en la plataforma (incluida la documentación al amparo del art. 28 RGPD) en hola@vintora-web.com.

La relación actualizada de subencargados relevantes, finalidades y referencias para transferencias internacionales se recoge de forma detallada en información para responsables del tratamiento. Ante la incorporación de nuevos subencargados o cambios sustanciales en la cadena de tratamiento, se procurará informar con la antelación razonable que permitan los plazos técnicos y contractuales, para que el responsable pueda cumplir su deber de información y registro.

6. Transferencias internacionales

Si algún proveedor trata datos fuera del Espacio Económico Europeo, se aplicarán las garantías del capítulo V del RGPD: decisiones de adecuación de la Comisión, cláusulas contractuales tipo, normas corporativas vinculantes u otro mecanismo legalmente previsto. Puede solicitar información adicional por el canal indicado al final de esta política.

7. Derechos de las personas interesadas

Puede ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad cuando procedan, así como retirar el consentimiento en los supuestos basados en él:

• Por correo electrónico a hola@vintora-web.com, indicando la petición concreta y, si es posible, documentación que facilite la identificación legítima (sin perjuicio de que en algunos supuestos debamos contrastar datos adicionales para evitar revelaciones indebidas).
• Para consultas específicas en materia de protección de datos, puede utilizarse también hola@vintora-web.com (correo de contacto de delegado o canal de privacidad si estuviera designado).

Si considera que el tratamiento no se ajusta a la normativa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o, cuando proceda, ante la autoridad autonómica competente (Cataluña — APDCAT, País Vasco — AVPD, Andalucía — Consejo de Transparencia y Protección de Datos, etc.). Sin perjuicio de ello, se recomienda intentar primero la resolución amistosa por los canales indicados arriba.

Respecto de datos que la clínica introduce como responsable (p. ej. datos de pacientes), los derechos de esas personas deben ejercerse ante la clínica en primer término; nosotros, como encargados, daremos el apoyo razonable que corresponda.

Salvo supuestos complejos o solicitudes manifiestamente infundadas o excesivas (art. 12.5 RGPD), la respuesta a ejercicios de derechos se proporcionará en un plazo de un mes desde la recepción de la petición, pudiendo prorrogarse hasta dos meses adicionales cuando sea necesario por la complejidad o el número de solicitudes, informando previamente de dicha prórroga y de los motivos de la demora.

7 bis. Privacidad desde el diseño y por defecto (art. 25 RGPD)

El producto se diseña con criterios de minimización de datos y configuraciones por defecto orientadas a reducir la exposición. En particular, las fichas de paciente exigen un código interno propio de la organización y dejan el nombre para mostrar como campo opcional; no se solicitan DNI, teléfono o correo del paciente. Las fichas de proveedor se limitan al nombre y a notas internas opcionales (sin datos de contacto). Las funciones públicas (panel, informes, calendario) trabajan sobre referencias internas y no exponen identidades directas más allá de lo necesario para que la organización pueda operar.

8. Seguridad

Aplicamos medidas técnicas y organizativas apropiadas al riesgo, entre ellas: uso de canales cifrados (HTTPS), autenticación de usuarios, segregación lógica de datos por organización (modelo multi-tenant), políticas de acceso y diseño del software orientado a reducir la superficie de exposición de datos innecesarios.

Ningún sistema es invulnerable; si detectamos un incidente que afecte gravemente a sus datos o derechos, daremos cumplimiento a las obligaciones de notificación previstas en el RGPD y la LOPDGDD cuando proceda.

Las medidas técnicas y organizativas incluyen, entre otras, las siguientes líneas de actuación:

• Cifrado de comunicaciones mediante HTTPS y buenas prácticas en el transporte de credenciales.
• Autenticación de usuarios, control de acceso por roles y segregación lógica de datos entre organizaciones (multi-tenant).
• Copias de seguridad, continuidad del servicio y procedimientos internos de revisión de permisos y de respuesta a incidencias.
• Minimización de datos en el diseño del producto y formación o instrucciones internas del personal con acceso a sistemas.

9. Cookies, almacenamiento local y tecnologías similares

El sitio utiliza cookies y tecnologías equivalentes estrictamente necesarias para la prestación del servicio (sesión, autenticación y, en su caso, preferencias técnicas indispensables). El detalle descriptivo y la base jurídica se recogen en la política de cookies.

10. Menores de edad

El servicio está dirigido a profesionales y organizaciones que actúan en el ejercicio de una actividad económica (entorno B2B). No está previsto el registro de menores como usuarios de la plataforma. Si tuviera conocimiento de un supuesto contrario, rogamos nos lo comunique de inmediato en hola@vintora-web.com.

11. Perfilado y decisiones automatizadas

No aplicamos, por defecto, tratamientos que supongan elaboración de perfiles que produzan efectos jurídicos o le afecten de modo significativo de forma automatizada sin intervención humana. Las funciones del producto se basan en datos que la organización introduce y en reglas operativas explícitas en la aplicación (inventario, alertas, informes), no en sistemas opacos de puntuación de personas físicas.

12. Tratamiento en calidad de encargado (artículo 28 RGPD)

Cuando la organización cliente introduce datos de pacientes, personal o terceros en Vintora, el titular del servicio trata esos datos únicamente por cuenta del responsable, según sus instrucciones documentadas (incluida la configuración razonable de la aplicación y las operaciones necesarias para alojar, procesar copias de seguridad y mantener la seguridad del servicio), y no los utiliza para fines propios incompatibles con el encargo.

En particular:

• Pondrá a disposición del responsable la documentación que acredite el cumplimiento de las obligaciones del encargado y permitirá auditorías acordadas con la organización cliente cuando resulte procedente y proporcionado.
• Tratará los datos personales únicamente con personal sujeto a obligación de confidencialidad o deber legal equivalente.
• Asistirá al responsable en la respuesta a solicitudes para el ejercicio de derechos, en la evaluación de impacto relativo a la protección de datos cuando corresponda y en las consultas previas a la autoridad de control, en la medida en que ello sea posible teniendo en cuenta la naturaleza del tratamiento y la información disponible.
• A la finalización del encargo, suprimirá o devolverá los datos personales conforme a lo acordado y a las funcionalidades disponibles en el producto, salvo obligación legal de conservación.

La relación de encargo puede formalizarse mediante contrato o cláusulas contractuales tipo. Las organizaciones pueden solicitar el correspondiente acuerdo en hola@vintora-web.com. La relación detallada de subencargados, finalidades y ubicación orientativa figura en la página Información para responsables del tratamiento (clínicas y organizaciones).

13. Datos de salud y categorías especiales (artículo 9 RGPD)

Si la clínica registra información vinculada a la asistencia sanitaria o a personas físicas en contexto sanitario, es probable que se trate de datos relativos a la salud u otras categorías especiales a las que el RGPD aplica requisitos reforzados. En ese supuesto, la organización cliente actúa como responsable y debe asegurarse de contar con una base jurídica adecuada (por ejemplo, el cumplimiento de obligaciones en materia de derecho laboral o de seguridad social, el interés vital, el tratamiento con fines de medicina preventiva, diagnóstico, asistencia sanitaria o gestión de sistemas y servicios sanitarios cuando proceda, o el consentimiento explícito cuando sea el fundamento aplicable), así como de cumplir la normativa sectorial española, entre otras la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica, y normativa autonómica o estatal conexa.

El titular de Vintora, en calidad de encargado, aplicará las instrucciones del responsable y las medidas de seguridad descritas, sin sustituir el asesoramiento clínico, deontológico o jurídico de la clínica.

14. Violaciones de la seguridad de los datos personales

Sin perjuicio de las obligaciones del responsable del tratamiento frente a las personas afectadas y la autoridad de control, si el titular del servicio tiene constancia de una violación de la seguridad de los datos que trata en calidad de encargado, notificará dicha violación al responsable sin dilación indebida, facilitando la información razonablemente disponible para permitir al responsable cumplir sus propias obligaciones de notificación y documentación.

Para los tratamientos en los que actúa como responsable (cuenta, facturación, seguridad de la plataforma), el titular notificará una brecha de seguridad de los datos personales a la autoridad de control competente en un plazo máximo de 72 horas desde que tenga constancia de ella (art. 33 RGPD), salvo que sea improbable que la violación constituya un riesgo para los derechos y libertades de las personas físicas. Cuando la brecha entrañe un alto riesgo, se comunicará también a los interesados sin dilación indebida (art. 34 RGPD), salvo excepciones legales (datos cifrados de forma robusta, medidas posteriores que eviten el riesgo, esfuerzo desproporcionado con comunicación pública alternativa).

Las comunicaciones sobre incidentes de seguridad pueden dirigirse prioritariamente a hola@vintora-web.com y, para consultas de privacidad, también a hola@vintora-web.com.

15. Actualización de esta política

Podremos modificar esta política cuando cambien el servicio, la normativa o la jurisprudencia. La versión vigente será la publicada en esta URL con la fecha de «Última actualización» indicada al inicio. Si los cambios fueran sustanciales y afectaran al tratamiento basado en consentimiento, le informaremos por medios adecuados cuando la ley lo exija.