Política de Privacidad y Protección de Datos
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), conocido por sus siglas RGPD, es el principal instrumento legislativo de la Unión Europea en materia de protección de datos personales. Aplicable directamente en todos los Estados miembros desde el 25 de mayo de 2018, el RGPD establece normas armonizadas para el tratamiento de datos personales por personas físicas y jurídicas, tanto en el medio digital como fuera de él.
En España, el RGPD se complementa con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el ordenamiento jurídico español al reglamento europeo e introduce disposiciones específicas, tales como los derechos digitales (Título X), la edad de consentimiento de menores (fijada en 14 años) y normas sobre el tratamiento de datos en el ámbito laboral.
La protección de datos personales es un derecho fundamental reconocido en el artículo 18.4 de la Constitución Española y en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea. En el contexto sanitario, el RGPD y la LOPDGDD revisten particular importancia, ya que los datos relativos a la salud — como el historial clínico, los resultados de pruebas y la información sobre tratamientos — se clasifican comocategorías especiales de datos personales, con un nivel reforzado de protección.
¿Quién supervisa el cumplimiento del RGPD en España?
La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente encargada de velar por el cumplimiento de la legislación sobre protección de datos en España. Creada en 1993, la AEPD es un ente de derecho público con personalidad jurídica propia y plena capacidad de obrar, que actúa con independencia de las Administraciones Públicas.
Las competencias de la AEPD incluyen la supervisión de la aplicación del RGPD y la LOPDGDD, la instrucción de procedimientos sancionadores, la emisión de circulares y directrices, la atención de reclamaciones de los ciudadanos y la promoción de la sensibilización en materia de protección de datos.
Adicionalmente, en determinadas Comunidades Autónomas existen autoridades autonómicas de protección de datos que ejercen competencias en su ámbito territorial, como la Autoridad Catalana de Protección de Datos (APDCAT) y el Consejo de Transparencia y Protección de Datos de Andalucía.
A nivel europeo, la AEPD forma parte del Comité Europeo de Protección de Datos (CEPD), que garantiza la aplicación coherente del RGPD en toda la Unión Europea.
¿Cuáles son los principios que rigen el tratamiento de datos?
El artículo 5 del RGPD consagra los principios fundamentales que deben observarse en toda operación de tratamiento de datos personales:
Licitud, lealtad y transparencia: los datos deben tratarse de manera lícita, leal y transparente en relación con el interesado.
Limitación de la finalidad: los datos deben recogerse con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
Minimización de datos: los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
Exactitud: los datos deben ser exactos y, cuando sea necesario, actualizados, adoptándose todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos inexactos.
Limitación del plazo de conservación: los datos deben conservarse de forma que permitan la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
Integridad y confidencialidad: los datos deben tratarse de manera que se garantice su seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
Responsabilidad proactiva (accountability): el responsable del tratamiento es responsable del cumplimiento de estos principios y debe ser capaz de demostrarlo.
En SERENITAS, estos principios orientan el diseño de las funcionalidades de la Plataforma y la forma en que los datos de pacientes y profesionales sanitarios son almacenados y accedidos. Adoptamos el concepto de privacidad desde el diseño (privacy by design), integrando la protección de datos desde la fase de concepción de cada funcionalidad.
¿Qué son las categorías especiales de datos personales en el ámbito sanitario?
El RGPD define las categorías especiales de datos personales en su artículo 9 como aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física.
Los "datos relativos a la salud" se definen en el artículo 4, apartado 15, como datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud. En la práctica, esto abarca prácticamente toda la información generada en el contexto de una consulta médica, un análisis de laboratorio, una prescripción farmacéutica o un tratamiento de cualquier naturaleza.
El tratamiento de categorías especiales de datos está, como regla general, prohibido (artículo 9, apartado 1), salvo en las situaciones previstas en el apartado 2 del mismo artículo. En el contexto sanitario, las excepciones más relevantes son:
Consentimiento explícito del interesado para una o varias finalidades específicas (letra a)).
Tratamiento necesario para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia sanitaria, tratamiento médico o gestión de sistemas y servicios sanitarios (letra h)), cuando sea realizado por un profesional sujeto a la obligación de secreto profesional.
Tratamiento necesario por razones de interés público en el ámbito de la salud pública (letra i)).
La LOPDGDD (artículo 9) añade disposiciones específicas sobre el tratamiento de datos sanitarios, exigiendo que este se lleve a cabo de conformidad con lo previsto en la legislación sectorial sanitaria, incluida la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
SERENITAS no almacena historiales clínicos, informes médicos, diagnósticos ni ningún otro dato clínico. No obstante, la circunstancia de que un usuario busque o concierte una cita con un profesional de una determinada especialidad puede sugerir indirectamente un interés de salud. Tratamos estos datos de agenda con un nivel reforzado de protección.
¿Cuáles son los derechos del interesado?
El RGPD y la LOPDGDD consagran un conjunto amplio de derechos que toda persona física puede ejercer en relación con sus datos personales:
Derecho | Artículo RGPD | Descripción |
|---|---|---|
Derecho de acceso | Art. 15 | Obtener confirmación de si los datos están siendo tratados y acceder a una copia de los mismos, junto con información complementaria. |
Derecho de rectificación | Art. 16 | Solicitar la corrección de datos inexactos o la complementación de datos incompletos. |
Derecho de supresión ("derecho al olvido") | Art. 17 | Solicitar la supresión de los datos cuando ya no sean necesarios, se retire el consentimiento o el tratamiento sea ilícito. |
Derecho a la limitación del tratamiento | Art. 18 | Solicitar la limitación del tratamiento en determinadas circunstancias, como la impugnación de la exactitud de los datos. |
Derecho a la portabilidad | Art. 20 | Recibir los datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable. |
Derecho de oposición | Art. 21 | Oponerse al tratamiento de los datos basado en intereses legítimos, incluida la elaboración de perfiles. |
Derecho a no ser objeto de decisiones automatizadas | Art. 22 | No ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o afecte significativamente al interesado. |
Derecho a retirar el consentimiento | Art. 7.3 | Retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo. |
Adicionalmente, la LOPDGDD reconoce en su Título X un catálogo de derechos digitales, incluyendo el derecho a la neutralidad de internet, el derecho al olvido en búsquedas de internet y redes sociales, y el derecho a la educación digital.
En la Plataforma SERENITAS, estos derechos pueden ejercerse en cualquier momento a través de la sección "Mi Cuenta" o contactándonos directamente por correo electrónico.
¿Cuáles son las sanciones por incumplimiento?
El RGPD prevé multas administrativas que pueden ser impuestas por las autoridades de control nacionales, incluida la AEPD. Las multas están previstas en el artículo 83 del reglamento y se dividen en dos niveles:
Multas de hasta 10.000.000 EUR o, tratándose de una empresa, el 2% del volumen de negocio total anual global — aplicables a infracciones relativas, entre otras, a las obligaciones del responsable y del encargado del tratamiento, del organismo de certificación y del organismo de supervisión.
Multas de hasta 20.000.000 EUR o, tratándose de una empresa, el 4% del volumen de negocio total anual global — aplicables a infracciones de los principios básicos del tratamiento, de los derechos de los interesados, de las disposiciones sobre transferencias internacionales y de las resoluciones de la autoridad de control.
La LOPDGDD clasifica las infracciones en leves, graves y muy graves (artículos 73 a 75) y establece criterios para la graduación de las sanciones. La AEPD es una de las autoridades de control más activas de la Unión Europea, habiendo impuesto multas significativas desde la entrada en vigor del RGPD.
Además de las multas, la AEPD puede adoptar medidas correctivas como apercibimientos, órdenes de conformidad, limitación o prohibición del tratamiento y suspensión de flujos de datos.
Los interesados tienen igualmente derecho a indemnización por los daños y perjuicios materiales o inmateriales sufridos como consecuencia de una infracción del RGPD (artículo 82).
¿Cómo trata SERENITAS sus datos?
SERENITAS actúa como responsable del tratamiento de los datos personales recogidos directamente de los pacientes y profesionales sanitarios que utilizan la Plataforma. Todos los datos son tratados con base en las bases jurídicas previstas en el RGPD, incluyendo la ejecución de contrato, el cumplimiento de obligaciones jurídicas, el consentimiento y el interés legítimo.
Los datos recogidos por la Plataforma pueden incluir datos de registro (nombre, correo electrónico, teléfono), datos de navegación y uso de la Plataforma, localización geográfica para la búsqueda de profesionales sanitarios y, cuando proceda, información de agenda. SERENITAS no recoge ni almacena historiales clínicos, informes médicos, diagnósticos ni ninguna otra información clínica.
Los pagos son procesados por Stripe, Inc. SERENITAS no almacena números de tarjeta de crédito, datos bancarios ni datos completos de medios de pago. Solo conservamos identificadores de transacción, importes, fechas y estado del pago para fines contables.
SERENITAS adopta medidas técnicas y organizativas de seguridad de la información, incluyendo el cifrado de datos en tránsito y en reposo, el control de acceso basado en funciones, el registro de auditoría de operaciones sensibles y la evaluación periódica de riesgos para la privacidad. La Plataforma utiliza únicamente cookies estrictamente necesarias para el funcionamiento técnico del servicio.
¿Cómo ejercer sus derechos en SERENITAS?
Cualquier interesado puede ejercer los derechos previstos en el RGPD y en la LOPDGDD de forma sencilla y gratuita. En la Plataforma SERENITAS, los canales disponibles son:
Sección "Mi Cuenta": acceda a los ajustes de privacidad para consultar, corregir o solicitar la supresión de sus datos personales.
Correo electrónico: para solicitudes que no puedan atenderse directamente a través de la Plataforma, contáctenos en [CONTACT_EMAIL].
AEPD: si su solicitud no es atendida satisfactoriamente, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (<<<<www.aepd.es>>>>).
Plataforma ODR: para la resolución alternativa de litigios de consumo transfronterizos, puede acudir a la plataforma europea de resolución de litigios en línea, disponible en<<<<https://ec.europa.eu/consumers/odr>>>>.
De conformidad con el artículo 12, apartado 3, del RGPD, el responsable del tratamiento facilitará la información sobre las medidas adoptadas en atención a una solicitud sin dilación indebida y, en todo caso, en el plazo de un mes desde la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.
Solicitud de supresión de datos y derecho al olvido
Al solicitar la supresión de sus datos personales en SERENITAS, iniciaremos el proceso de eliminación en el plazo previsto por el RGPD. No obstante, es importante destacar queno todos los datos pueden eliminarse de forma inmediata e íntegra.
Los datos vinculados a transacciones financieras — como registros de pagos, facturas y recibos — están sujetos a obligaciones legales de conservación previstas en la legislación fiscal y mercantil española. Estos registros deben conservarse por un periodo mínimo deseis años desde la fecha de la transacción, conforme establece el artículo 30 del Código de Comercio y la Ley General Tributaria.
Durante este periodo de retención obligatoria, SERENITAS procederá a laanonimización de los datos conservados. En la práctica, esto significa que la información financiera seguirá almacenada para fines de cumplimiento legal, pero se desvinculará de cualquier elemento que permita identificar, directa o indirectamente, al interesado. Su nombre, correo electrónico, teléfono y cualesquiera otros identificadores personales serán eliminados o sustituidos por códigos irreversibles.
Finalizado el plazo legal de conservación, los registros anonimizados serán definitivamente eliminados de nuestros sistemas. Será notificado por correo electrónico cuando su solicitud de supresión haya sido procesada, con información clara sobre qué datos han sido eliminados y cuáles han sido anonimizados para cumplimiento de obligación legal.
Derechos digitales en España
La LOPDGDD reconoce en su Título X un conjunto de derechos digitales que complementan la protección de datos personales en el entorno digital. Entre los más relevantes para los usuarios de la Plataforma se encuentran:
Derecho a la neutralidad de Internet (Art. 80): los proveedores de servicios de Internet deben proporcionar una oferta transparente y no discriminatoria.
Derecho a la seguridad digital (Art. 82): los usuarios tienen derecho a la seguridad de las comunicaciones y a ser informados sobre incidentes de seguridad.
Derecho al olvido en búsquedas de Internet (Art. 93): derecho a solicitar la eliminación de resultados de búsqueda que contengan información personal inadecuada, inexacta, no pertinente o excesiva.
Derecho al olvido en servicios de redes sociales (Art. 94): derecho a solicitar la supresión de datos personales facilitados a redes sociales y servicios de la sociedad de la información equivalentes.
Derecho a la portabilidad en servicios de redes sociales (Art. 95): derecho a recibir y transmitir los contenidos facilitados durante la vigencia de la relación con el servicio.
Referencias
Parlamento Europeo y Consejo de la Unión Europea. Reglamento (UE) 2016/679 — Reglamento General de Protección de Datos (RGPD). Diario Oficial de la Unión Europea, 2016.
Jefatura del Estado. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). BOE, 2018.
Constitución Española, artículo 18.4 — Limitación del uso de la informática para garantizar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos.
Agencia Española de Protección de Datos (AEPD). Portal institucional. Disponible en:<<<<www.aepd.es>>>>.
Jefatura del Estado. Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE). BOE, 2002.
Jefatura del Estado. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. BOE, 2002.