Política de Privacidad — PulsoClinic
Versión: 1.0 Fecha de última actualización: 26 de mayo de 2026 Estado del servicio: Pre-comercial (MVP). Esta política regirá desde la primera puesta a disposición a clínicas piloto.
Aviso importante. PulsoClinic se encuentra actualmente en fase pre-comercial. La sociedad titular del servicio, PulsoClinic SL, está en proceso de constitución. Mientras tanto, los datos de contacto del responsable aparecen como provisionales y el servicio no procesa datos reales de pacientes en producción salvo en el contexto de pilotos cerrados con clínicas que hayan firmado el correspondiente Contrato de Encargado de Tratamiento (Anexo "DPA").
1. Identificación del Responsable del tratamiento
A efectos de esta política, el Responsable del tratamiento de los datos de los usuarios profesionales (médicos, personal de recepción, administradores de clínica) que utilizan la plataforma PulsoClinic es:
- Denominación social: PulsoClinic SL (en constitución)
- NIF: [pendiente de asignación tras constitución]
- Domicilio social: C/ Padilla 327, 08025 Barcelona, España
- Correo de contacto: largavida.es@gmail.com
- Dominio web: https://pulsoclinic.com
Importante. Cuando un profesional sanitario sube a PulsoClinic una analítica de un paciente, PulsoClinic actúa como Encargado del tratamiento respecto a esos datos clínicos, siendo la clínica usuaria la Responsable. Las condiciones de ese tratamiento se rigen por el Contrato de Encargado de Tratamiento (DPA) y no por esta política.
2. Delegado de Protección de Datos (DPO)
Mientras PulsoClinic se encuentra en fase pre-comercial, la función de punto de contacto en materia de protección de datos es asumida internamente por la dirección de PulsoClinic SL. Antes del inicio de la fase comercial con clientes externos, PulsoClinic designará un DPO formal externo conforme al art. 37 RGPD y al art. 34 LOPDGDD, dado que el tratamiento incluye datos de salud (categoría especial, art. 9 RGPD) a escala potencialmente significativa.
Contacto provisional para cualquier cuestión relativa a protección de datos:
largavida.es@gmail.com — asunto: "Protección de datos"
3. Qué datos tratamos y con qué finalidad
Esta política cubre únicamente los datos de los usuarios profesionales que se registran y operan la plataforma. Para los datos de pacientes, ver el DPA.
| Categoría de datos | Finalidad | Base jurídica (art. 6 RGPD) | Plazo de conservación |
|---|---|---|---|
| Email, nombre, rol (médico, recepción, admin), clínica de pertenencia, contraseña cifrada (bcrypt) | Alta y autenticación en la plataforma | Ejecución del contrato (art. 6.1.b) | Mientras dure la relación + 5 años (obligaciones contables/legales) |
| Logs de acceso (timestamps, IP, agente de usuario, endpoint llamado) | Seguridad, trazabilidad, detección de incidentes, auditoría | Interés legítimo (art. 6.1.f) y obligación legal (art. 32 RGPD) | 12 meses |
| Registro inmutable de acciones sobre datos de pacientes (audit log append-only) | Cumplimiento art. 30 RGPD, trazabilidad ante autoridades sanitarias | Obligación legal | Mientras dure el contrato con la clínica + plazo legal aplicable a la documentación clínica (mín. 5 años, Ley 41/2002) |
| Correo y mensajes que nos envíes (soporte) | Atención de incidencias y consultas | Interés legítimo (art. 6.1.f) | 24 meses desde la resolución |
No usamos los datos para perfilado, publicidad, ni venta a terceros.
4. Categorías especiales (datos de salud)
PulsoClinic procesa datos de salud (analíticas de pacientes) única y exclusivamente por cuenta de la clínica cliente, que actúa como Responsable. La base jurídica que habilita ese tratamiento corresponde a la clínica (típicamente art. 9.2.h RGPD — fines de medicina preventiva, diagnóstico, prestación de asistencia sanitaria) y debe acreditarse mediante el correspondiente DPA firmado.
Antes de enviar el texto de la analítica al motor de inteligencia artificial que extrae los biomarcadores (Anthropic — ver subencargados), PulsoClinic aplica un proceso automatizado de redacción de identificadores directos (nombre, apellidos, DNI/NIE, email, teléfono, fecha de nacimiento, número de historia clínica). El motor de IA no recibe, por tanto, datos directamente identificativos del paciente.
Los detalles técnicos y la Evaluación de Impacto de la Transferencia (TIA Schrems II) se encuentran en tia-anthropic.md.
5. Destinatarios y subencargados
Para prestar el servicio, PulsoClinic recurre a los siguientes subencargados, todos vinculados por contratos con cláusulas equivalentes a las que constan en el DPA:
| Subencargado | Servicio prestado | Ubicación de los datos | Garantías de transferencia internacional |
|---|---|---|---|
| Amazon Web Services EMEA SARL | Infraestructura de cómputo y almacenamiento (EC2, EBS) | Frankfurt, Alemania (eu-central-1) |
No hay transferencia internacional — datos en UE |
| Anthropic, PBC | Extracción de biomarcadores a partir de texto previamente redactado | Estados Unidos | Cláusulas Contractuales Tipo (Decisión 2021/914) + TIA documentada |
| Netlify, Inc. | Alojamiento de la web estática (frontend) — no procesa datos clínicos | Estados Unidos / CDN global | Cláusulas Contractuales Tipo |
Lista completa y actualizada: subprocessors.md.
No cedemos datos a terceros con fines distintos a la prestación del servicio. Cualquier requerimiento de autoridad pública será evaluado conforme al RGPD y comunicado al Responsable cuando legalmente sea posible.
6. Transferencias internacionales
Las únicas transferencias de datos fuera del Espacio Económico Europeo son las identificadas en el apartado anterior (Anthropic y Netlify). Ambas se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914) y están sujetas a la Evaluación de Impacto de la Transferencia documentada en tia-anthropic.md, conforme a la jurisprudencia Schrems II (C-311/18).
Puedes solicitar copia de las salvaguardias aplicadas escribiendo a largavida.es@gmail.com.
7. Tus derechos
Como interesado, puedes ejercer en cualquier momento los derechos reconocidos por los arts. 15 a 22 RGPD: acceso, rectificación, supresión, limitación, oposición, portabilidad y, en su caso, a no ser objeto de decisiones automatizadas.
- Cómo ejercerlos: envía un correo a
largavida.es@gmail.comcon el asunto "Ejercicio derechos RGPD" y acredita tu identidad (copia DNI/NIE o equivalente, con datos no necesarios tachados). - Plazo de respuesta: 1 mes desde la recepción (prorrogable 2 meses adicionales en casos complejos).
- Reclamación ante la autoridad de control: si consideras que el tratamiento no se ajusta a la normativa, puedes reclamar ante la Agencia Española de Protección de Datos (https://www.aepd.es).
Nota sobre datos de pacientes: si eres un paciente cuyos datos han sido procesados por una clínica que usa PulsoClinic, tu Responsable del tratamiento es la clínica, no PulsoClinic. Dirígete a la clínica para ejercer tus derechos; nosotros estaremos disponibles para asistirla técnicamente conforme al DPA.
8. Seguridad
Aplicamos medidas técnicas y organizativas conforme al art. 32 RGPD, entre ellas:
- Cifrado en tránsito (TLS 1.2+) en todas las comunicaciones con la plataforma
- Cifrado en reposo del almacenamiento subyacente (EBS de AWS)
- Autenticación basada en tokens JWT con expiración corta y contraseñas hasheadas con bcrypt
- Control de acceso basado en roles (RBAC: médico, recepción, admin de clínica)
- Aislamiento multi-tenant por clínica (cada registro lleva
clinic_idy se filtra en toda consulta) - Audit log inmutable (append-only) de toda acción sobre datos clínicos
- Redacción automática de identificadores directos antes de cualquier transferencia a motores de IA
- Despliegue en infraestructura UE (AWS Frankfurt)
- Procedimiento documentado de notificación de brechas en menos de 72h (
breach-procedure.md)
9. Cambios en esta política
Publicaremos cualquier modificación sustancial en esta misma URL con un mínimo de 30 días de antelación y notificación por correo a los usuarios registrados.
10. Legislación aplicable
- Reglamento (UE) 2016/679 — RGPD
- Ley Orgánica 3/2018 — LOPDGDD
- Ley 41/2002 — Autonomía del paciente y documentación clínica
- Ley 34/2002 — LSSI-CE
- Ley 14/1986 — General de Sanidad
Cualquier consulta sobre esta política: largavida.es@gmail.com