Cumplimiento RGPD · Clínicas Llenas

✅ Clínicas Llenas actúa como Encargado del Tratamiento de los datos de pacientes de las clínicas clientes, y como Responsable del Tratamiento de los datos de sus propios clientes (directores y personal de clínicas).

1. Marco Normativo Aplicable

Dado que Clínicas Llenas presta servicios a clínicas ubicadas en la Unión Europea, le aplica el Reglamento (UE) 2016/679 (RGPD) en virtud del principio de aplicación territorial del artículo 3.2 RGPD. Adicionalmente:

Ley Orgánica 3/2018 (LOPDGDD) — para tratamientos que afectan a personas en España
Directiva 2002/58/CE (ePrivacy) — para comunicaciones electrónicas
Ley 34/2002 (LSSI-CE) — para servicios de la sociedad de la información en España

2. Roles de Tratamiento

2.1 Clínicas Llenas como Responsable

Somos responsables del tratamiento de datos de:

Visitantes del sitio web (datos de navegación, formulario de contacto)
Contactos comerciales y clientes (responsables/personal de clínicas)

2.2 Clínicas Llenas como Encargado

Cuando las clínicas nos facilitan acceso a datos de sus pacientes para automatizar comunicaciones, actuamos como encargados del tratamiento conforme al Art. 28 RGPD. En este rol:

Tratamos los datos únicamente según instrucciones documentadas de la clínica
No cedemos ni usamos los datos para fines propios
Aplicamos medidas de seguridad técnicas y organizativas adecuadas
Asistimos a la clínica en el cumplimiento de sus obligaciones RGPD
Eliminamos o devolvemos los datos al finalizar el contrato

⚠️ Los datos de pacientes son datos de salud (categoría especial, Art. 9 RGPD). Se requiere base jurídica reforzada y medidas de seguridad adicionales.

3. Contrato de Encargado de Tratamiento (DPA)

Suscribimos un Data Processing Agreement (DPA) con cada clínica cliente, que cubre:

Descripción del tratamiento (objeto, duración, naturaleza, finalidad)
Tipo de datos personales y categorías de interesados
Obligaciones y derechos del responsable
Subencargados autorizados
Transferencias internacionales y garantías aplicables
Procedimiento de notificación de brechas de seguridad

Solicita una copia de nuestro DPA estándar en: hola@clinicasllenas.com

4. Transferencias Internacionales

Clínicas Llenas es una empresa estadounidense. Las transferencias de datos desde la UE a EE.UU. se realizan bajo las siguientes garantías:

Cláusulas Contractuales Estándar (SCC) aprobadas por la Comisión Europea — aplicadas con todos nuestros sub-encargados
Evaluaciones de impacto de transferencia (TIA) realizadas para cada proveedor

Sub-encargados principales: Vercel Inc. (infraestructura), Resend Inc. (email), Google LLC (analytics).

5. Medidas de Seguridad

Cifrado TLS 1.3 en todas las comunicaciones
Cifrado en reposo de bases de datos
Acceso a datos restringido por roles y principio de mínimo privilegio
Autenticación de doble factor (2FA) para accesos internos
Registros de auditoría (logs)
Plan de respuesta ante incidentes de seguridad
Revisiones de seguridad periódicas

6. Notificación de Brechas

En caso de brecha de seguridad que afecte a datos personales, notificaremos a la clínica responsable en un plazo máximo de 72 horas desde que tengamos conocimiento, conforme al Art. 33 RGPD, para que pueda cumplir con sus obligaciones de notificación a la autoridad supervisora.

7. Delegado de Protección de Datos (DPO)

Clínicas Llenas no tiene la obligación legal de designar un Delegado de Protección de Datos (DPO) según el Art. 37 RGPD, dado que no realiza tratamiento a gran escala de categorías especiales de datos. Para cualquier consulta sobre protección de datos, puedes contactar en: hola@clinicasllenas.com

8. Derechos de los Interesados

Para ejercer derechos RGPD (acceso, rectificación, supresión, portabilidad, oposición): hola@clinicasllenas.com

Responderemos en un máximo de 30 días. En caso de reclamación, puedes acudir a la AEPD.