Última actualización: 3/5/2026
Versión: v1
1. Quiénes somos — responsable del tratamiento
Esta política regula el tratamiento de tus datos personales cuando utilizas este sitio web, contratas servicios profesionales, te descargas materiales gratuitos o eres atendido/a como paciente. El responsable del tratamiento es:
2. Marco legal aplicable
Este tratamiento se rige de manera dual para ofrecer la máxima protección:
- Ley andorrana 29/2021, de 28 de octubre, cualificada de protección de datos personales (LQPD), como normativa principal del responsable, dado que la consulta profesional opera desde Andorra.
- Reglamento (UE) 2016/679 (RGPD) y Ley Orgánica 3/2018 (LOPDGDD), aplicables por extraterritorialidad (art. 3.2 RGPD) cuando el servicio se presta a personas residentes en la Unión Europea o España.
- Ley 34/2002 LSSICE española para servicios de la sociedad de la información dirigidos a usuarios establecidos en España.
3. Qué datos tratamos y para qué
Tratamos categorías diferentes según tu relación con la consulta. Algunas categorías son datos de salud (categoría especial — art. 9 RGPD y art. 9 LQPD), que requieren consentimiento explícito o ejecución del contrato de prestación sanitaria.
| Categoría de datos | Finalidad | Base legal | Plazo |
|---|---|---|---|
| Identificativas (nombre, apellidos, email, teléfono) | Identificación, contacto, gestión de la relación | Ejecución del contrato / consentimiento | Duración de la relación + 6 años (facturación) |
| Datos de salud (síntomas, diagnósticos, planes de tratamiento, notas clínicas) | Prestación del servicio sanitario/nutricional | Consentimiento explícito + ejecución del contrato (art. 9.2.a y 9.2.h RGPD) | 6 años (Ley 41/2002, historia clínica) |
| Datos de pago | Cobro de servicios | Ejecución del contrato + obligación legal (fiscal) | 6 años (obligaciones tributarias) |
| Email para newsletter / lead magnets | Enviar contenidos educativos y promocionales | Consentimiento expreso revocable en cualquier momento | 3 años o hasta la baja |
| Datos de navegación (logs, IP-hash, cookies esenciales) | Seguridad, prevención de fraude, funcionamiento del sitio | Interés legítimo / obligación legal | 6 años (audit logs); 6 meses (logs servidor) |
No tomamos decisiones automatizadas con efectos jurídicos: ningún diagnóstico ni plan de tratamiento es elaborado por un sistema automático. Todo el juicio clínico es humano.
4. Consentimiento explícito para datos de salud
Como tratamos datos de categoría especial, te pedimos consentimiento explícito y granular en los momentos clave:
- Al contratar la primera consulta (aceptación informada del tratamiento).
- Al registrar síntomas en el portal del paciente (cada registro).
- Al descargar materiales gratuitos con tu correo (consentimiento marketing opcional).
- Al compartir documentos médicos o resultados de pruebas en consulta.
Puedes retirar tu consentimiento en cualquier momento sin que afecte a la legalidad del tratamiento previo. La retirada implica que dejaremos de tratar los datos para esa finalidad concreta, pero conservaremos los registros legalmente obligatorios (factura, historia clínica).
5. Tus derechos (ARSULIPO)
Tienes derecho a ejercer, en cualquier momento, los derechos reconocidos por el RGPD y la LQPD:
- Acceso: saber qué datos tuyos tenemos y obtener copia.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"): que eliminemos los datos cuando ya no sean necesarios y no haya obligación legal de conservación.
- Limitación del tratamiento: que suspendamos su uso mientras se resuelve una disputa.
- Portabilidad: recibir tus datos en formato estructurado y común para trasladarlos a otro proveedor.
- Oposición: oponerte a un tratamiento basado en interés legítimo o para marketing directo.
- No ser objeto de decisiones automatizadas (no aplica aquí — no las hacemos).
Puedes ejercer estos derechos:
- Desde el portal del paciente (si eres paciente activa): exporta tus datos o solicita la supresión con un clic.
- Por correo a hola@cuidandotuintestino.com adjuntando copia del DNI/pasaporte para verificar tu identidad.
Resolveremos tu solicitud en un plazo máximo de 1 mes(ampliable a 2 meses si la solicitud es compleja, te lo notificaremos). Si no estás de acuerdo con nuestra respuesta o consideras que vulneramos la normativa, puedes presentar una reclamación ante la autoridad de control:
- APDA — Agència Andorrana de Protecció de Dades: https://www.apda.ad
- Si resides en la UE/España: AEPD — Agencia Española de Protección de Datos: https://www.aepd.es
6. A quién comunicamos tus datos — sub-procesadores
Para prestar el servicio, contratamos proveedores externos que pueden tratar datos como encargados del tratamiento. Todos tienen contrato de encargo (DPA) firmado y ofrecen garantías técnicas y organizativas adecuadas:
| Proveedor | Función | País | Garantías |
|---|---|---|---|
| Stripe Payments Europe Ltd | Pagaments | Irlanda (UE) | DPA |
| Hetzner Online GmbH | Hosting (servidor) | Alemanya (UE) | DPA |
| Resend Inc. | Enviament d'emails transaccionals | Estats Units (DPF) | DPA |
| Migadu | Servei de correu | Suïssa | DPA |
Para transferencias a países fuera del Espacio Económico Europeo (EEE) que no tengan decisión de adecuación, aplicamos cláusulas contractuales tipo (SCC) o, si procede, el marco Data Privacy Framework (EE.UU.). No realizamos ninguna otra comunicación de datos a terceros salvo que una ley o autoridad judicial competente nos obligue.
7. Seguridad de los datos
Aplicamos medidas técnicas y organizativas razonables según el estado del arte:
- Cifrado en reposo de los campos PII sensibles (pgcrypto/AES-256).
- Cifrado en tránsito obligatorio (TLS 1.2+).
- Audit log no modificable de todas las acciones sobre datos de paciente.
- Control de acceso basado en roles (RBAC) y autenticación de doble factor para el backoffice (recomendado).
- Copias de seguridad cifradas con retención limitada.
- Notificación de brechas de seguridad a la autoridad de control en menos de 72 horas y a las personas afectadas cuando proceda (art. 33-34 RGPD, art. 41 LQPD).
8. Conservación y supresión
Los datos se conservan durante el periodo indicado en la tabla de la sección 3. Una vez superado ese plazo y sin que ninguna obligación legal lo impida, los datos se eliminan o se anonimizan de manera irreversible.
La historia clínica tiene el plazo más largo por imperativo legal (Ley 41/2002 española — 5 años mínimo desde la última atención — y normativa andorrana equivalente), normalmente 6 años después de tu última consulta.
10. Cambios en esta política
Podemos actualizar esta política cuando sea necesario (cambios legales, nuevos sub-procesadores, etc.). Cuando los cambios sean sustanciales te lo notificaremos por email y te pediremos consentimiento de nuevo si procede.
11. Contacto
Para cualquier duda sobre esta política o sobre el tratamiento de tus datos, escribe a hola@cuidandotuintestino.com.