Flavia trata datos de salud mental, que son datos especialmente protegidos por el RGPD. Leemos esta política con la misma seriedad con la que esperamos que la lean nuestros usuarios.
1. Responsable del tratamiento
Juan Manuel García Delgado (NIF: 25614726V), persona física residente en España, prestador del servicio «Flavia» en fase de validación (en adelante, «Flavia»), es el responsable del tratamiento de los datos personales facilitados por los profesionales que acceden a la plataforma.
Contacto en materia de privacidad: [email de contacto pendiente]
Domicilio postal a efectos de notificaciones: facilitado por escrito a solicitud razonada en la dirección anterior.
2. Qué datos recogemos y de quién
2.1 Psicólogos (usuarios de la plataforma)
- Nombre completo, dirección de correo electrónico y teléfono.
- Número de colegiado y especialidad (opcionales, para el perfil).
- Contraseña (almacenada con hash bcrypt, nunca en texto plano).
- Datos de uso: accesos, configuración de ajustes, logs de actividad.
2.2 Pacientes (gestionados por el psicólogo)
El psicólogo introduce y gestiona los datos de sus pacientes. Flavia actúa como encargado del tratamiento (Art. 28 RGPD) respecto a estos datos. Incluyen:
- Nombre, fecha de nacimiento, género y teléfono.
- Diagnóstico clínico y notas de sesión.
- Datos fisiológicos del wearable: HRV, frecuencia cardíaca en reposo, sueño, actividad.
- Respuestas al diario de hábitos enviado por WhatsApp: estado de ánimo (1–10), estrés, ejercicio, alcohol, notas libres.
- Resultados de escalas clínicas: PHQ-2, GAD-2, PSS.
- Preguntas personalizadas definidas por el psicólogo.
Estos datos son datos de salud según el Art. 9 RGPD (categoría especial). Su tratamiento requiere base legal reforzada — en este caso, la prestación de asistencia sanitaria por parte del psicólogo (Art. 9.2.h RGPD) y el consentimiento explícito del paciente que debe recabar el psicólogo antes de incorporarlo a la plataforma.
3. Finalidades y base legal
| Finalidad | Base legal | Plazo |
|---|
| Prestación del servicio de plataforma al psicólogo | Ejecución del contrato (Art. 6.1.b) | 5 años tras baja |
| Gestión del historial clínico del paciente | Interés legítimo sanitario / consentimiento (Art. 9.2.h) | 5 años mínimo (LSSSI) |
| Envío del diario por WhatsApp al paciente | Consentimiento del paciente gestionado por el psicólogo | Hasta revocación |
| Mejora del servicio y análisis técnico | Interés legítimo (Art. 6.1.f) | 2 años anonimizados |
| Cumplimiento de obligaciones legales | Obligación legal (Art. 6.1.c) | Según normativa aplicable |
4. Encargados del tratamiento (subprocesadores)
Flavia utiliza los siguientes proveedores que acceden a datos en nuestro nombre:
- Railway Corp. — Infraestructura cloud (hosting y base de datos). Datos alojados en región europe-west (Irlanda). Política Railway
- Twilio Inc. — Envío y recepción de mensajes WhatsApp para el seguimiento del paciente. Datos de conversación pasan por sus servidores. Política Twilio
- Meta Platforms (WhatsApp Business API) — Canal de mensajería. Los mensajes están cifrados en tránsito.
- Anthropic PBC — Procesamiento del asistente de inteligencia artificial «Panorama» que ayuda al profesional a interpretar los datos de seguimiento, cuando éste lo invoca expresamente. Flavia ha solicitado a Anthropic la activación de Zero Data Retention; hasta su confirmación, las consultas pueden conservarse hasta 30 días por motivos de seguridad conforme a las políticas estándar de Anthropic. Política Anthropic
No vendemos ni cedemos datos a terceros con fines comerciales. Los subencargados anteriores tienen firmado el correspondiente acuerdo de tratamiento de datos (DPA), o lo tienen incorporado por referencia en sus condiciones de servicio aceptadas por Flavia.
5. Transferencias internacionales
Los datos de la aplicación y la base de datos se alojan dentro del Espacio Económico Europeo (Railway, región europe-west).
Twilio Inc. (EE. UU.) procesa el envío de mensajes WhatsApp. La transferencia se ampara en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914), Módulo 2 (responsable a encargado).
Anthropic PBC (EE. UU.) procesa exclusivamente las consultas dirigidas al asistente «Panorama» cuando el profesional lo invoca. La transferencia se ampara en las Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914), Módulo 2 (responsable a encargado), incorporadas por referencia en los términos comerciales de Anthropic.
No se realizan otras transferencias fuera del Espacio Económico Europeo.
6. Conservación de datos
- Cuenta del profesional y sus ajustes: durante la vigencia del uso + 5 años desde la baja, salvo solicitud previa de supresión.
- Datos de pacientes: mínimo 5 años desde la última actividad (obligación legal sanitaria, Ley 41/2002). El profesional puede eliminarlos antes desde el panel.
- Logs técnicos: 90 días.
- Copias de seguridad: 7 días una vez activadas (en programación durante la fase beta).
7. Derechos de los interesados
Tanto los psicólogos como los pacientes (a través de su psicólogo) pueden ejercer:
- Acceso: obtener confirmación de si tratamos sus datos y una copia.
- Rectificación: corregir datos inexactos.
- Supresión («derecho al olvido»): solicitar la eliminación cuando los datos ya no sean necesarios.
- Limitación: solicitar que suspendamos el tratamiento mientras se resuelve una reclamación.
- Portabilidad: recibir los datos en formato estructurado (JSON/CSV).
- Oposición: oponerse al tratamiento basado en interés legítimo.
Para ejercer estos derechos: [email de contacto pendiente]. Respondemos en un máximo de 30 días.
También puede presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): aepd.es.
8. Seguridad
- Contraseñas hasheadas con bcrypt (factor de coste 10).
- Comunicaciones cifradas con TLS 1.2+.
- Base de datos no expuesta a internet público.
- Acceso por roles: cada psicólogo solo accede a sus propios pacientes.
- Sesiones autenticadas con JWT firmado (NextAuth para profesionales, jose para sesiones de paciente en la PWA).
9. Menores de edad
Flavia puede ser utilizada para tratar a menores. En ese caso, el psicólogo es responsable de contar con el consentimiento del tutor legal antes de incorporar al menor a la plataforma y de gestionar sus datos conforme a la normativa aplicable.
10. Cambios en esta política
Notificaremos cambios relevantes por correo electrónico con al menos 15 días de antelación. El uso continuado del servicio tras esa fecha implica aceptación.