Política de Privacidad
Versión 1.0 — Junio 2026
1. Responsable del tratamiento
CLINILY SOFTWARE SL · CIF B88811831
Calle Padre Urbano 14, Valencia
Contacto privacidad: privacidad@clinily.es
2. Doble rol de Clinily
Clinily actúa como responsable del tratamiento cuando gestiona datos de usuarios de la plataforma (cuenta, reservas, facturación, comunicaciones).
Actúa como encargado del tratamiento cuando trata datos de pacientes en nombre de cada clínica. En ese caso, la clínica es la responsable. Para conocer cómo trata sus datos la clínica, consulte su propia política de privacidad.
3. Datos que tratamos y con qué finalidad
3.1 Registro y cuenta
| Datos | Finalidad | Base jurídica | Plazo |
|---|---|---|---|
| Email, nombre, foto (Google) | Gestionar la cuenta | Ejecución del contrato | Hasta eliminación + 30 días |
3.2 Reservas
| Datos | Finalidad | Base jurídica | Plazo |
|---|---|---|---|
| Nombre, email, teléfono | Gestionar la reserva | Ejecución del contrato | 5 años desde la cita |
| Servicio, fecha/hora | Registro de la cita | Ejecución del contrato | 5 años desde la cita |
3.3 Comunicaciones
| Datos | Finalidad | Base jurídica |
|---|---|---|
| Confirmaciones y recordatorios | Ejecución del contrato | |
| Teléfono | Recordatorios por WhatsApp | Consentimiento |
| Comunicaciones comerciales | Consentimiento |
Los registros de envío se almacenan de forma seudonimizada (hash SHA-256), sin posibilidad de vinculación directa con su identidad.
3.4 Seguridad y auditoría
IP (hasheada irreversiblemente), User Agent y acción realizada — tratados por interés legítimo (Art. 6.1.f) durante 5 años. Clinily no puede reconstruir su dirección IP original.
3.5 Datos de salud
Los datos de salud (historial médico, alergias, notas clínicas) son tratados por la clínica como responsable del tratamiento (Art. 9.2.h RGPD). Clinily los almacena cifrados (AES-256-GCM) actuando como encargado.
4. Destinatarios de los datos
| Proveedor | País | Finalidad | Garantías |
|---|---|---|---|
| Google LLC | EE.UU. | Autenticación OAuth2 | SCCs + DPF |
| Square, Inc. | EE.UU. | Pagos online | SCCs + DPF |
| Brevo (Sendinblue SA) | Francia | Envío de emails | Adecuación UE |
| Meta Platforms Ireland | Irlanda | WhatsApp Business | Responsable conjunto |
| Google Cloud (GCP) | UE | Infraestructura cifrada | SCCs |
| MongoDB Atlas | UE | Base de datos | SCCs |
| Vercel Inc. | EE.UU. | Hosting | SCCs + DPF |
5. Sus derechos
| Derecho | Descripción |
|---|---|
| Acceso (Art. 15) | Saber qué datos tenemos sobre usted |
| Rectificación (Art. 16) | Corregir datos inexactos |
| Supresión (Art. 17) | Solicitar el borrado de sus datos |
| Limitación (Art. 18) | Restringir el tratamiento en ciertos casos |
| Portabilidad (Art. 20) | Recibir sus datos en formato estructurado |
| Oposición (Art. 21) | Oponerse al tratamiento por interés legítimo |
| Retirar consentimiento | Revocar cualquier consentimiento otorgado |
Para ejercer sus derechos, envíe un email a privacidad@clinily.es adjuntando copia de su DNI/NIE. Responderemos en el plazo máximo de 1 mes.
Si considera que el tratamiento no es conforme, puede reclamar ante la AEPD (aepd.es).
6. Seguridad
- Cifrado en tránsito (TLS 1.3)
- Cifrado en reposo (AES-256-GCM con GCP KMS)
- Seudonimización de logs y registros de comunicaciones
- Control de acceso basado en roles
- Auditoría completa de accesos a datos sensibles
- Backups cifrados en Google Cloud Storage
7. Cookies
Utilizamos únicamente cookies técnicas necesarias para el funcionamiento de la plataforma. Consulte nuestra Política de Cookies para más información.
8. Modificaciones
Esta política puede actualizarse. Le notificaremos cambios significativos con al menos 15 días de antelación.