Política de Privacidad

Última actualización: 08/10/2025

Esta Política de Privacidad describe cómo FisioFlow (el “Servicio”) trata los datos personales de clínicas, profesionales sanitarios y pacientes conforme al Reglamento (UE) 2016/679 (RGPD) y la normativa española aplicable.

1. Responsable del Tratamiento

Responsable: FisioFlow (denominación comercial). Contacto general: hola@physioflow.es.

2. Categorías de Datos

  • Datos de cuenta (usuarios internos): nombre, email, rol, organización.
  • Metadatos operativos: configuración de servicios, agenda, asignaciones.
  • Pacientes (cuando la clínica los registra): nombre, contacto básico y datos mínimos para cita (no se almacenan historiales clínicos avanzados salvo que se active un módulo futuro).
  • Datos técnicos: logs de acceso (IP abreviada/anónima donde proceda), agente de usuario, eventos de seguridad.

3. Finalidades

  • Prestación del servicio SaaS de gestión de agenda y reservas.
  • Gestión de usuarios, roles y seguridad (accesos, auditoría básica).
  • Envío de comunicaciones operativas (confirmaciones, recordatorios, cambios de cita).
  • Mejora continua, métricas agregadas y prevención de fraude/uso indebido.
  • Soporte y atención de incidencias.

4. Legitimación

  • Ejecución de contrato con la clínica (art. 6.1.b RGPD).
  • Interés legítimo en seguridad, mantenimiento y mejora (art. 6.1.f).
  • Consentimiento cuando proceda (ej. comunicaciones comerciales opt‑in).
  • Obligaciones legales (facturación, cumplimiento normativo).

5. Conservación

Los datos se conservan mientras la clínica mantenga la suscripción y posteriormente se anonimizan o eliminan tras un periodo de cierre (máx. 6 meses salvo obligación legal distinta). Backups cifrados con retención limitada.

6. Destinatarios y Encargados

Proveedores de infraestructura (UE o con cláusulas contractuales adecuadas), email transactional, monitorización y bases de datos. No se venden datos a terceros. Se formalizan acuerdos de encargo (DPA) con cada proveedor.

7. Transferencias Internacionales

Se evita la salida de datos personales fuera del EEE. Cuando un subprocesador use infraestructura global, se aplican cláusulas contractuales tipo y evaluación de impacto adecuada.

8. Seguridad

  • Encriptación en tránsito (TLS) y cifrado en reposo a nivel de infraestructura.
  • Control de acceso basado en roles (RBAC granular).
  • Registros de actividad esenciales y monitoreo de eventos de seguridad.
  • Principio de minimización de datos.

9. Derechos de los Interesados

Acceso, rectificación, supresión, limitación, portabilidad y oposición. Para ejercerlos: hola@physioflow.es. Respuesta en ≤ 30 días.

10. Rol de la Clínica

La clínica actúa normalmente como responsable respecto a los datos de sus pacientes; FisioFlow actúa como encargado. Se facilita un Acuerdo de Encargo de Tratamiento (DPA) a petición.

11. Cookies y Tecnologías Similares

Véase la Política de Cookies para detalle de clasificación y gestión del consentimiento.

12. Cambios

Se notificará cualquier cambio material mediante aviso en la plataforma o email a usuarios administradores.

13. Contacto Protección de Datos

Email de privacidad: privacy@physioflow.es.

Este documento ofrece una base estándar y puede requerir adaptación jurídica específica según jurisdicción o módulos adicionales activados.