Nova

Política de Privacidad

Última actualización: Abril 2026

En cumplimiento del Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), le informamos sobre el tratamiento de sus datos personales.

1. Responsable del tratamiento

  • Denominación: Nova Clinic S.L.
  • CIF/NIF: B12345678
  • Domicilio: Pendiente de registro
  • Correo electrónico: contacto@novaclinic.es
  • Delegado de Protección de Datos (DPO): dpo@novaclinic.es

2. Datos que recopilamos

2.1. Usuarios de la plataforma (administradores y empleados de clínica)

  • Datos identificativos: nombre, apellidos, email, teléfono.
  • Datos de acceso: credenciales de autenticación (contraseña hasheada).
  • Datos de facturación: nombre o razón social, CIF/NIF, dirección fiscal.
  • Datos de uso: logs de actividad, dirección IP, dispositivo y navegador.

2.2. Datos tratados por cuenta de las clínicas (Encargo de Tratamiento)

Nova actúa como Encargado del Tratamiento (RGPD Art. 28) de los datos de pacientes que las clínicas introducen en la plataforma. Estos datos pueden incluir:

  • Datos identificativos de pacientes: nombre, DNI/NIE, fecha de nacimiento, contacto.
  • Datos de salud (categoría especial, RGPD Art. 9): historial clínico, notas clínicas, diagnósticos, tratamientos, alergias, condiciones médicas.
  • Imágenes: fotografías de progreso clínico.
  • Consentimientos informados firmados.

El tratamiento de estos datos se realiza exclusivamente por cuenta y bajo las instrucciones de cada clínica (Responsable del Tratamiento), conforme al Contrato de Encargo de Tratamiento (DPA) aceptado en el registro.

3. Finalidades y base legal

  • Prestación del servicio: ejecución del contrato (RGPD Art. 6.1.b).
  • Facturación y gestión fiscal: cumplimiento de obligación legal (RGPD Art. 6.1.c).
  • Comunicaciones de servicio: interés legítimo (RGPD Art. 6.1.f) — avisos de mantenimiento, cambios en el servicio, expiración de prueba.
  • Mejora del servicio: interés legítimo (RGPD Art. 6.1.f) — análisis de uso agregado y anónimo.
  • Comunicaciones comerciales: consentimiento explícito (RGPD Art. 6.1.a) — solo si el usuario lo autoriza.

4. Destinatarios

Sus datos pueden ser comunicados a los siguientes terceros:

  • Stripe, Inc. — procesamiento de pagos (certificado PCI DSS).
  • Amazon Web Services (AWS) — envío de emails transaccionales (SES) y SMS (SNS). Región EU.
  • Proveedor de VPS — hosting de base de datos y almacenamiento. Servidores en la Unión Europea.
  • Vercel, Inc. — hosting de la aplicación web. CDN global con datos procesados en EU.

No se realizan transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE) sin garantías adecuadas. Cuando sea necesario, se aplican Cláusulas Contractuales Tipo de la Comisión Europea.

5. Plazos de conservación

  • Datos de cuenta: mientras la cuenta esté activa, y 30 días tras la cancelación.
  • Datos de facturación: 5 años (obligación fiscal).
  • Datos de pacientes: según las instrucciones de cada clínica (Responsable del Tratamiento). Mínimo 5 años para historiales clínicos (Ley 41/2002, Art. 17).
  • Logs de auditoría: según plan contratado (90, 180 o 365 días).

6. Derechos del interesado

Puede ejercer los siguientes derechos dirigiéndose a contacto@novaclinic.es:

  • Acceso (RGPD Art. 15): obtener confirmación y copia de sus datos.
  • Rectificación (RGPD Art. 16): corregir datos inexactos.
  • Supresión (RGPD Art. 17): solicitar la eliminación de sus datos.
  • Limitación (RGPD Art. 18): restringir el tratamiento en determinados supuestos.
  • Portabilidad (RGPD Art. 20): recibir sus datos en formato estructurado.
  • Oposición (RGPD Art. 21): oponerse al tratamiento en determinados supuestos.

Plazo de respuesta: máximo 1 mes desde la recepción de la solicitud.

Asimismo, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

7. Medidas de seguridad

Implementamos medidas técnicas y organizativas adecuadas conforme al RGPD Art. 32, incluyendo:

  • Cifrado de datos sensibles en reposo (AES-256-GCM) con claves por tenant.
  • Cifrado en tránsito (TLS 1.2+).
  • Control de acceso basado en roles (RBAC) con 8 niveles.
  • Aislamiento de datos por clínica (Row Level Security en PostgreSQL).
  • Auditoría de todas las operaciones sobre datos sensibles.
  • Copias de seguridad diarias con cifrado.
  • Notificación de brechas de seguridad en un máximo de 72 horas a la AEPD (RGPD Art. 33).

8. Decisiones automatizadas

No se realizan decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos sobre el interesado (RGPD Art. 22).

9. Modificaciones

Nos reservamos el derecho de modificar esta política de privacidad. Las modificaciones se publicarán en esta página con la fecha de última actualización. Le notificaremos por email cambios significativos.