Chronosurg
Empezar gratis

Legal

Política de Privacidad

Cómo se tratan los datos personales y de salud en la plataforma Chronosurg, conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).

Última actualización: 6 de mayo de 2026· Versión 2026-05-v1

1. Roles RGPD

Chronosurg es una plataforma SaaS para la gestión clínica y el seguimiento de pacientes por parte de profesionales sanitarios. En el tratamiento de datos personales y de salud, las partes asumen los siguientes roles conforme a los artículos 4, 24 y 28 del RGPD:

  • Responsable del Tratamiento (Data Controller): el hospital, centro sanitario o profesional que contrata Chronosurg. Determina las finalidades y los medios del tratamiento.
  • Encargado del Tratamiento (Data Processor): Jesus Badia Closa (Profesional autónomo (persona física), NIF 39390530V). Trata los datos personales por cuenta del Responsable, conforme a sus instrucciones documentadas y al Contrato de Encargo de Tratamiento (DPA) firmado entre las partes.
  • Subencargados (Sub-processors): proveedores subcontratados con autorización expresa del Responsable, listados en /subencargados.

Por tanto, Chronosurg no decide qué hace con los datos clínicos ni cuánto se conservan: actúa exclusivamente como Encargado siguiendo las instrucciones de cada hospital. Para cuestiones sobre tu historia clínica concreta, dirígete al hospital responsable; para cuestiones sobre el funcionamiento técnico de la plataforma, escríbenos a chronosurg@badia.me.

2. Identificación del Encargado del Tratamiento

  • Nombre / razón social: Jesus Badia Closa
  • Forma jurídica: Profesional autónomo (persona física)
  • NIF: 39390530V
  • Domicilio: Carrer Bosch i Cardellach, 73
  • Email de contacto en materia de privacidad: chronosurg@badia.me

De conformidad con el considerando 91 del RGPD y el Informe de Necesidad emitido por Augusta Abogados (noviembre de 2025), el Encargado del Tratamiento no está obligado a designar un Delegado de Protección de Datos (DPD), al no ejercer funciones públicas, no realizar observación sistemática a gran escala ni constituir el tratamiento de datos de salud el núcleo de su actividad principal. No obstante, los hospitales clientes pueden disponer de su propio DPD, cuyos datos figuran en sus respectivas políticas de privacidad.

3. Datos personales tratados

Por cuenta de cada hospital responsable se tratan las siguientes categorías:

3.1 Datos de pacientes

  • Identificación: nombre, apellidos, número de historia clínica.
  • Datos sociodemográficos: edad, sexo.
  • Categoría especial — datos de salud (Art. 9.1 RGPD): diagnósticos, procedimientos, resultados, alertas, eventos asistenciales programados e información de seguimiento clínico.
  • Datos clínicos agregados o pseudonimizados con fines de auditoría e investigación autorizada por el Responsable.

3.2 Datos de profesionales sanitarios y usuarios

  • Identificación del usuario: nombre, email profesional.
  • Servicio o unidad de origen, rol asignado en la plataforma.
  • Registros de acceso y actividad: timestamps, dirección IP, agente de usuario, acciones de modificación o exportación.

4. Bases jurídicas y finalidades

El tratamiento se realiza al amparo de las siguientes bases del Art. 6 RGPD y, en lo relativo a datos de salud, del Art. 9.2 RGPD:

  • Art. 6.1.b — ejecución de contrato: tratamiento de datos profesionales necesarios para prestar el servicio contratado.
  • Art. 6.1.c y 9.2.h — obligación legal y fines de medicina preventiva, diagnóstico y prestación de asistencia sanitaria: base habilitante en el ámbito hospitalario para el tratamiento de datos clínicos por parte del Responsable.
  • Art. 9.2.a — consentimiento explícito: cuando aplique, recogido por el hospital responsable mediante sus propios procedimientos.

Finalidades: facilitar la gestión clínica, el seguimiento de pacientes, la coordinación entre profesionales autorizados, la generación de alertas asistenciales y la elaboración de informes y análisis para la mejora del servicio.

5. Conservación de los datos

Los datos clínicos se conservan durante el plazo establecido por la legislación sanitaria aplicable (Ley 41/2002 — historia clínica: mínimo cinco años desde el alta de cada proceso asistencial; con plazos más largos para determinados documentos). El Encargado conserva los datos únicamente mientras dure la relación contractual con el Responsable. A su finalización, conforme a la Cláusula 19 del DPA:

«El encargado del tratamiento deberá devolver al responsable del tratamiento los datos de carácter personal y, en su caso, los soportes donde consten, una vez cumplida la prestación, de acuerdo con las instrucciones del responsable del tratamiento. La devolución debe conllevar el borrado total de los datos existentes en los equipos informáticos y tecnológicos utilizados por el encargado.»

6. Destinatarios y transferencias internacionales

Los datos no se ceden a terceros distintos de los subencargados publicados en /subencargados, salvo obligación legal o instrucción expresa del Responsable.

«No se proveen transferencias fuera del Espacio Económico Europeo. Los servidores de Neon operan bajo mecanismos de seguridad y garantías adecuadas según su Trust Center.»

7. Tus derechos

Los derechos de protección de datos previstos en los artículos 15 al 22 del RGPD son: acceso, rectificación, supresión, limitación del tratamiento, oposición, portabilidad de los datos y retirada del consentimiento. Estos derechos pueden ser ejercidos en cualquier momento.

DerechoDefinición
AccesoDerecho del interesado a dirigirse a nosotros para conocer si se están tratando o no sus datos personales.
RectificaciónPermite corregir los datos del interesado que sean inexactos.
OposiciónEl interesado puede oponerse a que realicemos un tratamiento de sus datos.
SupresiónEl interesado podrá solicitar que suprimamos sus datos personales.
Limitación del tratamientoEl interesado puede solicitar la limitación del tratamiento de sus datos personales.
PortabilidadRecibir los datos en un formato estructurado y de uso común que permita su transmisión a otro responsable.
Retirada del consentimientoEl consentimiento prestado puede ser retirado en cualquier momento.

Cómo ejercerlos: dirígete al hospital responsable de tu historia clínica; subsidiariamente, al Encargado en chronosurg@badia.me o mediante el formulario disponible en /derechos-arcopl.

«El ejercicio de derechos se resolverá en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo puede prorrogarse otros dos meses en caso necesario dada cierta complejidad o gran número de solicitudes. La resolución de la solicitud se comunicará al interesado por el mismo medio por el que se interpuso la solicitud.»

Si entiendes que no se han atendido correctamente tus derechos, puedes presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) o, si el Responsable es una entidad sometida a la autoridad catalana, ante la Autoritat Catalana de Protecció de Dades (apdcat.gencat.cat).

8. Medidas de seguridad

Conforme a la Cláusula 11 del DPA y al Anexo III del Contrato de Encargo, se aplican medidas técnicas y organizativas adecuadas (Art. 32 RGPD), entre otras:

  • Cifrado de comunicaciones extremo a extremo mediante TLS.
  • Cifrado AES-256-GCM de identificadores sensibles en reposo.
  • Control de accesos basado en roles (RBAC) con mínimo privilegio por módulo.
  • Autenticación multifactor opcional y bloqueo por intentos fallidos.
  • Registro de accesos, modificaciones y exportaciones (audit log).
  • Copias de seguridad periódicas y verificadas.
  • Compromisos formales de confidencialidad para todo el personal autorizado.
  • Procedimientos documentados de detección, clasificación y notificación de incidentes de seguridad.

Se ha realizado una Evaluación de Impacto relativa a la Protección de Datos (EIPD) del tratamiento, conforme al Art. 35 RGPD. El análisis confirma que las medidas técnicas y organizativas implementadas proporcionan un nivel adecuado de protección para el tratamiento de datos de salud y otros datos personales de los pacientes.

9. Notificación de brechas de seguridad

En caso de detectar una brecha que afecte a los datos tratados por cuenta del Responsable, el Encargado lo notificará a éste sin dilación indebida y le asistirá para cumplir, cuando proceda, la obligación de notificación a la autoridad de control en el plazo de 72 horas (Art. 33 RGPD) y, si concurre alto riesgo, a las personas afectadas (Art. 34 RGPD).

10. Confidencialidad

«El encargado del tratamiento y sus trabajadores autorizados para el tratamiento de datos personales quedan, expresa y específicamente obligados, a mantener absoluta confidencialidad y a guardar estricto secreto sobre toda aquella información referida a datos personales a la que accedan y que puedan conocer con motivo de la prestación del servicio. Estas obligaciones subsistirán indefinidamente incluso después de finalizar o extinguirse este contrato.»

11. Cambios en esta política

Esta política puede ser actualizada para reflejar cambios normativos, técnicos u operativos. La fecha de la última revisión figura en el encabezado. Los cambios materiales se comunican al hospital Responsable y, cuando corresponda, al usuario, con antelación suficiente.

12. Contacto

Jesus Badia Closa · chronosurg@badia.me · Carrer Bosch i Cardellach, 73.