Esta política explica de forma clara cómo recopilo, uso y protejo tus datos cuando navegas por espaciomiriam.com, reservas una sesión o utilizas el portal del paciente. Si en algún momento algo no queda claro, escríbeme y lo aclaramos.
1. Responsable del tratamiento
- Titular: Miryam Ferrucci Silla · NIF 53762865C
- Domicilio: Carrer de la Caixa d'Estalvis, 3 · 46900 Torrent, Valencia (España)
- Email: hola@espaciomiriam.com
- Colegiada: CV15250 — Colegio Oficial de Psicología de la Comunidad Valenciana
2. Qué datos recojo y para qué
| Finalidad | Datos | Base legal | Conservación |
|---|---|---|---|
| Reserva y prestación del servicio terapéutico | Nombre, email, teléfono, motivo de consulta, datos de salud derivados de la sesión | Ejecución del contrato (art. 6.1.b RGPD), asistencia sanitaria por profesional sujeto al secreto profesional (art. 9.2.h y 9.3 RGPD) y consentimiento explícito para datos de salud (art. 9.2.a) | Hasta 5 años desde la última sesión (Ley 41/2002 historia clínica) |
| Pago de sesiones | Datos de facturación; los datos de tarjeta los gestiona Stripe directamente | Ejecución del contrato + obligación legal fiscal | 6 años (obligaciones contables) |
| Comunicaciones comerciales | Consentimiento explícito (revocable) | Hasta que retires el consentimiento | |
| Formulario de contacto | Nombre, email, mensaje | Consentimiento | 1 año desde tu última comunicación |
| Peritaje psicológico (letrados) | Datos del caso aportados por el letrado y persona evaluada | Ejecución del contrato profesional | 10 años (Ley 1/2000 LEC) |
| Analítica web (con consentimiento) | Datos de navegación anonimizados | Consentimiento (banner de cookies) | Ver política de cookies |
3. Confidencialidad y secreto profesional sanitario
Los datos derivados de la actividad terapéutica están protegidos por una doble capa adicional: el secreto profesional sanitario regulado por la Ley 41/2002 de autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica, y el Código Deontológico del Colegio Oficial de Psicología. Esta protección se enmarca en el art. 9.3 del RGPD, que reconoce el régimen de secreto profesional como garantía adicional al tratamiento de datos sanitarios.
Solo se romperá el secreto profesional en los supuestos legalmente previstos: riesgo grave para la vida o integridad de la persona o de terceros, requerimiento judicial expreso, o consentimiento explícito por escrito de la persona usuaria del servicio.
3 bis. Ausencia de decisiones automatizadas
No se toman decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos sobre las personas usuarias o les afecten significativamente (art. 22 RGPD). Toda decisión clínica es adoptada por la psicóloga responsable, con participación humana significativa.
3 ter. Medidas reforzadas para datos de salud
- Cifrado de extremo a extremo en las videollamadas, sin grabación.
- Pseudonimización en los registros internos siempre que sea operativamente posible.
- Control de accesos por doble factor en los sistemas que contienen datos clínicos.
- Almacenamiento en proveedores con servidores en el Espacio Económico Europeo y contrato de encargado del tratamiento firmado.
- Registro de actividades de tratamiento conforme al art. 30 RGPD.
- Evaluación de impacto (DPIA) realizada conforme al art. 35 RGPD por tratamiento de categoría especial.
4. Encargados del tratamiento
Para prestar el servicio colaboro con proveedores que cumplen el RGPD y han firmado contratos de encargado del tratamiento. Solo acceden a los datos imprescindibles para su función:
- Hosting de la web: Netlify (servidores en la UE).
- Email profesional: IONOS (servidores en Alemania, UE).
- Análisis de visitas anónimo: Cloudflare Web Analytics — herramienta sin cookies y sin perfilado individual. Cloudflare, Inc. (EE.UU.) procesa los datos como encargado del tratamiento bajo Cláusulas Contractuales Tipo (SCC) de la UE.
- Pasarela de pago y facturación: Stripe Payments Europe, Ltd. (Dublín, Irlanda).
- Sistema de gestión clínica, agenda, historia clínica y videoconsulta: Docfav (servidores en la UE) — incluye plataforma de videollamada Jitsi con cumplimiento sanitario.
- Email transaccional (recordatorios, confirmaciones): Resend (servidores en la UE).
- Backend de integración (sincronización entre sistemas): Cloudflare Workers (red global, datos UE preferentes).
Las transferencias a Cloudflare (EE.UU.) se realizan amparadas por el marco UE-EE.UU. Data Privacy Framework y/o las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, conforme a los arts. 45 y 46 RGPD.
5. Tus derechos
Tienes derecho a acceder a tus datos, rectificarlos, suprimirlos, oponerte al tratamiento, limitarlo y solicitar la portabilidad. También puedes retirar tu consentimiento en cualquier momento.
Para ejercer estos derechos, escribe a hola@espaciomiriam.com aportando los datos suficientes para verificar tu identidad. Solo se solicitará documentación adicional (copia del DNI u otro documento identificativo) cuando existan dudas razonables sobre la identidad de quien ejerce el derecho, conforme al criterio de la AEPD. Respondo en un máximo de 30 días.
Si consideras que el tratamiento no se ajusta a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (aepd.es).
6. Medidas de seguridad
Aplico las medidas técnicas y organizativas exigidas por el RGPD para garantizar la confidencialidad, integridad y disponibilidad de tus datos: cifrado de extremo a extremo en las videollamadas, comunicaciones HTTPS, control de accesos por doble factor, formación continua y registro de actividades del tratamiento.
7. Menores
Los servicios están dirigidos exclusivamente a personas mayores de 18 años. No trato datos de menores en el ámbito clínico.
8. Cambios en la política
Esta política puede actualizarse para reflejar cambios legales o de funcionamiento. Te avisaré por email si los cambios afectan al tratamiento de tus datos personales.