En CareBridge AI S.L. nos comprometemos a proteger la privacidad y los datos personales de todos nuestros usuarios. Esta Política de Privacidad explica cómo recopilamos, usamos, almacenamos y protegemos tu información personal cuando utilizas nuestra plataforma SaaS de inteligencia artificial orientada al sector sanitario y del cuidado, accesible a través de www.carebridge-ai.com, la aplicación iOS y la aplicación Android.
Esta política cumple el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPD-GDD), la Ley 34/2002 (LSSI-CE) y toma en consideración el Reglamento (UE) 2024/1689 de Inteligencia Artificial.
Los siguientes campos deben completarse antes de publicar esta política:
1 Responsable del tratamiento
| Razón social | CareBridge AI S.L. |
| C.I.F. | [INSERTAR CIF — obligatorio LSSI-CE] |
| Domicilio social | [INSERTAR DIRECCIÓN, CIUDAD, CP — obligatorio RGPD art. 13] |
| Sitio web | www.carebridge-ai.com |
| País | España (Unión Europea) |
| Email de privacidad | francisco@carebridge-ai.com |
| Delegado de Protección de Datos | [INSERTAR nombre y email del DPD — probablemente obligatorio] |
Como plataforma SaaS de IA que trata datos de salud a escala con organizaciones sanitarias, CareBridge AI está muy probablemente sujeta a la obligación de designar un Delegado de Protección de Datos (DPD/DPO). Publicar la política indicando que el DPD está "pendiente" mientras el servicio ya trata datos de salud puede comunicar a la AEPD que se conoce la obligación pero no se cumple.
Acción urgente: designar el DPD, comunicarlo a la AEPD (formulario en sedeagpd.gob.es) e incluir sus datos de contacto aquí antes de poner el servicio en producción.
2 Rol jurídico de CareBridge AI
En función del contexto de uso, CareBridge AI puede actuar con dos roles jurídicos distintos bajo el RGPD. Esta distinción es especialmente relevante en el sector sanitario y determina las obligaciones de cada parte.
CareBridge AI actúa como responsable del tratamiento cuando gestiona datos de sus propios clientes, usuarios, leads o empleados para finalidades propias:
- Gestión de cuentas, contratos y facturación de clientes
- Comunicaciones de marketing y newsletter
- Atención al cliente y soporte técnico directo
- Analítica de uso de la plataforma propia
Cuando CareBridge AI presta servicios a organizaciones sanitarias (clínicas, hospitales, residencias, aseguradoras u otras entidades), estas organizaciones actúan como responsables del tratamiento de los datos de sus pacientes o usuarios, y CareBridge AI actúa como encargado del tratamiento por su cuenta y bajo sus instrucciones.
En este supuesto:
- Se suscribe un Acuerdo de Encargado de Tratamiento (DPA) conforme al art. 28 RGPD con cada organización sanitaria cliente.
- CareBridge AI solo trata los datos de pacientes conforme a las instrucciones documentadas de la organización sanitaria responsable.
- Los pacientes deben ejercer sus derechos ante la organización sanitaria responsable, no directamente ante CareBridge AI, salvo que esta actúe también como responsable por cuenta propia.
Los subencargados de tratamiento utilizados por CareBridge AI en la prestación de servicios a organizaciones sanitarias se detallan en el correspondiente DPA y en la Sección 7 de esta política.
3 Datos que recopilamos
Dependiendo del rol de CareBridge AI y del uso de la plataforma, se pueden tratar las siguientes categorías de datos personales:
Datos de identificación y contacto
- Nombre y apellidos, correo electrónico, número de teléfono, dirección postal
Datos económicos y de pago
- Datos de facturación, método de pago tokenizado (los datos completos de tarjeta son procesados exclusivamente por las pasarelas de pago y no se almacenan en los servidores de CareBridge AI)
Datos de uso y navegación
- Dirección IP, datos de cookies, páginas y funcionalidades utilizadas, información del dispositivo y sistema operativo
Datos de geolocalización
- Ubicación aproximada derivada de IP, o ubicación precisa si se concede permiso explícito en la app móvil
Imágenes y documentos
- Fotografías, imágenes u otros archivos que el usuario cargue voluntariamente en la plataforma
Datos de salud (categoría especial — art. 9 RGPD)
- Información sanitaria de pacientes o usuarios finales tratada cuando CareBridge AI actúa como encargado de organizaciones sanitarias. Ver Sección 5.
Solo recopilamos los datos estrictamente adecuados, pertinentes y limitados a lo necesario para cada finalidad. No tratamos datos de salud para fines de marketing bajo ninguna circunstancia.
4 Finalidad y base legal del tratamiento
El RGPD (art. 6) exige una base jurídica válida para cada finalidad de tratamiento. A continuación se detalla, para cada finalidad, los datos implicados, la base legal aplicable y, si procede, el interés legítimo ponderado:
| Finalidad del tratamiento | Datos implicados | Base legal (RGPD) |
|---|---|---|
| Gestión de cuentas y registro | Nombre, email, contraseña, teléfono | Ejecución de contrato Art. 6.1.b |
| Prestación del servicio de IA sanitaria | Datos de cuenta + datos de salud si aplica | Ejecución de contrato Art. 6.1.b — Para datos de salud: asistencia sanitaria Art. 9.2.h |
| Gestión de pagos y facturación | Nombre, email, dirección, datos de pago tokenizados, NIF | Ejecución de contrato Art. 6.1.b |
| Comunicaciones transaccionales | Email, nombre, datos de actividad de la cuenta | Ejecución de contrato / Interés legítimo Art. 6.1.b / 6.1.f |
| Atención al cliente y soporte técnico | Email, nombre, historial de interacciones, datos técnicos | Ejecución de contrato / Interés legítimo Art. 6.1.b / 6.1.f |
| Cumplimiento de obligaciones legales | Datos de facturación, datos de salud según plazos legales | Obligación legal Art. 6.1.c |
| Envío de newsletter y marketing | Email, nombre, preferencias de comunicación | Consentimiento (revocable en cualquier momento) Art. 6.1.a |
| Analítica de uso del producto (pseudonimizada) | IP anonimizada, datos de navegación y uso | Interés legítimo Art. 6.1.f |
Cuando la base legal sea el consentimiento, tienes derecho a retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento anterior a la retirada. La revocación del consentimiento para marketing puede hacerse a través del enlace de baja en cada comunicación o escribiendo a francisco@carebridge-ai.com.
5 Datos especiales de salud
Los datos de salud constituyen una categoría especial que requiere protección adicional y base legal específica bajo el art. 9 RGPD. Su tratamiento está estrictamente limitado a los supuestos siguientes.
CareBridge AI distingue los siguientes escenarios de tratamiento de datos de salud:
| Escenario | Rol de CareBridge AI | Base legal art. 9 |
|---|---|---|
| Datos de pacientes tratados por cuenta de organizaciones sanitarias | Encargado del tratamiento | Base legal de la organización sanitaria responsable (normalmente art. 9.2.h). CareBridge AI no determina la base legal. |
| Datos de salud aportados directamente por el usuario profesional | Responsable del tratamiento | Consentimiento explícito Art. 9.2.a o necesidad de asistencia sanitaria Art. 9.2.h |
| Soporte técnico que implique acceso a datos de salud | Encargado del tratamiento | Instrucciones del responsable, con registro de acceso documentado |
- Acceso restringido: solo el personal autorizado con obligación de secreto profesional puede acceder a datos de salud.
- Cifrado extremo a extremo: los datos de salud se cifran tanto en tránsito como en reposo.
- Segregación multi-tenant: los datos de cada organización sanitaria cliente están aislados lógicamente.
- No comercialización: los datos de salud nunca se utilizan con fines publicitarios ni se ceden a terceros para fines comerciales bajo ninguna circunstancia.
- No entrenamiento de modelos de IA sin autorización explícita: ver Sección 6.
6 Uso de inteligencia artificial y datos
CareBridge AI opera en un sector de alto impacto. A continuación describimos con precisión cómo los datos interactúan con nuestros sistemas de inteligencia artificial.
Qué hace la IA de CareBridge AI
La plataforma utiliza sistemas de inteligencia artificial para asistir a profesionales y organizaciones sanitarias en la gestión y optimización de procesos de atención. Los resultados generados tienen carácter asistencial e informativo y no sustituyen el juicio clínico de los profesionales cualificados. Toda recomendación o análisis automatizado requiere supervisión humana antes de ser aplicada en un contexto clínico.
Uso de datos para entrenamiento de modelos
| Tipo de uso de datos en IA | Aplica | Condición |
|---|---|---|
| Prestación del servicio contratado | Sí | Siempre, base contractual |
| Mejora del rendimiento del modelo (datos anonimizados) | Sí, con condiciones | Solo con datos pseudonimizados; nunca con datos de salud directamente identificables |
| Entrenamiento de modelos de propósito general con datos de usuarios | No | Prohibido salvo consentimiento explícito y base jurídica específica |
| Fine-tuning con datos de salud de un cliente | Solo si se acuerda | Únicamente si está previsto en el DPA del cliente y con base legal adecuada |
| Revisión humana de outputs de IA | Sí | Personal de CareBridge AI puede revisar outputs; sujeto a obligaciones de confidencialidad |
| Proveedores externos de IA | Sí, como subencargados | Solo proveedores con DPA firmado y garantías de no entrenamiento con datos del cliente |
Reglamento Europeo de Inteligencia Artificial
El Reglamento (UE) 2024/1689 de Inteligencia Artificial clasifica los sistemas de IA usados en contextos sanitarios como potencialmente de alto riesgo si influyen en decisiones clínicas. CareBridge AI evalúa continuamente la clasificación de sus sistemas bajo este reglamento y aplica los requisitos de transparencia, documentación técnica y supervisión humana que correspondan.
7 Destinatarios y terceros proveedores
El RGPD exige distinguir si un tercero actúa como encargado del tratamiento (siguiendo instrucciones de CareBridge AI) o como responsable independiente (bajo su propia política).
La lista siguiente refleja los proveedores que CareBridge AI puede utilizar. Antes de publicar, esta lista debe revisarse y depurarse para incluir únicamente los proveedores que se usan realmente.
Encargados del tratamiento (art. 28 RGPD)
| Proveedor | Finalidad | Accede a datos de salud | País |
|---|---|---|---|
| Infraestructura cloud [AWS / Google Cloud / Azure] |
Alojamiento y procesamiento | Sí (cifrados) | UE preferente |
| Pasarelas de pago [Stripe / PayPal] |
Procesamiento de transacciones | No | EE. UU. + DPF |
| Email marketing [Mailchimp / Brevo] |
Envío de newsletter | No | EE. UU. / UE |
| CRM y soporte [HubSpot / Salesforce] |
Gestión de clientes | No | EE. UU. + DPF |
| Analítica web | Estadísticas de páginas de marketing | Prohibido expresamente | EE. UU. + DPF |
| Proveedores de IA (subencargados) | Inferencia y procesamiento de lenguaje natural | Solo con DPA + no entrenamiento | [Confirmar] |
Responsables independientes
| Proveedor | Función | Política de privacidad |
|---|---|---|
| Google LLC | Autenticación "Iniciar sesión con Google" (opcional) | policies.google.com/privacy |
| Meta Platforms Ireland Ltd. | Autenticación "Iniciar sesión con Facebook" (opcional) | facebook.com/privacy/policy |
CareBridge AI no vende datos personales a terceros ni los comparte con anunciantes para fines ajenos a los descritos en esta política.
8 Transferencias internacionales de datos
Algunos proveedores de CareBridge AI tienen infraestructuras fuera del Espacio Económico Europeo (EEE). A continuación se detallan las transferencias identificadas y las garantías aplicables conforme al art. 46 RGPD:
| Proveedor | País destino | Mecanismo de garantía |
|---|---|---|
| Google LLC | EE. UU. | Data Privacy Framework UE–EE. UU. + Cláusulas Contractuales Tipo (CCT) |
| Meta Platforms Ireland Ltd. | EE. UU. | Data Privacy Framework UE–EE. UU. + CCT |
| AWS (Amazon Web Services) | Región UE preferente | CCT + AWS DPA. CareBridge AI configura la región EU como predeterminada. |
| Stripe Inc. | EE. UU. | Data Privacy Framework UE–EE. UU. + CCT |
| HubSpot / Salesforce | EE. UU. | Data Privacy Framework UE–EE. UU. + CCT |
| Brevo (ex Sendinblue) | UE (Francia) | Sin transferencia internacional — datos tratados en la UE |
Puedes solicitar copia de las garantías específicas aplicables a cualquier transferencia escribiendo a francisco@carebridge-ai.com (art. 46.1 RGPD).
9 Conservación de datos
Los datos personales se conservan mientras se mantenga activa la relación contractual. Una vez finalizada, los datos se bloquean y conservan exclusivamente durante los plazos legales obligatorios:
| Datos de cuenta y contrato | Duración de la relación + 4 años (prescripción general civil) |
| Datos fiscales y de facturación | 5 años (art. 66 Ley General Tributaria) |
| Datos de salud / historial clínico | Plazos exigidos por normativa sanitaria aplicable (mínimo 5 años según Ley 41/2002) |
| Logs técnicos y de auditoría | Hasta 2 años para fines de seguridad y trazabilidad |
| Comunicaciones de marketing | Hasta revocación del consentimiento |
Transcurridos los plazos aplicables, los datos se eliminan de forma segura o se anonimizan irreversiblemente.
10 Cookies y tecnologías de seguimiento
Esta sección es un resumen. Para la información completa sobre cada cookie individual (nombre, proveedor, duración, finalidad), consulta nuestra Política de Cookies, publicada conforme a la Guía de Cookies de la AEPD (2024).
| Tipo | Finalidad | Consentimiento | Dónde se activan |
|---|---|---|---|
| Técnicas / sesión | Autenticación, seguridad, funcionamiento básico | No requerido | Web y área autenticada |
| Preferencias | Idioma, región, tema visual | Sí | Web y área autenticada |
| Analíticas | Estadísticas de uso (pseudonimizadas) | Sí | Solo páginas públicas |
| Publicitarias / remarketing | Medición de campañas de marketing propias | Sí | Solo páginas públicas de marketing |
Las cookies analíticas, publicitarias y píxeles de seguimiento nunca se activan dentro del área autenticada de la plataforma donde se gestionan datos de salud.
11 Medidas de seguridad y evaluación de impacto
CareBridge AI aplica medidas técnicas y organizativas adecuadas al riesgo, con especial atención al carácter sensible de los datos de salud:
Medidas técnicas
- Cifrado SSL/TLS: todas las comunicaciones se cifran en tránsito.
- Cifrado en reposo: los datos almacenados se mantienen cifrados.
- Autenticación de dos factores (2FA): disponible para todos los usuarios; obligatoria para perfiles con acceso a datos de salud.
- Segregación multi-tenant: datos de cada organización cliente aislados lógicamente.
- Trazabilidad y auditoría: se registran los accesos a datos sensibles.
- Copias de seguridad cifradas: backups periódicos con recuperación probada regularmente.
Medidas organizativas
- Control de acceso por roles (RBAC): principio de mínimo privilegio.
- Gestión de incidentes: procedimiento documentado de detección, contención y notificación de brechas.
- Formación del personal: el personal con acceso a datos personales recibe formación en protección de datos.
El tratamiento de datos de salud a gran escala mediante herramientas de IA requiere una Evaluación de Impacto relativa a la Protección de Datos (EIPD/DPIA) antes de iniciar el tratamiento. CareBridge AI está comprometida con la realización de esta evaluación para los tratamientos que la requieran.
En caso de brecha de seguridad que suponga riesgo para tus derechos, CareBridge AI lo comunicará a la AEPD en un máximo de 72 horas y te notificará sin dilación indebida cuando el riesgo sea alto.
12 Derechos de los usuarios
Como interesado tienes los siguientes derechos sobre tus datos personales, ejercitables de forma gratuita:
Cómo ejercer tus derechos
Envía un correo a francisco@carebridge-ai.com indicando tu nombre, el derecho que deseas ejercer y, si es necesario, copia de tu documento de identidad. Responderemos en el plazo máximo de un mes, prorrogable dos meses más en casos complejos.
Reclamación ante la AEPD
Si consideras que el tratamiento de tus datos no cumple la normativa, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web: www.aepd.es
- Dirección: C/ Jorge Juan, 6 — 28001 Madrid
- Teléfono: 901 100 099 / 912 663 517
13 Cambios en esta política
CareBridge AI puede actualizar esta Política de Privacidad para adaptarla a cambios legislativos, novedades del servicio o mejoras en nuestras prácticas. La versión vigente siempre estará disponible en legal.carebridge-ai.com/privacidad con la fecha de última actualización.
Ante cambios sustanciales que afecten a tus derechos, te lo notificaremos por email o mediante aviso destacado en la plataforma con antelación suficiente.