Política de Privacidad y Protección de Datos

Última actualización: Diciembre 2025 | Referencia: RGPD & LOPDGDD

1. Alcance del Tratamiento

Esta política describe cómo SanitAId procesa la información en su ecosistema de productos:

  • Scalpel (Gestión Quirúrgica): Herramienta interna para optimización de recursos, personal y logística hospitalaria.
  • Pulse (Agentes IA): Herramienta de interacción y comunicación automatizada con pacientes.

SanitAId actúa con un fuerte compromiso hacia la protección de datos en el marco del RGPD y la LOPDGDD.

2. Datos Recopilados por Producto

A. En el entorno Scalpel (Personal y Logística)

Datos necesarios para la coordinación interna del hospital:

  • Datos de Profesionales: Nombre, especialidad, roles, turnos y registros de actividad en quirófano de cirujanos y staff.
  • Datos Logísticos del Paciente: Identificadores necesarios para la programación (NHC, procedimiento, duración estimada), extraídos vía integración HL7/FHIR con el ERP del hospital.

B. En el entorno Pulse (Interacción Paciente)

Datos generados durante la comunicación directa:

  • Datos de Contacto: Teléfono, email para notificaciones.
  • Contenido de la Interacción: Transcripciones de chat o voz procesadas por la IA para la gestión de citas o triaje administrativo.

1. Enfoque y Principios

SanitAId actúa con un fuerte compromiso hacia la protección de los datos personales en el marco del RGPD (Reglamento UE 2016/679) y la LOPDGDD (Ley Orgánica 3/2018). Orientamos nuestra actividad en principios fundamentales como la transparencia, minimización de datos, confidencialidad, integridad y limitación temporal del tratamiento.

2. Roles en el Tratamiento de Datos

Encargado vs. Responsable

En la prestación de nuestros servicios SaaS:

  • SanitAId (Encargado del Tratamiento): Proveemos la infraestructura tecnológica y ejecutamos el tratamiento de datos por cuenta del cliente.
  • La Clínica/Cliente (Responsable del Tratamiento): Decide sobre la finalidad y uso de los datos, siendo el responsable directo ante el paciente.

Tipología de Datos Tratados

Procesamos únicamente los datos esenciales para el funcionamiento del servicio:

  • Datos identificativos: Nombre, apellidos, DNI.
  • Datos de contacto: Teléfono, correo electrónico.
  • Datos de gestión: Historial de citas, fecha, hora, especialista.
  • Importante: No almacenamos historial médico completo, solo la información logística necesaria para la cita.

3. Seguridad y Control de Acceso

SanitAId integra estándares de seguridad alineados con la norma ISO 27001. El acceso a los sistemas está regulado por usuario y contraseña, así como por autenticación de doble factor (2FA).

Cifrado y Protección

La información se almacena encriptada en servidores privados. El acceso está restringido a la IA solo en el momento de uso necesario.

Subencargados (Cloud)

La infraestructura se aloja en AWS y/o Azure (región UE), garantizando redundancia y cumplimiento del RGPD mediante cláusulas contractuales.

4. Ciclo de Vida y Anonimización

Los datos se conservan únicamente mientras son útiles para proporcionar el servicio o cumplir requisitos legales. Tras su uso:

  • Los datos extraídos operacionales son eliminados.
  • Los datos utilizados para análisis de calidad y mejora del servicio son completamente anonimizados, impidiendo la re-identificación.

5. Derechos de los Usuarios Finales

SanitAId proporciona a las clínicas las herramientas técnicas necesarias para garantizar los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) de sus pacientes.

Transparencia en IA

Se incluirá un aviso o "disclaimer" al inicio de las interacciones (chat/voz) informando al usuario sobre:

  • El tratamiento de sus datos.
  • La naturaleza automatizada del asistente (IA).
  • La posibilidad de grabación/transcripción para calidad.
  • La opción de aceptar o rechazar el tratamiento en ese momento.

6. Delegado de Protección de Datos

Para supervisar el cumplimiento normativo y actuar como punto de contacto, SanitAId ha designado formalmente un Delegado de Protección de Datos (DPO). Puede contactar para cualquier cuestión relacionada con la privacidad en: dpo@sanitaid.com

Fuentes documentales consultadas (No incluidas en el texto público):

  • Guía del análisis de riesgos del Reglamento de IA de la UE (2025)
  • Directrices éticas para una IA fiable (2019)
  • European Commission (2020)
  • Article 9: Risk Management System (2024)