🔒 Política de Privacidad

Cartagenaeste · Centro de Salud Virgen de la Caridad · Área II Cartagena

Resumen rápido. Cartagenaeste es una plataforma formativa para profesionales sanitarios. No tratamos datos de paciente identificable. Las consultas IA se enrutan por una Cloud Function propia (UE) y solo se almacenan metadatos de auditoría (sin texto del prompt). Las cookies analíticas (Google Analytics 4) sólo se cargan si las aceptas en el banner.

1. Responsable del tratamiento

Carlos Galera Román · Médico de Familia · Registro Propiedad Intelectual 00765-03096622.

Contacto: carlosgalera2roman@gmail.com

Esta plataforma se desarrolla como recurso docente vinculado al Centro de Salud Virgen de la Caridad y al Hospital General Universitario Santa Lucía (Área II Cartagena · Servicio Murciano de Salud), pero el responsable del tratamiento RGPD es el autor a título personal.

2. Base jurídica del tratamiento

Reglamento General de Protección de Datos (UE) 2016/679 (RGPD), arts. 6.1.f (interés legítimo del profesional sanitario en formación continua) y 9.2.h/j (categorías especiales de datos con fines de medicina y/o investigación). LO 3/2018 (LOPDGDD).

Existe Evaluación de Impacto en Protección de Datos (EIPD/DPIA) interna y Registro de Actividades de Tratamiento (RAT) — disponibles para inspección AEPD a petición.

3. Qué datos recogemos

3.1. Cuenta y sesión

Nombre + email de la cuenta de Google al iniciar sesión.
UID Firebase generado al autenticar.
Última visita y dominio del email (para distinguir uso institucional vs gmail), almacenados en /users/{uid}.

3.2. Casos formativos seudonimizados (módulo MegaCuaderno)

Iniciales (máximo 4 caracteres), edad, número de cama. Nunca nombre completo, DNI, NHC ni datos identificativos. Validador automático rechaza intentos de subir DNI/NIE.
Texto libre del caso (anamnesis, exploración, evolución).

3.3. Peticiones a IA

El texto del prompt y la respuesta no se guardan en Firestore. Solo metadatos: uid, type, provider, model, latencyMs, tokens, promptHash (SHA-256 truncado).
Los proveedores IA pueden conservar logs según su propia política (sin nuestro control).

3.4. Centros de Salud y foro privado

Si te invitamos como miembro de un centro, tu UID + email + nombre quedan vinculados al rol miembro/redactor/coordinador en csRoles.
Las preguntas y respuestas del foro privado por centro se almacenan con tu autoría visible para los demás miembros del centro.

3.5. EvidenciaIA (búsqueda bibliográfica)

El texto de tu pregunta queda en /evidencia_consultas con tu UID. La síntesis IA queda cacheada 24h. Estos datos son consultables por ti y por administración (auditoría AI Act art. 12).

3.6. Cookies y tecnologías similares

Cookie	Tipo	Finalidad	Plazo
`__session` (Firebase Auth)	Estrictamente necesaria	Mantener sesión iniciada	Sesión
`cart_cookie_consent_v1` (localStorage)	Estrictamente necesaria	Recordar tu decisión sobre cookies analíticas	1 año
`_ga`, `_ga_*` (Google Analytics 4)	Analítica · requiere consentimiento	Medir uso agregado de la plataforma con IP anonimizada	13 meses

No usamos cookies publicitarias, de remarketing ni de redes sociales.

4. Qué datos NO recogemos

Datos clínicos identificables de pacientes reales (DNI, NHC, nombre completo).
Ubicación, contactos del dispositivo, calendario, micrófono ni cámara salvo consentimiento explícito por funcionalidad concreta (ej. transcripción de voz).
No vendemos ni cedemos datos a terceros con fines comerciales.

5. Encargados del tratamiento (proveedores)

Tratan datos por nuestra cuenta bajo Contrato de Encargado del Tratamiento (DPA) y, cuando aplica, Cláusulas Contractuales Tipo (SCC) para transferencias internacionales:

Proveedor	Función	Ubicación · Garantía
Google Ireland Ltd.	Firebase Auth, Firestore, Cloud Functions (europe-west1), Storage, Cloud Logging	UE · DPA Google Cloud + SCC vigentes + adhesión EU-US Data Privacy Framework
Google Vertex AI Gemini	Modelo IA (fallback EU residency)	UE · mismo marco que Firebase
Sentry GmbH	Observabilidad de errores con scrubbing PII agresivo	UE (DSN `de.sentry.io`) · DPA + SCC
OpenRouter Inc.	Routing IA multi-proveedor (fallback)	EE.UU. · DPA en proceso de firma · datos seudonimizados
DeepSeek	Modelo IA primario para texto	Internacional · DPA en proceso de firma · datos seudonimizados
Mistral AI	Modelo IA fallback EU	UE · DPA disponible
GitHub Inc.	Hosting estático (GitHub Pages)	EE.UU. · DPF · solo HTML/CSS/JS, sin datos de usuario
Google Analytics 4	Medición de uso (sólo si consentido)	UE · DPA Google + IP anonimizada

6. Plazos de retención

Datos	Plazo	Ubicación
Casos formativos seudonimizados	365 días desde la última edición	`users/{uid}/cases`
Peticiones IA (metadata, sin contenido)	180 días	`users/{uid}/aiRequests`
Caché IA general	7 días (TTL automático)	`aiCache`
Caché EvidenciaIA	24 horas (TTL automático)	`evidenciaCache`
Consultas EvidenciaIA	24 meses	`evidencia_consultas`
Audit log inmutable	365 días	`auditLogs`
Backups Firestore	30 días + transición a Archive 365 días	Cloud Storage `backups/`
Códigos de invitación de centros	7 días o un solo uso	`cs_invites`

7. Transferencias internacionales

Algunos proveedores procesan datos fuera del EEE. En esos casos aplicamos las garantías del Capítulo V RGPD: Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, adhesión al EU-US Data Privacy Framework cuando procede, y minimización (los datos enviados a IA están seudonimizados sin DNI/NHC).

Para uso clínico institucional (no actual) se restringirá la cadena IA a proveedores con EU residency contractual.

8. Derechos del usuario

Conforme al RGPD arts. 15-22, tienes derecho a:

Acceso a tus datos personales.
Rectificación de datos inexactos.
Supresión ("derecho al olvido"). Si quieres borrar tu cuenta, usa eliminar-cuenta.html.
Limitación del tratamiento.
Oposición.
Portabilidad: te entregamos tus datos en formato JSON bajo petición.
No ser objeto de decisiones automatizadas con efectos jurídicos. Las respuestas IA son orientativas y formativas, nunca decisiones automatizadas sobre el usuario.

Para ejercerlos puedes (a) usar el formulario web de solicitud RGPD (recomendado, queda registrado con número de expediente) o (b) escribir a carlosgalera2roman@gmail.com indicando "RGPD - [derecho]" en el asunto. Plazo de respuesta: 30 días naturales (prorrogable +60 si caso complejo, art. 12.3 RGPD).

Si consideras que tu derecho no ha sido atendido correctamente puedes presentar reclamación ante la Agencia Española de Protección de Datos.

9. Notificación de violaciones de datos

En caso de violación de seguridad que afecte a tus datos personales con riesgo significativo, notificaremos a la AEPD en menos de 72 horas (art. 33 RGPD) y, si el riesgo es alto, te informaremos directamente (art. 34 RGPD).

10. Inteligencia Artificial · transparencia

Cumplimos el Reglamento (UE) 2024/1689 (EU AI Act):

Art. 50 (transparencia): los textos generados por IA aparecen marcados como tales en cada respuesta y en el footer.
Art. 12 (trazabilidad): cada interacción IA queda registrada en audit log con metadatos (sin contenido del prompt).
Posicionamiento formativo, riesgo limitado. NO es soporte a decisión clínica ni dispositivo médico (Reglamento UE 2017/745 MDR).
EvidenciaIA exige aceptar explícitamente el aviso AI Act art. 50 antes de cada búsqueda.

⚠️ Aviso clínico permanente. Esta plataforma tiene finalidad exclusivamente formativa. No diagnóstica. No sustituye el juicio clínico profesional. Cualquier decisión clínica sobre paciente concreto requiere valoración individual.

11. Seguridad

Conexiones cifradas TLS 1.3. Reglas Firestore deny-by-default con tests automatizados. App Check + reCAPTCHA v3 en activación. Audit log inmutable. Sentry con scrubbing PII agresivo (DNI/NIE/NHC/keys redactados antes de salir del cliente). Rate limit 30 req/min por IP, cuota 50 IA/día por usuario.

12. Menores

Plataforma destinada a profesionales sanitarios mayores de 18 años. No recopilamos datos de menores. Si detectamos un acceso de menor, eliminaremos los datos asociados y bloquearemos la cuenta.

13. Gestionar consentimiento de cookies

Puedes cambiar tu decisión sobre cookies analíticas en cualquier momento:

14. Cambios en esta política

Nos reservamos el derecho de actualizar esta política. La fecha de la última modificación se indicará al final. Publicaremos los cambios sustanciales en el footer durante al menos 14 días.

Disclaimer. Plataforma formativa. No diagnóstica. No sustituye juicio clínico profesional. El responsable no responde del uso indebido de la información proporcionada. Toda decisión clínica corresponde al profesional responsable del paciente.

Última actualización: 28 de abril de 2026
Revisión legal interna: auditoría 2026-04-28
Documentación de cumplimiento: EIPD · RAT · EU AI Act dossier

← Volver a la aplicación