Política de Privacidad de Iatra
Última actualización: 2026-07-15
Esta Política describe cómo Iatra SAS (en adelante, "Iatra", "nosotros") recolecta, usa y protege sus datos personales, en cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley francesa de Protección de Datos (Loi Informatique et Libertés).
1. Responsable del tratamiento
- Iatra SAS, [DIRECCIÓN COMPLETA], inscrita en el RCS de [CIUDAD] con SIRET [NÚMERO]
- Email: hola@iatra.health
- Delegado de Protección de Datos (DPO): Patrice Lannoy — dpo@iatra.health
2. Datos que recolectamos
2.1 Datos de identificación
- Nombre completo (paciente y, si aplica, cuidador familiar)
- Fecha de nacimiento
- Sexo
- Email de contacto
- Localización del usuario (país/región, para idioma del reporte)
2.2 Datos de salud (categoría especial - Art. 9 RGPD)
- Condiciones crónicas declaradas
- Lista de medicamentos (nombre, dosis, indicación, fecha inicio)
- Resultados de análisis clínicos (PDFs/fotos de hemogramas, bioquímica, etc.)
- Imágenes de medicamentos (para extracción OCR)
- Escalas clínicas autocompletadas (PHQ-9, GAD-7, etc.)
- Síntomas declarados
- Hospitalizaciones / antecedentes / cirugías mayores
2.3 Datos técnicos
- Dirección IP (anonimizada a /24 para logs operativos)
- User-agent del navegador
- Logs de uso del Servicio (timestamps, acciones)
2.4 Datos de pago
- Procesados directamente por Stripe; Iatra NO almacena datos de tarjeta
3. Finalidades del tratamiento y bases legales
| Finalidad | Base legal (Art. 6 + Art. 9 RGPD) | Datos involucrados |
|---|---|---|
| Generar el reporte de orientación clínica solicitado | Consentimiento explícito (Art. 9.2.a) | Datos de salud + identificación |
| Enviar el reporte por email | Ejecución del contrato (Art. 6.1.b) | Email + reporte |
| Mantener historial longitudinal del usuario para comparar reportes | Consentimiento explícito (Art. 9.2.a) | Datos de salud previos |
| Procesar pagos | Ejecución del contrato (Art. 6.1.b) | Datos de Stripe |
| Mejorar el Servicio (uso anonimizado/agregado) | Interés legítimo (Art. 6.1.f) | Datos técnicos + agregados |
| Cumplir obligaciones legales / fiscales | Obligación legal (Art. 6.1.c) | Datos de facturación |
| Atender solicitudes de ejercicio de derechos GDPR | Obligación legal (Art. 6.1.c) | Identificación |
4. Destinatarios y subprocesadores
Iatra utiliza los siguientes subprocesadores. Todos están bajo DPA conforme a Art. 28 RGPD:
| Subprocesador | Servicio | Locación | Garantías |
|---|---|---|---|
| Google Cloud | Hosting (Cloud Run, GCS), AI (Vertex Gemini) | europe-west1 (Bélgica/Países Bajos) | DPA Google Cloud + cláusulas tipo UE; certificaciones ISO 27001/27017/27018, SOC 2 |
| Stripe | Procesamiento de pagos | UE (Stripe Payments Europe Ltd.) + transferencia a US bajo SCC | Stripe DPA; PCI-DSS Nivel 1 |
| Vercel | Hosting frontend (CDN edge) | Edge global, contenido sin datos de salud | DPA Vercel + SCC |
NO compartimos datos de salud con terceros salvo:
- Si usted lo solicita explícitamente (compartir reporte con su médico)
- Médicos revisores habilitados, vinculados contractualmente a Iatra y sujetos a secreto profesional, que revisan su caso y emiten la valoración clínica que acompaña el reporte (actúan como parte del servicio, no como terceros comerciales)
- Si lo exige una autoridad pública legítima
- En caso de fusión/adquisición, con preaviso al usuario y derecho a borrado
5. Transferencias internacionales
Iatra procesa sus datos dentro de la Unión Europea (Google Cloud europe-west1). En caso de uso eventual de servicios fuera UE (Stripe US), se aplican Cláusulas Contractuales Tipo (SCC) según Decisión 2021/914 UE.
6. Plazos de conservación
Ver Política de Retención de Datos. Resumen:
- Datos de salud: 5 años desde el último uso, o eliminación inmediata a solicitud
- Datos de facturación: 10 años (obligación legal francesa)
- Logs técnicos: 12 meses
- Cookies: ver Política de Cookies
7. Sus derechos
Bajo el RGPD usted tiene los siguientes derechos:
- Acceso (Art. 15): obtener una copia de sus datos
- Rectificación (Art. 16): corregir datos inexactos
- Supresión / "derecho al olvido" (Art. 17): solicitar la eliminación de sus datos
- Limitación del tratamiento (Art. 18): pausar el uso de sus datos
- Portabilidad (Art. 20): recibir sus datos en formato estructurado (JSON/CSV)
- Oposición (Art. 21): oponerse a tratamientos basados en interés legítimo
- Retirar consentimiento en cualquier momento sin que afecte la legalidad del tratamiento previo
Para ejercer estos derechos, escriba a: dpo@iatra.health (Patrice Lannoy). Responderemos en un máximo de 30 días (Art. 12.3 RGPD).
Si considera que sus derechos no son respetados, puede presentar reclamación ante la CNIL (autoridad francesa de protección de datos): https://www.cnil.fr/fr/plaintes
Ver procedimiento detallado en GDPR Rights.
8. Seguridad
Iatra aplica medidas técnicas y organizativas conforme al Art. 32 RGPD:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256 en GCS y Cloud SQL)
- Autenticación por magic-link con tokens JWT de corta duración
- Acceso interno restringido (principio de mínimo privilegio, MFA obligatorio para staff)
- Pseudonimización de logs técnicos
- Backups diarios cifrados
- DPIA (Data Protection Impact Assessment) realizada y actualizada según Art. 35 RGPD
- Auditorías de seguridad periódicas
- Procedimiento de notificación de violación (Art. 33-34): notificación a CNIL en 72h + a usuarios afectados si riesgo alto
9. Decisiones automatizadas
Iatra utiliza algoritmos y modelos de IA para generar el reporte. Esto NO es una decisión automatizada con efectos jurídicos sobre el usuario (Art. 22 RGPD), ya que:
- El reporte es orientativo, no es una decisión vinculante
- La decisión clínica final corresponde al usuario y su médico tratante
- El usuario puede solicitar revisión humana del reporte contactando a dpo@iatra.health
10. Menores
Iatra NO está dirigido a menores de 18 años. Si detectamos datos de un menor sin autorización parental, los eliminamos. El cuidador familiar mayor de 18 puede usar Iatra en nombre de un familiar mayor de 18 con su consentimiento.
11. Cookies y tecnologías similares
Ver Política de Cookies.
12. Modificación de esta Política
Iatra puede modificar esta Política. Cambios significativos serán notificados por email al usuario con 30 días de antelación. Los usuarios podrán oponerse y solicitar la eliminación de sus datos.
13. Contacto
- General: hola@iatra.health
- DPO: dpo@iatra.health (Patrice Lannoy)
- Postal: [DIRECCIÓN COMPLETA]
- CNIL: https://www.cnil.fr/fr/plaintes
Versión: 1.0 (borrador 2026-06-22)