Especificación del Consent Flow — Iatra
Última actualización: 2026-07-15
Este documento describe cómo Iatra obtiene y registra el consentimiento informado del usuario para procesar sus datos, conforme al Art. 7 RGPD y Art. 9.2.a (consentimiento explícito para datos de salud).
Principios
1. Específico: el consentimiento separa cada finalidad (no es un "acepto todo")
2. Informado: el usuario tiene acceso a la Política de Privacidad y al Disclaimer ANTES de aceptar
3. Libre: el usuario puede rechazar sin perder el servicio cuando no es estrictamente necesario
4. Demostrable: Iatra guarda fecha + IP anonimizada + versión del documento al momento de la aceptación
5. Retirable: el usuario puede retirar consentimiento en cualquier momento
Flujo en el intake
Paso 1 — Antes de iniciar el cuestionario
Pantalla obligatoria con:
> Antes de continuar, lea por favor:
>
> - Términos y Condiciones de Uso
>
> ☐ Acepto los Términos y la Política de Privacidad.
> ☐ Entiendo que Iatra es una herramienta orientativa y NO sustituye consulta médica.
> ☐ Consiento explícitamente el procesamiento de mis datos de salud (Art. 9.2.a RGPD) con la finalidad de generar el reporte de orientación clínica, incluida su revisión por un médico habilitado sujeto a secreto profesional.
> ☐ (Opcional) Acepto que Iatra conserve mi historial longitudinal para comparar futuros reportes.
Los primeros 3 checkbox son obligatorios para continuar. El 4º es opcional.
Paso 2 — Registro técnico del consentimiento
Cuando el usuario hace click en "Acepto y continuar", Iatra guarda en GCS un objeto consents/{submissionId}.json:
```json
{
"submissionId": "iat_abc123",
"email": "user@example.com",
"acceptedAt": "2026-06-22T14:30:00Z",
"ipAnonymized": "203.0.113.0/24",
"userAgent": "Mozilla/5.0 (...)",
"termsVersion": "1.0",
"privacyVersion": "1.0",
"disclaimerVersion": "1.0",
"checkboxes": {
"termsAndPrivacy": true,
"disclaimerUnderstood": true,
"healthDataExplicit": true,
"longitudinalOptIn": true
}
}
```
Paso 3 — Email de confirmación
Iatra envía un email al usuario confirmando:
- Qué aceptó y cuándo
- Cómo retirar el consentimiento (link a
/legal/derechos)
Retirada del consentimiento
El usuario puede retirar el consentimiento:
1. Desde el portal: menú "Mi cuenta" → "Retirar consentimiento"
2. Por email a dpo@iatra.health
Efecto inmediato:
- Pausa de cualquier procesamiento adicional
- Notificación al usuario: "su consentimiento ha sido retirado, ¿desea también eliminar sus datos?"
- Si confirma eliminación → flujo de Art. 17 (ver GDPR Rights)
Cookies banner
Aparece en la primera visita del usuario al sitio (antes de hacer login):
> Iatra usa cookies estrictamente necesarias para que la web funcione. NO usamos cookies de seguimiento publicitario ni third-party trackers. Ver Política de Cookies.
>
> [Aceptar y continuar]
Guarda la aceptación en cookie iatra_consent con timestamp + versión Política Cookies.
Re-consentimiento
Si Iatra cambia significativamente la Política de Privacidad o los Términos, se solicita re-consentimiento al usuario en su siguiente login, con preaviso por email 30 días antes.
Auditoría
- Iatra mantiene los registros de consentimiento durante todo el período de tratamiento + 5 años (Art. 7.1 RGPD: capacidad de demostrar el consentimiento)
- Estos registros son auditables por el DPO en cualquier momento
- En caso de inspección de la CNIL, los logs de consentimiento son entregables
Contacto
- DPO: dpo@iatra.health (Patrice Lannoy)
- General: hola@iatra.health
Versión: 1.0