Información sobre el Tratamiento de Datos Personales

1. Responsable del Tratamiento y Datos de Contacto

El Responsable del tratamiento de los datos personales recogidos a través de la plataforma Normachica es: Norma Chica Titular de la marca Normachica Correo electrónico: privacy@normachica.com Sitio web: www.normachica.com Para cualquier solicitud relativa al tratamiento de datos personales o al ejercicio de los derechos contemplados en la presente información, el interesado puede contactar con el Responsable en los datos indicados.

El Responsable no ha designado un Delegado de Protección de Datos (DPO), ya que su nombramiento no resulta obligatorio conforme al art. 37 del RGPD para la tipología y escala del tratamiento realizado. En caso de que esta valoración cambie, este párrafo será actualizado con los datos de contacto correspondientes.

2. Tipos de Datos Personales Recogidos

En el marco del uso de la plataforma Normachica, el Responsable trata las siguientes categorías de datos personales, conforme al art. 4 del RGPD:

a) Datos identificativos y de contacto

• Nombre y apellidos
• Dirección de correo electrónico
• Número de teléfono (si se proporciona)

b) Datos relativos al uso del servicio

• Historial de reservas y citas
• Mensajes intercambiados a través del chat interno de la plataforma
• Preferencias y configuraciones del perfil de usuario

c) Datos especialmente protegidos (categorías especiales según el art. 9 RGPD)

• Información relativa al estado de bienestar físico y/o psicológico del usuario
• Historial de sesiones online y contenidos relacionados, en la medida en que revelen datos relativos a la salud u otros aspectos sensibles de la persona

d) Datos financieros y de pago

• Datos relativos a la transacción (importe, fecha, referencia) gestionados a través del servicio de pago Stripe. El Responsable no trata directamente los datos de la tarjeta de crédito/débito; Stripe gestiona los datos de pago conforme al estándar PCI-DSS.

e) Datos técnicos de navegación

• Dirección IP
• Tipo de navegador y dispositivo utilizado
• Cookies técnicas y de sesión
• Registros de acceso y uso de la plataforma

3. Finalidades del Tratamiento

Los datos personales recogidos se tratan para las siguientes finalidades:

• Prestación del servicio: Gestión del registro, acceso a la plataforma, reservas y planificación de citas.
• Gestión de sesiones online: Prestación de las sesiones de bienestar emocional realizadas a través de la plataforma.
• Comunicaciones de servicio: Envío de confirmaciones de reserva, recordatorios de citas y notificaciones de servicio.
• Chat interno: Gestión y conservación de los mensajes intercambiados entre usuario y profesional a través del chat de la plataforma, destinado a comunicaciones de naturaleza organizativa.
• Gestión administrativa y fiscal: Emisión de recibos y facturas, cumplimiento de las obligaciones contables y fiscales.
• Seguridad de la plataforma: Prevención de accesos no autorizados, fraude y usos ilícitos de la plataforma.
• Soporte técnico: Gestión de las solicitudes de asistencia de los usuarios.

El Responsable no utiliza los datos personales con fines de marketing, perfilado comercial ni cesión a terceros con fines promocionales.

4. Base Jurídica del Tratamiento

El tratamiento de los datos personales se realiza conforme a los criterios de licitud establecidos en los arts. 6 y 9 del RGPD:

• Ejecución de un contrato (art. 6, ap. 1, letra b) RGPD): el tratamiento es necesario para la prestación del servicio solicitado por el usuario (reserva, sesiones online, gestión de la cuenta).
• Cumplimiento de obligaciones legales (art. 6, ap. 1, letra c) RGPD): el tratamiento es necesario para cumplir con las obligaciones fiscales, contables y normativas aplicables.
• Interés legítimo del Responsable (art. 6, ap. 1, letra f) RGPD): el tratamiento es necesario para garantizar la seguridad de la plataforma y prevenir usos fraudulentos, en la medida en que dicho interés no perjudique los derechos y libertades del interesado.
• Consentimiento explícito del interesado (art. 9, ap. 2, letra a) RGPD): para el tratamiento de datos especialmente protegidos relativos al estado de salud y bienestar del usuario (ej. contenidos de las sesiones, información de historial clínico). Dicho consentimiento es revocable en cualquier momento sin perjudicar la licitud del tratamiento realizado antes de la revocación.

5. Destinatarios y Categorías de Destinatarios

Los datos personales de los interesados pueden ser comunicados, exclusivamente para las finalidades indicadas en la presente información, a las siguientes categorías de sujetos que actúan como Encargados del tratamiento conforme al art. 28 del RGPD:

• Stripe, Inc. — Encargado del tratamiento (servicios de pago) — datos de transacción y de pago.
• Brevo (ex SendinBlue) — Encargado del tratamiento (correos electrónicos transaccionales) — nombre, dirección de correo electrónico, datos de comunicación.
• Vercel, Inc. — Encargado del tratamiento (alojamiento e infraestructura) — datos técnicos, registros de acceso.
• Supabase, Inc. — Encargado del tratamiento (base de datos y backend) — todos los datos presentes en la plataforma.

Los datos personales no se ceden, venden ni comparten con terceros con fines comerciales o promocionales. El Responsable recurre a los citados proveedores exclusivamente para garantizar el funcionamiento técnico y operativo de la plataforma, suscribiendo con cada uno de ellos los correspondientes acuerdos de tratamiento de datos conforme al art. 28 del RGPD.

También podrán acceder a los datos las autoridades públicas competentes en los supuestos previstos por la ley.

6. Transferencia de Datos a Países Terceros

Algunos de los proveedores técnicos arriba mencionados (en particular Stripe y Vercel) tienen sede en los Estados Unidos de América y podrían tratar los datos personales de los usuarios fuera del Espacio Económico Europeo (EEE). Dichas transferencias se realizan conforme a las garantías previstas en el art. 46 del RGPD y, cuando resulte aplicable, sobre la base de la decisión de adecuación de la Comisión Europea relativa al Data Privacy Framework UE-EE.UU. (adoptada el 10 de julio de 2023), que reconoce un nivel de protección adecuado para las transferencias hacia las organizaciones estadounidenses adheridas a dicho marco. Supabase opera en infraestructura ubicada dentro de la Unión Europea. El interesado tiene derecho a obtener copia de las garantías adoptadas para las transferencias hacia países terceros, contactando con el Responsable en los datos indicados en la Sección 1.

7. Plazos de Conservación de los Datos

Los datos personales se conservan durante el tiempo estrictamente necesario para la consecución de las finalidades para las que fueron recogidos, conforme a los siguientes criterios:

• Datos identificativos y del perfil de usuario: durante toda la relación contractual y hasta 2 años desde el cierre de la cuenta.
• Historial de sesiones online: 5 años desde la fecha de realización de la sesión.
• Mensajes del chat interno: 3 años desde el último mensaje intercambiado.
• Datos fiscales y contables (facturas, recibos): 7 años, en cumplimiento de las obligaciones legales en materia fiscal.
• Registros técnicos de navegación y acceso: 12 meses desde la recogida.
• Datos de pago (referencias transaccionales): 7 años, en cumplimiento de las obligaciones normativas aplicables.

Transcurridos los plazos indicados, los datos serán eliminados o anonimizados de forma irreversible, salvo que sea necesaria una conservación más prolongada para cumplir con obligaciones legales, para la formulación, ejercicio o defensa de reclamaciones judiciales.

8. Derechos del Interesado (ARCO-POL)

Conforme al art. 13, ap. 2, letra b) del RGPD, el interesado tiene derecho a:

• Acceso (art. 15 RGPD): obtener la confirmación de si se están tratando o no datos personales que le conciernan y, en su caso, obtener una copia de los mismos.
• Rectificación (art. 16 RGPD): obtener la corrección de datos inexactos o la integración de datos incompletos.
• Supresión — derecho al olvido (art. 17 RGPD): obtener la supresión de los datos personales, en los supuestos previstos por la normativa.
• Limitación del tratamiento (art. 18 RGPD): obtener la limitación del tratamiento en los supuestos previstos por la normativa.
• Portabilidad de los datos (art. 20 RGPD): recibir en formato estructurado, de uso común y lectura mecánica los datos personales facilitados, y transmitirlos a otro responsable del tratamiento.
• Oposición (art. 21 RGPD): oponerse en cualquier momento al tratamiento de sus datos personales basado en el interés legítimo del Responsable.
• Revocación del consentimiento (art. 7, ap. 3 RGPD): revocar en cualquier momento el consentimiento prestado para el tratamiento de datos especialmente protegidos, sin que ello perjudique la licitud del tratamiento realizado antes de la revocación.

Para ejercer uno o más de los derechos arriba indicados, el interesado puede enviar una solicitud escrita al Responsable a través de los datos indicados en la Sección 1, o modificar la configuración en su perfil de la plataforma. El Responsable responderá sin dilación indebida y, en todo caso, en el plazo de 30 días desde la recepción de la solicitud.

9. Derecho de Reclamación

Conforme al art. 13, ap. 2, letra d) del RGPD, el interesado tiene derecho a presentar una reclamación ante la autoridad de control competente en materia de protección de datos personales. Según el país de residencia del interesado, las autoridades competentes son:

• España — Agencia Española de Protección de Datos (AEPD): www.aepd.es
• Italia — Garante per la protezione dei dati personali: www.garanteprivacy.it
• Austria — Datenschutzbehörde (DSB): www.dsb.gv.at

El interesado también puede dirigirse a la autoridad de control del Estado miembro en el que resida habitualmente o trabaje, o del Estado miembro en el que se haya producido la presunta infracción.

10. Naturaleza del Suministro de Datos

Conforme al art. 13, ap. 2, letra e) del RGPD, se especifica lo siguiente:

• La comunicación de los datos identificativos, de contacto y de pago constituye un requisito contractual necesario para el uso del servicio ofrecido por la plataforma Normachica. La falta de suministro de dichos datos imposibilita el registro, la reserva de sesiones y el uso de la plataforma.
• La comunicación de datos especialmente protegidos relativos al estado de salud y bienestar es voluntaria y está supeditada al consentimiento explícito del interesado. La falta de suministro de dichos datos podría limitar la personalización del servicio prestado, pero no impedirá el acceso a las funcionalidades básicas de la plataforma.
• La comunicación de los datos fiscales necesarios para la emisión de facturas constituye una obligación legal; la falta de suministro impide el cumplimiento de las obligaciones normativas aplicables.

11. Seguridad y Modalidades del Tratamiento

El Responsable adopta medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad proporcionado a los riesgos derivados del tratamiento, en particular:

• Cifrado de las comunicaciones: todas las sesiones online y las transmisiones de datos se realizan mediante protocolos criptográficos (TLS/HTTPS), para proteger los datos en tránsito de accesos no autorizados.
• Seguridad de la base de datos: los datos almacenados están sujetos a medidas de seguridad a nivel de infraestructura, incluyendo controles de acceso basados en roles (RBAC), cifrado de datos en reposo (AES-256) y políticas de seguridad a nivel de fila (Row Level Security).
• Mensajería interna: los mensajes intercambiados a través del chat interno de la plataforma son accesibles exclusivamente para las partes involucradas en la conversación y para el Responsable con fines de asistencia técnica y seguridad.
• Acceso limitado: el acceso a los datos personales está reservado exclusivamente al personal autorizado y a los encargados del tratamiento contractualmente vinculados, dentro de los límites estrictamente necesarios para el ejercicio de sus respectivas funciones.
• Gestión de vulnerabilidades: el Responsable realiza verificaciones periódicas de la seguridad de la plataforma y adopta las medidas correctivas necesarias en caso de identificación de vulnerabilidades.

En caso de violación de datos personales (brecha de seguridad) que pueda suponer un riesgo para los derechos y libertades de los interesados, el Responsable se compromete a notificar el evento a la autoridad de control competente en un plazo de 72 horas y, cuando sea necesario, a los interesados, en los términos previstos en los arts. 33 y 34 del RGPD.

11.1 Cookies

La plataforma utiliza exclusivamente cookies técnicas esenciales para el funcionamiento del servicio (autenticación y gestión de la sesión). No se utilizan cookies de perfilado, seguimiento ni de terceros con fines publicitarios. Por lo tanto, no es necesario un banner de consentimiento de cookies conforme a la Directiva 2002/58/CE.

11.2 Chat Interno

La plataforma pone a disposición una función de mensajería interna entre el cliente y su terapeuta asignado, destinada exclusivamente a comunicaciones de naturaleza organizativa (horarios, cambios de cita, intercambio de documentos, recordatorios). En particular:

• El chat no está destinado a contenidos de naturaleza clínica. Las comunicaciones clínicas deben realizarse exclusivamente durante las sesiones programadas. Un aviso permanente es siempre visible en la interfaz del chat.
• Los mensajes son accesibles exclusivamente para el remitente y el destinatario. El personal administrativo puede acceder a los mensajes únicamente con fines de soporte técnico y con justificación documentada.
• Si los mensajes permanecen sin leer durante más de 24 horas, el sistema envía una notificación por correo electrónico. El usuario puede gestionar sus preferencias de notificación desde su perfil.
• Los mensajes están protegidos por cifrado en tránsito (TLS) y en reposo (AES-256 a nivel de infraestructura). El acceso está controlado por políticas de seguridad a nivel de fila (Row Level Security).

11.3 Sesiones Online

Las sesiones pueden realizarse mediante videollamada. Para garantizar la privacidad de los usuarios:

• Las sesiones de vídeo utilizan conexiones cifradas.
• Las sesiones no son grabadas por la plataforma.
• Se recomienda participar en las sesiones desde un lugar privado y con una conexión segura.
• El enlace de la sesión no debe ser compartido con terceros.

12. Consentimiento y Declaraciones

Conforme al art. 9, ap. 2, letra a) del RGPD, el uso de la plataforma requiere los siguientes consentimientos, gestionados a través de la interfaz de la plataforma:

• Consentimiento al tratamiento de datos especialmente protegidos (art. 9 RGPD): el tratamiento de datos relativos al estado de salud y bienestar requiere el consentimiento explícito del interesado. El consentimiento es facultativo y revocable en cualquier momento.
• Toma de conocimiento de la comunicación a encargados del tratamiento: los datos personales serán comunicados a los encargados del tratamiento indicados en la Sección 5 para las finalidades de funcionamiento de la plataforma.
• Declaración de lectura y comprensión: el usuario declara haber leído y comprendido la presente información, haber sido adecuadamente informado sobre las finalidades, modalidades y base jurídica del tratamiento, así como sobre sus derechos y las modalidades para ejercerlos.

Los consentimientos pueden gestionarse y revocarse en cualquier momento desde la sección de Privacidad del perfil en la plataforma.

13. Modificaciones y Disposiciones Finales

La presente información se facilita conforme a lo dispuesto en el art. 13 del Reglamento (UE) 2016/679 y puede ser actualizada por el Responsable en caso de modificaciones normativas u operativas. La versión vigente está siempre disponible en la plataforma Normachica. En caso de modificaciones sustanciales que afecten al tratamiento de datos, el Responsable informará a los interesados por correo electrónico o notificación en la plataforma y, cuando sea necesario, solicitará nuevamente el consentimiento. El Responsable del tratamiento Norma Chica — Normachica