Serenia Studio

Política de Privacidad

Última actualización: 11 de abril de 2026 · Versión 2

1. Responsable del tratamiento

El responsable del tratamiento es la sociedad titular de Serenia Studio (razón social en proceso de formalización). Hasta entonces, las solicitudes pueden dirigirse al contacto indicado abajo.

Contacto: soporte@serenia-studio.com.

Delegado de Protección de Datos (DPO): pendiente de designación. Una vez designado, sus datos de contacto se publicarán en esta página y se comunicarán a la Agencia Española de Protección de Datos.

2. Datos que tratamos

  • Identificativos: nombre, apellidos, email, contraseña cifrada, teléfono, NIF, fecha de nacimiento, dirección fiscal.
  • Datos de salud (categoría especial, Art. 9 RGPD): historia clínica, notas de sesión, diagnósticos, tratamientos. Son tratados exclusivamente bajo control del profesional sanitario.
  • Grabaciones y transcripciones: opcionales, sólo con consentimiento explícito separado.
  • Pagos: importes, facturas, método. No almacenamos números completos de tarjeta.
  • Técnicos: IP, tipo de navegador, registros de acceso con fines de seguridad y auditoría.
  • Consentimientos: versión del documento firmado, fecha, IP, user-agent y PDF firmado.

3. Finalidades y base legal

FinalidadBase legal
Prestar el servicio (cuenta, agenda, pacientes)Ejecución del contrato (Art. 6.1.b)
Gestión de historia clínicaAsistencia sanitaria (Art. 9.2.h) + obligación legal Ley 41/2002 (Art. 6.1.c)
Grabación y transcripción de sesiónConsentimiento explícito (Art. 9.2.a)
Facturación y cobroObligaciones fiscales y mercantiles (Art. 6.1.c)
Comunicaciones transaccionalesEjecución del contrato (Art. 6.1.b)
Seguridad y prevención del fraudeInterés legítimo (Art. 6.1.f)

4. Menores

Si el paciente es menor de 14 años (LOPDGDD Art. 7), el consentimiento lo presta su tutor legal y queda registrado como tal en el sistema. Para menores entre 14 y 17 años puede requerirse consentimiento combinado según el tipo de tratamiento clínico.

5. Encargados del tratamiento

Contratamos a los siguientes encargados para operar la plataforma. Todos firman un contrato de encargo conforme al Art. 28 RGPD y aplican medidas técnicas equivalentes o superiores a las nuestras.

  • Hetzner (Alemania, UE) — infraestructura y base de datos.
  • Cloudflare R2 — almacenamiento cifrado de grabaciones y documentos.
  • Stripe Payments Europe (Irlanda/EEUU) — procesamiento de pagos.
  • Resend (EEUU) — envío transaccional de email.
  • LiveKit — infraestructura de videoconsulta (infra propia y, en su caso, LiveKit Cloud).
  • ElevenLabs (EEUU) — transcripción automática, sólo con consentimiento explícito del paciente.
  • Google (EEUU) — sincronización opcional de Google Calendar del terapeuta.
  • Sentry (EEUU) — monitorización de errores.
  • GitHub/Microsoft (EEUU) — código fuente e integración continua.

6. Transferencias internacionales

Algunos encargados (Stripe, Resend, ElevenLabs, Google, Sentry, GitHub) procesan datos en Estados Unidos. Tras la sentencia Schrems II aplicamos Cláusulas Contractuales Tipo (SCCs 2021/914) y, cuando procede, verificamos su certificación en el Data Privacy Framework. Puedes solicitar copia del mecanismo aplicable escribiendo a soporte@serenia-studio.com.

7. Plazos de conservación

  • Cuenta y datos identificativos: mientras la cuenta esté activa; 30 días de gracia tras solicitud de supresión.
  • Historia clínica: mínimo 5 años tras el alta del proceso asistencial (Ley 41/2002 Art. 17). Durante este período se aplica bloqueo conforme a LOPDGDD Art. 32.
  • Facturación: 7 años por obligaciones fiscales y mercantiles.
  • Grabaciones y transcripciones: según el consentimiento prestado; se eliminan inmediatamente al revocarlo.
  • Registro de accesos: 7 años (Art. 32 RGPD).
  • Logs operativos: hasta 90 días.

8. Tus derechos

Puedes ejercer en cualquier momento los derechos reconocidos por los Art. 15 a 22 RGPD:

  • Acceso a tus datos (Art. 15).
  • Rectificación (Art. 16).
  • Supresión o “derecho al olvido” (Art. 17).
  • Limitación del tratamiento (Art. 18).
  • Portabilidad en formato estructurado (Art. 20).
  • Oposición al tratamiento (Art. 21).
  • Retirar el consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento anterior.

Desde el portal puedes exportar tus datos y solicitar la eliminación de tu cuenta en autoservicio. Para el resto de derechos, escríbenos a soporte@serenia-studio.com. Te responderemos en el plazo máximo de un mes.

Si consideras que el tratamiento no se ajusta a la normativa puedes presentar reclamación ante la Agencia Española de Protección de Datos.

9. Seguridad

Aplicamos medidas técnicas y organizativas proporcionales al riesgo: cifrado en tránsito TLS 1.2+, cifrado at-rest de grabaciones, tokens y (progresivamente) notas clínicas; hashing bcrypt de contraseñas; cabeceras HTTP estrictas (HSTS, CSP, X-Frame-Options); control de acceso por organización y por rol; rate limiting de dos capas; registro de accesos a datos clínicos; plan de respuesta a incidentes con notificación a la AEPD en el plazo de 72 horas previsto por el Art. 33 RGPD.

10. Cookies

Usamos cookies estrictamente necesarias para la autenticación y la sesión. Cualquier otra categoría (analíticas, preferencias) requiere tu consentimiento previo, que puedes otorgar o retirar desde el panel que aparece la primera vez que visitas el sitio. Mientras no aceptes las cookies analíticas no activamos Sentry ni herramientas equivalentes.

11. Notificación de brechas

En caso de violación de seguridad con riesgo probable para tus derechos te notificaremos sin dilación, describiendo la naturaleza del incidente, las medidas adoptadas y los pasos que recomendamos tomar. Paralelamente informaremos a la AEPD en el plazo máximo de 72 horas conforme al Art. 33 RGPD.

12. Modificaciones de esta política

Si la política cambia de forma material, te notificaremos por email y/o mediante un aviso destacado en el portal antes de que los cambios sean efectivos.