Información legal

Política de Privacidad

Última actualización: 16 de mayo de 2026 · Versión 1.0 (MVP)

1. Información general

La presente Política de Privacidad regula el tratamiento de los datos personales recabados por Nutriapp Pro (en adelante, "el prestador" o "la entidad responsable") en el marco de la prestación de su servicio SaaS dirigido a profesionales de la dietética y la nutrición. Su redacción se ajusta a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (en adelante, "RGPD"), y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, "LOPDGDD").

Cuando el dietista trate datos personales de sus pacientes a través de la plataforma, el prestador actuará como encargado del tratamiento y el dietista, en tanto profesional sanitario colegiado, como responsable del tratamiento. Las condiciones específicas de dicha relación se regulan en el Acuerdo de Encargado de Tratamiento (DPA).

2. Responsable del tratamiento

  • Identidad: [PENDIENTE: razón social] (Nutriapp Pro)
  • NIF: [PENDIENTE]
  • Dirección postal: [PENDIENTE], España
  • Correo electrónico: privacidad@nutriapp.local
  • Delegado de Protección de Datos (DPO): dpo@nutriapp.local

3. Finalidades del tratamiento

El prestador trata los datos personales con las siguientes finalidades:

  • Prestación del servicio SaaS: alta de cuenta, autenticación, mantenimiento de perfil profesional, gestión de licencias y cuotas, acceso a las funcionalidades contratadas (gestión de pacientes, diseño de dietas, agenda, mensajería, formularios clínicos, exportaciones).
  • Gestión administrativa y contable: emisión de facturas, contabilización de pagos, cobros y gestiones fiscales obligatorias.
  • Soporte al usuario: atención de consultas técnicas, incidencias y solicitudes recibidas por correo, formulario o canales internos de soporte.
  • Seguridad y prevención del fraude: control de accesos, detección de actividad anómala, registros de auditoría y cumplimiento de obligaciones legales en materia de ciberseguridad.
  • Mejora del producto: análisis estadísticos agregados y anonimizados sobre uso de funcionalidades, con el fin de mejorar la experiencia y priorizar el desarrollo.
  • Comunicaciones comerciales: envío de información sobre nuevas funcionalidades, actualizaciones, contenido formativo o promociones, exclusivamente previa solicitud o consentimiento expreso e inequívoco del interesado, con posibilidad de oposición en cualquier momento.

4. Base jurídica del tratamiento

Las bases jurídicas que legitiman cada uno de los tratamientos descritos son las siguientes:

  • Ejecución del contrato (artículo 6.1.b RGPD): aplicable a la prestación del servicio SaaS, la gestión de la cuenta del dietista, la facturación y el soporte técnico necesarios para el cumplimiento del contrato suscrito con el usuario.
  • Cumplimiento de una obligación legal (artículo 6.1.c RGPD): aplicable a la conservación de información contable y fiscal exigida por la normativa española (en particular, Ley General Tributaria y Código de Comercio).
  • Interés legítimo (artículo 6.1.f RGPD): aplicable a la seguridad de los sistemas, la prevención del fraude y la analítica interna anonimizada para mejora del producto, previa ponderación documentada de los intereses, derechos y libertades del interesado.
  • Consentimiento (artículo 6.1.a RGPD): aplicable a las comunicaciones comerciales, cookies no esenciales, integraciones opcionales con servicios externos y cualquier tratamiento que exceda la ejecución del contrato. El consentimiento puede ser retirado en cualquier momento, sin afectar a la licitud del tratamiento previo a su retirada.

5. Categorías de datos tratados

En el ámbito de la relación con el dietista usuario (no con sus pacientes), se tratan las siguientes categorías:

  • Datos identificativos: nombre, apellidos, correo electrónico, teléfono, contraseña cifrada.
  • Datos profesionales: número de colegiado, colegio profesional, especialidad, formación.
  • Datos económicos: dirección de facturación, NIF, datos de medio de pago (gestionados a través del proveedor de pagos, sin almacenamiento directo de números completos de tarjeta por parte del prestador).
  • Datos de conexión y uso: direcciones IP, identificadores de sesión, marcas de tiempo de acceso, navegador, dispositivo.

Datos clínicos de pacientes. Los datos de salud de los pacientes del dietista (datos de categoría especial conforme al artículo 9 RGPD) son introducidos por el dietista en su condición de profesional sanitario y responsable del tratamiento. Nutriapp Pro accede a dichos datos exclusivamente como encargado del tratamiento, en los términos previstos en el DPA, y aplica medidas técnicas y organizativas reforzadas: cifrado en tránsito (TLS) y en reposo, control de acceso por roles, registro de auditoría y mecanismos de exportación y supresión.

6. Plazos de conservación

Los datos personales se conservarán mientras se mantenga la relación contractual con el dietista usuario y, una vez finalizada, durante el plazo de cinco (5) años, exclusivamente para la atención de posibles responsabilidades legales, contables y fiscales, conforme a la normativa española aplicable. Transcurridos dichos plazos, los datos serán suprimidos o anonimizados de forma irreversible.

Los datos clínicos de los pacientes tratados como encargado del tratamiento se conservarán según las instrucciones del dietista responsable, con respeto a la normativa sanitaria que le resulte de aplicación (en particular, Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica).

7. Destinatarios y encargados del tratamiento

El prestador comunica los datos personales únicamente a las administraciones competentes en cumplimiento de obligaciones legales y a los siguientes encargados de tratamiento, debidamente vinculados mediante contrato conforme al artículo 28 RGPD:

  • Supabase, Inc. (Estados Unidos) — proveedor de base de datos PostgreSQL gestionada y servicios de autenticación. Las transferencias internacionales se amparan en las Cláusulas Contractuales Tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea y en medidas complementarias documentadas. Si la infraestructura del cliente se ubica en la Unión Europea, la transferencia internacional puede no resultar necesaria.
  • Vercel Inc. (Estados Unidos / red global de CDN) — proveedor de alojamiento y red de distribución de contenido. Transferencia internacional amparada por Cláusulas Contractuales Tipo y por el marco UE-EE.UU. (Data Privacy Framework, en lo aplicable).
  • Resend, Inc. (Estados Unidos / Unión Europea) — proveedor de envío de correo electrónico transaccional. Cláusulas Contractuales Tipo aplicables.
  • OpenAI, OpCo LLC (Estados Unidos) — proveedor opcional de servicios de inteligencia artificial para funcionalidades concretas (por ejemplo, análisis de imágenes de comida). El tratamiento se realiza sin reentrenamiento sobre los datos del cliente. Cláusulas Contractuales Tipo aplicables.
  • Stripe Payments Europe Ltd. (Dublín, Irlanda): procesa pagos y suscripciones recurrentes del dietista. Almacena datos identificativos y de facturación necesarios para emitir facturas (no almacena datos clínicos de pacientes). Cumple PCI-DSS Level 1. Transferencias a Estados Unidos amparadas por Cláusulas Contractuales Tipo (SCCs) Art. 46 RGPD. Política de privacidad de Stripe.

La relación de encargados puede actualizarse, en cuyo caso se informará al usuario con antelación razonable, garantizando en todo caso un nivel de protección equivalente.

8. Transferencias internacionales de datos

Determinados encargados del tratamiento se encuentran ubicados fuera del Espacio Económico Europeo. En tales casos, las transferencias internacionales se realizan exclusivamente al amparo de las garantías previstas en el Capítulo V del RGPD, en particular:

  • Decisiones de adecuación (artículo 45 RGPD), cuando resulten aplicables.
  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (artículo 46.2.c RGPD).
  • Medidas complementarias técnicas y organizativas, conforme a las recomendaciones del Comité Europeo de Protección de Datos (cifrado, pseudonimización, evaluaciones de impacto de transferencias).

El usuario puede solicitar información detallada sobre las garantías concretas aplicables a cada transferencia escribiendo al Delegado de Protección de Datos en dpo@nutriapp.local.

9. Derechos del interesado

El interesado puede ejercer en todo momento los derechos reconocidos por el RGPD y la LOPDGDD, en particular:

  • Derecho de acceso: obtener confirmación sobre si se están tratando o no datos personales que le conciernan y, en tal caso, acceder a dichos datos y a la información relevante sobre el tratamiento.
  • Derecho de rectificación: obtener la rectificación de los datos inexactos o incompletos.
  • Derecho de supresión ("derecho al olvido"): obtener la supresión de los datos cuando concurra alguna de las circunstancias del artículo 17 RGPD.
  • Derecho a la limitación del tratamiento: obtener la limitación del tratamiento en los supuestos del artículo 18 RGPD.
  • Derecho a la portabilidad: recibir los datos en formato estructurado, de uso común y lectura mecánica, así como transmitirlos a otro responsable.
  • Derecho de oposición: oponerse al tratamiento basado en interés legítimo o en finalidades de mercadotecnia directa.
  • Decisiones automatizadas: no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente.
  • Retirada del consentimiento: en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

Estos derechos pueden ejercerse mediante comunicación escrita dirigida a dpo@nutriapp.local, acompañando copia de un documento identificativo cuando resulte necesario para verificar la identidad del solicitante. La entidad responderá en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable hasta dos meses adicionales en supuestos de especial complejidad.

Asimismo, el interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con domicilio en C/ Jorge Juan, 6, 28001 Madrid, o a través de su sede electrónica accesible en www.aepd.es, si considera que el tratamiento de sus datos infringe la normativa vigente.

10. Medidas de seguridad

El prestador aplica medidas técnicas y organizativas apropiadas, conforme al artículo 32 RGPD y al Esquema Nacional de Seguridad cuando resulte aplicable, para garantizar un nivel de seguridad adecuado al riesgo. Estas medidas incluyen, sin carácter exhaustivo: cifrado de datos en tránsito (TLS 1.2+) y en reposo, control de acceso basado en roles, autenticación con contraseñas robustas y mecanismos de limitación de intentos, registro de auditoría (audit log), copias de seguridad periódicas, pruebas de recuperación, segregación de entornos y procedimientos formales de gestión de incidentes.

En caso de violación de la seguridad que afecte a datos personales, el prestador notificará a la AEPD en un plazo máximo de 72 horas desde su conocimiento efectivo, conforme al artículo 33 RGPD, y, cuando corresponda, comunicará la violación a los interesados afectados en los términos del artículo 34 RGPD.

11. Menores de edad

El servicio está dirigido a profesionales mayores de edad. No se recogen intencionadamente datos de menores de catorce (14) años sin el consentimiento de quienes ostenten la patria potestad o tutela, conforme al artículo 7 de la LOPDGDD. Cuando el dietista trate datos de menores en su condición de profesional sanitario, será responsable de obtener las autorizaciones que resulten necesarias.

12. Modificaciones

La presente Política de Privacidad podrá ser actualizada para adaptarla a la normativa vigente, a las recomendaciones de las autoridades de control o a los cambios funcionales del servicio. Las modificaciones sustanciales serán comunicadas a los usuarios con antelación razonable a través de los canales habituales de comunicación.

Volver al inicio·DPA·Política de cookies