Saltar al contenido principal

Conformidad RGPD

Marco de cumplimiento de Terapli con la regulación de protección de datos y privacidad aplicable.

Última actualización: Marzo de 2026

Compromiso de Terapli con el cumplimiento

Terapli asume el compromiso de cumplir íntegramente con toda la regulación aplicable en materia de protección de datos personales y privacidad. Dado que nuestra plataforma procesa datos de carácter especial (datos de salud mental), aplicamos medidas de seguridad y procedimientos que exceden los requisitos mínimos legales para garantizar que los datos de tus pacientes están protegidos bajo los más altos estándares internacionales.

Este documento detalla el marco legal, organizativo y técnico que sustenta nuestra operación conforme a RGPD y legislación española.

1. Marco legal aplicable

Terapli cumple con la siguiente regulación:

Reglamento (UE) 2016/679 (RGPD)

Regulación fundamental sobre la protección de personas físicas en lo que respecta al tratamiento de datos personales. Establece derechos de los interesados y obligaciones de responsables y encargados.

Ley Orgánica 3/2018 (LOPDGDD)

Normativa española de protección de datos que desarrolla y complementa el RGPD. Establece mecanismos de aplicación en el contexto nacional, incluyendo competencias de la AEPD.

Ley 34/1988 (LSSI-CE)

Ley sobre Servicios de la Sociedad de la Información y Comercio Electrónico. Regula aspectos de cookies, comunicaciones electrónicas y seguridad de servicios digitales.

Ley 41/2002 (Ley de Autonomía del Paciente)

Regulación específica sobre protección de datos de salud en España. Establece requisitos particulares para el tratamiento de información sanitaria.

Real Decreto 1720/2007 (RLOPD)

Reglamento de desarrollo de la anterior ley de protección de datos. Regula aspectos procedimentales y medidas de seguridad.

2. Roles y responsabilidades en Terapli

Terapli actúa en diferentes funciones según el contexto de tratamiento:

Responsable del tratamiento (Controlador)

Para datos de tu cuenta de terapeuta (correo, perfil, datos de facturación, uso de la plataforma), Terapli actúa como responsable del tratamiento. Esto significa que:

  • Determinamos los fines y medios del tratamiento
  • Somos responsables ante ti y ante la autoridad de control
  • Garantizamos el cumplimiento de derechos de acceso, rectificación, etc.
  • Disponemos de una Política de Privacidad específica para estos datos

Encargado del tratamiento (Procesador)

Para datos clínicos de tus pacientes (notas de sesión, evaluaciones, tratamientos), Terapli actúa como encargado de tratamiento por mandato del terapeuta. Esto significa que:

  • Procesamos datos únicamente siguiendo tus instrucciones
  • Tú (el terapeuta) eres el responsable ante los pacientes
  • Disponemos de un Contrato de Encargo de Tratamiento (DPA)
  • Implementamos medidas técnicas y organizativas especiales para datos de salud
  • No podemos usar los datos con otros fines sin tu consentimiento

Nota importante: Es tu responsabilidad como terapeuta obtener el consentimiento informado de tus pacientes para el almacenamiento de datos en Terapli. Terapli facilita las herramientas para ello.

Tú como terapeuta: Responsable de datos de pacientes

Como usuario de Terapli, tú eres el responsable del tratamiento de los datos de tus pacientes. Terapli es tu encargado. Esto significa que tienes la obligación de:

  • Obtener consentimiento informado de los pacientes
  • Informarles de cómo se usan sus datos (mediante cláusula de privacidad)
  • Asegurar que el consentimiento es libre, específico, informado e inequívoco
  • Mantener registros de consentimiento
  • Responder a solicitudes de derechos de los pacientes

3. Registro de Actividades de Tratamiento (RAT)

Conforme al artículo 30 del RGPD, Terapli mantiene un registro documentado de sus actividades de tratamiento. Este registro incluye:

  • Identificación del responsable y encargados del tratamiento
  • Categorías de datos procesados (datos de cuenta, datos clínicos, logs de acceso)
  • Finalidades del tratamiento para cada categoría
  • Bases legales del tratamiento
  • Categorías de destinatarios (incluidos subencargados)
  • Plazos de conservación de datos
  • Descripción de medidas técnicas y organizativas

Este registro está disponible para auditorías por parte de la AEPD u otras autoridades competentes.

4. Evaluación de Impacto en la Privacidad (DPIA)

Conforme al artículo 35 del RGPD, Terapli ha realizado una Evaluación de Impacto en la Privacidad (DPIA) para el tratamiento de datos de salud mental. Esta evaluación cubre:

Necesidad y proporcionalidad

Análisis de si el tratamiento es necesario para el fin perseguido y si es proporcional.

Riesgos para derechos y libertades

Identificación de riesgos derivados del tratamiento de datos sensibles de salud mental.

Medidas de mitigación

Especificación de medidas técnicas y organizativas implementadas para reducir riesgos.

Consulta con AEPD

Cuando sea obligatorio, Terapli consulta con la Autoridad Española de Protección de Datos antes de implementar nuevos tratamientos de alto riesgo.

La DPIA de Terapli concluye que, con la implementación de las medidas especificadas, el riesgo para derechos y libertades es aceptable y mitigado.

5. Delegado de Protección de Datos (DPO)

Terapli ha designado un Delegado de Protección de Datos (Data Protection Officer) conforme al artículo 37 del RGPD:

Contacto del DPO

Nombre: Dieter José Lorenzo Molina

Email: dpo@terapli.com

Puedes contactar con el DPO para cualquier cuestión relativa a privacidad, ejercicio de derechos o denuncias sobre incumplimiento de RGPD.

6. Medidas técnicas y organizativas

Cifrado de datos

  • En reposo: AES-256 para todos los datos almacenados
  • En tránsito: TLS 1.3 para todas las conexiones HTTPS
  • Copias de seguridad: Cifradas con AES-256

Control de acceso

  • RBAC: Control de roles y permisos a nivel de aplicación
  • RLS: Row Level Security en base de datos (PostgreSQL) para aislar datos entre terapeutas
  • Autenticación: Contraseñas hasheadas con bcrypt, disponible autenticación multifactor (MFA)
  • Sesiones: Gestión segura de sesiones con tokens JWT con expiración

Seguridad de aplicación

  • CSP: Content Security Policy para prevenir XSS
  • HSTS: HTTP Strict Transport Security para prevenir downgrade attacks
  • CSRF: Tokens anti-CSRF en formularios
  • Validación: Validación e higienización de inputs en servidor
  • Dependencias: Escaneo continuo de vulnerabilidades en librerías

Logging y auditoría

  • Registro de todos los accesos a datos de salud
  • Logs de cambios en registros clínicos
  • Seguimiento de logins exitosos y fallidos
  • Retención de logs por al menos 12 meses

Copias de seguridad y recuperación

  • Frecuencia: Copias diarias automatizadas
  • Ubicación: Almacenadas en la UE (Supabase en Irlanda)
  • Cifrado: Todas las copias cifradas con AES-256
  • RPO/RTO: Recuperación punto en tiempo disponible
  • Pruebas: Pruebas mensuales de restauración

7. Subencargados de tratamiento

Terapli utiliza servicios de terceros (subencargados) para ciertos aspectos de la operación. Todos ellos están sujetos a contratos de tratamiento de datos:

ProveedorUbicaciónFunciónAcuerdo
Supabase Inc.Irlanda (eu-west-1)Base de datos PostgreSQL, AuthDPA + EU SCCs
Vercel Inc.Múltiples (UE)Alojamiento y CDNDPA + EU SCCs
Stripe Inc.EE.UU. (con centros UE)Procesamiento de pagosDPA + EU SCCs
Google LLCEE.UU.Google Analytics (opcional)DPA + EU SCCs

Nota: Todos los subencargados cumplen con el RGPD a través de Cláusulas Contractuales Estándar (EU SCCs) y, donde aplica, el Escudo de Privacidad UE-EE.UU. Se ha evaluado que no existe riesgo inadecuado derivado de las transferencias internacionales.

8. Transferencias internacionales de datos

Terapli minimiza las transferencias internacionales de datos de salud. Cuando se requieren:

Base de datos (Supabase)

Alojada en Frankfurt, Alemania (UE). NO hay transferencia internacional de datos clínicos.

CDN y Hosting (Vercel)

Usa centros en la UE. No se transfieren datos clínicos, únicamente código y assets estáticos.

Pagos (Stripe)

Stripe es certificado bajo EU SCCs. Se transfieren únicamente datos de pago, no datos clínicos.

Analytics (Google - Opcional)

Solo si aceptas. No incluye datos clínicos, únicamente comportamiento de uso agregado. Protegido por EU SCCs y Escudo de Privacidad.

9. Procedimiento de respuesta ante brechas de datos

En caso de una brecha de seguridad que afecte a datos personales, Terapli implementa el siguiente procedimiento conforme al artículo 33 del RGPD:

1

Detección (Inmediato)

Sistemas de monitoreo detectan la brecha. Se inicia investigación inmediata.

2

Contención (Primeras horas)

Se aísla el problema, se detiene el acceso no autorizado, se evalúa el alcance de la brecha.

3

Evaluación (En curso)

Se analiza si hay riesgo para derechos y libertades. Se documentan los hechos.

4

Notificación a AEPD (Dentro de 72 horas)

Si hay riesgo, notificamos a la Autoridad Española de Protección de Datos dentro del plazo legal, incluyendo detalles de la brecha y medidas tomadas.

5

Notificación a afectados (Sin demora)

Si hay alto riesgo, los terapeutas y, a través de ellos, los pacientes son notificados sin demora, con información clara sobre la naturaleza de la brecha.

6

Post-mortem y Mejora (Posterior)

Se realiza análisis de causas raíz e implementan medidas preventivas para evitar incidentes similares.

10. Procedimiento de ejercicio de derechos

Los pacientes (interesados) tienen derechos sobre sus datos. Los terapeutas pueden facilitar el ejercicio de estos derechos a través de Terapli, y Terapli responde a solicitudes legítimas:

Derecho de acceso (Art. 15)

El paciente puede solicitar una copia de sus datos. Terapli lo facilita a través de descarga en el perfil del terapeuta.

Derecho de rectificación (Art. 16)

El paciente puede corregir datos inexactos. Disponible a través de la interfaz de usuario cuando el terapeuta lo autoriza.

Derecho al olvido (Art. 17)

En ciertos casos, los datos pueden ser eliminados. Se requiere evaluación conforme a la ley de autonomía del paciente.

Derecho de limitación (Art. 18)

El paciente puede solicitar que sus datos se marquen como restringidos.

Derecho a la portabilidad (Art. 20)

El paciente puede solicitar sus datos en formato estructurado. Terapli facilita exportación en formato JSON o CSV.

Derecho de oposición (Art. 21)

El paciente puede oponerse a ciertos tratamientos. Terapli respeta estas decisiones inmediatamente.

Procedimiento de respuesta

Las solicitudes de derechos deben dirigirse a dpo@terapli.com. Terapli responde dentro del plazo legal (generalmente 30 días calendario) de forma gratuita.

11. Mejora continua y auditoría

Terapli se compromete a la mejora continua de su cumplimiento con RGPD:

  • Auditorías internas trimestrales de cumplimiento
  • Revisión anual de medidas técnicas y organizativas
  • Evaluación regular de riesgos y necesidad de nuevas DPIAs
  • Capacitación de personal en privacidad y protección de datos
  • Participación en iniciativas de transparencia del sector
  • Colaboración con autoridades de control en investigaciones

Contacto y denuncias

Para cuestiones de privacidad, conformidad o denuncias de incumplimiento de RGPD:

Terapli - Equipo de Privacidad

hola@terapli.com

Delegado de Protección de Datos (DPO)

dpo@terapli.com

Autoridad Española de Protección de Datos (AEPD)

Si consideras que Terapli ha incumplido el RGPD, puedes presentar una denuncia ante la AEPD de forma gratuita.

www.aepd.es

Documentos relacionados

Volver al inicio