Política de Privacidad
Terapli — Plataforma de Gestión Clínica para Profesionales de Salud Mental
Última actualización: Marzo de 2026
Índice de contenidos
1. Identidad del Responsable del Tratamiento
Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD), le informamos sobre el tratamiento de sus datos personales:
| Responsable del tratamiento: | Karem Peña Marcano (persona autónoma) |
| NIF: | 35717628P |
| Domicilio: | Calle Vereda del Prado 42, Ciempozuelos, Madrid, España |
| Correo electrónico: | hola@terapli.com |
| Dominio: | terapli.com |
Nota importante sobre roles de responsabilidad: Terapli actúa en diferentes roles según el tipo de dato:
- Como Responsable del Tratamiento respecto a datos de profesionales (terapeutas) y datos de cuenta de usuario.
- Como Encargado del Tratamiento respecto a datos de pacientes/clientes de los terapeutas, actuando conforme al artículo 28 del RGPD.
2. Delegado de Protección de Datos (DPO)
Hemos designado un Delegado de Protección de Datos conforme al artículo 37 del RGPD. Puede contactar con él para cualquier cuestión relacionada con el tratamiento de datos personales:
| Nombre: | Dieter José Lorenzo Molina |
| Correo electrónico: | dpo@terapli.com |
Le responderemos a su solicitud en un plazo máximo de 30 días naturales desde su recepción.
3. Categorías de Datos Personales que Recabamos
Recabamos distintas categorías de datos según su relación con Terapli. A continuación se detallan:
3.1 Datos de Profesionales (Terapeutas/Usuarios)
| Categoría | Descripción |
|---|---|
| Datos de Identidad | Nombre completo, NIF/CIF, email, número de teléfono |
| Datos Profesionales | Número de colegiación, especialidad, credenciales profesionales, certificaciones, ubicación de consulta |
| Datos Financieros | Información de facturación, IBAN para transferencias, histórico de pagos (Stripe no almacena números de tarjeta) |
| Foto de Perfil | Imagen de perfil opcional para identificación |
| Registros de Actividad | Logs de acceso, IP, hora de conexión, acciones realizadas en la plataforma |
3.2 Datos de Pacientes/Clientes (Tratados como Encargado)
Categorías Especiales de Datos (Artículo 9 RGPD)
| Categoría | Descripción |
|---|---|
| Datos de Contacto | Nombre, email, teléfono del paciente (únicamente proporcionados por el terapeuta) |
| Datos de Salud | Notas clínicas, diagnósticos, planes de tratamiento, historial de sesiones, evaluaciones psicológicas |
| Datos Biométricos de Salud Mental | Seguimiento emocional, cuestionarios de bienestar, escalas de síntomas, evolución del estado de ánimo |
| Datos de Comunicación | Mensajes entre terapeuta y paciente dentro de la plataforma, transcripción de sesiones (si aplica) |
| Datos de Cita | Historial de citas, fechas de sesiones, duración, notas post-sesión |
| Datos Demográficos | Edad, género, situación familiar, datos socieconómicos relevantes para el tratamiento |
Aclaración legal: Los datos de pacientes son categorías especiales de datos personales conforme al artículo 9 del RGPD. Terapli actúa como Encargado del Tratamiento bajo instrucción del terapeuta (Responsable) y no posee los derechos de decisión sobre estos datos.
3.3 Datos Técnicos e Información de Navegación
| Categoría | Descripción |
|---|---|
| Datos de Conexión | Dirección IP, tipo y versión del navegador, sistema operativo, dispositivo utilizado |
| Cookies y Identificadores | Identificadores de sesión, tokens de autenticación, preferencias de usuario |
| Datos de Uso | Páginas visitadas, funcionalidades utilizadas, duración de sesiones, análisis de comportamiento |
| Datos Analíticos | Información sobre rendimiento de la plataforma, eventos de uso, errores técnicos |
4. Finalidades del Tratamiento de Datos
Sus datos personales serán utilizados para las siguientes finalidades:
4.1 Gestión de Cuenta y Prestación del Servicio
Creación y mantenimiento de su cuenta de usuario, acceso a la plataforma, almacenamiento seguro de sus datos clínicos (para terapeutas), gestión de perfiles y configuración de preferencias.
Base legal: Art. 6.1.b RGPD (ejecución de contrato)
4.2 Facturación e Invoicing
Generación de facturas, cobro de suscripciones, control de pagos y gestión financiera de su cuenta. Terapli utiliza Stripe como procesador de pagos.
Base legal: Art. 6.1.b RGPD (contrato) + Art. 6.1.c RGPD (obligación legal - código tributario)
4.3 Mejora de la Plataforma y Análisis de Uso
Análisis de datos de navegación para mejorar funcionalidades, detectar errores, optimizar el rendimiento y comprender cómo se utiliza la plataforma. Se realiza análisis agregado y anonimizado cuando es posible.
Base legal: Art. 6.1.f RGPD (interés legítimo en mejorar servicios)
4.4 Comunicaciones y Atención al Cliente
Envío de notificaciones sobre su cuenta, respuesta a consultas de soporte, notificaciones de seguridad, actualizaciones de la plataforma y comunicaciones relacionadas con el servicio.
Base legal: Art. 6.1.b RGPD (contrato) + Art. 6.1.f RGPD (interés legítimo)
4.5 Cumplimiento de Obligaciones Legales
Conservación de registros de auditoría, cumplimiento de obligaciones fiscales, respuesta a requerimientos de autoridades competentes y protección de derechos.
Base legal: Art. 6.1.c RGPD (obligación legal)
4.6 Procesamiento de Datos de Pacientes (Para Terapeutas)
Almacenamiento seguro de notas clínicas, historiales de pacientes, gestión de citas y comunicación terapeuta-paciente conforme a las instrucciones del profesional (Responsable del tratamiento).
Base legal: Art. 28 RGPD (relación procesador-responsable) + Art. 9.2.h RGPD (datos de salud en ejercicio profesional médico)
4.7 Seguridad y Detección de Fraude
Prevención de acceso no autorizado, detección de actividades fraudulentas o maliciosas, protección de la integridad y disponibilidad de la plataforma.
Base legal: Art. 6.1.f RGPD (interés legítimo en seguridad)
5. Base Legal para el Tratamiento de Datos
Conforme al artículo 6 del RGPD, Terapli únicamente realiza tratamientos de datos personales cuando existe una base legal que lo justifica. A continuación se detallan las bases utilizadas:
| Tratamiento | Base Legal |
|---|---|
| Creación de cuenta y acceso | Art. 6.1.b RGPD (ejecución de contrato de prestación de servicios) |
| Facturación y pagos | Art. 6.1.b RGPD (contrato) + Art. 6.1.c RGPD (obligación legal fiscal y contable) |
| Análisis de uso y mejora | Art. 6.1.f RGPD (interés legítimo: mejorar servicios, detectar problemas técnicos) |
| Comunicaciones de servicio | Art. 6.1.b RGPD (contrato) + Art. 6.1.f RGPD (interés legítimo en mantener relación con usuario) |
| Cumplimiento de obligaciones legales | Art. 6.1.c RGPD (obligación legal: tributaria, administrativa, penal) |
| Seguridad y detección de fraude | Art. 6.1.f RGPD (interés legítimo: proteger plataforma y usuarios) |
| Procesamiento de datos clínicos/sanitarios | Art. 28 RGPD (encargo de tratamiento) + Art. 9.2.h RGPD (datos de salud en ejercicio profesión médica/psicológica) |
Datos Especiales de Salud (Artículo 9 RGPD)
El tratamiento de datos clínicos y sanitarios (categoría especial del artículo 9 del RGPD) se justifica por:
- Art. 9.2.h RGPD: Datos procesados en el ejercicio de la profesión médica, psicológica o de salud mental por profesionales sujetos al secreto profesional.
- Art. 28 RGPD: Terapli actúa bajo instrucción escrita del terapeuta (Responsable del tratamiento), quien determina finalidades y medios de procesamiento.
- Ley 41/2002 (Ley básica reguladora de la autonomía del paciente): Conservación de historiales clínicos conforme a normativa sanitaria española.
Interés legítimo (Art. 6.1.f): Cuando se invoca esta base legal, Terapli ha realizado una evaluación de intereses para equilibrar la necesidad de mejorar servicios, detectar problemas técnicos y mantener la seguridad frente a los derechos de los usuarios. Esta evaluación está disponible bajo solicitud.
6. Destinatarios de Datos y Encargados del Tratamiento
Los datos personales se comparten únicamente con terceros cuando es necesario para la prestación del servicio. Los siguientes son los principales destinatarios y encargados del tratamiento:
Supabase (Proveedor de Base de Datos)
| Ubicación: | Irlanda (eu-west-1) con infraestructura AWS |
| Rol: | Encargado del Tratamiento (Art. 28 RGPD) |
| Datos procesados: | Todos los datos personales: datos profesionales, datos de pacientes, datos de sesiones clínicas |
| Acuerdo: | Data Processing Agreement (DPA) suscrito conforme a Art. 28 RGPD |
Supabase proporciona bases de datos PostgreSQL gestionadas con encriptación en tránsito (TLS 1.3) y en reposo. Todos los datos clínicos se almacenan en servidores ubicados dentro del Espacio Económico Europeo.
Vercel (Hosting y CDN)
| Ubicación: | Múltiples ubicaciones en EEA y globalmente para CDN |
| Rol: | Encargado del Tratamiento (Art. 28 RGPD) |
| Datos procesados: | Frontend, assets estáticos, logs de acceso, datos técnicos (IP, User-Agent) |
| Acuerdo: | Data Processing Agreement (DPA) suscrito conforme a Art. 28 RGPD |
Stripe (Procesador de Pagos)
| Ubicación: | Estados Unidos con centros en Europa (Art. 44-49 RGPD) |
| Rol: | Encargado del Tratamiento (Art. 28 RGPD) |
| Datos procesados: | Email, nombre, información de facturación. NO almacena números de tarjeta (PCI-DSS Level 1) |
| Acuerdo: | DPA suscrito. Transferencias bajo EU-US Data Privacy Framework y Cláusulas Contractuales Tipo (SCCs) |
Stripe es procesador de pagos certificado PCI-DSS Level 1. Terapli nunca tiene acceso a números de tarjeta de crédito. Stripe opera bajo garantías de privacidad y acuerdos de procesamiento de datos internacionalmente reconocidos.
Google Analytics (Análisis, Consentimiento Requerido)
| Ubicación: | Estados Unidos (bajo EU-US DPF y SCCs) |
| Rol: | Encargado del Tratamiento |
| Datos procesados: | ID anónimo, eventos de uso, páginas visitadas, duración de sesión (datos anonimizados) |
| Consentimiento: | Requerido. Ver Política de Cookies |
Google Analytics se utiliza únicamente si el usuario ha otorgado consentimiento expreso mediante la Política de Cookies. Los datos se anoniman cuando es posible.
Resend / Proveedor de Email (Comunicaciones Transaccionales)
| Rol: | Encargado del Tratamiento |
| Datos procesados: | Email, nombre, contenido de notificaciones de cuenta |
| Acuerdo: | DPA suscrito conforme a Art. 28 RGPD |
Datos de Pacientes: Los datos clínicos de pacientes permanecen dentro de la plataforma Terapli salvo que el terapeuta (Responsable) haya otorgado instrucciones específicas para compartirlos con terceros. Terapli no comparte datos de pacientes con destinatarios no autorizados.
Prohibición de otras transferencias: Terapli no comparte sus datos con fines de marketing, publicidad o con terceros no mencionados sin su consentimiento previo, excepto cuando sea requerido por ley.
7. Transferencias Internacionales de Datos
Algunos de los proveedores de servicios de Terapli operan fuera del Espacio Económico Europeo (EEA). En estos casos, se implementan las siguientes medidas para garantizar la protección adecuada:
Transferencia a Stripe (EE.UU.)
| Mecanismo de transferencia: | EU-US Data Privacy Framework (DPF) + Cláusulas Contractuales Tipo (SCCs) |
| Datos transferidos: | Email, nombre, información de facturación (excluyendo números de tarjeta) |
| Duración: | Mientras sea cliente de Terapli + 4 años por obligaciones fiscales |
| Documentación: | DPA disponible bajo solicitud a dpo@terapli.com |
Transferencia a Google Analytics (EE.UU., Consentimiento Requerido)
| Mecanismo: | EU-US DPF + SCCs + Anonimización |
| Consentimiento: | Sujeto a consentimiento previo (Política de Cookies) |
| Derechos: | Puede retirar el consentimiento en cualquier momento |
Datos Dentro del EEA
Los datos almacenados en Supabase (ubicación principal de datos clínicos) residen íntegramente en servidores dentro del EEA (Irlanda, eu-west-1). No hay transferencias internacionales para datos clínicos sanitarios a menos que el terapeuta proporcione instrucción específica.
Derechos ante transferencias: Conforme al artículo 44 del RGPD, tiene derecho a solicitar información sobre los mecanismos de transferencia y los niveles de protección de datos. Contacte a dpo@terapli.com para más información.
8. Plazos de Conservación de Datos
Los datos personales se conservarán únicamente el tiempo necesario para cumplir las finalidades para las que fueron recabados o mientras sea obligatorio por ley. Los siguientes son los plazos aplicables:
| Categoría de Datos | Plazo de Conservación |
|---|---|
| Datos de cuenta profesional | Duración del contrato de suscripción + 5 años (plazo de prescripción civil, Art. 1969 CC) |
| Datos clínicos de pacientes | Según instrucciones del terapeuta (Responsable) + mínimo conforme a Ley 41/2002 (mínimo 5 años tras última atención) |
| Facturas e información financiera | 4 años (obligación fiscal, Art. 25 Ley 37/1988) |
| Registros de auditoría (logs) | 12 meses (seguridad y detección de anomalías) |
| Datos analíticos (anonimizados) | 26 meses (conforme a recomendaciones AEPD para Google Analytics) |
| Cookies de sesión | Duración de la sesión (se eliminan al cerrar navegador) |
| Cookies persistentes (preferencias) | 12 meses (sujeto a consentimiento continuo) |
Eliminación de Datos
Al finalizar la suscripción, Terapli:
- Mantiene los datos durante el período de 5 años establecido por prescripción civil.
- Para datos clínicos, sigue las instrucciones del terapeuta sobre conservación, conforme a la Ley 41/2002.
- Permite la exportación de datos antes de la eliminación definitiva (ver sección Derechos).
- Procede a eliminación segura mediante sobrescritura de sectores o destrucción criptográfica tras expiración de plazos.
9. Sus Derechos conforme al RGPD
Conforme a los artículos 15 a 22 del RGPD, usted tiene los siguientes derechos:
Derecho de Acceso (Art. 15 RGPD)
Tiene derecho a obtener confirmación de si sus datos personales están siendo tratados y, en su caso, acceder a una copia de los mismos en formato legible y estructurado.
Puede solicitar acceso a todos sus datos en todo momento contactando a dpo@terapli.com.
Derecho de Rectificación (Art. 16 RGPD)
Tiene derecho a rectificar datos inexactos o incompletos. Puede actualizar su información de perfil directamente en la plataforma.
Para cambios que requieren verificación adicional, contacte al equipo de soporte: hola@terapli.com
Derecho al Olvido / Eliminación (Art. 17 RGPD)
Tiene derecho a solicitar la eliminación de sus datos personales en determinadas circunstancias, como cuando los datos ya no son necesarios para los fines originales.
Limitaciones: No podemos eliminar datos mientras existan obligaciones legales (facturación, prescripción civil). Para datos clínicos de pacientes, la decisión corresponde al terapeuta (Responsable).
Solicite la eliminación contactando a dpo@terapli.com especificando qué datos desea eliminar.
Derecho de Limitación del Tratamiento (Art. 18 RGPD)
Puede solicitar que limitemos el procesamiento de sus datos si, por ejemplo, cuestiona la exactitud de los datos durante el período de verificación.
Contacte a dpo@terapli.com para solicitar limitación. Continuaremos conservando sus datos pero no los procesaremos para otros fines.
Derecho de Portabilidad (Art. 20 RGPD)
Tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y legible por máquina, y a transmitirlos a otro responsable sin obstáculos.
Solicite la exportación de sus datos contactando a dpo@terapli.com. Le proporcionaremos un archivo JSON o CSV con toda su información.
Derecho de Oposición (Art. 21 RGPD)
Tiene derecho a oponerse al tratamiento de sus datos cuando se basa en interés legítimo (Art. 6.1.f). Debemos detener el procesamiento salvo razones imperiosas.
Limitaciones: No puede oponerse al tratamiento necesario para ejecutar el contrato de servicios (acceso a plataforma, facturación, obligaciones legales).
Derecho a No Estar Sujeto a Decisiones Automatizadas (Art. 22 RGPD)
Tiene derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que le afecten legalmente.
Terapli no utiliza perfilado o decisiones automatizadas que afecten legalmente a usuarios. Las decisiones sobre acceso se basan en revisión humana.
Derecho a Retirar el Consentimiento
Si el tratamiento se basa en consentimiento (ej. cookies de análisis), puede retirarlo en cualquier momento sin afectar la legalidad de anteriores procesamientos.
Puede retirar el consentimiento a cookies desde la Política de Cookies o contactando a hola@terapli.com.
10. Cómo Ejercer Sus Derechos
Para ejercer cualquiera de los derechos anteriores, puede:
Por teléfono / Contacto directo:
Contacte a través de hola@terapli.com para coordinar una solicitud formal
Información que debe incluir:
- Su nombre completo y datos de identificación
- Email o teléfono de contacto
- Descripción clara del derecho que desea ejercer
- Datos personales específicos a los que se refiere (si procede)
- Copia de documento de identidad (NIF, pasaporte)
- Cualquier información que facilite la búsqueda de sus datos
Plazos de respuesta:
| Plazo estándar: | 30 días naturales desde la recepción de su solicitud |
| Extensión: | Hasta 60 días en caso de solicitudes complejas (informaremos del motivo) |
Verificación de identidad: Para proteger su privacidad, verificaremos su identidad antes de atender solicitudes. Esto es obligatorio conforme al RGPD.
11. Notificación de Brechas de Seguridad
En caso de que ocurra una brecha de seguridad que afecte a datos personales, Terapli cumple con las obligaciones de notificación establecidas en el RGPD:
Plazo de Notificación
- 72 horas: Notificación a la Autoridad de Protección de Datos (AEPD) tras detectar la brecha
- Sin demora injustificada: Notificación a afectados si existe riesgo alto para sus derechos
- Excepción: Si los datos están encriptados o anonimizados adecuadamente, puede no ser necesaria notificación
Información que Incluiremos
- Naturaleza de la brecha (robo, acceso no autorizado, pérdida)
- Datos afectados (categorías y número aproximado de personas)
- Posibles consecuencias
- Medidas tomadas o que se van a tomar para remediar la situación
- Datos de contacto del DPO para más información
Prevención de Brechas
Terapli implementa medidas técnicas y organizativas para prevenir brechas de seguridad (ver sección 12). Sin embargo, entendemos que ningún sistema es 100% seguro. En caso de cualquier incidente, actúamos con máxima diligencia.
Para reportar una brecha de seguridad sospechada, contacte inmediatamente a dpo@terapli.com con detalles de la incidencia.
12. Medidas de Seguridad
Terapli implementa medidas técnicas y organizativas rigurosas para proteger los datos personales conforme al artículo 32 del RGPD:
Medidas Técnicas
Encriptación
- AES-256 en reposo para datos en base de datos
- TLS 1.3 en tránsito (todos los datos en movimiento)
- Certificados SSL/TLS válidos y actualizados
Integridad de Datos
- Copias de seguridad diarias en infraestructura EEA
- Redundancia geográfica en múltiples centros de datos
- Recuperación ante desastres probada
Control de Acceso
- RLS (Row Level Security) en base de datos
- RBAC (Role-Based Access Control) en aplicación
- Autenticación multifactor disponible
- Tokens JWT con expiración automática
Protección Web
- CSRF (Cross-Site Request Forgery) protection
- CSP (Content Security Policy) headers
- HSTS (HTTP Strict Transport Security)
- Protección contra inyección SQL
Auditoría
- Registros completos de acceso y modificaciones
- Monitoreo de eventos de seguridad 24/7
- Alertas automáticas ante anomalías
- Análisis de logs retroactivo
Seguridad Proactiva
- Escaneo de vulnerabilidades regular
- Pruebas de penetración periódicas
- Actualizaciones de seguridad automáticas
- Dependencias monitoreadas por vulnerabilidades
Medidas Organizativas
- Personas autorizadas: Acceso restringido a datos solo a empleados que lo necesiten para sus funciones
- Cláusulas de confidencialidad: Todo personal firmado bajo NDA (Acuerdos de Confidencialidad)
- Capacitación: Entrenamientos regulares en RGPD y protección de datos para todo equipo
- Procesos documentados: Políticas escritas sobre tratamiento de datos, incidentes y acceso
- Evaluación de impacto: DPIA (Data Protection Impact Assessment) realizado para procesamiento de datos de salud
- Evaluación de proveedores: Audit regular de encargados del tratamiento (Supabase, Vercel, Stripe)
- Procedimiento de brechas: Plan de respuesta documentado ante incidentes de seguridad
DPIA - Evaluación de Impacto en Protección de Datos
Se ha realizado una DPIA conforme al artículo 35 del RGPD para el tratamiento de datos de salud (Art. 9 RGPD). Esta evaluación analiza:
- Necesidad y proporcionalidad del tratamiento
- Riesgos para los derechos de afectados
- Medidas técnicas y organizativas implementadas
- Mecanismos de supervisión continua
La DPIA está disponible para consulta de autoridades. Contacte a dpo@terapli.com si desea información detallada.
Información Final Importante
- Cumplimiento legal: Esta Política cumple con el RGPD (UE 2016/679), LOPDGDD (LO 3/2018), LSSI-CE (Ley 34/1988) y Ley 41/2002.
- Obligación contratada: El cumplimiento de esta política es parte integral del contrato de prestación de servicios con Terapli.
- Idioma oficial: Esta política está redactada en español. Cualquier traducción es meramente informativa.
- Regulación aplicable: Esta Política se rige por la ley española y las leyes de la Unión Europea.
Última actualización:
Marzo de 2026
Si tiene preguntas sobre esta política, contacte a dpo@terapli.com