Información RGPD

La Política de privacidad explica cómo tratamos tus datos como profesional. Esta página cubre algo distinto y más técnico: la relación legal cuando tú metes en Holimata datos de tus clientes finales. En ese caso tú eres el responsable del tratamiento y Holimata actúa como encargado. El artículo 28 del Reglamento General de Protección de Datos (RGPD) exige que esa relación quede regulada por escrito — eso es exactamente lo que formaliza este documento.

Cuando registras un cliente, subes la transcripción de una sesión o pides a Hermes que redacte un mensaje, estás tratando datos personales de un tercero. Frente a ese cliente final:

• Tú eres el responsable del tratamiento. Decides qué datos recoges, con qué finalidad y con qué base legal. Eres quien debe informar a tu cliente y, cuando tu profesión lo exija, obtener su consentimiento.
• Holimata es el encargado del tratamiento. Procesamos esos datos únicamente por cuenta tuya, siguiendo tus instrucciones, para prestarte el servicio técnico que has contratado.

Al darte de alta y empezar a introducir datos de clientes en Holimata, aceptas las condiciones de encargo de tratamiento descritas en esta página.

• Objeto: almacenamiento y procesamiento de los datos de tus clientes necesarios para las funciones de Holimata que tengas activas (notas clínicas, gestión de contactos, agenda, mensajería, reactivación, facturación).
• Duración: mientras tu cuenta esté activa. Al cerrar la cuenta, se aplica lo previsto en el apartado "Devolución o supresión de los datos".
• Naturaleza y finalidad: prestación de un servicio SaaS de gestión de práctica profesional. Holimata no usa los datos de tus clientes para ninguna finalidad propia.
• Tipo de datos: identificativos y de contacto de tus clientes, contenido de sesiones (transcripciones, notas), comunicaciones. Según tu profesión, esto puede incluir categorías especiales (datos de salud). Eres tú quien decide qué introduces.
• Categorías de interesados: los clientes finales a los que tú prestas servicio.

En el marco del artículo 28.3 del RGPD, Holimata se compromete a:

• Tratar los datos únicamente siguiendo tus instrucciones documentadas — las que das al configurar y usar la app. No los usamos para fines propios ni para entrenar modelos de IA.
• Garantizar que las personas autorizadas para tratar los datos (los fundadores) se comprometen a la confidencialidad.
• Aplicar las medidas de seguridad del artículo 32 del RGPD (ver apartado siguiente).
• Respetar las condiciones para recurrir a sub-encargados (ver apartado correspondiente).
• Asistirte para que puedas atender las solicitudes de derechos de tus clientes y cumplir tus obligaciones de seguridad y evaluación de impacto.
• Notificarte sin dilación indebida cualquier violación de seguridad que afecte a tus datos.
• A tu elección, suprimir o devolverte todos los datos al finalizar la prestación del servicio.
• Poner a tu disposición la información necesaria para demostrar el cumplimiento de estas obligaciones.

Los datos de tus clientes se protegen con, al menos:

• Cifrado en tránsito mediante HTTPS (TLS 1.3) en toda la plataforma.
• Cifrado en reposo de las credenciales de integraciones de terceros con AES-256-GCM.
• Cookie de sesión firmada con HMAC-SHA256.
• Aislamiento estricto multi-tenant: cada consulta a base de datos filtra por tu identificador de cuenta, con claves foráneas y borrado en cascada para garantizar la integridad y que ningún dato se cruce entre cuentas.
• Backups diarios cifrados con retención de 90 días.
• Redacción de información personal en los logs técnicos del sistema.
• Monitorización y detección de anomalías y accesos no autorizados.

Para prestar el servicio, Holimata se apoya en proveedores tecnológicos que actúan como sub-encargados. Cada uno recibe solo los datos estrictamente necesarios y está sujeto a obligaciones de protección equivalentes. La lista actualizada de sub-procesadores (Railway, Turso/libSQL, Anthropic, Resend, Cloudflare, GitHub) se detalla en la Política de privacidad.

Con tu alta autorizas de forma general el recurso a estos sub-encargados. Si en el futuro incorporamos o sustituimos alguno, te informaremos con antelación para que puedas oponerte si tienes motivos justificados. Las transferencias internacionales de datos se amparan en las cláusulas contractuales tipo aprobadas por la Comisión Europea.

Tus clientes finales tienen los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad sobre sus datos. Como responsable, eres tú quien debe atenderlos. Holimata te asiste poniendo a tu disposición las herramientas de la app para consultar, editar, exportar y borrar los datos de cualquier cliente que gestiones.

Si recibes una solicitud y necesitas ayuda técnica para resolverla, escríbenos a [email protected].

Si detectamos una violación de seguridad que afecte a los datos de tus clientes, te lo notificaremos sin dilación indebida y, en la medida de lo posible, en un plazo máximo de 72 horas desde que tengamos constancia, con la información necesaria para que puedas cumplir, si procede, tu obligación de notificar a la autoridad de control y a los interesados.

Cuando finalice la prestación del servicio (cierre de tu cuenta), a tu elección:

• Te facilitamos un export de los datos en formato estructurado, o
• Suprimimos todos los datos de tus clientes en un máximo de 30 días.

Se conservarán únicamente los datos que una obligación legal nos imponga mantener (por ejemplo, registros de facturación), debidamente bloqueados, durante el plazo que la ley exija.

Holimata pone a tu disposición la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones de esta página. Si necesitas información adicional para una auditoría o una evaluación de impacto (EIPD), contáctanos y colaboraremos en lo que razonablemente podamos.

Si crees que Holimata no trata los datos correctamente, puedes escribirnos primero a [email protected]. También tienes derecho a reclamar ante la Agencia Española de Protección de Datos.

Cualquier duda sobre el cumplimiento del RGPD o sobre el encargo de tratamiento: [email protected].