1. Responsable del tratamiento
De conformidad con el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos que el responsable del tratamiento de sus datos personales es:
- Titular: Daniel Tamames Martínez
- NIF: 49199815D
- Domicilio: Avenida Amatista 15, 29749 Vélez-Málaga, Málaga, España
- Email de contacto: info@smiledesk.es
- Teléfono: +34 614 638 304
No se ha designado Delegado de Protección de Datos (DPO), ya que conforme al artículo 37 RGPD no se cumplen los supuestos que obligan a su designación.
2. ¿Qué datos personales tratamos?
Dependiendo de cómo interactúes con SmileDesk, podemos tratar las siguientes categorías de datos personales:
| Categoría | Datos concretos | Origen |
|---|---|---|
| Identificativos | Nombre, apellidos, email, teléfono | Formulario de registro |
| Contractuales y de facturación | Razón social, NIF/CIF, dirección de facturación, método de pago | Proceso de contratación |
| De uso del servicio | Conversaciones de WhatsApp entre la clínica y sus pacientes, citas agendadas, configuración del asistente virtual | Plataforma WhatsApp Business (Meta) |
| De navegación | Dirección IP, agente de usuario, páginas visitadas, fecha y hora | Logs del servidor |
| De cookies analíticas | Eventos agregados anónimos (Plausible, sin cookies de tracking) | Tu navegador (solo si das consentimiento) |
Sobre los datos de los pacientes: SmileDesk actúa como encargado del tratamiento (art. 28 RGPD) respecto a los datos de los pacientes que la clínica gestiona a través del servicio. La clínica es el responsable del tratamiento de los datos de sus pacientes. Firmaremos un Contrato de Encargo de Tratamiento (CET) con cada clínica cliente.
Datos de salud (categoría especial — art. 9 RGPD)
SmileDesk no está diseñado para procesar datos de salud (diagnósticos, historiales clínicos, tratamientos médicos, información sobre el estado de salud del paciente). El servicio se limita a la gestión administrativa de la comunicación: agendado de citas, respuesta a preguntas frecuentes (horarios, ubicación, servicios públicos) y derivación al equipo humano cuando la consulta excede esos límites.
La clínica, como responsable del tratamiento de los datos de sus pacientes, se compromete a:
- No utilizar SmileDesk para tratar datos médicos sensibles.
- Configurar el asistente virtual de modo que las consultas de carácter clínico se deriven al equipo humano.
- Informar a sus pacientes de que sus comunicaciones por WhatsApp son procesadas por un asistente automatizado.
Si, pese a esta configuración, un paciente envía espontáneamente información de salud en una conversación, los datos quedarán sujetos a las mismas medidas de seguridad y retención que el resto de mensajes (cifrado, acceso restringido, plazo de eliminación), pero recomendamos a la clínica revisar y, en su caso, eliminar esos mensajes manualmente.
Datos que el asistente virtual NO solicita ni almacena
En cumplimiento de la política de WhatsApp Business y de la normativa de protección de datos, el asistente virtual de SmileDesk nunca solicita ni almacena los siguientes datos a través de las conversaciones de WhatsApp:
- Números completos de tarjetas de crédito o débito.
- Números de cuentas bancarias, IBAN o credenciales de banca electrónica.
- Números de documentos de identidad (DNI, NIE, pasaporte, número de la Seguridad Social).
- Contraseñas, códigos PIN o cualquier credencial de acceso.
Si un paciente envía espontáneamente este tipo de datos, la clínica debe eliminarlos manualmente del historial. SmileDesk no incorpora estos datos a su base de datos estructurada bajo ningún concepto.
Datos de menores de edad
En clínicas de odontopediatría u otras especialidades que atiendan a menores, las comunicaciones por WhatsApp se realizan exclusivamente con el padre, madre o representante legal del menor, nunca directamente con menores de 14 años. El consentimiento para el tratamiento de los datos del menor se obtiene siempre del titular de la patria potestad o tutela.
En el supuesto excepcional de que un menor de 14 años contacte directamente con el WhatsApp de la clínica:
- El asistente virtual deriva la conversación al equipo humano de inmediato.
- No se procesan automatizadamente más mensajes hasta que se confirme la presencia de un adulto responsable.
- La clínica solicita la conformidad expresa del progenitor o tutor antes de continuar.
Para menores entre 14 y 18 años se aplica el régimen del art. 7 LOPDGDD: el menor puede consentir el tratamiento de sus datos, salvo en aquellos casos en que la ley exija la asistencia de los titulares de la patria potestad.
3. Finalidades y base legal del tratamiento
| Finalidad | Base legal (art. 6 RGPD) |
|---|---|
| Prestar el servicio de SmileDesk (procesar mensajes, generar respuestas, gestionar citas) | Ejecución de contrato (art. 6.1.b) |
| Gestión administrativa, facturación y cumplimiento de obligaciones fiscales | Obligación legal (art. 6.1.c) |
| Atender consultas y solicitudes de los usuarios | Consentimiento (art. 6.1.a) / Interés legítimo (art. 6.1.f) |
| Envío de comunicaciones comerciales sobre productos similares a clientes | Interés legítimo (art. 6.1.f) — siempre con opción de oposición |
| Mejorar el servicio mediante analítica web agregada | Consentimiento (art. 6.1.a) |
| Cumplimiento de obligaciones de seguridad y respuesta a requerimientos legales | Obligación legal (art. 6.1.c) |
4. ¿Con quién compartimos tus datos?
Para prestar el servicio, SmileDesk se apoya en proveedores tecnológicos que tratan datos por nuestra cuenta. Todos están vinculados por contratos de encargo de tratamiento conformes al art. 28 RGPD:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Anthropic, PBC | Modelo de lenguaje (Claude) que genera las respuestas del asistente virtual | EE.UU. (transferencia con Cláusulas Contractuales Tipo) |
| WhatsApp Ireland Ltd (Meta) | Infraestructura de mensajería de WhatsApp Business | UE / EE.UU. |
| Supabase, Inc. | Base de datos PostgreSQL gestionada | UE (eu-west-1, Irlanda) |
| Upstash, Inc. | Caché Redis | UE (eu-west-1, Irlanda) |
| Railway Corp. | Hosting del backend | UE |
| Vercel Inc. | Hosting de la web (frontend) | Red global (CDN) |
| Plausible Insights OÜ | Analítica web agregada y sin cookies | UE (Alemania) |
| Stripe Payments Europe Ltd | Procesamiento de pagos | UE (Irlanda) |
| IONOS SE | Registro de dominio y email corporativo | UE (Alemania) |
Transferencias internacionales
Algunas transferencias se realizan a EE.UU. (en particular a Anthropic y, parcialmente, a Meta). Estas transferencias están amparadas por:
- Las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).
- Cuando proceda, la adhesión al EU-US Data Privacy Framework de los proveedores.
- Medidas técnicas y organizativas adicionales (cifrado en tránsito y en reposo).
5. ¿Cuánto tiempo conservamos tus datos?
- Datos de cuenta y contractuales: mientras dure la relación contractual y, posteriormente, 6 años por obligaciones mercantiles y fiscales (art. 30 Código de Comercio, art. 66 LGT).
- Conversaciones de WhatsApp: 24 meses tras la última actividad, salvo que la clínica solicite eliminación antes.
- Logs técnicos y de seguridad: 12 meses.
- Datos de marketing (newsletters, etc.): hasta que el usuario retire el consentimiento.
- Cookies analíticas: según se detalla en la política de cookies.
6. Tus derechos
Como titular de los datos, puedes ejercitar en cualquier momento los siguientes derechos:
- Acceso a tus datos personales.
- Rectificación de datos inexactos o incompletos.
- Supresión ("derecho al olvido") cuando los datos ya no sean necesarios.
- Limitación del tratamiento en determinadas circunstancias.
- Portabilidad de los datos en formato estructurado.
- Oposición al tratamiento basado en interés legítimo.
- A no ser objeto de decisiones automatizadas con efectos jurídicos significativos.
- Retirar el consentimiento en cualquier momento (sin que ello afecte a la licitud previa).
Para ejercer estos derechos, envía un email a info@smiledesk.es indicando el derecho que deseas ejercer y adjuntando copia de tu DNI o documento equivalente para verificar tu identidad. Responderemos en un plazo máximo de 1 mes desde la recepción de la solicitud.
Si consideras que el tratamiento de tus datos no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), C/ Jorge Juan 6, 28001 Madrid, www.aepd.es.
7. Seguridad de los datos
Aplicamos las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256) para datos sensibles.
- Autenticación con tokens JWT y control de acceso por roles.
- Copias de seguridad automáticas con retención limitada.
- Registros de auditoría de accesos.
- Revisión periódica de las medidas de seguridad.
Aislamiento entre clínicas (multi-tenancy)
SmileDesk es una plataforma multi-cliente. Los datos de cada clínica están completamente aislados de los datos del resto de clínicas. Esto se garantiza mediante:
- Row-Level Security (RLS) a nivel de base de datos: cada registro lleva un identificador de tenant y las consultas SQL filtran automáticamente por este campo, de modo que es técnicamente imposible que una clínica acceda a datos de otra.
- Aislamiento de tokens: las credenciales de WhatsApp Business de cada clínica se guardan cifradas y solo se descifran en el contexto de procesamiento de mensajes de esa clínica concreta.
- Sin reenvío entre clientes: conforme exige la política de WhatsApp Business, SmileDesk nunca reenvía, comparte ni utiliza el contenido de las conversaciones de una clínica para otra clínica, ni para terceros ajenos al servicio.
- Logs segregados: los registros operativos y de auditoría se segregan por tenant para evitar fugas accidentales en análisis o exportaciones.
Decisiones automatizadas e inteligencia artificial
El asistente virtual de SmileDesk utiliza un modelo de lenguaje (Claude, de Anthropic) para generar respuestas. Estas respuestas se consideran tratamiento automatizado en el sentido del art. 22 RGPD, pero no producen efectos jurídicos ni significativos sobre el paciente, ya que se limitan a:
- Responder preguntas administrativas (horarios, ubicación, servicios, precios públicos).
- Proponer huecos de cita disponibles según la agenda configurada por la clínica.
- Derivar al equipo humano cuando la consulta excede su ámbito.
El paciente tiene derecho en todo momento a solicitar la intervención humana enviando un mensaje del tipo "quiero hablar con una persona" o equivalente; el asistente virtual cesará entonces sus respuestas automáticas y avisará al equipo de la clínica.
8. Cambios en esta política
Esta política de privacidad podrá ser actualizada para adaptarla a cambios normativos o a nuevos servicios. Cualquier cambio sustantivo será notificado a los usuarios afectados con al menos 30 días de antelación.
9. Contacto
Si tienes cualquier duda sobre esta política o sobre el tratamiento de tus datos personales:
- Email: info@smiledesk.es
- Teléfono: +34 614 638 304
- Dirección postal: Avenida Amatista 15, 29749 Vélez-Málaga, Málaga