Serenna trata datos de categoría especial (datos de salud) conforme al artículo 9 del RGPD y a la Ley Orgánica 3/2018 de Protección de Datos Personales (LOPDGDD). Este documento detalla las medidas implementadas.
Identificación del encargado del tratamiento
- Razón social: Vendora Solutions S.L.
- CIF: B21816756
- Domicilio: Carretera Barcelona 552, 2-3, 08204 Sabadell, Barcelona, España
- Email: privacidad@serenna.es
- DPD: dpd@serenna.es
1. Roles en el tratamiento de datos
| Rol | Entidad | Responsabilidad |
|---|
| Responsable del tratamiento | Tu clínica | Decide qué datos se recogen y con qué finalidad |
| Encargado del tratamiento | Serenna (Vendora Solutions S.L.) | Trata los datos por cuenta de la clínica, conforme a sus instrucciones |
Al contratar Serenna, se formaliza un Contrato de Encargado del Tratamiento (Art. 28 RGPD) que establece las obligaciones de ambas partes.
2. Base legal para datos de salud
El tratamiento de datos de salud se ampara en las siguientes bases legales:
- Art. 9.2.h RGPD — Tratamiento necesario para fines de medicina preventiva, diagnóstico médico o gestión de sistemas sanitarios
- Art. 9.2.a RGPD — Consentimiento explícito del paciente (cuando aplique)
- Ley 41/2002 — Reguladora de la autonomía del paciente y documentación clínica
- LOPDGDD — Ley Orgánica 3/2018 de Protección de Datos
3. Medidas de seguridad técnicas
3.1. Cifrado
- En tránsito: TLS 1.3 en todas las comunicaciones
- En reposo: AES-256 para datos almacenados
- Copias de seguridad: cifradas y almacenadas en ubicación separada
3.2. Control de acceso
- Autenticación segura con contraseñas hasheadas (bcrypt)
- Gestión de roles y permisos por usuario
- Registro de todos los accesos (log de auditoría)
- Bloqueo automático de sesiones inactivas
3.3. Infraestructura
- Servidores ubicados en la Unión Europea
- Copias de seguridad diarias con retención de 30 días
- Monitorización 24/7 de la infraestructura
- Plan de recuperación ante desastres documentado
4. Medidas organizativas
- Todo el personal con acceso a datos firma un acuerdo de confidencialidad
- Formación periódica en protección de datos
- Política de escritorio limpio y dispositivos seguros
- Evaluaciones de impacto (DPIA) para nuevos tratamientos de datos de salud
- Procedimiento documentado de gestión de brechas de seguridad
5. Derechos de los interesados
Serenna facilita que las clínicas puedan atender los derechos de sus pacientes:
- Acceso: Exportación de la ficha completa del paciente
- Rectificación: Edición directa de los datos desde la plataforma
- Supresión: Eliminación segura de registros (respetando plazos legales de conservación)
- Portabilidad: Exportación en formatos estándar (CSV, PDF)
- Consentimiento: Sistema integrado de consentimientos informados con firma digital
- Oposición: Posibilidad de oponerse a determinados tratamientos de datos (Art. 21 RGPD)
- Limitación: Solicitar la restricción del tratamiento en los supuestos previstos (Art. 18 RGPD)
- Retirada del consentimiento: El paciente puede retirar su consentimiento en cualquier momento sin que afecte a la licitud del tratamiento previo (Art. 7.3 RGPD)
6. Gestión de brechas de seguridad
En caso de brecha de seguridad que afecte a datos personales:
- Notificación a las clínicas afectadas en un plazo máximo de 48 horas
- Notificación a la AEPD en un plazo máximo de 72 horas (cuando proceda)
- Documentación completa del incidente, impacto y medidas adoptadas
- Comunicación a los interesados cuando exista alto riesgo para sus derechos
7. Subencargados del tratamiento
Serenna utiliza los siguientes subencargados, todos con las garantías adecuadas:
| Proveedor | Servicio | Ubicación datos | Garantía |
|---|
| Google Cloud Platform (Firebase) | Alojamiento y BBDD | UE (europe-west1) | Contrato Art. 28 RGPD + EU-US DPF |
| Stripe | Pagos | UE / EE.UU. | EU-US DPF + CCT |
| Google (Calendar) | Sincronización calendario | UE / EE.UU. | EU-US DPF + CCT |
| Meta (WhatsApp API) | Mensajería pacientes | UE / EE.UU. | EU-US DPF + CCT |
8. Retención de datos clínicos
- Historiales clínicos: mínimo 5 años desde el último acto asistencial (Ley 41/2002, Art. 17)
- Consentimientos informados: durante la vigencia del tratamiento + 5 años
- Logs de acceso: 12 meses (LOPDGDD)
- Las comunidades autónomas pueden establecer plazos superiores
9. Delegado de Protección de Datos
Para cualquier consulta relacionada con la protección de datos puedes contactar con nuestro Delegado de Protección de Datos:
- Email: dpd@serenna.es
- Dirección postal: Vendora Solutions S.L., Att. DPD, Carretera Barcelona 552, 2-3, 08204 Sabadell, Barcelona, España
10. Autoridad de control
La autoridad de control competente es la Agencia Española de Protección de Datos (AEPD):