Política de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es:

• Nombre: Francisco Román García
• DNI: 48883414L
• Actividad: Desarrollo y comercialización de software de gestión (IAE 763)
• Email: franciscoromangarcia@podosystem.es
• Web: https://podosystem.es

2. Qué datos trata PodoSystem

PodoSystem es un software de gestión clínica para podólogos. En el ejercicio de su actividad profesional, el podólogo trata los siguientes datos a través del programa:

• Datos identificativos de pacientes: nombre, apellidos, DNI, fecha de nacimiento, dirección, teléfono, email
• Datos de salud (categoría especial según RGPD): historia clínica, diagnósticos, tratamientos, exploraciones, fotos clínicas, recetas
• Datos de facturación: conceptos, importes, facturas
• Firmas digitales: asociadas a documentos RGPD y consentimientos informados

3. Roles RGPD: responsable y encargado del tratamiento

En el uso de PodoSystem se distinguen dos roles:

• Responsable del tratamiento: el podólogo o clínica que utiliza PodoSystem. Es quien determina los fines y medios del tratamiento de los datos de sus pacientes.
• Encargado del tratamiento: Francisco Román García / PodoSystem, en la medida en que proporciona la herramienta tecnológica que facilita dicho tratamiento.

El podólogo, como responsable, debe informar a sus pacientes del tratamiento de sus datos y obtener los consentimientos correspondientes. PodoSystem facilita esta obligación mediante los módulos de RGPD, consentimientos informados y firma digital integrados en el programa.

4. Almacenamiento local — datos en el PC del podólogo

Todos los datos clínicos de los pacientes se almacenan exclusivamente en el ordenador del podólogo (base de datos SQLite local en %APPDATA%\podosystem\clinica.db). PodoSystem no transmite datos clínicos a ningún servidor externo.

5. Backup cifrado en la nube (Backblaze B2)

PodoSystem ofrece un servicio opcional de copia de seguridad automática cifrada en la nube. Este servicio funciona así:

• Cifrado en origen: antes de salir del PC del podólogo, los datos se cifran con el algoritmo AES-256-GCM usando una clave personal que solo el podólogo conoce.
• Clave personal: la clave de cifrado es elegida por el podólogo, se almacena solo en su propio ordenador (protegida por el sistema operativo Windows) y nunca se transmite a ningún servidor.
• Proveedor de almacenamiento: Backblaze B2, con servidores ubicados en Ámsterdam (Países Bajos, Unión Europea). Backblaze dispone de Acuerdo de Procesamiento de Datos (DPA) compatible con RGPD.
• Acceso a los datos: nadie, incluido el desarrollador de PodoSystem, puede acceder al contenido de los backups sin la clave de cifrado del podólogo. Los archivos almacenados en Backblaze son incomprensibles sin dicha clave.
• Integridad: cada backup incluye un manifiesto con hash SHA-256 de cada fichero para verificar la integridad en la restauración.

La base legal para este tratamiento es el interés legítimo del responsable (el podólogo) en mantener copias de seguridad de su información clínica y administrativa, así como el cumplimiento de obligaciones legales de conservación de datos clínicos.

6. Módulo de citas online (relay)

El módulo de citas online utiliza un servidor intermediario (relay) alojado en Railway (Europa) para gestionar reservas. Los datos transmitidos a través del relay son exclusivamente: nombre del paciente, teléfono de contacto, fecha y hora de la cita solicitada. No se transmiten datos clínicos. Este relay no almacena los datos de forma permanente una vez la reserva ha sido procesada por PodoSystem.

7. Datos de clientes de PodoSystem (podólogos)

PodoSystem trata los siguientes datos de sus clientes (los podólogos que adquieren la licencia):

• Datos de identificación: nombre, email, número de colegiado (si aplica)
• Datos de facturación: necesarios para la emisión de facturas
• Identificador de hardware: hash del equipo, para la activación y verificación de la licencia

Estos datos se tratan para la prestación del servicio, gestión de licencias, soporte técnico y comunicaciones sobre el producto. No se ceden a terceros salvo obligación legal.

8. Derechos ARCO y reclamaciones

Los interesados pueden ejercer los siguientes derechos sobre sus datos:

• Acceso: conocer qué datos se tratan
• Rectificación: corregir datos inexactos
• Supresión: solicitar la eliminación de datos cuando ya no sean necesarios
• Oposición: oponerse al tratamiento
• Portabilidad: recibir los datos en formato estructurado y legible
• Limitación: solicitar la restricción del tratamiento

Para ejercer estos derechos, contactar en: franciscoromangarcia@podosystem.es

Si no obtiene respuesta satisfactoria, puede reclamar ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

9. Seguridad

PodoSystem implementa las siguientes medidas de seguridad técnicas y organizativas:

• Autenticación con contraseña y control de acceso por roles (admin, podólogo, administrativo, auxiliar)
• Firma digital eIDAS en documentos RGPD y consentimientos (hash SHA-256, timestamp, IP)
• Cifrado AES-256-GCM para backups en la nube
• Comunicación cifrada HTTPS/TLS en todos los módulos online
• Base de datos local en WAL mode con acceso restringido al sistema operativo

10. Conservación de datos

Los datos clínicos de los pacientes se conservarán durante el tiempo que el podólogo mantenga la relación asistencial y, posteriormente, durante el plazo mínimo legal exigido por la normativa sanitaria española (5 años como mínimo según la Ley 41/2002 de Autonomía del Paciente).

Los datos de licencia de PodoSystem se conservan durante la vigencia del contrato y 5 años adicionales a efectos fiscales y legales.

11. Cambios en esta política

Esta política puede actualizarse. La versión vigente estará siempre disponible en podosystem.es/privacidad. Los cambios relevantes se comunicarán por email a los clientes.