Política de Privacidad

Última actualización: 1 de junio de 2026

En Vila Group Clinic nos tomamos en serio la protección de tus datos personales. Esta política explica de forma clara qué datos recogemos, para qué los usamos, cuánto tiempo los conservamos y qué derechos tienes sobre ellos, conforme al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

1. Responsable del tratamiento (Data Controller)

El responsable del tratamiento de tus datos personales es:

• Razón social: SIMIMA DOC S.L.
• CIF/NIF: B22766877
• Dirección postal: Carrer de Vilana, 12, consultorio 128 08022 Barcelona, España
• Email para asuntos de privacidad: info@vilagroupclinic.com
• Teléfono: 933933128
• Sitio web: https://vilagroupclinic.com

Delegado de Protección de Datos (DPD): Vila Group Clinic está en proceso de designación de un DPD externo. Hasta su designación, todas las consultas relativas a la protección de datos personales pueden dirigirse al email indicado anteriormente.

2. Encargado del tratamiento (Data Processor)

El servicio digital (app móvil + panel web) está desarrollado y operado por Marc Fabián Vila, con NIF 43576623H y domicilio fiscal en Carrer Doctor Rafael Galès 46 08790 Gelida, (Barcelona), España, actuando bajo el nombre comercial "UpIA Solutions" (en adelante "UpIA"), que actúa como encargado del tratamiento por cuenta del responsable. Existe un contrato de encargo del tratamiento (DPA) firmado entre las partes que regula sus respectivas obligaciones conforme al artículo 28 del RGPD.

• Titular: Marc Fabián Vila
• NIF: 43576623H
• Domicilio fiscal: Carrer Doctor Rafael Galès 46 08790 Gelida, (Barcelona), España
• Nombre comercial: UpIA Solutions
• Email de contacto: info@upiasolutions.com
• Sitio web: https://upiasolutions.com

3. Datos personales que tratamos

Recogemos y tratamos las siguientes categorías de datos:

• Datos identificativos: nombre, apellidos, dirección de email, número de teléfono.
• Información de las reservas: servicios o productos reservados, fechas, profesional o persona asignada (si aplica), notas asociadas, estado de la reserva.
• Datos técnicos: token de notificaciones push (Expo), identificadores del dispositivo, idioma del navegador, dirección IP del equipo desde el que accedes al servicio, registros de actividad mínimos necesarios para la prestación del servicio.
• Datos del programa de recompensas: historial de puntos acumulados y canjeados, códigos generados (si participas en el programa de fidelización de Vila Group Clinic).

Por la naturaleza del servicio sanitario prestado por Vila Group Clinic (Clínica de medicina y cirugía estética), determinadas reservas pueden implicar el tratamiento de datos de categorías especiales relativos a la salud (Art. 9.1 RGPD) por parte de Vila Group Clinic como responsable del tratamiento. Esto puede ocurrir de forma directa (cuando incluyas información clínica voluntariamente en el campo de notas de una reserva) o indirecta (el propio nombre del servicio o tratamiento reservado puede revelar información sobre tu salud). Estos datos reciben el nivel de protección reforzado que exige el RGPD para esta categoría. UpIA, como encargado del tratamiento, no recoge ni utiliza estos datos para finalidades propias: únicamente los aloja y procesa técnicamente siguiendo las instrucciones documentadas de Vila Group Clinic, en virtud del contrato de encargo del tratamiento (DPA) suscrito entre ambas partes conforme al Art. 28 RGPD.

4. Finalidades y bases legales del tratamiento

Tus datos se tratan para las siguientes finalidades:

• Gestión de las reservas y prestación del servicio — base legal: ejecución del contrato (Art. 6.1.b RGPD).
• Comunicaciones operativas (recordatorios automáticos, confirmaciones, cambios de cita, notificaciones push) — base legal: ejecución del contrato e interés legítimo (Art. 6.1.b y 6.1.f RGPD).
• Gestión del programa de recompensas, si aplicable — base legal: ejecución del contrato.
• Tratamiento por Vila Group Clinic de los datos de salud asociados a las reservas — base legal: Art. 9.2.h RGPD (fines de medicina preventiva, diagnóstico médico, prestación de asistencia o tratamiento sanitario), bajo la responsabilidad de los profesionales sanitarios de Vila Group Clinic, sujetos al deber de secreto profesional. UpIA, como encargado del tratamiento, no se ampara en esta base legal porque no decide sobre las finalidades del tratamiento de estos datos: su actividad se rige exclusivamente por el contrato de encargo del tratamiento firmado con Vila Group Clinic.
• Cumplimiento de obligaciones legales (fiscales, contables, mercantiles) — base legal: cumplimiento de una obligación legal (Art. 6.1.c RGPD).
• Marketing directo (newsletter, promociones, ofertas comerciales) — base legal: tu consentimiento (Art. 6.1.a RGPD), que puedes retirar en cualquier momento. Hoy Vila Group Clinic no realiza marketing directo automatizado a través de la plataforma; si en el futuro lo hace, te lo notificaremos y te pediremos consentimiento expreso.

5. Plazos de conservación

Conservamos tus datos durante los siguientes periodos:

• Cuenta activa: mientras mantengas tu cuenta abierta y uses el servicio.
• Tras eliminación de la cuenta: los datos identificativos (nombre, email, teléfono) se borran o anonimizan inmediatamente. Las reservas históricas se conservan de forma anonimizada (sin identificadores personales) durante el periodo necesario para el cumplimiento de obligaciones contables y fiscales (hasta 6 años conforme al Código de Comercio español).
• Historial de puntos del programa de recompensas: se conserva como registro contable durante el mismo periodo (6 años), anonimizado tras la eliminación de la cuenta.
• Logs técnicos de acceso: hasta 30 días, salvo que deban conservarse más tiempo por incidentes de seguridad bajo investigación.
• Datos clínicos asociados a las reservas (notas con información de salud, historial de tratamientos): Vila Group Clinic, como responsable del tratamiento, los conserva conforme a la Ley 41/2002 de Autonomía del Paciente, durante un mínimo de 5 años desde el alta de cada proceso asistencial, salvo que la legislación autonómica aplicable establezca un plazo superior. UpIA, como encargado del tratamiento, conserva los datos en su infraestructura mientras dure la relación con Vila Group Clinic y los elimina o devuelve a su finalización conforme al DPA.

6. Destinatarios de los datos

Tus datos pueden ser comunicados o tratados por los siguientes destinatarios:

• Marc Fabián Vila (UpIA Solutions, España) — encargado del tratamiento, opera la plataforma tecnológica.
• Supabase Inc. (servidores en UE) — subencargado, presta la infraestructura de base de datos, autenticación y almacenamiento de archivos.
• Resend Inc. — subencargado contratado por UpIA, presta el servicio de envío de emails transaccionales (confirmaciones, recordatorios).
• Hostinger International Ltd — subencargado contratado por UpIA, proveedor del servidor (VPS) donde se aloja el panel web.
• Expo (Software Mansion) — subencargado, presta el servicio de envío de notificaciones push.
• Google LLC — proveedor del sistema operativo Android y del servicio de identidad Google Sign-In. Si inicias sesión con Google, recibe los datos mínimos necesarios (email y nombre) para autenticarte.
• Apple Inc. — proveedor del sistema operativo iOS y del servicio de identidad Sign in with Apple. Si inicias sesión con Apple en un dispositivo iOS, recibe el identificador necesario para autenticarte (puedes optar por ocultar tu email real al servicio).
• Make.com / n8n / similares (si Vila Group Clinic los usa internamente para automatizaciones) — actúan también como encargados contratados por el responsable.

Existen contratos de encargo del tratamiento (DPA) o cláusulas contractuales tipo (SCC) firmados con cada uno de ellos. La lista actualizada de subencargados está disponible bajo solicitud al email de contacto del responsable.

Tus datos no se venden ni se ceden a terceros con fines comerciales. Solo se comparten con los subencargados anteriores en la medida estrictamente necesaria para prestar el servicio.

7. Transferencias internacionales

Apple, Google y Expo pueden tratar datos personales fuera del Espacio Económico Europeo (principalmente Estados Unidos). Estas transferencias están protegidas por las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea y, en su caso, por las decisiones de adecuación aplicables (Data Privacy Framework EU-US).

8. Tus derechos en materia de protección de datos

Conforme a los artículos 15 a 22 del RGPD, tienes los siguientes derechos:

• Acceso: obtener información sobre qué datos tenemos de ti y solicitar una copia.
• Rectificación: corregir datos inexactos o incompletos (también puedes hacerlo desde la sección Perfil de la app).
• Supresión ("derecho al olvido"):solicitar la eliminación de tus datos cuando ya no sean necesarios o cuando retires el consentimiento. Puedes ejercerlo desde la app móvil mediante la función "Eliminar mi cuenta" (cuando esté disponible) o por email al responsable.
• Oposición: oponerte al tratamiento de tus datos en determinadas circunstancias.
• Limitación: solicitar la suspensión temporal del tratamiento.
• Portabilidad: recibir tus datos en un formato estructurado y de uso común (JSON/CSV) para transmitirlos a otro responsable.
• Retirar el consentimiento en cualquier momento, cuando el tratamiento se base en él.
• No ser objeto de decisiones automatizadas con efectos jurídicos significativos. Vila Group Clinic no realiza perfilado automatizado con efectos jurídicos.

Para ejercer cualquiera de estos derechos, escribe a info@vilagroupclinic.com. Te responderemos en un plazo máximo de un mes (prorrogable a dos meses adicionales en casos complejos, conforme al Art. 12.3 RGPD).

Si consideras que el tratamiento no se ha realizado conforme a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
www.aepd.es — C/ Jorge Juan, 6, 28001 Madrid — tel. 901 100 099.

9. Medidas de seguridad

Aplicamos medidas técnicas y organizativas para proteger tus datos contra accesos no autorizados, pérdida o destrucción accidental:

• Cifrado en tránsito: todas las comunicaciones entre la app/panel y nuestros servidores usan TLS 1.2+ (HTTPS).
• Cifrado en reposo: la base de datos y el almacenamiento de archivos están cifrados con AES-256.
• Aislamiento multi-tenant: los datos de cada cliente del SaaS están aislados a nivel de fila mediante Row Level Security (RLS) en PostgreSQL. Ningún tenant puede acceder a datos de otro.
• Autenticación robusta: tokens JWT con expiración corta, sin almacenar contraseñas en texto plano (hash bcrypt) cuando aplica.
• Backups automáticos con retención de 30 días para garantizar la recuperación ante incidentes.
• Acceso restringido a los datos por personal autorizado y bajo deber de confidencialidad.

10. Cookies y tecnologías similares

El panel web usa exclusivamente cookies técnicas estrictamente necesarias para el funcionamiento de la sesión autenticada (cookies de sesión de Supabase). No usamos cookies de marketing, publicidad ni análisis de terceros.

La app móvil no usa cookies; se autentica mediante tokens almacenados de forma segura en el almacén de credenciales del sistema operativo (Keychain en iOS, Keystore en Android).

11. Cambios en esta política

Vila Group Clinicpodrá modificar esta política para reflejar cambios legales, técnicos o de servicio. Los cambios se publicarán en esta página actualizando la fecha de "Última actualización". Los cambios materiales en finalidades del tratamiento te serán notificados directamente vía email o aviso en la app antes de su entrada en vigor.

12. Contacto

Para cualquier cuestión relativa a la protección de datos puedes escribir a: info@vilagroupclinic.com.

Dirección postal: Carrer de Vilana, 12, consultorio 128 08022 Barcelona, España.

Política redactada conforme al RGPD (UE) 2016/679 y a la LOPDGDD 3/2018 (España). Plataforma operada por Marc Fabián Vila (UpIA Solutions) en calidad de encargado del tratamiento.