COMPLIANCE

Cumplimiento GDPR

Reglamento General de Protección de Datos (UE) 2016/679

ECOTECH está diseñada para cumplir con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, garantizando la protección de los datos personales de todos los titulares cuyos datos sean procesados a través de la Plataforma.

1. Principios del Tratamiento (Art. 5 GDPR)

  • Licitud, lealtad y transparencia: Los datos se procesan con consentimiento explícito o base legal aplicable
  • Limitación de la finalidad: Los datos se recogen con fines determinados, explícitos y legítimos
  • Minimización de datos: Solo se recopilan los datos necesarios para la prestación del servicio
  • Exactitud: Se proporcionan herramientas para mantener los datos actualizados
  • Limitación del plazo de conservación: Los datos se conservan solo durante el tiempo necesario
  • Integridad y confidencialidad: Seguridad técnica y organizativa adecuada

2. Roles: Responsable y Encargado del Tratamiento

De acuerdo con el Artículo 4 del GDPR:

  • Responsable del Tratamiento (Data Controller): El profesional de la salud o institución médica que determina los fines y medios del tratamiento de datos de pacientes.
  • Encargado del Tratamiento (Data Processor): ECOTECH procesa los datos personales por cuenta del responsable y siguiendo sus instrucciones.

3. Derechos de los Titulares (Arts. 15-22 GDPR)

ECOTECH proporciona las herramientas necesarias para que el Responsable del Tratamiento pueda cumplir con los siguientes derechos:

  • Derecho de acceso (Art. 15): El paciente puede solicitar acceso a sus datos personales
  • Derecho de rectificación (Art. 16): Corrección de datos inexactos
  • Derecho de supresión (Art. 17): Eliminación de datos ("derecho al olvido")
  • Derecho a la limitación del tratamiento (Art. 18): Restricción del procesamiento
  • Derecho a la portabilidad de datos (Art. 20): Exportación de datos en formato estructurado
  • Derecho de oposición (Art. 21): Oposición al tratamiento para fines específicos

4. Base Legal para el Tratamiento (Art. 6 GDPR)

Las bases legales aplicables son:

  • Consentimiento del interesado (Art. 6.1.a): El paciente consiente el tratamiento de sus datos para la prestación de servicios de salud
  • Ejecución de un contrato (Art. 6.1.b): El tratamiento es necesario para la prestación del servicio de salud
  • Obligación legal (Art. 6.1.c): Conservación de historias clínicas según normativa sanitaria
  • Interés vital (Art. 6.1.d): Protección de intereses vitales del interesado en emergencias médicas

5. Medidas de Seguridad (Art. 32 GDPR)

✅ Cifrado AES-256 en reposo ✅ TLS 1.3 en tránsito ✅ Seudonimización de datos cuando es aplicable ✅ Registro de acceso y auditoría ✅ Backups diarios cifrados ✅ Pruebas de penetración periódicas ✅ Procedimiento de notificación de brechas (72h)

6. Transferencias Internacionales (Arts. 44-49 GDPR)

ECOTECH se compromete a que cualquier transferencia de datos personales a países fuera del Espacio Económico Europeo (EEE) se realice con garantías adecuadas, incluyendo:

  • Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea
  • Decisiones de adecuación para países con nivel de protección equivalente
  • Normas Corporativas Vinculantes (BCR) cuando sea aplicable

7. Notificación de Brechas de Seguridad (Art. 33-34 GDPR)

En caso de una violación de datos personales, ECOTECH notificará a la autoridad de control competente dentro de las 72 horas siguientes al conocimiento de la brecha, e informará al Responsable del Tratamiento para que este pueda evaluar la necesidad de comunicar la brecha a los titulares afectados.

8. Delegado de Protección de Datos (DPO)

ECOTECH pone a disposición un Delegado de Protección de Datos (DPO) que puede ser contactado en: