Politica de Privacidad
Ultima actualizacion: 28 de abril de 2026
1. Identificacion del Responsable y del Encargado
1.1 Sociedad prestadora del servicio
| Denominacion | [Denominacion social — pendiente constitucion SL] |
| NIF/CIF | [Pendiente de constitucion] |
| Domicilio | [Pendiente de constitucion] |
| Email general | contacto@vret.es |
| Email proteccion de datos | privacidad@vret.es |
| Email seguridad / brechas | seguridad@vret.es |
| Actividad | Desarrollo y comercializacion de software SaaS de realidad virtual para profesionales de la psicologia |
1.2 Doble rol de VRET
VRET actua en dos roles distintos segun el tipo de dato:
- Responsable del Tratamiento de los datos del profesional contratante (psicologo, clinica), de los visitantes de la web y de los leads que rellenen formularios. Las finalidades estan descritas en la seccion 4.
- Encargado del Tratamiento (Art. 28 RGPD) de los datos del paciente tratados por cuenta del psicologo o clinica, dentro de la plataforma VRET. El Responsable de esos datos es el profesional o la clinica contratante; VRET ejecuta sus instrucciones documentadas.
2. Ambito de Aplicacion
Esta Politica de Privacidad regula el tratamiento de datos personales realizado a traves del sitio web de VRET (la “Web”), la plataforma SaaS de VRET (el “Software”) y las comunicaciones comerciales y contractuales.
Esta politica se redacta en cumplimiento del Reglamento (UE) 2016/679 (RGPD), la Ley Organica 3/2018, de 5 de diciembre, de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD), la Ley 41/2002, de 14 de noviembre, basica reguladora de la autonomia del paciente y de derechos y obligaciones en materia de informacion y documentacion clinica, y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacion y de Comercio Electronico (LSSI-CE).
3. Datos que Recogemos
3.1 Datos del Profesional contratante
| Categoria | Datos | Finalidad |
|---|---|---|
| Identificacion | Nombre, apellidos, numero de colegiado, correo profesional | Verificacion profesional, alta de cuenta, comunicaciones contractuales |
| Contacto | Telefono, direccion profesional | Soporte tecnico, gestion contractual |
| Profesional | Especialidad, denominacion de la clinica, numero de terapeutas | Configuracion del servicio, segmentacion de plan |
| Facturacion | NIF, domicilio fiscal, datos bancarios o tarjeta (procesados por Stripe) | Cobros, facturacion, obligaciones fiscales |
| Uso del Software | Logs de acceso, IP, metricas agregadas de uso, sesiones realizadas | Soporte, seguridad, mejora del servicio |
3.2 Datos del Paciente (VRET como Encargado del Tratamiento)
Por cuenta del psicologo o clinica Responsable, VRET trata las siguientes categorias de datos del paciente:
- Pseudonimo elegido por el psicologo (alias tipo “P-2024-001”). VRET no recibe ni almacena DNI, nombre completo, fecha de nacimiento ni ningun otro identificador directo del paciente.
- Notas clinicas introducidas por el profesional durante la sesion (texto libre).
- Marcadores SUDS (escala de unidades subjetivas de ansiedad 0-10) y otros marcadores clinicos puntuales.
- Telemetria de sesion: escenario utilizado, duracion, intensidad aplicada, eventos del entorno virtual.
- Grabaciones del entorno virtual (opcionales y bajo decision del psicologo): captura del entorno VR mostrado al paciente, con audio del psicologo y, en su caso, con la voz del paciente. La grabacion no incluye imagen real del paciente.
Naturaleza juridica de estos datos: aunque el identificador directo es un pseudonimo, los datos siguen vinculados a un individuo concreto via la historia clinica del psicologo. Por Considerando 26 RGPD, dictamen WP29 4/2007 sobre el concepto de dato personal y jurisprudencia del TJUE (asunto C-582/14, Breyer), siguen siendo dato personal. El contenido (notas clinicas, SUDS, comportamiento durante la exposicion) revela el estado de salud mental del paciente, lo que los convierte en dato relativo a la salud conforme al Art. 4.15 y al Considerando 35 RGPD, sujeto a la prohibicion general del Art. 9.1 y a las excepciones del Art. 9.2.
Base legal aplicable: Art. 6.1.b RGPD (ejecucion del contrato entre el paciente y el profesional) en combinacion con el Art. 9.2.h RGPD (tratamiento necesario para fines de asistencia o tratamiento de tipo sanitario o social, gestionado por profesional sujeto a la obligacion de secreto profesional). Esta base legal es ejercida por el psicologo Responsable; VRET la documenta y la respalda en el DPA.
3.3 Datos de navegacion en la Web
| Categoria | Datos | Base Legal |
|---|---|---|
| Cookies tecnicas | Sesion, preferencias de interfaz | Necesarias para el funcionamiento (no requieren consentimiento) |
| Analitica web (Plausible) | Vistas de pagina y eventos agregados sin cookies ni huella digital | Interes legitimo (Art. 6.1.f) — privacy-first, sin tracking individual |
Detalle completo en la Politica de Cookies.
3.4 Datos de leads y suscriptores a newsletter
Cuando el profesional rellena un formulario de descarga de recurso (lead magnet) o se suscribe a la newsletter, recogemos:
- Email profesional (obligatorio).
- Tipo de practica, especialidad o fobia tratada (opcional, para segmentacion de contenido).
- Origen del lead (URL de procedencia, parametros UTM, slug del recurso solicitado).
- Direccion IP y user-agent del navegador, exclusivamente para fines antifraude y rate-limit.
Doble opt-in. Tras rellenar el formulario, recibira un email de confirmacion. Su email no entrara en nuestra lista hasta que pulse el enlace de confirmacion. Hasta entonces el registro tecnico se mantiene durante un maximo de 30 dias para evitar duplicados, transcurridos los cuales se elimina si no se confirma.
Base legal: consentimiento explicito (Art. 6.1.a RGPD) prestado mediante checkbox y reconfirmado via doble opt-in. Puede retirar el consentimiento en cualquier momento usando el enlace “darse de baja” presente en el pie de cada email, o escribiendo a privacidad@vret.es.
Conservacion: mientras mantenga la suscripcion activa. Tras 24 meses sin abrir ningun email, se considerara baja tacita y se eliminara el registro. Si retira el consentimiento, los datos se eliminan en un maximo de 30 dias, salvo retencion de registro de baja para acreditar el ejercicio del derecho.
4. Bases Legales del Tratamiento (resumen)
| Tratamiento | Base legal | Referencia |
|---|---|---|
| Prestacion del servicio SaaS al profesional | Ejecucion contractual | Art. 6.1.b RGPD |
| Tratamiento de datos del paciente por cuenta del profesional | Asistencia sanitaria por profesional con secreto + ejecucion contractual | Art. 9.2.h + Art. 6.1.b RGPD |
| Facturacion y cobros | Ejecucion contractual y obligacion legal fiscal | Art. 6.1.b + Art. 6.1.c RGPD |
| Comunicaciones de soporte y seguridad | Ejecucion contractual | Art. 6.1.b RGPD |
| Comunicaciones comerciales sobre productos similares (clientes existentes) | Interes legitimo | Art. 6.1.f RGPD + Art. 21.2 LSSI-CE |
| Newsletter y descarga de lead magnets | Consentimiento explicito (doble opt-in) | Art. 6.1.a RGPD + Art. 21.1 LSSI-CE |
| Mejora del producto y analitica agregada | Interes legitimo | Art. 6.1.f RGPD |
| Cumplimiento de obligaciones contables y fiscales | Obligacion legal | Art. 6.1.c RGPD |
| Defensa de reclamaciones | Interes legitimo | Art. 6.1.f RGPD |
Aclaracion sobre Art. 9. A diferencia de versiones anteriores de esta politica, VRET reconoce expresamente que trata datos relativos a la salud (Art. 9.1 RGPD) en su rol de Encargado del Tratamiento, al amparo de la excepcion del Art. 9.2.h y con las garantias del Art. 32 (medidas tecnicas y organizativas descritas en la seccion 8 y, con mayor detalle tecnico, en /seguridad).
5. Destinatarios y Subencargados
5.1 No vendemos datos
VRET no vende, alquila ni cede datos personales a terceros con fines comerciales. Tampoco utilizamos los datos clinicos del paciente para entrenar modelos de inteligencia artificial propios ni de terceros (clausula vinculante incorporada al DPA).
5.2 Subencargados del tratamiento
La lista canonica y actualizada de subencargados se publica tambien en /seguridad y forma el Anexo III del DPA.
| Proveedor | Servicio | Jurisdiccion | Garantia de transferencia |
|---|---|---|---|
| Supabase Inc. | Base de datos PostgreSQL primaria (datos clinicos) | UE — Irlanda (AWS eu-west-1) | DPA Art. 28 + clausulas estandar para soporte EE.UU. |
| Cloudflare R2 | Object storage (grabaciones del entorno VR) | UE | DPA Art. 28 |
| Hetzner Online GmbH | Computo / hosting backend | UE — Alemania | DPA Art. 28 |
| Auth0 / Okta Inc. | Autenticacion y SSO | UE (operacion) + EE.UU. (soporte) | DPA Art. 28 + DPF |
| Stripe Payments Europe Ltd. | Procesamiento de pagos (sin datos clinicos) | Irlanda + EE.UU. | DPA Art. 28 + DPF |
| Upstash Inc. | Redis cache y pub/sub (sin datos clinicos) | UE — Irlanda | DPA Art. 28 |
| Resend | Email transaccional | UE + EE.UU. | DPA Art. 28 + DPF |
| Loops | Newsletter y secuencias (sin datos clinicos) | EE.UU. | DPA Art. 28 + DPF |
| Plausible Analytics | Analitica web sin cookies | UE — Alemania | DPA Art. 28 |
| Sentry | Telemetria de errores con redaccion de PII | UE (region Frankfurt) | DPA Art. 28 |
| Cloudflare Inc. | CDN, WAF y DNS | Global con jurisdiccion UE | DPA Art. 28 + DPF |
| Calendly | Agendado de demos (sin datos clinicos) | EE.UU. | DPA Art. 28 + DPF |
5.3 Transferencias internacionales
Los datos clinicos del paciente no son objeto de transferencia internacional fuera del Espacio Economico Europeo en la operacion ordinaria del servicio.
Los subencargados ubicados en o con conexion a Estados Unidos (Stripe, Auth0/Okta, Resend, Loops, Cloudflare, Calendly) operan al amparo del Marco de Privacidad de Datos UE-EE.UU. (Decision de Adecuacion de la Comision Europea de 10 de julio de 2023, conforme al Art. 45 RGPD) y, donde aplique, complementariamente al amparo de las Clausulas Contractuales Tipo aprobadas por la Comision (Art. 46.2.c).
5.4 Cesiones a autoridades
VRET puede comunicar datos a autoridades publicas cuando exista obligacion legal (requerimiento judicial, requerimiento motivado de autoridad competente). En tal caso lo notificamos al Responsable salvo que la autoridad lo prohiba expresamente.
6. Plazos de Conservacion
| Datos | Plazo | Justificacion |
|---|---|---|
| Datos de cuenta del profesional activa | Mientras dure la relacion contractual | Ejecucion del contrato |
| Datos clinicos del paciente (notas, SUDS, telemetria, grabaciones) | Bajo control del profesional Responsable: durante la vigencia del contrato; tras cancelacion, ventana de 30 dias para export y 60 dias hasta supresion operativa, salvo instruccion del Responsable de mantener mas tiempo | El profesional debe retener historia clinica durante el plazo del Art. 17 Ley 41/2002 (5 anos minimo desde la fecha del alta de cada proceso asistencial). VRET asiste al Responsable para conservar la informacion el tiempo necesario, por instruccion documentada |
| Datos de facturacion | 6 anos tras la finalizacion | Art. 30 Codigo de Comercio |
| Datos fiscales y registros contables | 4 anos tras la finalizacion (extension a 6 si concurre regimen especial) | Ley General Tributaria (Arts. 66 y ss.) y Codigo de Comercio |
| Logs de acceso y eventos de seguridad | 12 meses | Buenas practicas y necesidad de defensa de reclamaciones |
| Cookies tecnicas | 13 meses maximo | Directrices AEPD sobre cookies (2023) |
| Leads y newsletter | Mientras mantenga la suscripcion; baja tacita a los 24 meses sin interaccion | Higiene de lista y proporcionalidad |
| Registro de bajas y ejercicios de derechos | 3 anos | Acreditar el ejercicio del derecho frente a la AEPD |
Transcurridos estos plazos, los datos seran eliminados de forma segura (incluidas copias de seguridad, en el ciclo de expiracion de backups) o anonimizados de forma irreversible para fines estadisticos internos.
7. Derechos del Interesado (ARCO+)
De conformidad con los articulos 15 a 22 del RGPD y los articulos 12 a 18 de la LOPDGDD, usted tiene derecho a:
| Derecho | Descripcion | Articulo RGPD |
|---|---|---|
| Acceso | Obtener confirmacion de si tratamos sus datos y acceder a ellos | Art. 15 |
| Rectificacion | Solicitar la correccion de datos inexactos | Art. 16 |
| Supresion | Solicitar la eliminacion de sus datos (“derecho al olvido”) | Art. 17 |
| Limitacion | Solicitar que se limite el tratamiento | Art. 18 |
| Portabilidad | Recibir sus datos en formato estructurado y legible por maquina | Art. 20 |
| Oposicion | Oponerse al tratamiento basado en interes legitimo | Art. 21 |
| No ser objeto de decisiones automatizadas | VRET no toma decisiones automatizadas con efectos juridicos sobre el interesado | Art. 22 |
Como ejercer sus derechos
- Si es usted profesional contratante: escriba a privacidad@vret.es con asunto “Ejercicio de derechos RGPD”.
- Si es usted paciente: dirijase en primera instancia a su psicologo o clinica, que es el Responsable de su historia clinica. Si no obtiene respuesta o necesita escalado, puede escribirnos a la misma direccion y le ayudaremos a identificar al Responsable.
- Plazo de respuesta: 30 dias naturales (ampliable a 60 dias en casos complejos, previa notificacion).
- Identificacion: debera acreditar su identidad adjuntando copia de DNI/NIE o documento equivalente.
- Gratuidad: el ejercicio de estos derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas.
Derecho a reclamar ante la autoridad de control
Si considera que el tratamiento de sus datos vulnera la normativa, puede presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD): www.aepd.es — C/ Jorge Juan 6, 28001 Madrid. Recomendamos contactar primero con nosotros: la mayoria de incidencias se resuelven sin necesidad de escalar.
8. Medidas de Seguridad (Art. 32 RGPD)
VRET implementa medidas tecnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo del tratamiento (datos de salud Art. 9 a escala multi-clinica). Resumen ejecutivo:
- Cifrado en transito: TLS 1.2+ obligatorio en todas las conexiones.
- Cifrado en reposo: AES-256 en discos del proveedor de hosting; cifrado adicional de campo con AES-256-GCM envelope encryption sobre las columnas de datos clinicos sensibles.
- Aislamiento entre clientes: Row-Level Security a nivel de motor PostgreSQL con rol de aplicacion NOBYPASSRLS.
- Autenticacion robusta: SSO/OIDC; soporte para MFA; tokens JWT firmados con RS256 y revocables en tiempo real ante cambio de contrasena.
- Acceso minimo de empleados: ningun miembro del equipo accede a datos clinicos en operacion ordinaria. El acceso de soporte se gestiona mediante mecanismo break-glass auditable (cada acceso registrado con justificacion, alcance y notificacion al cliente). El SOP completo se incluye en el DPA.
- Backups cifrados con retencion 7 dias, en el mismo entorno UE.
- Monitorizacion: logs de acceso, deteccion de anomalias, alertas de seguridad y telemetria de errores con redaccion automatica de PII clinica.
- Pruebas: bateria automatizada de pruebas de aislamiento entre tenants en cada despliegue.
- Formacion: personal con acceso a sistemas productivos firma compromiso de confidencialidad y recibe formacion RGPD obligatoria.
El detalle tecnico actualizado esta disponible en /seguridad.
9. Notificacion de Brechas de Seguridad
En caso de violacion de la seguridad de los datos personales que suponga un riesgo para los derechos y libertades de los interesados:
- Notificacion a la AEPD: en un plazo maximo de 72 horas desde que se tenga conocimiento de la brecha (Art. 33 RGPD).
- Notificacion a los afectados: sin dilacion indebida cuando la brecha suponga un alto riesgo (Art. 34 RGPD).
- Notificacion al Responsable: cuando VRET actua como Encargado, notificara al Responsable sin dilacion indebida desde el momento en que tenga conocimiento de la brecha, para que este pueda cumplir sus propias obligaciones (Art. 33.2 RGPD). Plazo objetivo: 24 horas desde la deteccion.
- Registro interno: mantenemos un registro de todas las violaciones de seguridad, incluyendo circunstancias, efectos y medidas correctivas, conforme al Art. 33.5 RGPD.
- Contacto: seguridad@vret.es
10. Registro de Actividades de Tratamiento (Art. 30)
VRET mantiene un Registro de Actividades de Tratamiento conforme al Art. 30 del RGPD y al Art. 31 de la LOPDGDD, que se encuentra a disposicion de la Agencia Espanola de Proteccion de Datos en caso de ser requerido.
11. Evaluacion de Impacto (EIPD/DPIA)
Dado que VRET trata datos relativos a la salud (Art. 9 RGPD) a escala, hemos realizado una Evaluacion de Impacto relativa a la Proteccion de Datos conforme al Art. 35 RGPD. La EIPD identifica los riesgos para los derechos y libertades de los interesados, las medidas de mitigacion adoptadas y el riesgo residual.
La EIPD esta disponible para auditores cualificados y DPO de clientes bajo NDA. Solicitudes a privacidad@vret.es.
12. Politica de Cookies
Detalle completo de cookies utilizadas, finalidad y plazo en la Politica de Cookies. Sintesis: VRET solo utiliza cookies tecnicas necesarias para el funcionamiento del servicio. La analitica web se realiza mediante Plausible Analytics, que no utiliza cookies ni huella digital.
13. Delegado de Proteccion de Datos (DPD)
VRET trata datos de categoria especial (salud) a escala. Atendiendo al Art. 37.1.b y 37.1.c del RGPD y a las directrices del Comite Europeo de Proteccion de Datos sobre la designacion de DPD, VRET ha procedido a la designacion voluntaria de un Delegado de Proteccion de Datos antes de la entrada del primer cliente productivo, comprometiendose a comunicar oficialmente esta designacion a la Agencia Espanola de Proteccion de Datos en el momento en que se cumplan los umbrales reglamentarios.
Para consultas relacionadas con la proteccion de datos: privacidad@vret.es.
14. Modificaciones
VRET se reserva el derecho de modificar esta Politica de Privacidad para adaptarla a novedades legislativas o de practica empresarial. Cualquier modificacion sustancial sera comunicada a los usuarios registrados con una antelacion minima de 30 dias mediante email y publicacion destacada en la plataforma. Mantenemos un historial de versiones disponible bajo solicitud para acreditar la version aplicable a cada momento.
15. Legislacion Aplicable
Esta Politica de Privacidad se rige por:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Proteccion de Datos, RGPD).
- Ley Organica 3/2018, de 5 de diciembre, de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD).
- Ley 41/2002, de 14 de noviembre, basica reguladora de la autonomia del paciente y de derechos y obligaciones en materia de informacion y documentacion clinica.
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacion y de Comercio Electronico (LSSI-CE), en lo relativo a cookies y comunicaciones electronicas.