Datos clínicos exclusivamente en la UE. Row-Level Security en base de datos. Cifrado de campo en reposo. DPA disponible para que tu DPO lo revise. Detalle técnico, no marketing.
PostgreSQL en Supabase EU (Irlanda). Object storage de grabaciones VR en Cloudflare R2, jurisdicción UE. Cómputo en Hetzner (Alemania). Los datos identificables y los datos clínicos del paciente nunca salen del Espacio Económico Europeo. Cobros (Stripe-Irlanda) y autenticación (Auth0 EU) operan al amparo del Marco de Privacidad de Datos UE-EE.UU. (Decisión de Adecuación 10 jul 2023, Art. 45 RGPD) en sus rutas de soporte.
Tu clínica es un tenant aislado a nivel base de datos. 15 tablas con datos clínicos llevan políticas RLS forzadas a app.current_tenant_id, ejecutadas con un rol Postgres NOBYPASSRLS. Una consulta cross-tenant es físicamente imposible aunque la aplicación tenga un bug.
TLS 1.2+ obligatorio para todas las conexiones. Datos clínicos sensibles (notas, identificadores de paciente, marcadores) cifrados a nivel de campo en BD con AES-256-GCM (envelope encryption). Discos cifrados en proveedor. Backups cifrados. JWT firmados con RS256. No es end-to-end estricto (el servidor descifra para procesar la petición autenticada del clínico).
Para los datos clínicos del paciente, VRET actúa como Encargado del Tratamiento (Art. 28 RGPD). El Responsable es el psicólogo o la clínica que contrata. Esto es deliberado: tú decides qué pseudónimo usar, qué se graba, qué se conserva y qué se borra. VRET ejecuta tus instrucciones documentadas.
VRET no usa los datos clínicos de tus pacientes —notas, marcadores SUDS, grabaciones, audio del psicólogo, métricas— para entrenar modelos de inteligencia artificial propios ni de terceros. Tu corpus clínico es tuyo. Esta cláusula está incluida en el DPA y es vinculante contractualmente.
CI/CD ejecuta la batería completa de pruebas (unitarias, integración y de seguridad de aislamiento entre tenants) en cada despliegue. Análisis estático con Ruff/ESLint. Auditoría de dependencias con npm audit y pip-audit en cada release. Sentry con redacción de PII clínica. Política de divulgación responsable en seguridad@vret.es.
Ningún proveedor oculto. Si tu DPO te pregunta dónde van los datos, esta tabla responde. La lista se sincroniza con el Anexo III del DPA y se actualiza con preaviso de 30 días si cambia (Art. 28.2 RGPD).
| Servicio | Función | Jurisdicción | Garantía transferencia |
|---|---|---|---|
| Supabase | PostgreSQL primario (datos clínicos) | UE — Irlanda | DPA Art. 28 + cláusulas estándar |
| Cloudflare R2 | Grabaciones VR (S3-compat) | UE | DPA Art. 28 |
| Hetzner Online GmbH | Cómputo / hosting backend | UE — Alemania | DPA Art. 28 |
| Auth0 / Okta | Identidad / SSO | UE (operación) + EE.UU. (soporte) | DPA Art. 28 + DPF |
| Stripe | Cobros (sin datos clínicos) | Irlanda + EE.UU. | DPA Art. 28 + DPF |
| Upstash | Redis cache + pub/sub | UE — Irlanda | DPA Art. 28 |
| Resend | Email transaccional | UE + EE.UU. | DPA Art. 28 + DPF |
| Loops | Newsletter doble opt-in (sin datos clínicos) | EE.UU. | DPA Art. 28 + DPF |
| Plausible Analytics | Analítica web sin cookies | UE — Alemania | DPA Art. 28 |
| Sentry | Telemetría de errores con redacción de PII | UE (región Frankfurt) | DPA Art. 28 |
| Cloudflare | CDN / WAF / DNS | Global con jurisdicción UE | DPA Art. 28 + DPF |
| Calendly | Agendado de demos (sin datos clínicos) | EE.UU. | DPA Art. 28 + DPF |
DPF = Marco de Privacidad de Datos UE-EE.UU. (Decisión de Adecuación de la Comisión Europea de 10 jul 2023, Art. 45 RGPD). Esta lista cambia cuando añadimos o sustituimos un proveedor. Te avisamos por email con 30 días de antelación si afecta a datos personales de tus pacientes (RGPD Art. 28.2).
Quién es responsable, qué datos tratamos, bases legales, retención, derechos ARCO+.
Leer documentoContrato de servicio: planes, garantías, IP, jurisdicción, limitación de responsabilidad.
Leer documentoPlantilla Art. 28 RGPD: instrucciones documentadas, subencargados, break-glass, no-IA, continuidad.
Leer documentoSólo cookies técnicas necesarias. Plausible es analítica sin cookies.
Leer documentoIdentificación del prestador conforme al Art. 10 LSSI-CE.
Leer documentoFrontera de uso: VRET es apoyo profesional, no producto sanitario MDR.
Leer documentoPostgreSQL en Supabase EU-West-1 (Irlanda). Backups cifrados con retención 7 días en el mismo entorno. Las grabaciones del entorno virtual (cuando el clínico decide grabar) se almacenan en Cloudflare R2, jurisdicción UE. Los datos clínicos no cruzan el Atlántico.
Sí. Aunque trabajamos con pseudónimos —el psicólogo decide el alias, VRET nunca recibe DNI ni nombre real—, las notas clínicas, marcadores SUDS y grabaciones del entorno virtual revelan el estado de salud mental del paciente. Por Considerando 26 RGPD y jurisprudencia CJEU (caso Breyer), siguen siendo dato personal de categoría especial. Tratamos estos datos como Encargado al amparo del Art. 9.2.h (asistencia sanitaria por profesional sujeto a secreto), bajo instrucciones documentadas del psicólogo Responsable.
Datos clínicos: no. Hay dos rutas técnicas que pueden tocar EE.UU. al amparo del Marco de Privacidad de Datos UE-EE.UU. (DPF, decisión de adecuación de la Comisión Europea de 10 de julio de 2023): (1) cobros vía Stripe, en datos puramente comerciales (importe, IBAN, tarjeta) sin identidad del paciente; (2) autenticación vía Auth0/Okta en su ruta de soporte. Ambas son legales bajo Art. 45 RGPD y están listadas en nuestra política de privacidad.
Sólo los miembros de tu clínica con permisos asignados. El equipo técnico de VRET no consulta tus datos en operación normal. Acceso de soporte (lectura puntual para diagnóstico) sólo se realiza con tu solicitud explícita o ante un incidente justificado, mediante un mecanismo break-glass auditable: cada acceso queda registrado con justificación, alcance, hora y operario, y se notifica al cliente. SOP completo disponible en el DPA.
Sí. La plantilla canónica está disponible bajo NDA antes de contratar (escríbenos a contacto@vret.es con asunto «DPA + nombre clínica»). Una vez firmado el contrato principal, el DPA se incorpora como anexo vinculante. Aceptamos cláusulas adicionales razonables si tu DPO las propone.
No. VRET es software profesional de apoyo clínico. No diagnostica, no prescribe, no propone tratamientos ni modifica parámetros clínicos de forma autónoma. La indicación, supervisión y aplicación clínica son del psicólogo colegiado a cargo. Esto sitúa el producto fuera del ámbito de aplicación del Reglamento (UE) 2017/745. Si en el futuro un escenario tiene finalidad médica explícita prescriptiva, valoraremos certificación MDR antes de su lanzamiento.
Sí. Sólo enviamos comunicaciones comerciales a quienes han dado opt-in explícito mediante doble opt-in (formulario + confirmación por email). LinkedIn DM 1:1 entre profesionales está permitido por LSSI-CE Art. 21. No enviamos cold email masivo: sería ilegal y contrario a nuestra política.
Tras la cancelación dispones de 30 días para exportar todos tus datos en CSV/JSON desde el panel o vía API. A los 60 días post-cancelación, los datos clínicos se eliminan de los sistemas operativos; las copias de seguridad expiran a los 7 días siguientes. Si por obligación legal tuvieras que retener historia clínica más tiempo (Ley 41/2002 obliga al psicólogo a 5 años mínimo), VRET asiste al Responsable para mantener la información durante el plazo necesario.
Escríbenos a contacto@vret.es con asunto «DPA + nombre de tu clínica» y te enviamos en 48 h laborables: DPA completo bajo NDA, diagrama de arquitectura, lista canónica de subencargados con copia de los DPAs firmados, y los procedimientos internos relevantes (break-glass, brecha, supresión).
Para reportes de seguridad responsables (vulnerabilidades, incidentes): seguridad@vret.es.