Política de privacidad
La presente Política de Privacidad tiene por objeto informar a los usuarios del Sitio Web sobre el tratamiento de sus datos personales, en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
2.1 Responsable del tratamiento
Responsable: Ayira Health, S.L.
NIF/CIF: B56143548
Domicilio: C/ Severo Ochoa nº 9, Escalera 2, Planta 1, Puerta B, 28232 Las Rozas de Madrid, Madrid, España
Correo electrónico: avelaine@ayirahealth.com
Teléfono: +34 617 817 706
Delegado de Protección de Datos (DPD): No aplica
2.2 Datos que recogemos
En función de la relación del usuario con Ayira Health, podemos recoger las siguientes categorías de datos personales:
a) Datos identificativos y de contacto
Nombre y apellidos, DNI/NIE/Pasaporte, dirección postal, correo electrónico, número de teléfono, fecha de nacimiento, sexo e imagen (fotografía de perfil).
b) Datos económicos y de facturación
Datos bancarios (IBAN), datos de tarjeta de crédito/débito (procesados por la pasarela de pago), historial de pagos y facturación.
c) Datos de salud (categoría especial)
En el marco de la prestación de servicios de fisioterapia, entrenamiento personal, medicina estética y valoraciones, Ayira Health recoge y trata datos relativos a la salud del usuario, tales como: historial de lesiones y patologías, informes de valoración física, resultados de pruebas funcionales, objetivos terapéuticos, historial de tratamientos y seguimiento, contraindicaciones médicas y alergias.
Estos datos se consideran datos de categoría especial conforme al artículo 9 del RGPD y reciben una protección reforzada, tal como se detalla en el apartado 2.3.
d) Datos de navegación
Dirección IP, tipo de navegador, sistema operativo, páginas visitadas, tiempo de permanencia y datos de cookies (detallados en la Política de Cookies).
e) Datos del área privada
Credenciales de acceso (usuario y contraseña cifrada), historial de reservas, bonos adquiridos, preferencias de servicio y comunicaciones realizadas a través de la plataforma.
2.3 Finalidades y bases legales del tratamiento
Finalidad | Datos tratados | Base legal |
Gestión de consultas y solicitudes a través de formularios web | Identificativos, contacto | Consentimiento del interesado (art. 6.1.a RGPD) |
Gestión de altas de socios/clientes y acceso al área privada | Identificativos, contacto, económicos, área privada | Ejecución del contrato (art. 6.1.b RGPD) |
Prestación de servicios de fisioterapia, entrenamiento personal, medicina estética y valoraciones | Identificativos, salud | Consentimiento explícito para datos de salud (art. 9.2.a RGPD) y necesidad para fines de medicina preventiva o laboral (art. 9.2.h RGPD) |
Gestión administrativa, contable y fiscal | Identificativos, económicos | Cumplimiento de obligaciones legales (art. 6.1.c RGPD) |
Envío de comunicaciones comerciales e informativas | Identificativos, contacto | Consentimiento del interesado (art. 6.1.a RGPD) |
Análisis estadístico de uso del Sitio Web | Navegación | Interés legítimo (art. 6.1.f RGPD) |
Gestión de planes B2B con empresas colaboradoras | Identificativos, contacto, económicos | Ejecución del contrato (art. 6.1.b RGPD) |
Tratamiento de datos de salud
El tratamiento de datos de salud se realiza exclusivamente bajo las siguientes garantías:
• Se recaba el consentimiento explícito del interesado mediante formulario específico firmado física o digitalmente antes de iniciar cualquier tratamiento sanitario.
• Los datos de salud son tratados por profesionales sanitarios colegiados sujetos al deber de secreto profesional.
• Se aplican medidas de seguridad reforzadas (cifrado, control de accesos, registros de actividad) conforme al artículo 32 del RGPD.
• Los datos de salud no se utilizan para finalidades distintas a la prestación del servicio sanitario contratado ni para elaboración de perfiles comerciales.
2.4 Plazos de conservación
Los datos personales se conservarán durante los siguientes plazos:
• Datos de contacto de consultas: hasta la resolución de la consulta y un máximo de 1 año tras la última comunicación, salvo que se establezca otra relación.
• Datos contractuales de clientes/socios: durante la vigencia de la relación contractual y, tras su finalización, durante los plazos de prescripción legal aplicables (5 años conforme al art. 1964 del Código Civil).
• Datos fiscales y de facturación: 4 años conforme a la Ley General Tributaria.
• Datos de salud (historiales clínicos): mínimo 5 años desde el último tratamiento, conforme a la Ley 41/2002, de 14 de noviembre (Ley Básica de Autonomía del Paciente), y la normativa sanitaria de la Comunidad de Madrid.
• Datos del área privada: mientras la cuenta permanezca activa y hasta 1 año tras su cancelación.
• Datos de comunicaciones comerciales: hasta que el usuario retire su consentimiento.
2.5 Destinatarios de los datos
Los datos personales podrán ser comunicados a los siguientes destinatarios:
• Administraciones Públicas: cuando así lo exija una obligación legal (Agencia Tributaria, Seguridad Social, autoridades sanitarias).
• Entidades financieras: para la gestión de cobros y domiciliaciones bancarias.
• Proveedores de servicios tecnológicos: que actúan como encargados del tratamiento bajo contratos conformes al artículo 28 del RGPD. En particular:
- CRM/Software de gestión: Clinic Cloud (Clinic Cloud S.L., España). Almacenamiento en la nube con servidores en España.
- Pasarela de pagos:
- Alojamiento web (hosting): Arsys
- Correo electrónico: Google
- Plataforma Technogym:
2.6 Transferencias internacionales de datos
Algunos de los proveedores de servicios tecnológicos mencionados en el apartado anterior pueden tener sus servidores ubicados fuera del Espacio Económico Europeo (EEE). En tales casos, las transferencias internacionales de datos se realizan al amparo de:
• Decisiones de adecuación de la Comisión Europea (por ejemplo, el EU-US Data Privacy Framework para proveedores de EE.UU. adheridos).
• Cláusulas contractuales tipo aprobadas por la Comisión Europea.
• Otras garantías adecuadas conforme a los artículos 46-49 del RGPD.
El usuario puede solicitar información detallada sobre las garantías aplicables a cada transferencia dirigiéndose al correo electrónico del responsable.
2.7 Derechos del usuario
El usuario puede ejercer los siguientes derechos en relación con sus datos personales:
• Derecho de acceso: conocer si se están tratando sus datos y obtener una copia.
• Derecho de rectificación: solicitar la corrección de datos inexactos o incompletos.
• Derecho de supresión (“derecho al olvido”): solicitar la eliminación de sus datos cuando ya no sean necesarios.
• Derecho de oposición: oponerse al tratamiento de sus datos en determinadas circunstancias.
• Derecho de limitación: solicitar la limitación del tratamiento en los supuestos previstos legalmente.
• Derecho de portabilidad: recibir sus datos en un formato estructurado y de uso común.
• Derecho a retirar el consentimiento: en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior.
Para ejercer estos derechos, el usuario puede dirigirse a:
Correo electrónico: avelaine@ayirahealth.com
Dirección postal: C/ Severo Ochoa nº 9, Escalera 2, Planta 1, Puerta B, 28232 Las Rozas de Madrid, Madrid, España
Deberá acompañar la solicitud con copia de su documento identificativo (DNI/NIE/Pasaporte).
Asimismo, el usuario tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con domicilio en C/ Jorge Juan, 6, 28001 Madrid (www.aepd.es), si considera que sus derechos no han sido debidamente atendidos.
2.8 Datos de menores
El Sitio Web y los servicios de Ayira Health no están dirigidos a menores de 14 años. En caso de que un menor de 14 años sea socio en el marco de una cuota familiar, el consentimiento para el tratamiento de sus datos deberá ser prestado por su representante legal (padre, madre o tutor).
Ayira Health adoptará las medidas razonables para verificar que el consentimiento ha sido prestado por el titular de la patria potestad o tutela.
2.9 Procedencia de los datos
Con carácter general, los datos personales se obtienen directamente del interesado. No obstante, en el caso de planes B2B, la empresa colaboradora podrá facilitar datos identificativos y de contacto de sus empleados. En este caso, Ayira Health informará a los interesados en el momento del primer contacto.
2.10 Decisiones automatizadas y elaboración de perfiles
Ayira Health no adopta decisiones basadas únicamente en el tratamiento automatizado de datos que produzcan efectos jurídicos o afecten significativamente al usuario. El software de gestión puede realizar segmentaciones con fines organizativos internos (por ejemplo, asignación de profesionales según tipo de servicio), sin que ello constituya elaboración de perfiles con efectos sobre el usuario.
2.11 Medidas de seguridad
De conformidad con el artículo 32 del RGPD, Ayira Health ha adoptado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo entre otras: cifrado de datos de salud, controles de acceso basados en roles, copias de seguridad periódicas, formación del personal en protección de datos y protocolos de respuesta ante incidentes de seguridad.