Kora Clinic · Legal

Política de Privacidad

Última actualización: 5 de mayo de 2026 · Versión 2.0 · Aplicable a gestiondeclinicas.net y la plataforma Kora Clinic.

Índice de contenidos

Kora Clinic es un software avanzado de gestión clínica en modalidad SaaS (Software as a Service) que facilita a los centros médicos, clínicas y profesionales de la salud la administración de agendas, historias clínicas de pacientes, consentimientos informados, facturación y comunicaciones seguras.

1. ¿Quiénes somos? Responsable y Encargado del tratamiento

Encargado del tratamiento (proveedor de la plataforma)

TitularDavid Fernández García
DNI26.747.551-T
DirecciónC/ Alcañiz, 2, 46019 Valencia (España)
Correodavid.fernandez@korasolutions.net
Webgestiondeclinicas.net

David Fernández García actúa como Encargado del Tratamiento en los términos del artículo 28 del Reglamento General de Protección de Datos (RGPD). Como proveedor, proporciona la infraestructura tecnológica de la plataforma a las clínicas y profesionales que contratan el servicio, tratando los datos personales estrictamente según las instrucciones documentadas de cada centro y sin utilizarlos para finalidades propias.

Responsable del tratamiento (la clínica o profesional de la salud)

Cada clínica, centro médico o profesional de la salud que contrata y utiliza la plataforma Kora Clinic actúa como Responsable del Tratamiento respecto a los datos de sus pacientes, historial clínico, personal y demás usuarios registrados en su entorno de trabajo. Es el centro médico quien determina los fines y los medios del tratamiento.

Los datos de contacto del responsable concreto (denominación de la clínica, CIF/NIF, dirección y correo electrónico) figuran en los formularios de registro de pacientes, en los documentos de consentimiento informado y en el portal del paciente.

Entre el Encargado del Tratamiento (Kora Clinic) y cada clínica cliente se suscribe un preceptivo Contrato de Encargo del Tratamiento conforme al art. 28 RGPD, que regula exhaustivamente las obligaciones de ambas partes en materia de seguridad, confidencialidad y protección de datos.

2. Ámbito de aplicación

La presente Política de Privacidad resulta aplicable a:

  • Los visitantes del sitio web principal gestiondeclinicas.net.
  • Las clínicas, centros de salud y profesionales sanitarios que contratan la plataforma en calidad de clientes.
  • Los usuarios finales de la plataforma: pacientes, tutores legales de pacientes menores, médicos, enfermeros, personal administrativo y de recepción con acceso al sistema.

3. Datos personales que tratamos

3.1 Usuarios profesionales (personal sanitario y administrativo)

CategoríaDatos concretos
IdentificativosNombre, apellidos, DNI/NIE.
ContactoCorreo electrónico, teléfono móvil, dirección profesional.
Acceso a la plataformaDirección de correo (identificador), contraseña cifrada (hash bcrypt), rol asignado (Admin, Trabajador).
Técnicos y auditoríaDirección IP, User-Agent, timestamps de acceso, registro de auditoría de modificaciones en historias clínicas.

3.2 Pacientes

CategoríaDatos concretos
Identificativos y ContactoNombre, apellidos, fecha de nacimiento, sexo, DNI/NIE, teléfono, correo electrónico, dirección postal.
Sanitarios (categoría especial)Historial de visitas clínicas, observaciones médicas, tratamientos, alergias e imágenes realizadas en la clínica.
EconómicosPresupuestos aceptados, datos de facturación, historial de pagos, bonos de tratamiento.
ConsentimientosFirma digital manuscrita, fecha y hora de la aceptación de consentimientos informados médicos y LOPD.

4. Finalidades y bases jurídicas del tratamiento

FinalidadBase jurídica (RGPD)
Gestión del acceso y uso de la plataforma por parte de la clínicaEjecución de un contrato (art. 6.1.b)
Gestión de citas y agenda de la clínicaEjecución de un contrato / Prestación de servicios (art. 6.1.b)
Gestión de la Historia Clínica y atención médico-sanitariaTratamiento necesario para fines de medicina preventiva o laboral, diagnóstico médico y prestación de asistencia sanitaria (art. 9.2.h RGPD) y Ley 41/2002.
Envío de recordatorios de citas (WhatsApp, Email, SMS)Interés legítimo de la clínica (art. 6.1.f) y ejecución del servicio.
Facturación y gestión contable de pacientesCumplimiento de obligación legal (fiscal) (art. 6.1.c)
Atención de solicitudes de derechos ARCO-POLCumplimiento de obligación legal (art. 6.1.c); arts. 15–22 RGPD

5. Categorías especiales de datos (datos de salud)

Datos especialmente protegidos — Artículo 9 RGPD

La historia clínica, alergias, y observaciones como datos biométricos o relacionados con el tratamiento, recogidos en la clínica, constituyen categorías especiales de datos. Como tales, gozan de una protección reforzada en nuestra plataforma.

Estos datos se tratan exclusivamente por profesionales sujetos al secreto profesional (médicos, enfermeros, personal sanitario) con la finalidad ineludible de prestar la asistencia y tratamientos requeridos. La plataforma Kora Clinic implementa medidas técnicas restrictivas:

  • El acceso a las historias clínicas está estrictamente limitado mediante políticas RLS (Row Level Security), asegurando que un profesional solo accede a los pacientes de su propia clínica.
  • Todo el historial de modificaciones clínicas genera un rastro de auditoría inmutable (trazabilidad legal).
  • Los datos de salud se almacenan cifrados en repositorios seguros, segregados por la lógica de la base de datos para impedir fugas entre distintas clínicas (multi-tenant architecture).

6. Datos de menores de edad

Conforme al artículo 7 de la Ley Orgánica 3/2018 (LOPDGDD), en España la edad mínima para prestar consentimiento autónomo al tratamiento de datos personales es de 14 años. En el ámbito sanitario (Ley 41/2002), se requiere que los menores estén acompañados o representados por sus padres o tutores legales según la madurez del menor y la gravedad del tratamiento.

Es responsabilidad de la clínica implementar flujos específicos para la filiación de pacientes pediátricos:

  • Recogida de firmas y consentimientos informados expresos por parte del padre, madre o tutor legal.
  • Registro inmutable de la fecha, hora y datos del adulto que autoriza el tratamiento y el uso de datos personales del menor.

7. Destinatarios, subencargados y transferencias internacionales

7.1 Destinatarios internos

Dentro de cada clínica, los datos son accesibles únicamente por el personal autorizado y autenticado. El sistema de Control de Acceso Basado en Roles (RBAC) impide, por ejemplo, que el personal de recepción o marketing visualice notas clínicas íntimas restringidas exclusivamente a los responsables del tratamiento.

7.2 Subencargados del tratamiento

Para alojar y mantener la plataforma Kora Clinic, utilizamos infraestructuras de proveedores líderes (subencargados). Todos ellos operan bajo estrictos Acuerdos de Procesamiento de Datos (DPA):

  • Supabase, Inc.: Proveedor de la base de datos PostgreSQL, autenticación y almacenamiento de documentos. Ubicación de los datos: Nodos de AWS en la Unión Europea (eu-west-1 / Irlanda).
  • Hostinger International, UAB: Alojamiento del servidor frontend. Ubicación: UE (Lituania / Países Bajos). Entidad europea sujeta íntegramente al RGPD.
  • Cloudflare, Inc.: Seguridad perimetral, firewall (WAF) y CDN. Entidad con sede europea sujeta íntegramente al RGPD.

7.3 Transferencias internacionales

Si bien Kora Clinic prioriza el almacenamiento en servidores europeos, proveedores globales como Supabase o Cloudflare tienen sede en EE.UU. Cualquier transferencia internacional derivada de la arquitectura de red se ampara en las Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea o bajo el marco del EU–US Data Privacy Framework (Decisión de Adecuación 2023), garantizando que los datos europeos mantienen su nivel de protección.

8. Plazos de conservación

Tipo de dato / DocumentoPlazo legal de conservación
Historias Clínicas de PacientesMínimo 5 años desde el alta de cada proceso asistencial (Art. 17, Ley 41/2002). En ciertas CCAA, este plazo puede extenderse por normativa autonómica.
Datos de facturación6 a 10 años para dar cumplimiento a obligaciones mercantiles (Código de Comercio) y tributarias (Ley General Tributaria).
Consentimientos LOPD e InformadosMínimo 5 años o mientras la historia clínica deba ser conservada.
Datos de la Clínica (Cliente Kora Clinic)Durante la vigencia del contrato SaaS, y bloqueados hasta 5 años para depurar posibles responsabilidades civiles.

9. Derechos de los interesados (ARCO-POL)

Conforme a los artículos 15 a 22 del RGPD, los interesados tienen derecho a acceder, rectificar, suprimir, limitar el tratamiento, solicitar la portabilidad y oponerse al tratamiento de sus datos.

Importante para pacientes:

Para ejercer derechos sobre su historial médico, el paciente debe dirigirse directamente a la clínica o centro médico donde fue atendido (Responsable del Tratamiento). Kora Clinic, como Encargado, proporciona a las clínicas las herramientas tecnológicas necesarias (exportación de PDF/JSON, borrado seguro) para que puedan responder a las solicitudes de los pacientes en el plazo legal (máximo 30 días).

Si usted es un profesional sanitario o cliente directo de Kora Clinic, puede ejercer sus derechos enviando un correo identificándose debidamente a david.fernandez@korasolutions.net.

10. Medidas de seguridad técnicas y organizativas

Kora Clinic implementa un robusto Sistema de Gestión de Seguridad de la Información acorde a las exigencias del tratamiento de datos de salud (Art. 32 RGPD):

  • Cifrado integral: Conexiones protegidas mediante TLS 1.3 (en tránsito) y bases de datos cifradas mediante AES-256 (en reposo).
  • Aislamiento y Multi-tenancy segura: Las políticas de seguridad a nivel de fila (RLS de PostgreSQL) garantizan matemáticamente que ninguna clínica pueda consultar registros de otra clínica en la misma base de datos.
  • Auditoría forense: Registro automático de creación, modificación o lectura de documentos sensibles.
  • Resiliencia y Copias de Seguridad: Snapshots diarios y recuperación Point-in-Time garantizada, mitigando riesgos de ransomware.
  • Protección contra ataques web: Bloqueo de fuerza bruta, mitigación DDoS, cabeceras anti-XSS y CSP activas mediante infraestructura Cloudflare.

11. Política de cookies

La plataforma Kora Clinic (incluyendo el portal de pacientes) es estricta con la privacidad de la navegación. Únicamente utilizamos cookies y almacenamiento local de tipo técnico o estrictamente necesario para:

  • Mantener la sesión del usuario iniciada y verificar su identidad de forma segura (tokens JWT).
  • Recordar preferencias esenciales de la interfaz de usuario.
  • Protección contra bots maliciosos mediante mecanismos de mitigación (Cloudflare Turnstile).

Al no utilizar cookies de seguimiento comercial, analíticas de terceros intrusivas ni pixels de redes sociales, no se requiere el bloqueo o la recolección de consentimiento previo según el art. 22.2 de la LSSI y directrices de la AEPD.

12. Modificaciones de esta política

Kora Clinic se reserva el derecho de revisar y actualizar esta política para reflejar cambios en las prácticas de privacidad, actualizaciones tecnológicas o nuevas exigencias normativas (jurisprudencia de la AEPD o del Comité Europeo de Protección de Datos).

Cualquier modificación sustancial será notificada a los administradores de las clínicas clientes con la debida antelación (mínimo 30 días) para su conocimiento y adaptación.

13. Contacto y reclamaciones

Para cualquier duda sobre el tratamiento de sus datos o el cumplimiento normativo de la plataforma, puede contactar con el responsable legal del proveedor de software:

David Fernández García (Kora Clinic)

C/ Alcañiz, 2, 46019 Valencia (España)

Email de privacidad: david.fernandez@korasolutions.net

Asimismo, si considera que el tratamiento de los datos personales no se ajusta a la normativa vigente, tiene derecho a presentar una reclamación ante la Autoridad de Control:

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6 — 28001 Madrid
Web y sede electrónica: www.aepd.es