KoordinaCareKoordinaCare
EntrarCrear cuenta

Política de Privacidad

Información sobre el tratamiento de tus datos personales conforme al RGPD y la LOPDGDD

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es:

  • Identidad: Yeray Déniz, actuando como autónomo bajo el nombre comercial "KoordinaCare"
  • DNI: 54073751S
  • Dirección postal: Calle Sinceridad, 8 – Telde, Las Palmas (España)
  • Email de contacto: soporte@koordinacare.es
  • Sitio web: https://koordinacare.es

Para cualquier cuestión relacionada con la protección de datos personales, puede contactar con nosotros en: soporte@koordinacare.es

2. Finalidades del tratamiento

Tratamos los datos personales de los usuarios para las siguientes finalidades:

2.1. Gestión de cuentas de usuario

  • Creación y administración de cuentas de usuario
  • Autenticación y control de acceso
  • Verificación de identidad mediante código SMS (OTP) al crear la cuenta
  • Gestión de familias y asignación de roles (administrador, cuidador)

2.2. Prestación del servicio principal

  • Coordinación de turnos de cuidado entre familiares
  • Gestión y seguimiento de medicación del paciente
  • Registro y control de citas médicas
  • Gestión de tareas y notas de cuidado
  • Comunicación interna mediante chat familiar
  • Generación de informes de actividad del cuidado
  • Almacenamiento de documentos relacionados con el cuidado (informes médicos, recetas, identificación y otros documentos del paciente)

2.3. Comunicaciones y notificaciones

  • Envío de recordatorios de turnos, medicación y citas
  • Notificaciones sobre actividad en la familia (nuevos mensajes, cambios de turno)
  • Comunicaciones relacionadas con el servicio (actualizaciones, mantenimiento)

2.4. Facturación y pagos

  • Gestión de suscripciones (planes Free y Premium, y add-ons de cuidadores cuando estén disponibles)
  • Gestión de suscripciones y pagos mediante el proveedor correspondiente según el canal de contratación: Stripe para compras realizadas en la web, Apple/App Store para iOS y Google Play para Android
  • Prevención de fraude

2.5. Soporte y atención al usuario

  • Atención de consultas, incidencias y reclamaciones
  • Mejora continua del servicio basada en feedback

2.6. Analítica y mejora del servicio

  • Análisis de uso de la plataforma (estadísticas agregadas y anonimizadas)
  • Detección y corrección de errores técnicos
  • Desarrollo de nuevas funcionalidades

2.7. Comunicaciones comerciales (con consentimiento)

  • Envío de información sobre nuevas funcionalidades y ofertas
  • Encuestas de satisfacción

3. Base legal del tratamiento

El tratamiento de datos personales se fundamenta en las siguientes bases legales (artículo 6 del RGPD):

  • Ejecución de un contrato (Art. 6.1.b RGPD): El tratamiento es necesario para la prestación del servicio contratado (gestión de turnos, medicación, citas, chat, etc.) y la gestión de la relación contractual.
  • Consentimiento (Art. 6.1.a RGPD): Para el envío de comunicaciones comerciales, la activación de cookies de analítica y el tratamiento de datos de salud del paciente. El consentimiento puede retirarse en cualquier momento.
  • Interés legítimo (Art. 6.1.f RGPD): Para la mejora del servicio, prevención de fraude, garantía de seguridad de la plataforma y comunicaciones relacionadas con el servicio contratado.
  • Obligación legal (Art. 6.1.c RGPD): Para el cumplimiento de obligaciones legales como la conservación de facturas, la atención a requerimientos de autoridades competentes, etc.

Verificación de cuenta mediante teléfono/SMS (OTP): el tratamiento del número de teléfono para la verificación de cuenta se basa principalmente en la ejecución de la relación contractual o en medidas precontractuales (art. 6.1.b RGPD), al ser necesario para crear y proteger la cuenta. Adicionalmente, se apoya en el interés legítimo (art. 6.1.f RGPD) en la prevención de fraude, accesos indebidos y abuso del servicio. La falta de verificación del teléfono impide completar el registro y acceder al servicio.

4. Datos personales tratados

4.1. Datos de usuarios (cuidadores y administradores)

  • Datos identificativos: nombre, apellidos, email, foto de perfil (opcional)
  • Datos de acceso: contraseña (cifrada), historial de sesiones
  • Número de teléfono: obligatorio para la creación de cuenta y verificación de identidad mediante código SMS único (OTP). Se conserva asociado a la cuenta durante su vigencia. No se utiliza para comunicaciones comerciales salvo consentimiento expreso separado.
  • Datos de facturación: nombre fiscal, dirección, NIF (para planes de pago)
  • Datos de navegación: dirección IP, tipo de dispositivo, preferencias

4.2. Datos del paciente (categoría especial - datos de salud)

Los datos del paciente son introducidos y gestionados por los usuarios de la familia bajo su responsabilidad:

  • Datos identificativos: nombre, fecha de nacimiento, foto (opcional)
  • Datos de salud: diagnósticos, alergias, información médica relevante
  • Medicación: nombre de medicamentos, dosis, horarios, registros de tomas
  • Citas médicas: tipo, fecha, lugar, profesional, notas de resultado
  • Documentos médicos: archivos subidos por los cuidadores (informes, recetas, historial, identificación y otros documentos relacionados con el cuidado)
  • Notas de cuidado: observaciones sobre estado de ánimo, alimentación, higiene, etc.

4.3. Datos generados por el uso del servicio

  • Turnos de cuidado: asignaciones, confirmaciones, realizaciones
  • Mensajes del chat familiar
  • Tareas y notas creadas
  • Informes generados
  • Historial de actividad en la plataforma

5. Destinatarios de los datos

Los datos personales podrán ser comunicados a los siguientes destinatarios:

5.1. Dentro de la familia

Los datos del paciente y la actividad de cuidado son compartidos entre todos los miembros aceptados de la familia dentro de la plataforma. El administrador de la familia es responsable de invitar únicamente a personas autorizadas.

5.2. Encargados del tratamiento (proveedores)

KoordinaCare utiliza los siguientes proveedores como encargados del tratamiento, con los que mantiene los correspondientes contratos de encargo de tratamiento conforme al Art. 28 RGPD:

  • Supabase Inc. (EE. UU.) — Base de datos, autenticación y almacenamiento. El proyecto está configurado en la región UE (Frankfurt/AWS eu-central-1). Certificado bajo el EU-US Data Privacy Framework. Más info: supabase.com/privacy
  • Vercel Inc. (EE. UU.) — Hosting y CDN de la aplicación web. Certificado bajo el EU-US Data Privacy Framework. Más info: vercel.com/legal/privacy-policy
  • Resend Inc. (EE. UU.) — Envío de correos electrónicos transaccionales (notificaciones, recordatorios). Certificado bajo el EU-US Data Privacy Framework. Más info: resend.com/legal/privacy-policy
  • Twilio Inc. (EE. UU.) — Servicio de mensajería SMS para el envío de códigos de verificación de cuenta (OTP) transaccionales. Trata el número de teléfono y los datos técnicos asociados principalmente para prestar el servicio de verificación, conforme al contrato de encargo de tratamiento y a sus condiciones aplicables. En determinados supuestos, Twilio puede tratar datos técnicos, de cuenta o de uso como responsable independiente conforme a su documentación contractual y normativa aplicable. Los SMS son transaccionales (verificación y seguridad), nunca comerciales. Garantías de transferencia: ver sección 6. Más info: twilio.com/en-us/legal/privacy
  • Google LLC / Firebase Cloud Messaging (EE. UU.) — Envío de notificaciones push a dispositivos Android. Google está certificado bajo el EU-US Data Privacy Framework. Solo se transmite el token de dispositivo y el contenido de la notificación. Más info: firebase.google.com/support/privacy
  • Stripe Inc. (EE. UU.) — Procesamiento de pagos y suscripciones para los planes de pago. Certificado bajo el EU-US Data Privacy Framework. Stripe actúa también como responsable independiente respecto a los datos de pago. Más info: stripe.com/es/privacy
  • Apple Inc. (EE. UU.) — procesamiento de pagos y gestión de suscripciones para compras realizadas mediante App Store (iOS). Apple actúa como responsable independiente respecto a los datos de pago, facturación, impuestos, cancelaciones y reembolsos en ese canal. Más info:apple.com/legal/privacy
  • Google LLC / Google Play Commerce (EE. UU.) — procesamiento de pagos y gestión de suscripciones para compras realizadas mediante Google Play (Android). Google actúa como responsable independiente respecto a los datos de pago, facturación, impuestos, cancelaciones y reembolsos en ese canal. (Distinto de Google LLC / Firebase Cloud Messaging, que se usa para notificaciones push.) Más info:policies.google.com/privacy

Los proveedores indicados están certificados o utilizan mecanismos reconocidos. La mayoría utiliza el EU-US Data Privacy Framework, lo que proporciona garantías adecuadas para la transferencia de datos a EE. UU. conforme al Art. 45 RGPD (decisión de adecuación de la Comisión Europea de julio de 2023).

5.3. Autoridades competentes

Podremos comunicar datos a autoridades administrativas, judiciales o fuerzas de seguridad cuando exista una obligación legal o requerimiento legítimo.

6. Transferencias internacionales de datos

Algunos de nuestros proveedores tienen sede en Estados Unidos. Las transferencias de datos a estos proveedores se realizan al amparo de la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023 relativa al EU-US Data Privacy Framework (Art. 45 RGPD), que reconoce que EE. UU. garantiza un nivel de protección esencialmente equivalente al europeo para las empresas certificadas en dicho marco.

Los proveedores afectados y su certificación son:

  • Supabase Inc. — certificado EU-US DPF
  • Vercel Inc. — certificado EU-US DPF
  • Resend Inc. — certificado EU-US DPF
  • Google LLC (Firebase) — certificado EU-US DPF
  • Stripe Inc. — certificado EU-US DPF
  • Twilio Inc. — proveedor de SMS transaccional. Twilio declara utilizar mecanismos de transferencia adecuados, incluyendo EU-US Data Privacy Framework y/o Cláusulas Contractuales Tipo (SCCs), según corresponda. Más info: twilio.com/en-us/legal/privacy
  • Apple Inc. (EE. UU.) — App Store y pagos iOS. Apple declara utilizar mecanismos de transferencia adecuados (DPF/SCCs según corresponda). Más info:apple.com/legal/privacy
  • Google LLC / Google Play Commerce (EE. UU.) — pagos y suscripciones Android (adicional al uso de Firebase ya indicado). Google está certificado EU-US DPF y aplica mecanismos adecuados de transferencia. Más info:policies.google.com/privacy

Puede solicitar información adicional sobre las garantías aplicables contactando con nosotros en soporte@koordinacare.eso consultando el registro público del EU-US DPF en dataprivacyframework.gov.

7. Plazos de conservación

Los datos personales se conservarán durante el tiempo necesario para cumplir con las finalidades para las que fueron recogidos:

  • Datos de cuenta y familia: Mientras la cuenta esté activa. Tras la solicitud de baja o eliminación, los datos se eliminan en un plazo máximo de 30 días, salvo obligación legal de conservación.
  • Datos de facturación: 5 años después de la última operación (obligación legal tributaria — Art. 66 Ley 58/2003 General Tributaria).
  • Datos de comunicaciones de soporte: 3 años desde la última interacción.
  • Datos para defensa legal: Durante el plazo de prescripción de las posibles acciones legales.
  • Consentimientos: Se conservará registro del consentimiento otorgado durante el tiempo necesario para acreditar su obtención.

8. Derechos de los usuarios

De acuerdo con el RGPD y la LOPDGDD, tienes los siguientes derechos sobre tus datos personales:

  • Derecho de acceso: Conocer qué datos personales tenemos sobre ti y cómo los tratamos.
  • Derecho de rectificación: Corregir datos inexactos o incompletos.
  • Derecho de supresión ("derecho al olvido"): Solicitar la eliminación de tus datos cuando ya no sean necesarios.
  • Derecho de limitación: Solicitar que se limite el tratamiento de tus datos en determinadas circunstancias.
  • Derecho de portabilidad: Recibir tus datos en un formato estructurado y de uso común, y transmitirlos a otro responsable.
  • Derecho de oposición: Oponerte al tratamiento de tus datos para finalidades específicas.
  • Derecho a retirar el consentimiento: Cuando el tratamiento se base en tu consentimiento, puedes retirarlo en cualquier momento.
  • Derecho a no ser objeto de decisiones automatizadas: No realizamos decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos.

Cómo ejercer tus derechos

Puedes ejercer tus derechos de las siguientes formas:

  • Email: soporte@koordinacare.es
  • Correo postal: Calle Sinceridad, 8 – Telde, Las Palmas (España)
  • Desde la app: En la sección "Mi Perfil" > "Privacidad y datos"

Deberás acreditar tu identidad adjuntando copia del DNI o documento equivalente. Responderemos a tu solicitud en el plazo máximo de un mes.

Si consideras que no hemos tratado correctamente tus datos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

9. Medidas de seguridad

Hemos implementado medidas técnicas y organizativas apropiadas para proteger los datos personales contra el tratamiento no autorizado o ilícito, la pérdida, destrucción o daño accidental:

  • Cifrado de datos en tránsito (HTTPS/TLS) y en reposo
  • Contraseñas almacenadas con hash seguro (bcrypt)
  • Autenticación segura con tokens de sesión
  • Control de acceso basado en roles (Row Level Security)
  • Copias de seguridad periódicas y cifradas
  • Monitorización y detección de incidentes de seguridad
  • Evaluaciones periódicas de seguridad

10. Tratamiento de datos de salud de terceros

KoordinaCare permite a los usuarios registrar información de salud sobre el paciente a su cargo (medicación, diagnósticos, citas médicas, etc.). Estos datos constituyen categorías especiales de datos (Art. 9 RGPD).

10.1. Responsabilidad del administrador de la familia

KoordinaCare actúa como proveedor de servicios de la información, proporcionando la infraestructura tecnológica, sin intervenir en la decisión sobre qué datos se introducen ni a quién se invita dentro de cada familia.

El usuario que crea una familia en KoordinaCare y registra datos del paciente asume la responsabilidad de:

  • Contar con la legitimación necesaria para tratar los datos del paciente (ser su representante legal, tutor, cuidador autorizado, etc.)
  • Garantizar que los datos introducidos son exactos y actualizados
  • Invitar únicamente a personas autorizadas a acceder a los datos de la familia
  • Informar al paciente (o a su representante) sobre el uso de la plataforma

10.2. Base legal para datos de salud

El usuario que introduce datos de salud declara contar con legitimación suficiente para ello, incluyendo, cuando sea necesario, el consentimiento explícito del paciente o de su representante legal. El tratamiento por parte de KoordinaCare de los datos de salud introducidos por el usuario se apoya en:

  • Declaración de legitimación del usuario que introduce los datos, quien manifiesta contar con base legal suficiente (consentimiento explícito del paciente o representante legal, u otras bases aplicables conforme al art. 9.2 RGPD).
  • Intereses vitales del paciente cuando no pueda prestar consentimiento (Art. 9.2.c RGPD), aplicable en situaciones de urgencia.

10.3. Documentos con datos de salud

El módulo de Documentos permite subir archivos que pueden contener datos de salud de categoría especial (informes médicos, recetas, historiales clínicos, etc.). Para el almacenamiento de este tipo de documentos:

  • Almacenamiento seguro: los archivos se guardan cifrados en tránsito (HTTPS/TLS) y en reposo (AES-256) en servidores de Supabase (UE).
  • Acceso restringido: solo los miembros activos de la familia pueden acceder a los documentos de su grupo mediante políticas de seguridad verificadas en servidor.
  • Tipos y tamaño: PDF, imágenes (JPEG, PNG, WebP) y Word. Máximo 10 MB por archivo.
  • Derecho de supresión: cualquier miembro puede eliminar documentos en cualquier momento. La eliminación es permanente.
  • Confirmación de legitimación: antes de subir documentos con datos de salud, la app solicita al usuario que confirme que cuenta con autorización o base legítima suficiente para tratar y compartir esos documentos dentro del grupo familiar, incluyendo, cuando sea necesario, el consentimiento explícito del paciente o de su representante legal.

10.4. Limitaciones del servicio

Importante: KoordinaCare es una herramienta de apoyo a la coordinación del cuidado familiar. En ningún caso:

  • Sustituye el consejo, diagnóstico o tratamiento médico profesional
  • Constituye un servicio de emergencias sanitarias
  • Garantiza la exactitud médica de la información introducida por los usuarios

Ante cualquier emergencia médica, contacte inmediatamente con los servicios de emergencias (112 en España).

Última actualización: Mayo 2026