Aplicación Web Profesional

Código: LEG-PRO-POL-001
Versión: 1.1
Activación: 13/07/2026
Título: POLÍTICA DE PRIVACIDAD
Ámbito: Paquete Legal Profesional
Titular: EJERCICIO SALUDABLE, S.L.U. – CIF: B09807942
Domicilio social: C/ Nervión 24, 28670 Villaviciosa de Odón (Madrid)
Correo de contacto: info@ejerciciosaludable.es
Descargar PDF oficial

0. DEFINICIONES

A efectos del presente documento:

  • “Empresa”: EJERCICIO SALUDABLE, S.L.U., titular de la Aplicación.
  • “Aplicación”: Aplicación Web Profesional EJERCICIO SALUDABLE.
  • “Profesional Sanitario”: Persona física o centro asistencial que utiliza la Aplicación y declara estar legalmente habilitado para el ejercicio de su profesión sanitaria.
  • “Paciente”: Persona física cuyos datos son introducidos en la Aplicación por el Profesional Sanitario en el marco de la relación asistencial existente entre ambos.
  • “Programa”: Conjunto de ejercicios terapéuticos configurados por el Profesional Sanitario a través de la Aplicación en el marco de la relación asistencial.
  • “Servicio”: Prestación tecnológica consistente en el alojamiento, gestión, procesamiento y soporte técnico de la Aplicación.

1. IDENTIFICACIÓN DEL RESPONSABLE DEL TRATAMIENTO

Responsable del tratamiento:

EJERCICIO SALUDABLE, S.L.U.
CIF: B09807942
C/ Nervión 24, 28670 Villaviciosa de Odón (Madrid)
Correo electrónico de contacto: info@ejerciciosaludable.es

2. ROLES EN EL TRATAMIENTO DE DATOS

2.1. Profesionales Sanitarios

La Empresa actúa como Responsable del tratamiento respecto a los datos personales de los Profesionales Sanitarios usuarios de la Aplicación en relación con la gestión de cuentas, uso del Servicio, soporte técnico y el cumplimiento de obligaciones legales asociadas.

2.2. Pacientes

Respecto a los datos personales y datos de salud de los Pacientes introducidos en la Aplicación por los Profesionales Sanitarios:

  • El Responsable del tratamiento es el Profesional Sanitario que introduce y gestiona dichos datos, conforme al artículo 4.7 del Reglamento (UE) 2016/679 (RGPD), asumiendo las obligaciones derivadas de dicha condición, incluyendo el deber de información, la legitimación del tratamiento y la atención del ejercicio de derechos por parte de los interesados.
  • La Empresa actúa exclusivamente como Encargado del tratamiento, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD), limitándose a tratar dichos datos siguiendo las instrucciones del Responsable y exclusivamente para la prestación del Servicio.

La Empresa no accede a los datos de salud para fines propios, no los utiliza para decisiones asistenciales ni adopta decisiones clínicas automatizadas sobre Pacientes concretos. No obstante, en su condición de Encargado del tratamiento, puede existir acceso técnico, potencial, incidental o excepcional a dichos datos cuando resulte necesario para la prestación del Servicio, la resolución de incidencias, el soporte técnico, el mantenimiento, la seguridad de la información o la gestión de brechas, siempre bajo instrucciones del Responsable, deber de confidencialidad y medidas de seguridad adecuadas.

El tratamiento de estos datos se realiza bajo los correspondientes contratos de encargo del tratamiento formalizados con el Profesional Sanitario.

2.3. Ausencia de corresponsabilidad en el tratamiento de datos de Pacientes

La determinación de los fines y de los medios esenciales del tratamiento de los datos personales y datos de salud de los Pacientes corresponde exclusivamente al Profesional Sanitario en el marco de la relación asistencial existente entre este y el Paciente.

La intervención de la Empresa se limita a la provisión de infraestructura y funcionalidades tecnológicas necesarias para el funcionamiento del Servicio, incluyendo, en su caso, la configuración técnica de campos obligatorios que responden exclusivamente a criterios de operatividad, seguridad e interoperabilidad del sistema.

En consecuencia, no existe situación de corresponsabilidad en los términos del artículo 26 del Reglamento (UE) 2016/679 (RGPD), actuando la Empresa exclusivamente como Encargado del tratamiento conforme al artículo 28 del citado Reglamento.

3. DATOS PERSONALES TRATADOS

3.1. Profesionales Sanitarios

La Empresa podrá tratar las siguientes categorías de datos personales de los Profesionales Sanitarios:

Datos identificativos y profesionales (obligatorios para el registro):

  • Primer apellido.
  • Segundo apellido.
  • Nombre.
  • Tipo y número de documento identificativo.
  • Fecha de nacimiento.
  • Correo electrónico.
  • Número de teléfono.
  • País.
  • Provincia.
  • Código postal.
  • Ciudad.
  • Dirección.
  • Categoría profesional.
  • Número de colegiado.
  • Rol dentro de la Aplicación.

Datos adicionales facilitados de forma voluntaria (opcionales):

  • Sexo biológico.

Datos de uso y actividad:

  • Información relativa al acceso y utilización de la Aplicación.
  • Registros técnicos de actividad necesarios para garantizar la seguridad, trazabilidad y correcto funcionamiento del sistema.

3.2. Datos de Pacientes introducidos por el Profesional Sanitario

En el marco de la prestación del Servicio tecnológico, la Empresa podrá tratar, como Encargado del tratamiento, los siguientes datos de los Pacientes introducidos por el Profesional Sanitario:

Datos identificativos:

  • Nombre y apellidos.
  • Fecha de nacimiento.
  • Sexo biológico.
  • Centro asistencial al que se vincula el Programa.
  • Número de historia clínica del centro, cuando sea facilitado.

Datos de salud y datos clínicos:

  • Programas configurados por el Profesional Sanitario en el marco de la relación asistencial.
  • Registro de ejecución de ejercicios y seguimiento del Programa.
  • Valoraciones funcionales, observaciones clínicas y evolución dentro del Programa.
  • Cualquier otra información clínica introducida en el marco de la relación asistencial.

La Empresa no utiliza estos datos con fines propios ni determina los fines ni los medios esenciales del tratamiento, sin perjuicio de los accesos técnicos potenciales, incidentales o excepcionales que puedan resultar necesarios para la prestación del Servicio, el soporte, la seguridad, la continuidad operativa o la gestión de incidencias, siempre dentro del marco del artículo 28 del RGPD y del correspondiente Contrato de Encargo del Tratamiento.

3.3. Datos técnicos

  • Dirección IP.
  • Registros de acceso y actividad (logs).
  • Identificadores técnicos necesarios para la seguridad del sistema.

3.4. Formulario de contacto

Asimismo, se tratan los datos identificativos y de contacto facilitados voluntariamente a través del formulario de contacto (nombre y apellidos, dirección de correo electrónico y contenido del mensaje).

4. FINALIDADES DEL TRATAMIENTO

Los datos personales se tratan con las siguientes finalidades:

  • Prestación del Servicio tecnológico de la Aplicación.
  • Gestión de cuentas profesionales y uso del Servicio.
  • Soporte técnico, mantenimiento y atención a incidencias.
  • Garantizar la seguridad de la Aplicación y prevenir accesos no autorizados.
  • Análisis técnico y mejora de la Aplicación.

Tratamientos adicionales:

  • El envío de comunicaciones comerciales dirigidas a Profesionales Sanitarios se realizará únicamente cuando exista consentimiento previo y expreso.
  • El uso de información con fines estadísticos, analíticos, de investigación no clínica, mejora del producto, elaboración de métricas o desarrollo técnico se realizará únicamente sobre información agregada o sobre datos sometidos a procesos de anonimización que impidan razonablemente la identificación directa o indirecta de Pacientes o Profesionales Sanitarios, conforme al estado de la técnica y a criterios suficientes de anonimización y agregación. En caso de no alcanzarse un estándar de anonimización suficientemente robusto, la información seguirá considerándose dato personal y no será reutilizada por la Empresa para fines propios incompatibles con la prestación del Servicio ni fuera de la base jurídica que corresponda.
  • En ningún caso estos tratamientos tendrán finalidad asistencial ni implicarán decisiones individuales o automatizadas sobre Pacientes concretos.

Adicionalmente, los datos facilitados mediante el formulario de contacto serán tratados con la finalidad de gestionar y responder a las consultas, solicitudes de información o comunicaciones recibidas a través de dicho formulario. Se recomienda no incluir en el formulario de contacto datos de salud ni información clínica sensible.

5. BASE JURÍDICA DEL TRATAMIENTO

El tratamiento de los datos personales se basa en:

  • Artículo 6.1.b RGPD: ejecución del contrato con los Profesionales Sanitarios.
  • Artículo 6.1.c RGPD: cumplimiento de obligaciones legales.
  • Artículo 6.1.f RGPD: interés legítimo en garantizar la seguridad, integridad y correcto funcionamiento de la Aplicación.
  • Artículo 9.2.h RGPD: tratamiento de datos de salud necesario para la prestación de asistencia sanitaria realizada por el Profesional Sanitario que actúa como Responsable del tratamiento en el marco de la relación asistencial con el Paciente, en cuyo marco la Empresa actúa como Encargado del tratamiento.

Únicamente la información que haya quedado efectivamente anonimizada de manera que no permita razonablemente la identificación directa o indirecta de personas físicas quedará fuera del ámbito de aplicación del RGPD. Si el proceso aplicado no alcanza ese estándar y da lugar a mera seudonimización u otro nivel insuficiente de disociación, la información seguirá teniendo la consideración de dato personal y quedará sometida íntegramente al RGPD.

En relación con el formulario de contacto, la base jurídica del tratamiento es el artículo 6.1.b del RGPD (medidas precontractuales a petición del interesado) y, en su caso, el artículo 6.1.f del RGPD, relativo al interés legítimo del Responsable del tratamiento en atender consultas recibidas.

6. MEDIDAS DE SEGURIDAD – GOOGLE reCAPTCHA

La Aplicación utiliza el servicio Google reCAPTCHA proporcionado por Google LLC como medida de seguridad destinada a prevenir accesos automatizados, usos fraudulentos y ataques de fuerza bruta, así como a proteger los formularios y funcionalidades críticas del sistema.

Este servicio se emplea en determinados formularios de la Aplicación, incluyendo el formulario de inicio de sesión, recuperación de contraseña y el formulario de contacto, así como en otras funcionalidades que requieran medidas adicionales de protección frente a accesos indebidos.

El uso de este servicio puede implicar el tratamiento de datos técnicos, tales como la dirección IP, características del navegador, identificadores del dispositivo, sistema operativo, fecha y hora de acceso y patrones de comportamiento de navegación, con la única finalidad de determinar si la interacción es realizada por una persona o por un sistema automatizado.

La base jurídica para este tratamiento es el artículo 6.1.f del Reglamento (UE) 2016/679 (RGPD), relativo al interés legítimo del Responsable del tratamiento en garantizar la seguridad, integridad y correcto funcionamiento de la Aplicación y prevenir actividades ilícitas. La eventual transferencia internacional inherente al uso de reCAPTCHA queda vinculada a esa misma finalidad de seguridad y deberá ampararse adicionalmente en el mecanismo de transferencia internacional aplicable conforme al Capítulo V del RGPD.

El uso de Google reCAPTCHA implica que:

  • No tiene finalidad publicitaria ni comercial.
  • No se utiliza para elaborar perfiles con fines de marketing.
  • No implica decisiones automatizadas con efectos jurídicos sobre los usuarios.
  • Se limita exclusivamente a la prevención de accesos no autorizados y usos indebidos del Servicio.

El servicio Google reCAPTCHA es prestado por Google LLC, con sede en Estados Unidos, pudiendo implicar transferencias internacionales de datos a dicho país. Dichas transferencias se realizarán, cuando resulte aplicable, al amparo de una decisión de adecuación o de garantías adecuadas conforme al Capítulo V del RGPD, incluyendo la adhesión de Google LLC al EU-U.S. Data Privacy Framework y, en su caso, cláusulas contractuales tipo u otros mecanismos válidos equivalentes.

Su utilización está sujeta a la Política de Privacidad y a los Términos del servicio de Google:

El uso de reCAPTCHA se limita a la protección frente a accesos automatizados y no implica la elaboración de perfiles comerciales ni el tratamiento de datos con fines publicitarios.

7. DESTINATARIOS DE LOS DATOS

Los datos personales tratados a través de la Aplicación no serán cedidos a terceros, salvo:

  • Cuando exista una obligación legal.
  • Cuando sea necesario para la correcta prestación del Servicio, pudiendo acceder determinados proveedores tecnológicos que actúan como Encargados del tratamiento, tales como:
    • Servicios de alojamiento e infraestructura tecnológica.
    • Servicios de seguridad y protección frente a accesos no autorizados.

Todos los proveedores actúan bajo instrucciones documentadas de la Empresa y han suscrito los correspondientes contratos de encargo del tratamiento conforme al artículo 28 del RGPD.

Determinados servicios técnicos o de seguridad, como Google reCAPTCHA, pueden implicar transferencias internacionales de datos. Cuando ello ocurra, dichas transferencias se realizarán únicamente si existe una decisión de adecuación aplicable o garantías adecuadas conforme al Capítulo V del RGPD, debidamente documentadas por la Empresa.

La relación actualizada de subencargados del tratamiento se mantiene documentada por la Empresa conforme a su sistema interno de cumplimiento y protección de datos.

La infraestructura tecnológica de la Aplicación se encuentra alojada en servicios cloud profesionales con medidas de seguridad adecuadas y ubicados dentro del Espacio Económico Europeo o con garantías adecuadas conforme al RGPD.

8. CONSERVACIÓN DE LOS DATOS

Los datos de Profesionales Sanitarios se conservarán mientras exista relación contractual y cuenta activa. Tras su finalización, se mantendrán bloqueados, con carácter general, durante un plazo máximo de seis (6) años para la atención de responsabilidades contractuales, mercantiles, fiscales, contables o legales que resulten aplicables, sin perjuicio de plazos superiores exigidos por norma imperativa.

Los datos de Pacientes se conservarán conforme a las instrucciones del Profesional Sanitario o centro asistencial Responsable del tratamiento y a la normativa sanitaria aplicable. Finalizada la prestación del Servicio o la relación contractual con el Responsable, la Empresa procederá, según corresponda y conforme al Contrato de Encargo del Tratamiento, a su devolución, supresión o bloqueo técnico, sin perjuicio de su eventual permanencia residual en copias de seguridad hasta su sobreescritura cíclica ordinaria y de las conservaciones necesarias para la formulación, el ejercicio o la defensa de reclamaciones.

Los registros técnicos de acceso, actividad y seguridad (logs) se conservarán, con carácter general, durante un plazo máximo de doce (12) meses, salvo que deban conservarse durante más tiempo para la investigación de incidentes, la gestión de brechas de seguridad, el ejercicio o defensa de reclamaciones o el cumplimiento de obligaciones legales.

Los datos facilitados a través del formulario de contacto se conservarán durante el tiempo necesario para atender la consulta y, una vez resuelta, durante un plazo máximo de doce (12) meses, salvo que de la comunicación derive una relación contractual, precontractual o una obligación legal de conservación superior.

9. DERECHOS DE LOS INTERESADOS

Los interesados podrán ejercer los derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad mediante solicitud dirigida a: info@ejerciciosaludable.es

En el caso de datos de Pacientes, el ejercicio de derechos deberá realizarse ante el Profesional Sanitario Responsable del tratamiento.

10. DECISIONES AUTOMATIZADAS

No se adoptan decisiones automatizadas ni se elaboran perfiles que produzcan efectos jurídicos o significativos sobre los interesados.

Los análisis realizados sobre datos anonimizados no generan decisiones individuales ni afectan a Pacientes o Profesionales Sanitarios concretos.

11. MEDIDAS TÉCNICAS Y ORGANIZATIVAS

La Aplicación aplica medidas técnicas y organizativas apropiadas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales, incluyendo el uso de comunicaciones cifradas, control de accesos y registro de actividad, de conformidad con la normativa vigente en materia de protección de datos.

Las medidas técnicas y organizativas se encuentran documentadas en la Política de Seguridad de la Información vigente (GOV-POL-001_PoliticaSeguridadInformacion).

12. MODIFICACIONES

La Empresa podrá actualizar la presente Política de Privacidad cuando resulte necesario por cambios normativos, interpretativos, técnicos, operativos o de modelo de negocio.

La versión vigente será la oficialmente publicada y activada en cada momento dentro de la Aplicación o del entorno jurídico correspondiente.

Las modificaciones no alterarán, por sí mismas, la distribución de roles en materia de protección de datos ya definida en el presente documento y en el resto del Paquete Legal Profesional.

13. ENTRADA EN VIGOR

La presente Política de Privacidad entra en vigor en la fecha indicada en el encabezado.