Política de Privacidad
Fecha de entrada en vigor: 27 de febrero de 2026 · Versión 1.1
Última actualización: 27 de febrero de 2026
1. Responsable del Tratamiento
| Responsable | Healthtech Capital LLC |
| Dirección | 30 N Gould St Ste R, Sheridan, WY 82801, EE.UU. |
| Representante en la UE (Art. 27 RGPD) | Francisco Xavier Nunez NIF: PT325787581 Rua Dr. Martiniano dos Santos n.º 2, 1 Tdz, 8800-055 Conceição de Tavira, Portugal |
| Contacto | gdpr@tusicologo.ai |
| Delegado de Protección de Datos (DPO) | Pendiente de designación (Art. 37.1.c RGPD). Esta sección se actualizará cuando se formalice el nombramiento. |
| Registro mercantil | Sociedad registrada ante el Wyoming Secretary of State (Estado de Wyoming, EE.UU.) |
2. Finalidades del Tratamiento y Base Jurídica
Los datos personales recogidos a través de la plataforma son tratados para las siguientes finalidades, cada una amparada por una base jurídica específica:
| Finalidad | Base Jurídica |
|---|---|
| Prestación del servicio de terapia online | Ejecución contractual (Art. 6.1.b RGPD) + Consentimiento explícito para datos de salud (Art. 9.2.a RGPD) |
| Grabación y análisis de sesiones terapéuticas | Consentimiento explícito (Art. 9.2.a RGPD) |
| Análisis clínico mediante motores de IA propietarios (análisis emocional, lingüístico, longitudinal y prosódico) | Consentimiento explícito (Art. 9.2.a RGPD) |
| Análisis biométrico (biomarcadores vocales, expresión facial, postura corporal) | Consentimiento explícito (Art. 9.2.a RGPD) |
| Gestión de citas y comunicaciones entre psicólogo y paciente | Ejecución contractual (Art. 6.1.b RGPD) |
| Facturación | Obligación legal (Art. 6.1.c RGPD) |
| Administración de tests psicométricos | Consentimiento explícito (Art. 9.2.a RGPD) |
| Formulario de contacto web | Consentimiento (Art. 6.1.a RGPD) |
| Detección de crisis y alertas de seguridad | Interés vital del interesado (Art. 6.1.d RGPD) + Protección de intereses vitales cuando el interesado no pueda dar su consentimiento (Art. 9.2.c RGPD) |
3. Categorías de Datos Tratados
3.1. Datos identificativos
Nombre y apellidos, dirección de correo electrónico, número de teléfono, fecha de nacimiento y género.
3.2. Datos de salud mental
Historial clínico, diagnósticos (clasificación DSM-5 y CIE-11), plan de tratamiento, notas clínicas del profesional, evaluaciones de riesgo, información sobre medicación, resultados de tests psicométricos y toda información relevante para la intervención terapéutica.
3.3. Datos biométricos
Biomarcadores vocales obtenidos mediante análisis prosódico (frecuencia fundamental, variabilidad de la voz, armonía vocal, velocidad del habla y patrones de pausas), análisis de expresión facial, análisis postural y dirección de la mirada durante las sesiones con el asistente virtual.
3.4. Grabaciones
Audio y vídeo de las sesiones terapéuticas (sesiones con asistente virtual, videoconsultas y, opcionalmente, audio de sesiones presenciales). Las grabaciones se almacenan en formato sin compresión para preservar la fidelidad del análisis.
3.5. Datos de menores
Cuando el paciente sea menor de 14 años, se recabarán sus datos con el consentimiento previo y verificable del titular de la patria potestad o tutela, conforme al artículo 7 de la LOPDGDD. Se aplica un flujo de consentimiento separado con verificación por correo electrónico del tutor legal.
3.6. Datos de facturación
NIF/CIF y dirección fiscal.
4. Destinatarios y Encargados del Tratamiento
Para la prestación del servicio, compartimos datos con los siguientes encargados del tratamiento, con quienes se han suscrito los correspondientes contratos de encargo conforme al artículo 28 del RGPD:
| Encargado | Función | Ubicación | Mecanismo de transferencia |
|---|---|---|---|
| Anthropic (Claude) | Análisis clínico mediante IA | EE.UU. | Cláusulas Contractuales Tipo (SCCs) |
| AssemblyAI | Transcripción de audio | EE.UU. | Data Privacy Framework (DPF) |
| Tavus | Asistente virtual (avatar IA) para sesiones | EE.UU. | Cláusulas Contractuales Tipo (SCCs) — pendiente de verificación |
| Daily.co | Videoconsultas en tiempo real | EE.UU. | Data Privacy Framework (DPF) |
| AWS (S3 eu-west-3) | Almacenamiento de grabaciones | UE (Francia) | N/A (dentro del EEE) |
| IONOS | Hosting y correo electrónico | UE (Alemania) | N/A (dentro del EEE) |
No se ceden datos a terceros salvo obligación legal o los encargados indicados anteriormente, estrictamente necesarios para la prestación del servicio.
2bis. Carácter Obligatorio o Voluntario de la Aportación de Datos (Art. 13.2.e RGPD)
Con carácter general, la cumplimentación de los campos requeridos en los formularios de la plataforma tiene carácter obligatorio para la prestación del servicio solicitado. La negativa a facilitar los datos marcados como obligatorios impedirá la prestación total o parcial del servicio.
Los campos no marcados como obligatorios tienen carácter voluntario y su aportación mejora la calidad de la atención prestada, pero su ausencia no impide el acceso a los servicios esenciales. En particular, la aportación de audio de sesiones presenciales, datos biométricos adicionales y el completado de tests psicométricos opcionales tiene carácter voluntario.
5. Transferencias Internacionales
Algunos de nuestros encargados del tratamiento se encuentran en Estados Unidos. Todas las transferencias internacionales de datos están protegidas mediante los mecanismos adecuados previstos en el Capítulo V del RGPD:
- Data Privacy Framework (DPF) UE-EE.UU.: Marco de privacidad de datos adoptado por la Comisión Europea mediante Decisión de Adecuación de 10 de julio de 2023. Su validez fue confirmada por el Tribunal de Justicia de la Unión Europea en septiembre de 2025 (asunto Latombe), reforzando la seguridad jurídica de las transferencias amparadas por este mecanismo.
- Cláusulas Contractuales Tipo (SCCs): Para los encargados no certificados bajo el DPF, se utilizan las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914), complementadas con las medidas técnicas y organizativas adecuadas.
Las grabaciones de sesiones se almacenan en la región eu-west-3 (París, Francia) de AWS, dentro del Espacio Económico Europeo.
6. Plazos de Conservación
Los datos personales se conservarán durante los plazos estrictamente necesarios para cumplir con la finalidad para la que fueron recogidos y las obligaciones legales aplicables:
| Categoría de datos | Plazo de conservación | Fundamento |
|---|---|---|
| Expediente clínico | 5 años tras el último acto asistencial | Art. 17.1 Ley 41/2002 (autonomía del paciente) |
| Grabaciones de sesiones | 12 meses | Minimización de datos (Art. 5.1.c RGPD) |
| Mensajes psicólogo-paciente | 5 años | Parte del expediente clínico |
| Facturas | 6 años | Art. 30 Código de Comercio |
| Datos de formulario de contacto | 12 meses | Minimización de datos (Art. 5.1.c RGPD) |
| Logs técnicos | 24 meses | Seguridad del tratamiento (Art. 32 RGPD) |
| Datos de psicólogo tras baja del servicio | 5 años | Obligaciones fiscales y contractuales |
Transcurridos los plazos indicados, los datos serán suprimidos o anonimizados de forma irreversible, salvo que una obligación legal exija su conservación adicional.
7. Derechos del Interesado
De conformidad con el RGPD y la LOPDGDD, usted tiene derecho a:
- Acceso (Art. 15 RGPD): Obtener confirmación de si se están tratando sus datos personales y, en su caso, acceder a los mismos.
- Rectificación (Art. 16 RGPD): Solicitar la corrección de datos inexactos o completar datos incompletos.
- Supresión (Art. 17 RGPD): Solicitar la eliminación de sus datos personales. Este derecho está limitado en lo relativo al expediente clínico por las obligaciones de conservación establecidas en la Ley 41/2002.
- Portabilidad (Art. 20 RGPD): Recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
- Limitación del tratamiento (Art. 18 RGPD): Solicitar la limitación del tratamiento de sus datos en los supuestos previstos legalmente.
- Oposición (Art. 21 RGPD): Oponerse al tratamiento de sus datos personales por motivos relacionados con su situación particular.
- No ser objeto de decisiones automatizadas (Art. 22 RGPD): No ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o le afecte significativamente de modo similar.
- Retirada del consentimiento: En cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
Para ejercer cualquiera de estos derechos, puede dirigirse a gdpr@tusicologo.ai, adjuntando copia de su documento de identidad. Le responderemos en el plazo máximo de un (1) mes desde la recepción de su solicitud. Este plazo podrá prorrogarse otros dos (2) meses adicionales cuando sea necesario, teniendo en cuenta la complejidad y el número de solicitudes recibidas, informándole de dicha prórroga en el plazo de un mes desde la recepción (Art. 12.3 RGPD).
Asimismo, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan 6, 28001 Madrid, a través de su sede electrónica: www.aepd.es.
8. Decisiones Automatizadas y Elaboración de Perfiles (Art. 22 RGPD)
La plataforma utiliza motores de IA propietarios para realizar análisis automatizados de las sesiones terapéuticas, incluyendo:
- Análisis emocional y temático del contenido de la sesión
- Análisis lingüístico (patrones cognitivos, agencia, coherencia narrativa)
- Análisis longitudinal (evolución entre sesiones)
- Análisis prosódico (biomarcadores vocales)
- Generación de alertas clínicas y de seguridad
8.1 Reconocimiento de emociones y análisis biométrico (Art. 50(3) Reglamento (UE) 2024/1689)
De conformidad con el artículo 50, apartado 3, del Reglamento (UE) 2024/1689 de Inteligencia Artificial, le informamos de que la plataforma incorpora sistemas de reconocimiento de emociones que operan durante las sesiones terapéuticas con el asistente virtual. En concreto:
- Expresiones faciales: un sistema de inteligencia artificial analiza la expresión facial del paciente durante la sesión para detectar estados emocionales (alegría, tristeza, ansiedad, malestar, entre otros).
- Tono de voz: la voz del paciente es analizada para detectar indicadores emocionales como tensión, monotonía o variaciones en el ritmo del habla.
- Contenido verbal: el texto de la conversación es analizado para identificar emociones expresadas verbalmente y su intensidad.
- Biomarcadores vocales: se extraen características acústicas de la voz (velocidad del habla, pausas, variabilidad del tono, tensión vocal) que pueden indicar estados emocionales o cognitivos.
- Postura corporal y dirección de la mirada: durante las sesiones con el asistente virtual se analiza la postura y la dirección de la mirada como indicadores complementarios del estado del paciente.
Estos análisis constituyen herramientas de apoyo para el psicólogo supervisor. Ningún análisis emocional o biométrico sustituye la evaluación clínica del profesional. La precisión de estos sistemas varía y pueden producir resultados incorrectos. El tratamiento de estos datos biométricos se realiza sobre la base del consentimiento explícito del interesado (artículo 9.2.a del RGPD).
No obstante, ninguna decisión clínica es adoptada de forma exclusivamente automatizada. Todos los análisis, alertas y sugerencias generados por los motores de IA son presentados al psicólogo responsable, quien los revisa, valida o descarta antes de que tengan cualquier efecto sobre el tratamiento del paciente.
El paciente tiene en todo momento derecho a obtener intervención humana, a expresar su punto de vista y a impugnar las decisiones que pudieran derivarse del tratamiento automatizado de sus datos.
9. Seguridad de los Datos
De conformidad con el artículo 32 del RGPD, hemos implementado las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:
- Cifrado en tránsito: Todas las comunicaciones se realizan a través de HTTPS con certificados TLS vigentes.
- Cifrado en reposo: Las grabaciones de sesiones almacenadas se cifran mediante AES-256 (cifrado del lado del servidor en S3).
- Control de acceso basado en roles: Cada usuario (paciente, psicólogo, administrador) accede exclusivamente a los datos que le corresponden según su rol. Los pacientes no tienen acceso a transcripciones, análisis, notas clínicas ni directrices terapéuticas.
- Hash de contraseñas: Las contraseñas se almacenan con hash bcrypt, nunca en texto plano.
- Servidores en la UE: El servidor principal se aloja en la Unión Europea. Las grabaciones se almacenan en la región eu-west-3 (París, Francia) de AWS.
- Auditoría y monitorización: Registro de accesos y operaciones sobre datos sensibles.
10. Menores de Edad
La plataforma puede ser utilizada por pacientes menores de edad bajo las siguientes condiciones:
- Los menores de 14 años requieren el consentimiento previo y verificable del titular de la patria potestad o tutela, conforme al artículo 7 de la Ley Orgánica 3/2018 (LOPDGDD).
- El consentimiento del tutor legal se recaba mediante un flujo separado con verificación por correo electrónico (envío de token al email del tutor).
- Los mayores de 14 años pueden consentir por sí mismos el tratamiento de sus datos personales, sin perjuicio de que el inicio de la terapia requiera la intervención de un profesional colegiado.
11. Relación Psicólogo-Plataforma
La relación entre el psicólogo y la plataforma en materia de protección de datos se estructura de la siguiente forma:
- El psicólogo es responsable del tratamiento de los datos de salud de sus propios pacientes. El psicólogo determina los fines y medios del tratamiento terapéutico.
- tusicologo.ai actúa como encargado del tratamiento (Art. 28 RGPD) en relación con los datos de pacientes, procesando los datos por cuenta y bajo las instrucciones del psicólogo.
- tusicologo.ai es responsable del tratamiento de los datos personales del propio psicólogo (datos de cuenta, facturación) y de los datos recogidos a través del formulario de contacto de la web.
Esta dualidad se formaliza mediante el correspondiente contrato de encargo del tratamiento suscrito entre tusicologo.ai y cada psicólogo registrado en la plataforma.
12. Modificaciones de esta Política
Nos reservamos el derecho de actualizar esta Política de Privacidad para adaptarla a novedades legislativas, jurisprudenciales o técnicas.
En caso de modificaciones sustanciales que afecten al tratamiento de sus datos, le notificaremos a través de los medios de comunicación habituales (correo electrónico o aviso en la plataforma) con una antelación razonable.
La versión vigente de esta política estará siempre disponible en https://tusicologo.ai/privacy, con indicación de la fecha de última actualización y el número de versión.
13. Normativa Aplicable
Esta Política de Privacidad se rige por la siguiente normativa:
- Reglamento (UE) 2016/679 (RGPD) — Reglamento General de Protección de Datos.
- Ley Orgánica 3/2018 (LOPDGDD) — Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.
- Ley 34/2002 (LSSI-CE) — Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.
- Ley 41/2002 — Ley básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.