Política de Privacidad

Última actualización: 18 de abril de 2026

1. Responsable del tratamiento

mentaly. (en adelante, "el Responsable") es el responsable del tratamiento de los datos personales recogidos a través de la plataforma mentaly..es.

Email de contacto: privacidad@mentaly..es

2. Datos que recogemos

2.1. Datos de los profesionales (usuarios)

• Nombre completo, email, teléfono
• NIF/CIF (para facturación)
• Número de colegiado
• Datos de pago (procesados por Stripe, nunca almacenados)

2.2. Datos de pacientes (subidos por los profesionales)

• Nombre, email, teléfono, DNI, fecha nacimiento
• Datos de salud: diagnósticos, notas de sesión, historial clínico
• Estos datos son tratados por el profesional como Responsable del Tratamiento. mentaly. actúa como Encargado del Tratamiento (Art. 28 RGPD).

3. Finalidad del tratamiento

• Gestión de la cuenta del profesional y prestación del servicio contratado
• Almacenamiento seguro de datos clínicos en nombre del profesional
• Envío de comunicaciones esenciales (recordatorios, facturas)
• Mejora del servicio y análisis anónimo de uso

4. Base legal

• Ejecución del contrato (Art. 6.1.b RGPD): para prestar el servicio contratado
• Consentimiento (Art. 6.1.a RGPD): para comunicaciones comerciales
• Obligación legal (Art. 6.1.c RGPD): facturación, VeriFactu
• Interés legítimo (Art. 6.1.f RGPD): seguridad y prevención de fraude

5. Datos de categoría especial (salud)

Los datos de salud de los pacientes son tratados bajo la base legal del Art. 9.2.h RGPD (fines de medicina preventiva, diagnóstico médico o gestión de sistemas sanitarios). El profesional es el Responsable de estos datos. mentaly. implementa las siguientes medidas:

• Cifrado AES-256 en reposo de todos los datos clínicos
• Transmisión cifrada (TLS 1.3) en tránsito
• Control de acceso basado en sesiones autenticadas
• Registro de auditoría de todos los accesos a datos de pacientes
• Almacenamiento en servidores dentro de la Unión Europea

6. Destinatarios

• Stripe: procesamiento de pagos (con sus propias políticas de privacidad)
• Google: autenticación OAuth (solo email y nombre)
• Hostinger: alojamiento web (servidores en la UE)
• No vendemos datos a terceros. Nunca.

7. Conservación

• Datos de cuenta: mientras dure la relación contractual + 5 años
• Datos clínicos: según las instrucciones del profesional (mínimo 5 años según Ley 41/2002)
• Facturas: 4 años (obligación fiscal)
• Logs de auditoría: 2 años

8. Derechos del interesado

Puedes ejercer los siguientes derechos enviando un email a privacidad@mentaly..es:

• Acceso a tus datos personales
• Rectificación de datos inexactos
• Supresión ("derecho al olvido")
• Portabilidad en formato JSON
• Limitación del tratamiento
• Oposición al tratamiento

También puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

9. Seguridad

Implementamos medidas técnicas y organizativas adecuadas para proteger los datos personales, incluyendo cifrado, control de acceso, auditoría, copias de seguridad cifradas y formación del personal.

10. Modificaciones

Nos reservamos el derecho a modificar esta política. Cualquier cambio será notificado a los usuarios registrados por email.