🔒 CogniTrack es 100% RGPD Compliant

Cumplimiento total del Reglamento General de Protección de Datos (RGPD - UE 2016/679)

Certificado RGPD Compliant

      CogniTrack cumple íntegramente con el Reglamento General de Protección de Datos (RGPD - Reglamento UE 2016/679) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Esta página documenta de forma transparente todas las medidas técnicas, organizativas y legales implementadas para garantizar la máxima protección de los datos personales de salud de nuestros usuarios.
    

1. Marco Legal y Roles RGPD

1.1. Arquitectura de Responsabilidades

CogniTrack implementa un modelo de protección de datos conforme al Art. 28 RGPD (Encargado del Tratamiento):

Responsable del Tratamiento: El terapeuta/psicólogo que contrata CogniTrack
Encargado del Tratamiento: i-Art Serveis SLU (operadora de CogniTrack)
Interesados: Los pacientes cuyos datos se procesan

📜 Base Legal: Acuerdo de Encargado del Tratamiento (DPA) conforme Art. 28 RGPD disponible en este enlace.

1.2. Documentación Legal Completa

CogniTrack proporciona toda la documentación legal exigida por el RGPD:

✅ Aviso de Privacidad (Art. 13 RGPD)
✅ Condiciones de Uso para Pacientes
✅ Términos de Servicio para Profesionales
✅ Acuerdo de Encargado del Tratamiento (DPA) (Art. 28 RGPD)
✅ Política de Cookies y Consentimiento

2. Consentimiento Informado (Art. 7 y 13 RGPD)

2.1. Consentimiento Explícito y Documentado

CogniTrack implementa un sistema de consentimiento que cumple todos los requisitos del RGPD:

✓ Inequívoco

Checkbox obligatorio que el paciente debe marcar activamente (Considerando 32 RGPD)

✓ Informado

Información completa sobre qué datos se procesan, para qué y quién tiene acceso

✓ Específico

Consentimiento para fines terapéuticos concretos, no para usos genéricos

✓ Auditable

Registro con timestamp ISO 8601, versión del documento y trazabilidad completa

✓ Revocable

El paciente puede retirar su consentimiento contactando con su terapeuta

✓ Previo al tratamiento

El consentimiento se solicita ANTES de procesar cualquier dato personal

2.2. Flujo de Consentimiento en Primer Acceso

El terapeuta crea al paciente y genera una contraseña provisional
El paciente accede con la contraseña temporal
Sistema solicita cambio de contraseña (seguridad)
Sistema solicita consentimiento RGPD explícito con información completa
Se registra: rgpdConsent: true, rgpdConsentDate: [timestamp], rgpdConsentVersion: "1.0"
El evento queda registrado en el sistema de auditoría

3. Medidas de Seguridad (Art. 32 RGPD)

CogniTrack implementa medidas técnicas y organizativas de nivel ALTO, apropiadas para datos de categoría especial (datos de salud según Art. 9 RGPD):

3.1. Cifrado de Datos en Reposo (Seudonimización)

Medida Técnica	Implementación	Estándar
Cifrado de base de datos	AES-256-CBC con IV aleatorio por registro	NIST FIPS 197
Archivos de audio	Cifrado individual con AES-256	NIST FIPS 197
Backups	Cifrado completo con clave independiente	AES-256
Contraseñas	Hash con scrypt (salt aleatorio 16 bytes)	RFC 7914

🔐 Resultado: Administradores del servidor NO pueden descifrar datos personales. Solo terapeuta asignado y paciente titular tienen acceso.

3.2. Cifrado de Datos en Tránsito

✅ HTTPS/TLS 1.2+ en todas las comunicaciones
✅ Certificado SSL válido para https://cognitrack.clinic
✅ HSTS (HTTP Strict Transport Security)
✅ Redirección automática HTTP → HTTPS

3.3. Autenticación y Control de Acceso

Control	Implementación
Tokens JWT	Autenticación con expiración de 24 horas
Rate Limiting	Máximo 5 intentos de login en 15 minutos
Validación de inputs	express-validator en todos los endpoints
Contraseñas robustas	Mínimo 6 caracteres en primer cambio obligatorio
CSP (Content Security Policy)	Headers de seguridad configurados

3.4. Sistema de Auditoría Completo (Trazabilidad)

Conforme al Art. 32.1.d RGPD, CogniTrack registra:

✅ Autenticación: LOGIN_SUCCESS, LOGIN_FAILED, LOGOUT
✅ Gestión de usuarios: USER_CREATED, USER_UPDATED, USER_DELETED, PASSWORD_CHANGED
✅ Acceso a datos: PATIENT_DATA_ACCESS, AUDIO_ACCESSED, NOTE_CREATED, NOTE_DELETED
✅ Seguridad: RATE_LIMIT_EXCEEDED, UNAUTHORIZED_ACCESS, SUSPICIOUS_ACTIVITY

      Formato de logs de auditoría: JSONL (JSON Lines) con timestamp ISO 8601, userId, IP, user agent, evento, resultado y metadata.

      Conservación: 90 días (eliminación automática conforme a minimización de datos).

4. Localización de Datos (Capítulo V RGPD)

4.1. Todos los Datos Personales Permanecen en la UE

CogniTrack NO realiza transferencias internacionales de datos personales fuera del Espacio Económico Europeo (EEE).

Servicio	Proveedor	Ubicación	Tipo de Datos
Hosting de servidor	AWS	🇪🇺 Irlanda (eu-west-1)	Datos personales cifrados
Transcripción de audio	Speechmatics Ltd.	🇬🇧🇪🇺 UK / UE	Audio + transcripciones
Análisis clínico IA	OpenAI LLC	🇺🇸 EE.UU.	SOLO datos anonimizados

4.2. Anonimización de Datos para Servicios en EE.UU.

El análisis clínico mediante OpenAI GPT recibe únicamente textos completamente anonimizados:

❌ Sin nombre del paciente
❌ Sin email
❌ Sin código de paciente
❌ Sin nombre del terapeuta
❌ Sin referencias identificativas

📜 Fundamento legal: Conforme al RGPD Art. 4.1 y Considerando 26, los datos anonimizados NO son datos personales. Por tanto, su procesamiento en EE.UU. NO constituye una transferencia internacional de datos personales.

5. Derechos de los Interesados (Capítulo III RGPD)

CogniTrack facilita el ejercicio de todos los derechos RGPD:

Derecho RGPD	Artículo	Implementación
Derecho de acceso	Art. 15	El paciente puede acceder a todas sus notas en cualquier momento
Derecho de rectificación	Art. 16	El terapeuta puede modificar datos inexactos del paciente
Derecho de supresión	Art. 17	Eliminación completa y certificada de todos los datos en 48h
Derecho de portabilidad	Art. 20	Exportación en formato estructurado (JSON/CSV) disponible
Derecho de limitación	Art. 18	Marcado de datos para suspensión temporal de tratamiento
Derecho de oposición	Art. 21	Revocación del consentimiento contactando con el terapeuta

      ¿Cómo ejercer tus derechos? Contacta directamente con tu terapeuta, quien es el responsable del tratamiento de tus datos personales. Tu terapeuta responderá a tu solicitud en el plazo legal de un mes (Art. 12.3 RGPD).
    

6. Violaciones de Seguridad (Art. 33-34 RGPD)

6.1. Procedimiento de Notificación

CogniTrack tiene implementado un protocolo de respuesta ante violaciones de seguridad:

Detección: Monitorización continua y sistema de alertas
Contención: Medidas inmediatas para detener la brecha
Evaluación: Análisis de impacto y datos afectados
Notificación al Responsable: Máximo 24 horas desde detección
Notificación a AEPD: El Responsable notifica en 72h (Art. 33)
Comunicación a interesados: Si hay alto riesgo (Art. 34)
Registro: Documentación completa de la violación y respuesta

6.2. Medidas Preventivas

✅ Copias de seguridad diarias cifradas
✅ Logs de auditoría con retención de 90 días
✅ Revisiones de seguridad trimestrales
✅ Actualizaciones de seguridad automáticas
✅ Firewall y segmentación de red

7. Privacidad desde el Diseño (Art. 25 RGPD)

CogniTrack implementa los principios de Privacy by Design y Privacy by Default:

✓ Minimización de datos

Solo se recogen datos estrictamente necesarios para el seguimiento terapéutico

✓ Limitación de finalidad

Los datos solo se usan para los fines terapéuticos consentidos

✓ Limitación de conservación

Los datos se conservan solo mientras sea necesario para el tratamiento

✓ Acceso restringido

Solo terapeuta asignado y paciente titular pueden acceder a los datos

✓ Seudonimización

Códigos de paciente en lugar de identificadores directos

✓ Cifrado por defecto

Todos los datos se cifran automáticamente al almacenarse

8. Responsabilidad Proactiva (Accountability - Art. 5.2 RGPD)

CogniTrack mantiene documentación que demuestra el cumplimiento del RGPD:

✅ Acuerdo DPA firmado con todos los terapeutas
✅ Registro de consentimientos con timestamp y versión
✅ Logs de auditoría completos con 90 días de retención
✅ Política de seguridad documentada y revisada anualmente
✅ Contratos con subencargados (Speechmatics, AWS)
✅ Procedimientos de gestión de incidentes
✅ Análisis de riesgos y medidas de mitigación

9. Derecho a Reclamar ante la Autoridad de Control

Si consideras que tus derechos han sido vulnerados, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6
28001 Madrid
Web: www.aepd.es
Teléfono: 901 100 099 / 912 663 517
Sede electrónica: sedeagpd.gob.es

10. Conclusión: Máxima Protección Garantizada

CogniTrack cumple íntegramente con el RGPD gracias a:

✅ Cifrado AES-256 de todos los datos en reposo
✅ Consentimiento explícito y auditable con timestamp
✅ Localización EU de todos los datos personales
✅ Sistema de auditoría completo con trazabilidad
✅ Documentación legal completa y accesible
✅ Medidas de seguridad de nivel ALTO para datos de salud
✅ Derechos RGPD plenamente ejercibles
✅ Contratos DPA con terapeutas y subencargados
✅ Privacy by Design y Privacy by Default
✅ Accountability y responsabilidad proactiva

      💙 Compromiso con la privacidad: La protección de los datos de salud de nuestros usuarios es nuestra máxima prioridad. CogniTrack se diseñó desde el principio con los más altos estándares de privacidad y seguridad para garantizar la confidencialidad del proceso terapéutico.
    

Contacto para Cuestiones de Protección de Datos

i-Art Serveis SLU
Operadora de CogniTrack
Domicilio: Camí dels Plans 62 Casa 10, AD400 La Massana, Andorra
NRT: L712352Z
Email: dpo@cognitrack.clinic
Web: cognitrack.clinic

Volver a CogniTrack | Aviso de Privacidad | Acuerdo DPA | Términos de Uso