Política de Privacidad
Última actualización: 17 de mayo de 2026
Esta política cubre el portal de pacientes app.cbclinic.com. Para el sitio web público cbclinic.com consulta su política equivalente.
1. Responsable del tratamiento
CB Clinic — Clara Buitrago · Rambla de Catalunya 95, 2-1, 08008 Barcelona. Centro sanitario autorizado por la Generalitat de Catalunya, código de Registro de Centros, Servicios y Establecimientos Sanitarios E08729185 (expediente 131251). Dirección médica: Dra. Clara Johanna Buitrago Olaya, colegiada COMB nº 43760, miembro de la Sociedad Española de Medicina Estética (SEME).
2. Finalidad y base legal
- Atención sanitaria — gestionar tu atención médica, citas e información clínica que nos facilites (Art. 6.1.b RGPD + Art. 9.2.h RGPD — asistencia sanitaria prestada por profesional sujeto al secreto profesional, COMB nº 43760).
- Cuenta y servicios del portal — gestionar tu cuenta, saldo y programa de referidos (ejecución de contrato, Art. 6.1.b).
- Pagos — procesar recargas y conservar registro contable (ejecución de contrato + obligación legal, Art. 6.1.b + 6.1.c).
- Comunicaciones comerciales — sólo si das tu consentimiento, revocable en cualquier momento (Art. 6.1.a).
- Seguridad — protección frente a abuso, captcha y registros de acceso (interés legítimo, Art. 6.1.f).
3. Datos que tratamos
- Cuenta: email, nombre, apellidos, teléfono móvil, fecha de nacimiento (opcional).
- Información clínica (sólo si la facilitas): síntoma o tratamiento de interés. Tratada bajo secreto profesional médico y nunca utilizada para marketing.
- Saldo y referidos: historial de recargas, bonificaciones, código personal e invitados.
- Pagos: gestionados por Stripe; no almacenamos tu tarjeta.
- Navegación y seguridad: registros técnicos, IP, dispositivo, eventos de referido (anonimizados a los 30 días).
- Validación de email: comprobamos posibles errores tipográficos en tu dirección de email (procesamiento local en tu navegador) para sugerir correcciones antes de enviar el formulario.
4. Encargados y transferencias internacionales
- Supabase (autenticación y base de datos) · EU.
- Stripe (pagos) · EU+US bajo Cláusulas Contractuales Tipo de la UE + adhesión al EU-US Data Privacy Framework (Decisión de Adecuación 2023/1795).
- Vercel (alojamiento web) · EU+US bajo Cláusulas Contractuales Tipo + DPF.
- Cloudflare (CDN, seguridad y captcha Turnstile) · EU+US bajo Cláusulas Contractuales Tipo.
- SMTP2GO (envío de email transaccional) · UK/EU bajo Cláusulas Contractuales Tipo.
- Google Workspace (correo del responsable) · EU+US bajo Cláusulas Contractuales Tipo + DPF.
- Autoridades (AEAT, Departament de Salut) cuando exista obligación legal.
5. Conservación
Mientras mantengas la cuenta activa y, tras su baja, durante los plazos legales en bloqueo: 5 años para datos asistenciales (Decret 151/2017) y 6 años para datos contables (Código de Comercio). Logs técnicos: 12 meses. Eventos de referido: anonimizados a los 30 días.
6. Tus derechos
Puedes ejercer los derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y revocación del consentimiento. Para ejercerlos, utiliza el botón Contáctanosdel portal indicando "Solicitud RGPD", o envía una solicitud por correo postal al domicilio del responsable. Podemos pedirte identificación cuando sea necesaria. Si consideras que tus derechos no han sido atendidos puedes reclamar ante la AEPD (aepd.es).
7. Cookies
El portal utiliza únicamente cookies estrictamente necesarias para el funcionamiento (sesión de autenticación, idioma, código de referido, captcha de seguridad). No utilizamos cookies de analítica ni de marketing en este portal. Detalle en Política de Cookies.
8. Menores
El portal no está dirigido a menores de 18 años. Si tienes menos de 14, no debes utilizar el portal sin consentimiento verificable de tus tutores legales.
9. Cambios
Podemos actualizar esta política. Si los cambios son sustanciales te avisaremos por email antes de su aplicación.