A
Atiende360

Política de Privacidad

Última actualización: 12 de mayo de 2026

1. Responsable del tratamiento

En cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos de que el responsable del tratamiento de sus datos personales es:

  • Denominación: Atiende360
  • Correo de contacto: pelayo.automates@gmail.com
  • Actividad: Plataforma SaaS de recepcionista con inteligencia artificial para clínicas y consultas médicas

2. Datos que recopilamos

Recopilamos y tratamos las siguientes categorías de datos:

2.1 Datos de usuarios de la plataforma (clínicas / profesionales)

  • Nombre y dirección de correo electrónico (recogidos mediante Google OAuth)
  • Nombre de la clínica, especialidad, URL web y teléfono de contacto
  • Credenciales OAuth de Google Calendar (tokens cifrados con AES-256)
  • Datos de facturación y suscripción (gestionados por Stripe)
  • Registros de uso de la plataforma (métricas, logs de actividad)

2.2 Datos de pacientes (procesados en nombre de la clínica)

Atiende360 actúa como encargado del tratamiento respecto a los datos de los pacientes de cada clínica, que es la responsable del tratamiento de dichos datos. Los datos de pacientes que podemos procesar incluyen:

  • Nombre y apellidos
  • Número de teléfono
  • Dirección de correo electrónico
  • Motivo de consulta e historial de conversación con el agente IA
  • Fecha y hora de citas médicas
  • Transcripciones de mensajes de voz o audio

Datos de categoría especial (datos de salud): la información relativa a motivos de consulta, diagnósticos o historial clínico tiene la consideración de dato de categoría especial conforme al artículo 9 del RGPD. Su tratamiento se basa en el consentimiento explícito del paciente y/o en la necesidad para la prestación de asistencia sanitaria, según lo establecido en el artículo 9.2.h) del RGPD y el artículo 8 de la LOPDGDD.

3. Finalidad y base jurídica del tratamiento

FinalidadBase jurídica
Prestación del servicio de recepcionista IA (responder llamadas, WhatsApp, chat)Ejecución de contrato (art. 6.1.b RGPD)
Gestión de citas en Google Calendar del usuarioConsentimiento explícito (art. 6.1.a RGPD)
Autenticación y gestión de la cuenta (Google OAuth)Ejecución de contrato (art. 6.1.b RGPD)
Facturación y cobro de suscripcionesObligación legal y ejecución de contrato (art. 6.1.b y 6.1.c RGPD)
Mejora del servicio mediante análisis de usoInterés legítimo (art. 6.1.f RGPD)
Envío de comunicaciones sobre el servicioEjecución de contrato y consentimiento (art. 6.1.a y 6.1.b RGPD)
Procesamiento de datos de salud de pacientesConsentimiento explícito y art. 9.2.h RGPD (asistencia sanitaria)

4. Procesadores y transferencias internacionales

Para prestar el servicio, Atiende360 utiliza los siguientes subencargados del tratamiento, con quienes hemos suscrito los contratos de encargo de tratamiento exigidos por el RGPD:

ProveedorServicioUbicación
Supabase (PostgreSQL)Base de datos principalUE (Frankfurt)
OpenAIProcesamiento de lenguaje natural (GPT-4o, Whisper)EE.UU. — DPA firmado, cláusulas contractuales tipo
Google LLCGoogle Calendar API, Google OAuthEE.UU. — Privacy Shield / DPA
StripeProcesamiento de pagos y facturaciónEE.UU. — DPA firmado
Railway (infraestructura)Hosting del servidor de aplicacionesEE.UU. — DPA firmado
VercelHosting del panel webEE.UU. — DPA firmado
Retell AIProcesamiento de llamadas de voz con IAEE.UU. — DPA firmado
360dialog / MetaEnvío y recepción de mensajes WhatsAppUE / EE.UU. — DPA firmado
TelnyxProveedor de numeración telefónica (SIP)EE.UU. — DPA firmado

Las transferencias internacionales a países sin decisión de adecuación de la Comisión Europea se realizan con las garantías adecuadas previstas en el artículo 46 del RGPD (cláusulas contractuales tipo aprobadas por la Comisión Europea).

5. Conservación de datos

  • Datos de cuenta: mientras la cuenta esté activa + 5 años tras la cancelación (obligaciones mercantiles y fiscales)
  • Datos de conversaciones y citas: 2 años desde la última interacción, salvo instrucción contraria de la clínica
  • Datos de facturación: 7 años (obligación fiscal, art. 30 CCom)
  • Tokens de Google Calendar: hasta que el usuario revoque el acceso desde su cuenta de Google o desde el panel
  • Logs de seguridad: 12 meses

6. Derechos de los interesados

De conformidad con el RGPD y la LOPDGDD, usted tiene derecho a:

  • Acceso: conocer qué datos tratamos sobre usted
  • Rectificación: corregir datos inexactos o incompletos
  • Supresión ("derecho al olvido"): solicitar la eliminación de sus datos cuando ya no sean necesarios
  • Limitación del tratamiento: solicitar que suspendamos el tratamiento en determinadas circunstancias
  • Portabilidad: recibir sus datos en formato estructurado y legible por máquina
  • Oposición: oponerse al tratamiento basado en interés legítimo
  • Retirada del consentimiento: en cualquier momento, sin que ello afecte a la licitud del tratamiento previo
  • No ser objeto de decisiones automatizadas: derecho a intervención humana en decisiones basadas exclusivamente en tratamiento automatizado

Para ejercer cualquiera de estos derechos, envíe un correo a pelayo.automates@gmail.comindicando el derecho que desea ejercer y adjuntando una copia de su documento de identidad. Responderemos en el plazo máximo de 30 días.

Si considera que el tratamiento de sus datos no es conforme al RGPD, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es

7. Seguridad

Aplicamos medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo:

  • Cifrado AES-256 de tokens OAuth en reposo
  • Comunicaciones cifradas mediante TLS 1.2+ en tránsito
  • Acceso a datos restringido mediante claves de API y Row-Level Security (RLS) en base de datos
  • Autenticación exclusivamente mediante Google OAuth (sin contraseñas almacenadas)
  • Registro de auditoría de accesos y modificaciones
  • Aislamiento de datos por clínica (arquitectura multi-tenant)

En caso de violación de seguridad que suponga un riesgo para sus derechos y libertades, le notificaremos en el plazo máximo de 72 horas conforme al artículo 33 del RGPD.

8. Cookies

Atiende360 utiliza exclusivamente cookies técnicas estrictamente necesarias para el funcionamiento del servicio (gestión de sesión de usuario). No utilizamos cookies de seguimiento, publicidad ni analítica de terceros.

9. Menores de edad

El servicio está dirigido exclusivamente a profesionales y entidades del sector sanitario. No recopilamos intencionadamente datos de menores de 14 años. Si detectamos que hemos recopilado datos de un menor sin el consentimiento de sus tutores legales, procederemos a eliminarlos inmediatamente.

10. Cambios en esta política

Podemos actualizar esta política periódicamente. Le notificaremos cualquier cambio material mediante correo electrónico o mediante un aviso destacado en el panel antes de que los cambios entren en vigor. La fecha de la última actualización figura al inicio de este documento.

11. Contacto

Para cualquier consulta sobre esta política o sobre el tratamiento de sus datos:

  • Correo: pelayo.automates@gmail.com
  • Alternativa: pelayo.automates@gmail.com

© 2026 Atiende360. Todos los derechos reservados. Términos de servicio