Política de Privacidad

Versión 1.0 — publicado el 04/05/2026

1. Responsable del tratamiento

Titular: Centro Médico Deportivo Pérez-Frías
CIF/NIF: [PENDIENTE_CIF]
Domicilio: Calle Curtidores 1, 29006 Málaga, España
Teléfono: +34 951 10 67 35
Email contacto RGPD: info@cmdperezfrias.com
Delegado de Protección de Datos (DPO): [PENDIENTE_DPO — designar si aplica obligación Art. 37 RGPD]

2. Datos personales tratados

Identificativos del atleta: nombre, apellidos, DNI/NIE/Pasaporte, fecha de nacimiento, sexo, teléfono, email.
Datos de salud (categoría especial Art. 9 RGPD): respuestas al cuestionario médico (antecedentes patológicos, alergias, medicación, historial familiar), resultados de la exploración médica, certificados emitidos.
Datos del tutor legal (cuando el atleta es menor): nombre, apellidos, DNI, consentimiento expreso registrado con fecha.
Datos de pago: gestionados directamente por Stripe; no almacenamos números completos de tarjeta. Conservamos el identificador de transacción para conciliación contable.
Datos técnicos: dirección IP de acceso, user-agent, timestamps de autenticación (logs de seguridad).

3. Finalidades y bases legales

Finalidad	Base legal
Prestación del servicio de reconocimiento médico deportivo	Ejecución de contrato (Art. 6.1.b RGPD)
Tratamiento de datos de salud	Consentimiento explícito del interesado o tutor (Art. 9.2.a RGPD) + finalidad de medicina del deporte (Art. 9.2.h)
Conservación del historial clínico	Obligación legal — Ley 41/2002 de Autonomía del Paciente (mín. 5 años desde alta)
Facturación y obligaciones fiscales	Obligación legal (Art. 6.1.c RGPD)
Auditoría de cambios sobre datos clínicos (logs)	Interés legítimo + Art. 32 RGPD (seguridad)
Comunicaciones transaccionales (certificado, recibo)	Ejecución de contrato (Art. 6.1.b)

4. Plazos de conservación

Datos clínicos (cuestionarios, reconocimientos, certificados): 5 años desde la última actuación, conforme al Art. 17.1 de la Ley 41/2002.
Datos de identificación y cuenta: hasta solicitud de supresión por el interesado, salvo conservación legal obligatoria.
Logs de auditoría: 5 años (alineado con Ley 41/2002 para cambios sobre datos clínicos).
Datos fiscales (facturación): 6 años (Art. 30 Código de Comercio) y 4 años (Ley General Tributaria).

5. Destinatarios y encargados de tratamiento

Médicos colegiados de Centro Médico Deportivo Pérez-Frías: acceden a los datos clínicos para emitir reconocimientos y certificados.
Stripe Payments Europe Ltd. (procesador de pagos): Irlanda. Política: stripe.com/es/privacy.
Amazon Web Services EMEA SARL (alojamiento): ver sección 6 sobre transferencia internacional.
DonDominio (Soluciones Corporativas IP S.L.U.): España. Servidor SMTP para correo transaccional.
Clubes deportivos: cuando el atleta está vinculado a un club, el coordinador del club puede ver los datos identificativos básicos del atleta y el estado de su reconocimiento (apto / no apto / pendiente). NO accede a datos clínicos detallados.

6. Transferencia internacional de datos

Aviso importante: actualmente la base de datos y los archivos de la Plataforma se alojan en infraestructura de Amazon Web Services en la región us-east-1 (Norte de Virginia, Estados Unidos). Esto implica una transferencia internacional de datos personales fuera del Espacio Económico Europeo, amparada en:

Cláusulas Contractuales Tipo (SCC) firmadas con AWS bajo el AWS Data Processing Addendum (DPA).
Marco EU-U.S. Data Privacy Framework (en la medida en que AWS mantenga su certificación bajo este esquema).
Cifrado en tránsito (TLS 1.2+) y en reposo (S3 Server-Side Encryption).

Está planificada la migración a la región eu-south-2 (Madrid) para eliminar dicha transferencia. Hasta entonces, al utilizar la Plataforma usted consiente expresamente esta transferencia internacional.

Si no desea que sus datos se transfieran fuera del EEE, contacte con nosotros en info@cmdperezfrias.com antes de utilizar el servicio.

7. Derechos del interesado

Puede ejercer los siguientes derechos enviando un email a info@cmdperezfrias.com con copia de su DNI o documento equivalente:

Acceso (Art. 15 RGPD): obtener copia de los datos personales en tratamiento.
Rectificación (Art. 16): corregir datos inexactos o incompletos.
Supresión / "derecho al olvido" (Art. 17): siempre respetando la obligación de conservación clínica de 5 años.
Limitación del tratamiento (Art. 18).
Portabilidad (Art. 20): recibir los datos en formato estructurado y de uso común.
Oposición (Art. 21).
Retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.

Asimismo, puede presentar reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.

8. Medidas de seguridad

Aplicamos medidas técnicas y organizativas conformes al Art. 32 RGPD:

Cifrado en tránsito (HTTPS / TLS 1.2+).
Cifrado en reposo de archivos sensibles (S3 SSE).
Control de acceso por rol (Admin / Médico / Atleta) con políticas de autorización auditadas.
Auditoría completa de cambios sobre datos clínicos (audit log con retención 5 años).
Política de contraseñas robusta (mínimo 8 caracteres con mayúsculas, minúsculas y números).
Limitación de intentos de acceso (rate limiting de login).
Copias de seguridad cifradas con retención.
Soft-delete con cascada para garantizar el "derecho al olvido" reversible durante la ventana legal de conservación.

9. Información a menores

El tratamiento de datos de menores requiere el consentimiento expreso del titular de la patria potestad o tutela (Art. 8 RGPD + Art. 7 LOPDGDD). La Plataforma valida automáticamente la edad y exige los datos del tutor cuando el atleta es menor de 18 años.

10. Modificaciones de esta política

Esta política puede actualizarse para reflejar cambios legales o técnicos. La versión vigente se publica permanentemente en https://reconocimientomedicodeportivomalaga.com/politica-privacidad. Las modificaciones sustanciales se notificarán a los usuarios registrados.

Versión 1.0 — Última actualización: mayo 2026.