WhatsAppinfo@ri-hub.it

Política de Privacidad

Información de conformidad con los arts. 13–14 del Reglamento UE 2016/679 (RGPD). Última revisión: mayo de 2026.

1. Responsable del tratamiento

El Responsable del tratamiento es Ri-Hub S.r.l. S.T.P., con domicilio social en Italia. Para ejercer los derechos previstos por el RGPD y para cualquier solicitud, escriba a privacy@ri-hub.it.

Legal identification: Ri-Hub S.r.l. S.T.P. — Registered office: Corso Assarotti 19/1, 16043 Chiavari (GE), Italy — VAT/Tax ID (P.IVA/C.F.): 02992670998 — REA GE-525421 — Share capital: €10,000 fully paid up — PEC: ri-hub@pec.it

2. Tratamiento de datos de salud (Art. 9 RGPD)

Ri-Hub es una plataforma de fisioterapia en línea: durante el uso del servicio recogemos y tratamos datos relativos a la salud (categoría especial conforme al art. 9 RGPD), en particular: respuestas a los cuestionarios de anamnesis, niveles de dolor, descripciones de la sintomatología, objetivos terapéuticos, planes de tratamiento. Las videoconsultas se prestan en tiempo real y no se graban ni se conservan en ningún formato de audio o vídeo.

Base jurídica. El tratamiento de los datos de salud se fundamenta en dos bases acumulativas: el consentimiento explícito del interesado (art. 9.2.a RGPD) recabado en el momento de la firma del consentimiento informado sanitario, y la ejecución de un contrato de prestación sanitaria (art. 9.2.h RGPD) del que el interesado es parte. El tratamiento es asimismo conforme a las Directrices del Garante italiano en materia de telemedicina y a las indicaciones del Comité Europeo de Protección de Datos (EDPB). Sin la aportación de dichos datos no es posible prestar el servicio sanitario solicitado.

Prohibición de difusión y de uso secundario. Los datos de salud se tratan exclusivamente para las finalidades de cuidado, diagnóstico y gestión del itinerario rehabilitador del paciente individual. Ri-Hub NO difunde, NO cede, NO vende y NO comunica los datos de salud a terceros distintos de los sujetos expresamente autorizados indicados en el § 5 (fisioterapeuta asignado y proveedores tecnológicos nombrados Encargados del tratamiento). Los datos de salud no se utilizan con fines publicitarios, de elaboración de perfiles ni de marketing bajo ninguna circunstancia.

Conservación en sistemas conformes a la normativa europea. Los datos de salud se conservan en infraestructura cloud localizada en el Espacio Económico Europeo (EEE) en proveedores conformes al RGPD, con cifrado tanto en tránsito (TLS 1.3) como en reposo. Ningún dato de salud se transfiere fuera de la UE/EEE. Los eventuales encargados tecnológicos extracomunitarios (p. ej. Stripe para los pagos) tratan únicamente datos administrativos y contables —nunca datos de salud— sobre la base de Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (art. 46 RGPD).

Secreto profesional. Los fisioterapeutas que acceden a los datos de salud están inscritos en el Colegio profesional y obligados al secreto profesional conforme al art. 622 del Código Penal italiano, al art. 200 del Código Procesal Penal italiano y al Código Deontológico de la profesión. El acceso a los datos de salud está limitado únicamente al paciente asignado (principio de minimización, art. 5.1.c RGPD) y registrado en logs de auditoría no modificables.

Seudonimización y minimización. Allí donde es técnicamente posible, los datos de salud se seudonimizan o se cifran a nivel aplicativo. Las estadísticas agregadas para uso interno o para clínicas/empresas concertadas se proporcionan exclusivamente en forma anónima y agregada, sin posibilidad de reidentificar al paciente individual.

3. Categorías de datos personales tratados

  • Datos identificativos: nombre, apellidos, código fiscal, fecha de nacimiento, dirección, datos de contacto.
  • Documentos de identidad (imagen).
  • Credenciales de autenticación: correo electrónico, contraseña en forma de hash, token Google si se accede mediante OAuth.
  • Datos de salud: anamnesis, dolor, síntomas, planes terapéuticos, resultados de cuestionarios de evaluación. Las sesiones de vídeo no se graban.
  • Datos de pago: gestionados por el proveedor Stripe (no almacenamos los datos de la tarjeta).
  • Datos técnicos: dirección IP, registros de acceso, identificadores del dispositivo (si está instalado Capacitor).
  • Datos de uso agregados y anónimos (solo si ha aceptado las cookies analytics).

4. Finalidades del tratamiento

  • Prestación del servicio de fisioterapia en línea (base: contrato / consentimiento explícito Art. 9).
  • Gestión administrativa y contable (base: obligación legal).
  • Seguridad de la app, prevención del fraude y diagnóstico (base: interés legítimo).
  • Comunicaciones de servicio y notificaciones relativas a las citas (base: contrato).
  • Marketing y newsletter solo si ha prestado consentimiento separado en la fase de registro (base: consentimiento revocable en cualquier momento).
  • Analytics agregados solo si ha aceptado las cookies analytics (base: consentimiento revocable desde el banner de cookies).

5. Destinatarios y encargados externos

Todos los sujetos enumerados a continuación están nombrados Encargados del tratamiento ex art. 28 RGPD mediante el correspondiente acto contractual. Ningún sujeto fuera de esta lista accede a sus datos. Los datos de salud son accesibles exclusivamente al fisioterapeuta asignado; todos los demás proveedores tratan datos estrictamente técnicos/administrativos.

  • Fisioterapeutas concertados: acceden a los datos de salud únicamente del paciente asignado para prestar el servicio. Inscritos en el Colegio profesional, obligados al secreto profesional ex art. 622 del Código Penal italiano. Ningún fisioterapeuta puede consultar datos de pacientes no asignados a sí mismo.
  • Cloud hosting UE (centros de datos localizados en el Espacio Económico Europeo): infraestructura aplicativa y base de datos. Ninguna transferencia extracomunitaria para los datos de salud. Cifrado TLS en tránsito + cifrado en reposo en los volúmenes.
  • Stripe (Irlanda + EE. UU.): gestión de pagos. Trata exclusivamente datos administrativos (importe, correo electrónico, datos de facturación). Nunca datos de salud. Eventual transferencia extracomunitaria basada en Cláusulas Contractuales Tipo art. 46 RGPD.
  • Google LLC: solo si accede con su cuenta de Google (OAuth limitado a correo electrónico + perfil) o si el fisioterapeuta ha activado la sincronización de su Google Calendar (scope calendar.events, lectura/escritura limitada a los eventos creados por Ri-Hub). Nunca datos de salud del paciente. Transferencia extracomunitaria basada en Cláusulas Contractuales Tipo.
  • PostHog (cloud EU, eu.i.posthog.com): analytics agregados anónimos solo tras consentimiento explícito mediante el banner de cookies. IP no rastreada; session replay deshabilitado. Nunca datos de salud.
  • Brevo (Sendinblue): envío de correos electrónicos transaccionales y newsletter. Servidores UE. Trata solo correo electrónico + nombre.
  • Twilio Video (Irlanda + EE. UU.): prestación de videoconsultas en tiempo real a través de canales cifrados en tránsito (SRTP/DTLS). Los servidores SFU de Twilio reenvían los flujos de audio/vídeo entre el fisioterapeuta y el paciente; las videoconsultas NO se graban ni se conservan. Transferencia extracomunitaria basada en Cláusulas Contractuales Tipo conforme al art. 46 RGPD.
  • Apple Inc. (EE. UU.): solo si accede con su Apple ID mediante «Sign in with Apple». Trata exclusivamente el identificador Apple + correo electrónico (relé anónimo opcional). Nunca datos de salud. Transferencia extracomunitaria basada en CCT.
  • Firebase Cloud Messaging (Google LLC, EE. UU.): para las notificaciones push en las aplicaciones Android e iOS. Trata únicamente un token opaco del dispositivo. Nunca datos de salud en el payload. Transferencia extracomunitaria basada en CCT.
  • MinIO (almacenamiento de objetos autoalojado, región UE): conservación de los documentos de consentimiento informado firmado (PDF + DNI anverso/reverso). Servidores internos de Ri-Hub, acceso restringido únicamente al personal técnico autorizado y al fisioterapeuta asignado. Cifrado en reposo a nivel de volumen.
  • CRM interno Ri-Hub (servidor autoalojado UE, dominio crm.ri-hub.it): sistema de gestión de historiales de pacientes accesible únicamente al personal clínico/administrativo de Ri-Hub vinculado por secreto profesional y acuerdos de confidencialidad. Recibe la sincronización automática de eventos: registro, anamnesis reservada, consentimiento firmado, compra de sesiones, sesiones completadas.
  • Calendly (EE. UU.): si el fisioterapeuta ha conectado su cuenta Calendly para sincronizar disponibilidades externas a Ri-Hub. Trata solo metadatos de slots (fechas/horas), ningún dato clínico. Transferencia extracomunitaria basada en CCT.
  • Google Analytics 4 (Google LLC, EE. UU.): métricas de uso agregadas solo tras consentimiento explícito mediante el banner de cookies. IP anonimizada, personalización publicitaria desactivada por defecto. Nunca datos de salud. CCT.

6. Sus derechos (Arts. 15–22 RGPD)

Tiene derecho a: acceder a sus datos, rectificarlos, obtener su supresión ("derecho al olvido"), limitar su tratamiento, recibirlos en formato portable, oponerse al tratamiento, revocar en cualquier momento los consentimientos prestados (también cookies analytics y marketing) sin perjuicio de la licitud del tratamiento basado en el consentimiento prestado antes de la revocación.

Asimismo puede presentar reclamación ante el Garante italiano para la Protección de los Datos Personales (www.garanteprivacy.it).

Para ejercer sus derechos escriba a privacy@ri-hub.it. La cancelación de la cuenta desde la app conlleva la eliminación de los datos personales en un plazo de 30 días; por obligaciones fiscales y contractuales algunos registros (p. ej. facturación, citas) se conservan en forma seudonimizada durante el tiempo previsto por la ley.

7. Periodo de conservación

  • Datos de cuenta y de salud: durante toda la duración de la relación contractual y hasta 10 años desde su finalización, exclusivamente a efectos de obligación de conservación de la historia clínica y fiscal.
  • Tokens de autenticación: refresh token renovado en cada acceso, validez máxima 365 días de inactividad.
  • Datos analytics anónimos (PostHog): 12 meses.
  • Logs técnicos de seguridad: 6 meses.

8. Medidas de seguridad

Adoptamos medidas técnicas y organizativas adecuadas al riesgo conforme al art. 32 RGPD:

  • Cifrado en tránsito: TLS 1.3 obligatorio en todas las conexiones entre app/sitio y backend, ninguna comunicación en claro.
  • Cifrado en reposo: los volúmenes en los que residen los datos de salud están cifrados a nivel de disco; los tokens OAuth y los datos más sensibles están además cifrados a nivel aplicativo.
  • Autenticación: refresh token con hashing SHA-256 y rotación automática; contraseñas nunca almacenadas en claro (hash con algoritmos estándar PBKDF2/argon2).
  • Control de accesos (RBAC): roles distintos paciente / fisioterapeuta / administrador con privilegios mínimos; el fisioterapeuta ve solo los datos de los pacientes que tiene asignados.
  • Audit log: registro inmutable de los accesos a los datos de salud, conservado 6 meses por finalidades de seguridad.
  • Backup: copias de seguridad cifradas y versionadas, historizadas en región UE, probadas periódicamente.
  • Localización UE: los datos de salud residen exclusivamente en infraestructura cloud en el Espacio Económico Europeo; ninguna transferencia extracomunitaria para datos de salud.
  • Estándar de seguridad de los proveedores: los proveedores de hosting y cloud utilizados operan con certificaciones ISO 27001 / SOC 2 y son conformes al RGPD.
  • Formación y procedimientos: el personal está formado en privacidad + seguridad; plan de gestión de brechas de datos con notificación al Garante en un plazo de 72 horas (art. 33 RGPD) y al interesado en caso de riesgo elevado (art. 34).

9. Menores

El servicio no está destinado a menores de 14 años. Para los usuarios entre 14 y 18 años el tratamiento requiere el consentimiento del titular de la responsabilidad parental (D.Lgs. 101/2018 art. 2-quinquies del Decreto Legislativo italiano). Si es padre o madre y sospecha que un menor de 14 años ha creado una cuenta, contacte con privacy@ri-hub.it para solicitar la cancelación inmediata.

Para información detallada sobre el uso de las cookies (necesarias, analytics, etc.) consulte nuestra Política de Cookies. Puede modificar sus preferencias en cualquier momento desde el banner de cookies en la página de inicio.

11. Modificaciones

Esta información puede ser actualizada. La versión vigente está publicada en ri-hub.it/es/privacy y está reflejada en la app app.ri-hub.it/privacy para garantizar el acceso también en modalidad Capacitor offline. Última revisión: mayo de 2026.

Política de Privacidad | Ri-Hub