tufisio.online

Seguridad y RGPD

Última actualización: 14/01/2026

En tufisio.online (el “Servicio”) nos tomamos muy en serio la seguridad y la protección de datos. En esta página resumimos las medidas de seguridad que aplicamos y nuestro enfoque práctico para cumplir con el Reglamento General de Protección de Datos (RGPD).

Esta página es informativa y no constituye asesoramiento legal.

1) Roles en RGPD: Responsable vs Encargado

Según el uso del Servicio, normalmente se aplica lo siguiente:

  • Si una clínica utiliza tufisio.online para gestionar citas, pacientes o información asistencial, la clínica suele actuar como Responsable del tratamiento (decide para qué y cómo se tratan los datos).
  • tufisio.online suele actuar como Encargado del tratamiento (trata datos por cuenta de la clínica y siguiendo sus instrucciones).

Si lo necesitas, podemos facilitar un Contrato de Encargo del Tratamiento (DPA) bajo solicitud.

2) Datos que puede tratar el Servicio

Dependiendo de la configuración y del uso, el Servicio puede tratar:

  • Datos de cuenta/empresa: nombre de la clínica, usuarios, roles, emails de acceso y datos de contacto.
  • Datos operativos: agenda, citas, disponibilidad, anotaciones (según lo configure la clínica).
  • Metadatos de comunicaciones: configuración de recordatorios/notificaciones (por ejemplo, recordatorios por WhatsApp), y estado de envío cuando aplique.
  • Datos técnicos del sitio web: analítica y registros técnicos (IP, dispositivo, navegador) para rendimiento y seguridad.

Recomendación: aplica minimización de datos. Evita almacenar datos sensibles no necesarios y define reglas de acceso internas.

3) Medidas de seguridad (visión general)

Aplicamos medidas técnicas y organizativas razonables para proteger los datos:

Control de acceso

  • Acceso por usuario y roles (cuando aplique)
  • Principio de mínimo privilegio
  • Protección del acceso administrativo

Cifrado

  • Cifrado en tránsito (HTTPS/TLS)
  • Medidas adicionales según infraestructura

Seguridad operativa

  • Monitorización y registros
  • Protecciones contra ataques habituales
  • Copias de seguridad

Desarrollo Seguro

  • Separación de entornos
  • Actualizaciones de seguridad
  • Gestión segura de secretos

Ningún sistema es 100% infalible, pero trabajamos de forma continua para reducir riesgos.

4) Minimización y conservación de datos

Nos esforzamos por tratar solo lo necesario y conservar los datos el tiempo imprescindible:

  • Solicitudes de demo/contacto: durante un periodo razonable para gestionar la solicitud y el seguimiento.
  • Datos de uso y logs: durante periodos limitados para análisis y protección del servicio.
  • Datos de clientes: durante la vigencia de la relación y según lo acordado, más los plazos legales.

La clínica (como Responsable) define, en gran medida, qué datos se introducen en el sistema y durante cuánto tiempo deben mantenerse.

5) Subencargados y proveedores

Para operar el Servicio podemos apoyarnos en proveedores (por ejemplo, hosting, analítica, email). Estos proveedores pueden actuar como subencargados y estarán sujetos a compromisos adecuados de confidencialidad y seguridad.

No vendemos datos personales.

6) Transferencias internacionales

Si se utilizan proveedores fuera del Espacio Económico Europeo, se aplicarán garantías legales adecuadas (por ejemplo, cláusulas contractuales tipo u otros mecanismos reconocidos por la normativa).

7) Derechos de las personas

Los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad se ejercen normalmente ante la clínica Responsable del tratamiento (por ejemplo, la clínica que recogió los datos del paciente).

Para cuestiones relativas a datos tratados por tufisio.online en el sitio web (p. ej., formularios o comunicaciones), puedes contactar mediante /es/contacto indicando “Privacidad / RGPD”.

8) Gestión de incidencias y brechas

Contamos con un enfoque de respuesta ante incidentes orientado a:

  • detección y contención
  • análisis del alcance
  • medidas correctivas
  • comunicación a clientes afectados cuando corresponda

Cuando el Servicio actúe como Encargado, la notificación y coordinación se realizará con el cliente (Responsable) conforme a lo acordado y a los plazos legales aplicables.

9) Buenas prácticas recomendadas para clínicas

Para un uso seguro y conforme al RGPD, recomendamos:

  • Definir roles y permisos por usuario.
  • Usar contraseñas robustas y no compartir accesos.
  • Mantener un registro interno de tratamientos y bases legales.
  • Informar a pacientes de cómo se tratan sus datos (cláusulas informativas).
  • Evitar introducir datos innecesarios o excesivamente sensibles.

10) Más información