Política de Privacidad de Medical Travel Spain
Última actualización: 15 de octubre de 2025
POLÍTICA DE PRIVACIDAD DE MEDICAL TRAVEL SPAIN
Última actualización: 15 de octubre de 2025
1. IDENTIFICACIÓN DEL RESPONSABLE
Medical Travel Spain (en adelante, "MTS"), con domicilio en c/Monasterio de las Batuecas 32, planta 1 puerta 3, 28049 Madrid (España), correo general info@meditravelspain.es y NIF 47.712.464-E, actúa como Responsable del Tratamiento de los datos personales tratados a través del sitio web www.medicaltravelspain.com, sus formularios, canales de atención remota y servicios de intermediación de turismo médico. Puede contactar con el Delegado de Protección de Datos (DPO) en dpo@meditravelspain.es.
2. BASE LEGAL APLICABLE
MTS cumple el Reglamento (UE) 2016/679 (GDPR), la Ley Orgánica 3/2018 (LOPDGDD), la Ley 34/2002 (LSSI), normativa sanitaria aplicable y demás legislación vigente en materia de protección de datos y servicios digitales.
3. PRINCIPIOS DE TRATAMIENTO
Licitud, lealtad y transparencia; limitación de finalidad; minimización; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva. MTS mantiene registros de actividades, evaluaciones de impacto cuando corresponde y controles periódicos de cumplimiento.
4. CATEGORÍAS Y PROCEDENCIA DE DATOS
Datos proporcionados directamente por el interesado o por su representante; información de proveedores sanitarios o aseguradoras cuando el usuario lo autoriza:
- Identificativos y contacto: nombre, apellidos, documento identificativo, fecha de nacimiento, nacionalidad, idioma, direcciones postales, email, teléfono.
- Preferencias y logística: destino deseado, fechas aproximadas, acompañantes, necesidades especiales, presupuesto estimado.
- Datos de salud (categorías especiales): historial clínico, diagnósticos, informes médicos, medicación, alergias, contraindicaciones, movilidad reducida.
- Datos económicos limitados a pagos y facturación cuando sea necesario.
- Registros electrónicos: IP, user-agent, idioma, consentimiento de cookies, logs de formularios, tokens de doble opt-in.
- Evidencias de consentimiento: fecha, hora, versión del texto legal aceptado, firma electrónica o equivalente.
5. FINALIDADES Y BASES JURÍDICAS
- Gestionar solicitudes, evaluar la viabilidad médica y coordinar servicios sanitarios/logísticos: art. 6.1.b GDPR.
- Comunicar datos de salud a centros médicos con consentimiento explícito: art. 6.1.a y art. 9.2.a GDPR.
- Organizar viajes, alojamiento, seguros y servicios concierge: art. 6.1.b GDPR.
- Gestión administrativa, contable y fiscal: art. 6.1.b y 6.1.c GDPR.
- Atención post tratamiento, seguimiento y gestión de incidencias: art. 6.1.b GDPR.
- Envío de comunicaciones comerciales (newsletter) mediante doble opt-in: art. 6.1.a GDPR.
- Elaboración de estadísticas internas y controles de calidad con datos agregados o seudonimizados: interés legítimo ponderado art. 6.1.f GDPR.
- Seguridad de la plataforma y prevención de fraude: art. 6.1.f GDPR.
- Cumplimiento de obligaciones legales y sanitarias: art. 6.1.c GDPR.
- Gestión de emergencias médicas: art. 6.1.d y art. 9.2.c GDPR.
6. DESTINATARIOS Y ENCARGADOS
- Centros médicos y profesionales sanitarios que evalúan o prestan el tratamiento.
- Proveedores encargados (Supabase, Vercel, hosting, plataformas de mensajería, CRM, agencias de viaje) con contratos art. 28 GDPR que incorporan cláusulas de confidencialidad, seguridad y control de subencargados.
- Aseguradoras, hoteles, aerolíneas, transporte y otros proveedores logísticos cuando sea imprescindible para prestar el servicio.
- Autoridades públicas y cuerpos de seguridad cuando exista obligación legal.
7. TRANSFERENCIAS INTERNACIONALES
Si el tratamiento implica transferencias fuera del Espacio Económico Europeo, MTS verifica garantías adecuadas: decisiones de adecuación, cláusulas contractuales tipo, BCR u otra base legítima. Cuando no sea posible, solicita consentimiento explícito tras realizar un Transfer Impact Assessment e implementar salvaguardas técnicas (cifrado, seudonimización, control de acceso).
8. PLAZOS DE CONSERVACIÓN
- Leads no convertidos: 12 meses desde el último contacto.
- Expedientes de pacientes: durante la relación contractual y 6 años adicionales por obligaciones mercantiles; los datos de salud se conservan hasta 2 años tras cierre del expediente salvo obligación legal o autorización del interesado.
- Documentación contable y fiscal: 6 años (10 años si aplica normativa antiblanqueo).
- Evidencias de consentimiento y logs: vigencia del tratamiento + 5 años.
- Registros de newsletter: hasta revocación del consentimiento; los tokens de confirmación se eliminan al validar o expirar.
9. MEDIDAS DE SEGURIDAD
Cifrado TLS y en reposo para datos sensibles, autenticación multifactor, segregación de entornos, principio de mínimo privilegio, monitorización de accesos, auditorías periódicas, planes de continuidad, copias de seguridad cifradas y protocolos de destrucción segura.
10. TRATAMIENTO DE DATOS DE SALUD
Solo se tratan con consentimiento explícito del interesado o en supuestos habilitados por la ley. Los datos se almacenan en repositorios con control de acceso, trazabilidad y políticas de minimización. Se comparten exclusivamente con profesionales sujetos a deber de secreto profesional.
11. COMUNICACIONES COMERCIALES Y NEWSLETTER
El alta requiere casilla específica y doble opt-in. Se registran IP, idioma, versión del aviso legal y momento de aceptación. Cada envío incluye enlace de baja y acceso al centro de preferencias. La revocación se atiende inmediatamente y se conserva un registro mínimo para acreditar la solicitud.
12. COOKIES Y TECNOLOGÍAS SIMILARES
Se describen en la Política de Cookies. Se usan cookies técnicas necesarias y, previa autorización, cookies analíticas o de marketing. El usuario puede ajustar su decisión en cualquier momento desde el panel de preferencias.
13. DATOS DE MENORES
Los servicios se dirigen a mayores de 18 años. Si excepcionalmente se tratan datos de menores (p.ej. pacientes acompañados), se requiere consentimiento verificable de los progenitores o representantes legales conforme a la LOPDGDD.
14. CORRESPONSABILIDAD Y ENCARGADOS DEL TRATAMIENTO
Cuando MTS y un centro médico determinen conjuntamente fines y medios, firmarán acuerdo de corresponsabilidad (art. 26 GDPR) que describa obligaciones y mecanismos para el ejercicio de derechos. Con los encargados se formalizan contratos art. 28 GDPR con instrucciones detalladas, medidas de seguridad, subencargados autorizados y obligación de suprimir o devolver los datos al finalizar el servicio.
15. DERECHOS DE LOS INTERESADOS
Acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones automatizadas. La retirada del consentimiento es posible en cualquier momento sin carácter retroactivo. Las solicitudes se gestionan a través de dpo@medicaltravelspain.com o del formulario de privacidad; la respuesta se dará en un plazo máximo de 30 días (prorrogable 60 días informando al solicitante). Se puede reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).
16. GESTIÓN DE BRECHAS DE SEGURIDAD
Ante un incidente, MTS activa su plan de respuesta, evalúa el impacto en derechos y libertades, documenta el evento y, si procede, notifica a la AEPD en 72 horas y a los afectados cuando el riesgo sea alto, indicando medidas correctivas y recomendaciones.
17. PERFILADO Y DECISIONES AUTOMATIZADAS
No se realizan decisiones automatizadas con efectos jurídicos. Solo se efectúan segmentaciones básicas (idioma, especialidad solicitada, destino) para personalizar comunicaciones dentro de las bases legales descritas.
18. TRANSFERENCIAS A RESPONSABLES INDEPENDIENTES
Cuando sea necesario compartir datos con aseguradoras, centros médicos u otros responsables independientes, MTS informará al interesado y recabará los consentimientos exigidos por la normativa.
19. ACTUALIZACIÓN DE LA POLÍTICA
MTS podrá actualizar esta política para reflejar cambios legales, técnicos o de negocio. La versión vigente se publica en https://www.medicaltravelspain.com/politica-privacidad indicando la fecha de última revisión. Los cambios sustanciales se comunicarán mediante email o aviso destacado y, cuando sea necesario, se solicitará nuevo consentimiento.
20. CONTACTO
- Correo general: info@meditravelspain.es
- Delegado de Protección de Datos: dpo@meditravelspain.es
- Dirección postal: Medical Travel Spain, c/Monasterio de las Batuecas 32, planta 1 puerta 3, 28049 Madrid (España)
El uso de los servicios de MTS implica la lectura y aceptación de esta Política de Privacidad.