Política de privacidad
Última actualización: 16 de julio de 2026
En Sentinel Peak, S.L. («Medicalis») tratamos datos personales, incluidos datos relativos a la salud, que son categorías especiales de datos con protección reforzada. Esta política explica, de forma transparente, qué datos tratamos, con qué finalidad y base jurídica, durante cuánto tiempo, con quién los compartimos y cómo puedes ejercer tus derechos, conforme al Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).
1. Responsable del tratamiento
- Responsable: Sentinel Peak, S.L. (Medicalis)
- NIF: B93766285
- Domicilio: Avenida Monforte de Lemos 137, 10.º 2, 28029 Madrid (España)
- Contacto: hola@medicalis.es
- Delegado de Protección de Datos (DPD): puedes contactar con nuestro DPD en dpd@medicalis.es para cualquier cuestión relativa al tratamiento de tus datos.
2. Datos que tratamos
Según tu relación con nosotros, tratamos las siguientes categorías:
- Datos identificativos y de contacto: nombre y apellidos, DNI/NIE, correo electrónico, teléfono y fecha de nacimiento.
- Datos de salud (categoría especial, Art. 9 RGPD): la información que facilitas en el cuestionario clínico (enfermedades, medicación, alergias, síntomas y demás datos necesarios para valorar la emisión del certificado), así como las notas clínicas y, en su caso, el motivo de denegación que registra el médico.
- Datos de facturación y pago: datos fiscales cuando solicitas factura completa (nombre o razón social y NIF) y los datos necesarios para procesar el cobro. El pago se procesa a través de nuestro proveedor de pagos; Medicalis no almacena los datos completos de tu tarjeta.
- Datos del certificado y de verificación: el documento emitido, su referencia y el código QR de verificación pública.
- Datos técnicos y de navegación: dirección IP, registros de acceso y datos generados por cookies técnicas (ver Política de cookies).
Si eres médico colaborador, tratamos además tus datos profesionales (número de colegiado, especialidad, firma y datos para el pago de comisiones).
3. Finalidades y base jurídica
| Finalidad | Base jurídica |
|---|---|
| Gestionar tu solicitud, permitir que un médico colegiado valore el caso y emitir o denegar el certificado. | Ejecución del contrato (Art. 6.1.b RGPD). |
| Tratamiento de los datos de salud del cuestionario y de las notas clínicas para la prestación de asistencia sanitaria y la evaluación de la aptitud o capacidad de la persona. | Art. 9.2.h RGPD (fines de asistencia sanitaria y evaluación de la capacidad, incluida la laboral), realizado por o bajo la responsabilidad de un profesional sanitario sujeto a la obligación de secreto (Art. 9.3 RGPD y Ley 44/2003, de ordenación de las profesiones sanitarias). |
| Gestión del cobro, facturación y contabilidad. | Ejecución del contrato (Art. 6.1.b) y cumplimiento de obligaciones legales fiscales y contables (Art. 6.1.c RGPD). |
| Conservación de la documentación clínica y registro de accesos a los datos de salud (auditoría). | Obligación legal (Art. 6.1.c RGPD, en relación con la Ley 41/2002 de autonomía del paciente) e interés en la seguridad del tratamiento. |
| Atención de consultas y comunicaciones a través de los canales de contacto. | Ejecución del contrato o interés legítimo (Art. 6.1.f RGPD). |
| Envío de comunicaciones comerciales (solo si procede) y cookies no esenciales. | Consentimiento (Art. 6.1.a RGPD), revocable en cualquier momento. |
No basamos el tratamiento de los datos de salud imprescindibles en tu consentimiento, sino en las bases anteriores, porque sin esos datos no es posible prestar el servicio médico solicitado. Reservamos el consentimiento para lo verdaderamente opcional (por ejemplo, comunicaciones comerciales o cookies analíticas, si en el futuro se incorporan).
4. ¿Estás obligado a facilitar los datos?
Los datos marcados como obligatorios en los formularios y en el cuestionario son necesarios para tramitar tu solicitud y emitir el certificado. Si no los facilitas, no podremos prestar el servicio. La exactitud y veracidad de los datos declarados es responsabilidad del usuario.
5. Decisiones automatizadas
No tomamos decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos sobre ti. La emisión o denegación de cada certificado es siempre una decisión de un médico colegiado.
6. Destinatarios y encargados del tratamiento
Tus datos pueden ser tratados por los médicos colegiados que revisan tu caso (sujetos a secreto profesional) y por los proveedores que nos prestan servicios como encargados del tratamiento, con los que hemos suscrito los correspondientes contratos conforme al Art. 28 RGPD:
- Supabase — alojamiento de la base de datos, almacenamiento de archivos y autenticación.
- Stripe — procesamiento de pagos.
- Resend — envío de correos electrónicos transaccionales.
- Better Stack (Logtail) — registro y monitorización técnica.
- Vercel Inc. (Estados Unidos) — alojamiento del sitio web.
Además, podremos comunicar datos a Administraciones Públicas, jueces y tribunales cuando exista una obligación legal. No cedemos tus datos a terceros con fines comerciales.
7. Transferencias internacionales
Algunos de los proveedores anteriores pueden tratar datos fuera del Espacio Económico Europeo (por ejemplo, en Estados Unidos). En esos casos, la transferencia se ampara en las garantías previstas en el RGPD: Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y/o la adhesión al EU–U.S. Data Privacy Framework, junto con las medidas complementarias que resulten necesarias. Puedes solicitarnos información sobre estas garantías en dpd@medicalis.es.
8. Plazos de conservación
- Documentación clínica (cuestionario, certificado y notas clínicas): se conserva, como mínimo, cinco años desde la emisión, conforme al artículo 17 de la Ley 41/2002.
- Datos de facturación y contables: durante los plazos exigidos por la normativa fiscal y mercantil (con carácter general, entre cuatro años —Ley General Tributaria— y seis años —art. 30 del Código de Comercio—).
- Registros de acceso y auditoría: durante el plazo necesario para acreditar la trazabilidad de los accesos a datos de salud.
- Datos basados en consentimiento: hasta que retires el consentimiento.
Transcurridos los plazos, los datos se suprimen o se bloquean debidamente, quedando a disposición exclusiva de las autoridades competentes durante el tiempo legalmente exigible.
9. Medidas de seguridad y secreto profesional
Aplicamos medidas técnicas y organizativas apropiadas al riesgo, especialmente por tratarse de datos de salud: cifrado en tránsito (TLS) y en reposo, cifrado adicional a nivel de aplicación de las respuestas del cuestionario y de las notas clínicas, control de accesos restringido al médico asignado y registro de auditoría de quién accede a cada caso y cuándo. Los profesionales sanitarios que intervienen están sujetos al deber de secreto.
10. Tus derechos
Puedes ejercer en cualquier momento los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, así como retirar el consentimiento prestado (sin que ello afecte a la licitud del tratamiento previo) y no ser objeto de decisiones individuales automatizadas.
Para ejercerlos, escribe a dpd@medicalis.es o a hola@medicalis.es, indicando el derecho que deseas ejercer. Podremos solicitarte que acredites tu identidad.
Si consideras que no hemos atendido correctamente tus derechos, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) (C/ Jorge Juan, 6, 28001 Madrid; www.aepd.es).
11. Cambios en esta política
Podemos actualizar esta política para adaptarla a cambios normativos u operativos. Publicaremos la versión vigente en esta página, indicando la fecha de última actualización.