Política de Privacidad
Última actualización: 22 de mayo de 2026 Versión: 2026-05-22
Resumen ejecutivo de un vistazo (no sustituye al texto completo). Teratuti, S.L. (CIF B70930284, Talavera de la Reina) trata tus datos para que puedas reservar y recibir servicios sanitarios a través de la plataforma. Tratamos datos de identificación, contacto, fiscales, financieros y, en algunos casos, datos de salud. Los datos clínicos los gestiona el Profesional sanitario que te atiende; nosotros somos su encargado tecnológico. Usamos Stripe (pagos), Google/Firebase (infraestructura) y 100ms (videollamada), todos con garantías reforzadas. Conservamos tus datos durante la relación y los plazos de prescripción legal. Tienes derecho a acceder, rectificar, suprimir, portar y oponerte al tratamiento. Reclamaciones: hola@teratuti.com o www.aepd.es. Para datos de salud sólo tratamos lo estrictamente necesario y siempre con tu consentimiento explícito o porque el tratamiento es necesario para la prestación sanitaria.
1. Responsable y delegado de protección de datos
| Dato | Valor |
|---|---|
| Responsable del tratamiento | Teratuti, S.L. ("Teratuti") |
| NIF | B70930284 |
| Domicilio social | Calle Antonio Torres, 7 Bis, 3.º C — 45600 Talavera de la Reina (Toledo), España |
| Inscripción registral | Registro Mercantil de Toledo, Tomo 1783, Folio 73, Hoja TO-47191, Inscripción 1.ª |
| Correo electrónico general | hola@teratuti.com |
| Delegado de Protección de Datos (DPD/DPO) | hola@teratuti.com (indicando "Atn. DPO") — La identidad personal del DPD está comunicada a la AEPD y disponible para autoridades y para los interesados que la soliciten de forma motivada |
Conforme al artículo 37.1.c) del Reglamento (UE) 2016/679 ("RGPD"), Teratuti está obligada a designar Delegado de Protección de Datos por su tratamiento a gran escala de datos de categoría especial (salud). El DPO está accesible en la dirección indicada y todas las consultas, ejercicios de derechos y reclamaciones pueden dirigirse a él.
2. Roles y datos cubiertos por esta Política
Esta Política se aplica al tratamiento de datos personales que Teratuti realiza en relación con:
- Pacientes (Usuarios que reservan o reciben servicios sanitarios).
- Profesionales (sanitarios titulados que ofrecen sus servicios).
- Clientes Empresariales (empresas y clínicas que contratan servicios para sus empleados o pacientes).
- Visitantes del sitio web y de la aplicación móvil que aún no se han registrado.
Doble rol de Teratuti respecto de los datos clínicos. Para los datos clínicos generados durante la relación asistencial entre Paciente y Profesional (notas de sesión, materiales clínicos, resultados de cuestionarios, contenido del chat clínico), Teratuti actúa como encargado del tratamiento del Profesional, conforme al artículo 28 RGPD. El Profesional sanitario es el responsable del tratamiento de esos datos. Para el resto de datos (cuenta, contacto, pagos, telemetría técnica, marketing), Teratuti actúa como responsable del tratamiento. Cuando proceda, en algún tratamiento concreto (p. ej., emisión de facturas y cumplimiento DAC7), Teratuti es responsable autónomo por mandato legal.
3. Categorías de datos tratados
| Categoría | Ejemplos | Origen |
|---|---|---|
| Identificativos | Nombre, apellidos, fecha de nacimiento, foto de perfil | Aportados por el Usuario al registrarse |
| Contacto | Email, teléfono, idioma de preferencia | Aportados por el Usuario |
| Cuenta | Identificador interno, rol, fecha de alta, estado de verificación, consentimientos otorgados (con timestamp y versión) | Generados por Teratuti a partir del registro |
| Credenciales y autenticación | Hash de la contraseña (gestionado por Firebase Authentication), tokens de sesión, identificadores de dispositivo (FCM/APNs) | Generados por Firebase Authentication |
| Datos profesionales (Profesional) | Profesión sanitaria, especialidades, biografía, vídeo de presentación, modalidades, horarios, precios, idiomas, ubicación de consulta | Aportados por el Profesional |
| Documentos de verificación (Profesional) | DNI/NIE (frontal y reverso), título académico, número colegial, certificación profesional, certificado del Registro Central de Delincuentes Sexuales | Aportados por el Profesional; verificados con OCR (Vision API) y revisión humana |
| Datos fiscales (Profesional, Cliente Empresarial) | NIF/CIF, nombre fiscal, dirección fiscal, IBAN | Aportados por el Profesional/Empresa y, en caso de Stripe Connect, sincronizados con Stripe |
| Datos de pago (Paciente) | Token de tarjeta (no la PAN), método de pago, historial de transacciones | Tokenizados por Stripe; Teratuti no almacena el número de tarjeta |
| Datos de uso de la plataforma | Reservas, sesiones completadas, valoraciones medias, mensajes intercambiados, materiales compartidos, archivos, asistencia a sesiones (timestamps de conexión y desconexión) | Generados por la propia actividad del Usuario en la plataforma |
| Datos de salud (categoría especial — art. 9 RGPD) | Motivo de la consulta, contenido del chat, notas clínicas, materiales y cuestionarios, juegos diagnósticos cognitivos, especialidad del Profesional vinculada al Paciente | Aportados por el Paciente al Profesional o generados durante la relación asistencial |
| Telemetría técnica | IP (durante la sesión), información del dispositivo, métricas de calidad de la videollamada (porcentaje de tiempo conectado, calidad audio/vídeo) | Generadas por la app, navegador y por el SDK de 100ms |
| Datos de soporte | Tickets, mensajes con el equipo de Teratuti, transcripción de llamadas o comunicaciones de soporte | Aportados por el Usuario al contactar |
| Cookies y tecnologías similares | Identificadores de cookies, IDs publicitarios cuando proceda, eventos analíticos | Capturados conforme a la Política de Cookies |
Teratuti no recopila ni trata datos biométricos para identificación única, datos genéticos, opiniones políticas, sindicales, religiosas ni datos sobre la vida sexual. Los datos sobre la orientación sexual del Paciente solo serán tratados si el propio Paciente decide compartirlos con su Profesional en el marco de la relación asistencial, en cuyo caso quedan bajo el régimen del art. 9 RGPD.
4. Finalidades y bases legales
Teratuti trata los datos para las siguientes finalidades, con la base legal que se indica en cada caso (art. 6 y, en su caso, art. 9 del RGPD):
4.1. Cuenta y gestión del servicio (todos los Usuarios)
- Datos: identificativos, contacto, credenciales, fiscales (Profesional), datos de pago (Paciente), datos de uso.
- Finalidad: alta y mantenimiento de la cuenta, autenticación, prestación de los servicios contratados.
- Base legal: artículo 6.1.b) RGPD — ejecución de un contrato del que el interesado es parte.
4.2. Búsqueda, reserva y celebración de sesiones
- Datos: identificativos, contacto, datos profesionales (Profesional), datos de uso, datos de salud (Paciente, en lo necesario).
- Finalidad: permitir al Paciente buscar Profesionales, reservar sesiones, comunicarse y recibir asistencia.
- Base legal: artículo 6.1.b) RGPD para la mecánica de reserva. Para datos de salud, artículo 9.2.h) RGPD (asistencia sanitaria por profesional sujeto al secreto profesional) en lo relativo a la prestación clínica que el Profesional realiza, y artículo 9.2.a) RGPD (consentimiento explícito del interesado) para el almacenamiento por Teratuti como encargado tecnológico de los datos clínicos.
4.3. Pagos, facturación y cumplimiento fiscal
- Datos: identificativos, fiscales, financieros, datos de uso (sesiones para calcular comisiones).
- Finalidad: cobro al Paciente, liquidación al Profesional, emisión de facturas y cumplimiento de las obligaciones de información a la Administración Tributaria (AEAT) y a las autoridades fiscales europeas conforme a la Directiva DAC7.
- Base legal: artículo 6.1.b) RGPD (ejecución del contrato), artículo 6.1.c) RGPD (cumplimiento de obligación legal: Ley 37/1992 IVA, Real Decreto 1619/2012 facturación, Real Decreto 117/2024 DAC7, normativa Veri*Factu).
4.4. Verificación de credenciales del Profesional
- Datos: documentos de verificación (DNI/NIE, título académico, certificación, RCDNS, número colegial), datos fiscales.
- Finalidad: comprobar la titulación, colegiación, ausencia de antecedentes penales por delitos contra menores y, en general, la habilitación profesional, conforme a la LOPS y a la LO 8/2021 (LOPIVI).
- Base legal: artículo 6.1.b) RGPD (ejecución del contrato con el Profesional), artículo 6.1.c) RGPD (cumplimiento de obligaciones legales en relación con menores) y artículo 6.1.f) RGPD (interés legítimo de Teratuti, los Pacientes y la sociedad en garantizar que solo profesionales habilitados accedan a la plataforma).
4.5. Atención al cliente y resolución de incidencias
- Datos: identificativos, contacto, datos del caso planteado.
- Finalidad: responder consultas, gestionar disputas conforme a la Política de Pagos y los Términos, gestionar reclamaciones y notificaciones DSA.
- Base legal: artículo 6.1.b) RGPD y artículo 6.1.f) RGPD (interés legítimo en resolver incidencias del servicio).
4.6. Reseñas y opiniones públicas
- Datos: opinión escrita por el Paciente, valoración numérica, identificativos del Paciente (que puede aparecer con su nombre o de forma seudónima a su elección).
- Finalidad: permitir a Pacientes futuros conocer las experiencias de otros Pacientes con un Profesional concreto.
- Base legal: artículo 6.1.f) RGPD — interés legítimo de los Pacientes en informarse y de Teratuti en mantener la transparencia de la plataforma. La publicación de la opinión es voluntaria y se rige por la Política de Reseñas y Moderación.
4.7. Perfil público del Profesional
- Datos: nombre, apellidos, foto, vídeo, biografía, especialidades, modalidades, precios, ubicación de consulta, valoración media, número colegial.
- Finalidad: permitir la búsqueda y selección de Profesionales por parte de los Pacientes, así como el cumplimiento del artículo 10 LSSI-CE en cuanto a la información del prestador de profesión regulada.
- Base legal: artículo 6.1.b) RGPD (ejecución del contrato del Profesional con Teratuti, que tiene como elemento esencial la exposición pública del perfil) y artículo 6.1.c) RGPD para los datos profesionales legalmente exigidos.
- Lugar de publicación: ficha individual del Profesional (
/pro/{id}), listado de profesionales destacados (/especialistas) y páginas de categoría por especialidad, ciudad o modalidad (/s/{especialidad},/s/{especialidad}-{ciudad}). En estos listados se muestra una previsualización reducida (nombre con apellido inicialado, foto, profesión, ubicación, idiomas, precio orientativo y valoración media); para acceder al perfil completo el usuario debe abrir la ficha o la app.
4.8. Notificaciones técnicas y transaccionales
- Datos: contacto (email, teléfono), token de dispositivo (FCM/APNs), datos de la operación a notificar.
- Finalidad: confirmar reservas, recordar sesiones próximas, notificar cancelaciones, reembolsos, mensajes recibidos y pagos liquidados.
- Base legal: artículo 6.1.b) RGPD — ejecución del contrato.
4.9. Comunicaciones comerciales y marketing
- Datos: identificativos, contacto, datos de uso para segmentación.
- Finalidad: enviar boletines, novedades del servicio, ofertas específicas y encuestas. El consentimiento de marketing es siempre opt-in y separado del consentimiento general; puede revocarse en cualquier momento desde el perfil del Usuario o haciendo clic en el enlace "Darse de baja" presente en cada email comercial.
- Base legal: artículo 6.1.a) RGPD — consentimiento del interesado, conforme también al artículo 21 LSSI-CE.
4.10. Mejora del servicio y analítica
- Datos: datos de uso agregados, telemetría técnica, IDs seudonimizados, eventos de aplicación. No se utilizan datos clínicos para mejora de producto sin consentimiento explícito.
- Finalidad: medir el uso de las funcionalidades, detectar errores, mejorar la experiencia, evaluar la efectividad de cambios.
- Base legal: artículo 6.1.a) RGPD para cookies y trackers analíticos no estrictamente necesarios; artículo 6.1.f) RGPD para los analíticos esenciales del producto seudonimizados que no requieren consentimiento por su carácter estrictamente operativo.
4.11. Prevención del fraude y de actividades ilícitas
- Datos: telemetría, datos de uso, datos de pago, IPs, identificadores de dispositivo, telemetría de sesiones de video.
- Finalidad: detectar y prevenir suplantación de identidad, abuso de chargebacks, conductas que vulneren los Términos, lavado de capitales o financiación del terrorismo, y cumplir requerimientos de autoridades.
- Base legal: artículo 6.1.f) RGPD — interés legítimo en proteger la integridad del servicio, los derechos de Teratuti y de terceros usuarios; y artículo 6.1.c) RGPD cuando exista una obligación legal específica.
4.12. Cumplimiento de obligaciones legales y respuesta a autoridades
- Datos: los necesarios en cada caso.
- Finalidad: atender requerimientos judiciales, fiscales, sanitarios o policiales conforme a derecho.
- Base legal: artículo 6.1.c) RGPD.
5. Datos de categoría especial (salud) — Régimen específico
5.1. Teratuti reconoce que el tratamiento de datos relativos a la salud está sujeto a especial protección (artículo 9 RGPD, Ley Orgánica 3/2018 ("LOPDGDD"), Ley 41/2002 sobre autonomía del paciente).
5.2. Bases legales aplicables al tratamiento de datos de salud:
- Para la prestación asistencial del Profesional al Paciente: artículo 9.2.h) RGPD — fines de medicina preventiva, diagnóstico médico y prestación de asistencia sanitaria por un profesional sujeto a la obligación de secreto profesional.
- Para el alojamiento de los datos clínicos por parte de Teratuti como encargado del tratamiento del Profesional: artículo 9.2.a) RGPD — consentimiento explícito y separado del consentimiento general, que el Paciente otorga al registrarse y al iniciar la relación con un Profesional concreto.
5.3. Consentimiento granular. El consentimiento para el tratamiento de datos de salud se solicita en una casilla específica, separada de la aceptación general de los Términos y de la Política de Privacidad, durante el registro del Paciente. El Paciente puede revocar este consentimiento en cualquier momento contactando con hola@teratuti.com, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
5.4. Secreto profesional. Los Profesionales sanitarios están sujetos al deber de secreto profesional conforme a la Ley 41/2002, los códigos deontológicos respectivos y la legislación penal. Teratuti y su personal están sujetos a un deber equivalente de confidencialidad respecto de los datos de salud que tratan como encargado.
5.5. Acceso limitado en Teratuti. El acceso del personal de Teratuti a los datos clínicos se limita a casos estrictamente necesarios: investigación de disputas, soporte técnico solicitado por el Profesional, requerimientos legales y auditorías. Cada acceso se registra en una bitácora interna disponible para el DPO.
5.6. Evaluación de Impacto en Protección de Datos (EIPD). Teratuti ha realizado y mantiene actualizada una EIPD conforme al artículo 35 RGPD, dada la gran escala del tratamiento de datos de salud combinada con el uso intensivo de tecnología, identificadores únicos y, eventualmente, menores de edad. La EIPD es un documento vivo y se actualiza ante cualquier cambio sustancial en los tratamientos.
5.7. Historia clínica. Los datos que constituyen historia clínica del Paciente, en el sentido del artículo 14 de la Ley 41/2002, son de titularidad del Profesional sanitario. Teratuti los conserva en nombre del Profesional durante el plazo mínimo de cinco (5) años desde el alta del proceso asistencial (artículo 17 Ley 41/2002), o el plazo superior que en su caso resulte aplicable según la normativa autonómica. El Paciente puede ejercer su derecho de acceso a la historia clínica solicitándolo a su Profesional o, subsidiariamente, contactando con hola@teratuti.com, que dará traslado al Profesional.
6. Decisiones automatizadas y elaboración de perfiles
6.1. Teratuti utiliza tratamientos automatizados con efectos limitados:
a) Detección automática de no-shows en videoconsultas mediante telemetría de la sala (umbral del 70 % de la duración programada), descrita en la Política de Pagos. b) Reconocimiento óptico (OCR) de documentos de identidad y documentos de verificación profesional al registrarse el Profesional, mediante Google Cloud Vision API. Hay revisión humana siempre. c) Ranking del catálogo de Profesionales en función de criterios objetivos (relevancia respecto a la búsqueda del Paciente, valoración media, antigüedad, especialidad, modalidad, ubicación, idioma). Los criterios principales se publican conforme al artículo 5 del Reglamento P2B en los Términos del Profesional.
6.2. Sin perfilado de salud para fines comerciales. Teratuti no perfila a los Pacientes en función de sus datos de salud para enviarles ofertas comerciales ni para discriminar el acceso al servicio.
6.3. Sin decisiones individuales automatizadas con efectos jurídicos. Las decisiones que producen efectos significativos (suspensión de cuenta, resolución de disputa) son adoptadas con intervención humana. El Usuario afectado puede solicitar revisión humana en cualquier momento contactando con hola@teratuti.com.
6.4. Reglamento (UE) 2024/1689 de Inteligencia Artificial. Los sistemas algorítmicos actualmente utilizados por Teratuti (detección de no-shows, OCR documental, ranking del catálogo) se basan en reglas deterministas y no constituyen, conforme al estado actual de su diseño, sistemas de inteligencia artificial de alto riesgo en el sentido del Anexo III del Reglamento (UE) 2024/1689. Si Teratuti incorpora en el futuro componentes de aprendizaje automático que pudieran encuadrarse como sistemas de IA, en particular respecto al matching o recomendación de Profesionales o a la moderación de contenido:
a) Adoptará las medidas de gobernanza, supervisión humana, transparencia, gestión de riesgos y trazabilidad previstas en los artículos 9 a 17 del Reglamento. b) Informará a los Usuarios afectados, conforme al artículo 50 del Reglamento, de que están interactuando con un sistema de IA o de que su contenido o decisión ha sido generado o asistido por IA. c) Mantendrá los Sistemas de Apoyo a la Decisión Humana como tales: la decisión final con efectos significativos seguirá adoptándola personal humano. d) No utilizará sistemas de IA prohibidos por el artículo 5 del Reglamento, incluida la categorización biométrica para inferir datos sensibles y la puntuación social.
7. Encargados del tratamiento y proveedores
Teratuti contrata a los siguientes proveedores como encargados de tratamiento conforme al artículo 28 RGPD. Todos disponen de contrato de encargado con cláusulas que cumplen el artículo 28.3 RGPD y, cuando proceda, las garantías de transferencia internacional descritas en la sección 8.
| Proveedor | Función | Sede | Garantía de transferencia |
|---|---|---|---|
| Stripe Payments Europe, Limited | Procesamiento de pagos, KYC del Profesional, prevención de fraude | Irlanda (con grupo en EE. UU.) | Decisión de Adecuación EU-US Data Privacy Framework + SCC UE 2021. Stripe DPA |
| Google Ireland Limited (Firebase / Google Cloud) | Hosting de datos (Firestore, Storage, Authentication), funciones serverless, push (FCM), captura de errores (Crashlytics) | Irlanda (con grupo en EE. UU.) | Decisión de Adecuación EU-US Data Privacy Framework + SCC UE 2021. Google Cloud DPA |
| Google Ireland Limited (Google Workspace SMTP) | Envío de correos transaccionales desde hola@teratuti.com | Irlanda | DPA Google Workspace + SCC UE 2021 |
| 100ms Inc. | Infraestructura de videoconsulta (audio, vídeo, señalización) | Estados Unidos / India | SCC UE 2021 + medidas técnicas reforzadas (cifrado en tránsito, ausencia de grabación por defecto, salas efímeras, JWT corto). Política de privacidad de 100ms |
| Apple Distribution International Ltd. (APNs) | Push notifications en iOS | Irlanda | Decisión de Adecuación EU-US DPF + SCC. Aplica el Apple DPA |
| Mozilla / Microsoft / Google (Web Push endpoints) | Push notifications en navegadores | Diversa | Conforme a la política de cada navegador |
Nota sobre 100ms. Teratuti está revisando la posibilidad de migrar la infraestructura de videoconsulta a un proveedor con residencia europea declarada por defecto (Daily.co, LiveKit u otros) para reforzar las garantías de tratamiento de datos de salud. Esta página se actualizará cuando se adopte una decisión.
Teratuti se reserva el derecho a incorporar nuevos encargados informando previamente a los Usuarios y manteniendo en todo caso el nivel de protección equivalente.
7.bis. Reestructuración societaria, venta o fusión
En caso de venta, fusión, escisión, aportación no dineraria, cesión global de activo y pasivo o cualquier otra operación de reestructuración societaria que afecte a Teratuti, S.L., los datos personales tratados podrán transferirse a la entidad sucesora o adquirente como parte del patrimonio empresarial transmitido, manteniéndose íntegramente las finalidades, las bases legales y las garantías de protección descritas en esta Política. La entidad sucesora quedará subrogada en la posición de Teratuti como responsable del tratamiento.
Teratuti comunicará oportunamente a los Usuarios la operación cuando sea sustancial, con la antelación que la legislación exija, indicando la identidad de la entidad sucesora y permitiendo el ejercicio de los derechos del Capítulo III del RGPD —en particular el derecho de oposición— antes de que la transferencia surta efectos. La operación no implicará cambio en las finalidades ni en los plazos de conservación, salvo modificación expresa que se notificará conforme a la sección 15.
8. Transferencias internacionales
8.1. Algunos encargados o subencargados están establecidos fuera del Espacio Económico Europeo, en particular en los Estados Unidos. Cuando Teratuti transfiere datos personales a estos países, lo hace amparándose en uno o varios de los siguientes mecanismos:
a) Decisión de Adecuación: el EU-US Data Privacy Framework adoptado por la Decisión de Ejecución (UE) 2023/1795 de la Comisión, en relación con los importadores estadounidenses certificados (Stripe LLC, Google LLC, Apple Inc.). b) Cláusulas Contractuales Tipo (SCC) aprobadas por la Decisión (UE) 2021/914 de la Comisión, como respaldo del DPF y para los importadores no certificados (100ms Inc.). c) Medidas suplementarias post-Schrems II: cifrado en tránsito, cifrado en reposo, configuración de regiones europeas de almacenamiento donde sea técnicamente posible (Firestore en EU multi-region "eur3", Cloud Functions y Storage en europe-west1), retos formales a requerimientos extraterritoriales injustificados.
8.2. Copia de las garantías. Los Usuarios pueden solicitar copia de las garantías mencionadas o la información sobre dónde se han hecho disponibles, contactando con hola@teratuti.com.
9. Plazos de conservación
Teratuti conserva los datos durante los plazos mínimos necesarios para las finalidades para las que fueron recogidos y, en su caso, durante los plazos de prescripción legal aplicables. Tras estos plazos, los datos se bloquean conforme al artículo 32 LOPDGDD —es decir, se conservan a disposición exclusiva de jueces, tribunales, Ministerio Fiscal o Administraciones Públicas— hasta el plazo de prescripción de las posibles responsabilidades, momento en que se eliminan.
| Categoría / finalidad | Plazo activo | Plazo de bloqueo posterior |
|---|---|---|
| Cuenta y datos de uso (Paciente, Cliente Empresarial) | Mientras la cuenta esté activa | 5 años (art. 1964.2 CC) y 6 años contables (art. 30 Cco) sobre datos de facturación |
| Cuenta y datos profesionales (Profesional) | Mientras la cuenta esté activa | 5 años (art. 1964 CC) y 10 años para datos AML/KYC (art. 25 Ley 10/2010) |
| Datos clínicos (historia clínica) | Mientras dure el tratamiento + 5 años desde el alta del proceso asistencial (art. 17 Ley 41/2002) | El plazo legal mínimo absorbe el bloqueo |
| Datos de pago (token, historial transaccional) | El plazo regulatorio que Stripe imponga (mínimo 5 años) | Conforme a la normativa AML |
| Reseñas publicadas | Mientras la cuenta del Profesional reseñado esté activa, salvo que el Paciente solicite supresión motivada | — |
| Mensajes de chat | Mientras dure la relación entre Paciente y Profesional + 5 años desde el último contacto, equiparado al estándar de historia clínica | — |
| Logs técnicos y telemetría | 12 meses como regla general | — |
| Cookies | Conforme a su finalidad y a la Política de Cookies (sesión / 13 meses como máximo guía AEPD) | — |
| Datos de marketing (con consentimiento) | Hasta la retirada del consentimiento; si el Usuario está activo, mientras la cuenta lo esté | — |
| Tickets de soporte | 3 años desde el cierre del ticket | — |
Cuando Teratuti elimine cuentas inactivas (p. ej., tras un período prolongado sin acceso), notificará previamente al Usuario con razonable antelación para que pueda actuar si así lo desea.
10. Derechos del Usuario
10.1. Conforme a los artículos 15 a 22 RGPD y 12 a 18 LOPDGDD, todo Usuario tiene derecho a:
- Acceso (art. 15 RGPD): saber qué datos suyos tratamos y obtener copia.
- Rectificación (art. 16 RGPD): solicitar la corrección de datos inexactos o incompletos.
- Supresión (art. 17 RGPD): solicitar la eliminación de sus datos cuando ya no sean necesarios o haya retirado su consentimiento, con las excepciones del art. 17.3 RGPD (cumplimiento de obligaciones legales, defensa de reclamaciones).
- Limitación del tratamiento (art. 18 RGPD): pedir que se restrinja el tratamiento mientras se verifica la exactitud de sus datos o se resuelve una oposición.
- Portabilidad (art. 20 RGPD): recibir sus datos en formato estructurado, de uso común y de lectura mecánica, y transmitirlos a otro responsable. Se aplica a los datos tratados por consentimiento o en ejecución del contrato y de forma automatizada.
- Oposición (art. 21 RGPD): oponerse al tratamiento basado en interés legítimo o al uso de sus datos con fines de marketing directo.
- Retirada del consentimiento: en cualquier momento, sin que afecte a la licitud del tratamiento previo.
- No ser objeto de decisiones individuales automatizadas (art. 22 RGPD): conforme a la sección 6.
10.2. Derechos digitales LOPDGDD. Adicionalmente, los Usuarios disponen de los derechos digitales reconocidos en el Título X de la LOPDGDD, incluyendo el derecho al testamento digital (art. 96 LOPDGDD): los herederos pueden acceder y, en su caso, eliminar los contenidos del Usuario fallecido, salvo prohibición expresa de éste en vida.
10.3. Cómo ejercer los derechos. Los Usuarios pueden ejercer sus derechos:
a) Por correo electrónico a hola@teratuti.com, indicando el derecho que ejercen, su identificación y la información necesaria para atender la solicitud. b) Mediante el formulario disponible en la sección "Privacidad" de la aplicación y del sitio web. c) Por correo postal a la dirección de Teratuti indicada en la sección 1.
Teratuti contestará en el plazo máximo de un mes desde la recepción, prorrogable a dos meses adicionales si la solicitud es compleja o numerosa, conforme al art. 12.3 RGPD.
10.4. Reclamación a la Autoridad de Control. Si el Usuario considera que el tratamiento de sus datos no se ajusta a la normativa, puede presentar reclamación ante la Agencia Española de Protección de Datos (AEPD), www.aepd.es, sin perjuicio de su derecho a acudir a la jurisdicción ordinaria.
10.5. Exactitud de los datos aportados por el Usuario. Sin perjuicio de los principios de exactitud y minimización del artículo 5 RGPD que vinculan a Teratuti como responsable, el Usuario garantiza la veracidad, exactitud y actualización de los datos personales que aporta y se obliga a comunicar cualquier modificación. Teratuti no responde de las consecuencias derivadas de datos personales falsos, inexactos o desactualizados aportados por el propio Usuario, en particular por lo que respecta a la fecha de nacimiento, los datos identificativos, los datos de contacto, los datos de pago y la información clínica que el Paciente comunique al Profesional. La aportación deliberada de datos falsos faculta a Teratuti a aplicar las medidas previstas en los Términos correspondientes (cierre de cuenta y régimen de indemnidad).
11. Menores de edad
11.1. Edad mínima 18 años. El uso de Teratuti está reservado a personas mayores de edad (18 años cumplidos, art. 315 del Código Civil). Aunque la LOPDGDD (art. 7) permite el consentimiento propio para el tratamiento de datos desde los 14 años, Teratuti aplica un umbral más conservador por la naturaleza sociosanitaria del servicio: la atención clínica, el alta del Profesional, el cobro y la asunción de obligaciones contractuales requieren plena capacidad civil.
11.2. Menores de edad atendidos a través de cuenta del adulto. Los menores de 18 años solo pueden recibir servicios a través de Teratuti mediante una cuenta titular de un progenitor o representante legal, que actúa como contratante frente a Teratuti y consiente en su nombre el tratamiento de los datos del menor. Teratuti se reserva el derecho a solicitar acreditación documental de la patria potestad o tutela en cualquier momento.
11.3. Régimen sanitario aplicable. Cuando el Paciente atendido sea menor de edad, el Profesional sanitario aplicará en su práctica clínica el régimen del artículo 9.4 de la Ley 41/2002: mayoría de edad sanitaria a los 16 años, con la excepción de "actuación de grave riesgo" en que se informa a los progenitores; por debajo de los 16, consienten los representantes legales oída la opinión del menor a partir de los 12.
11.4. Patria potestad compartida. Cuando los progenitores estén separados o divorciados con patria potestad compartida, el progenitor que reserva el servicio para el menor garantiza disponer del consentimiento del otro progenitor, conforme al artículo 156 del Código Civil. Teratuti puede solicitar acreditación documental.
11.5. Datos de salud de menores. El tratamiento de datos de salud de menores requiere las garantías reforzadas indicadas en la sección 5 más el consentimiento parental conforme a las secciones 11.2 y 11.3.
11.6. Eliminación inmediata si se detecta cuenta de menor sin acreditación válida. Si Teratuti detecta una cuenta cuyo titular es menor de 18 años (uso por sí mismo) o una cuenta de adulto que reserva para un menor sin la acreditación parental requerida, se procede al cierre de la cuenta y a la eliminación de los datos asociados, con la excepción imprescindible de los datos cuya conservación venga exigida por la ley: facturación (artículo 30 Cco y 66 LGT — 6 años), historia clínica si llegara a generarse (artículo 17 Ley 41/2002 — 5 años desde el alta del proceso asistencial, prevalente sobre la eliminación prevista en esta cláusula), AML/KYC (Ley 10/2010 — 10 años) y datos necesarios para defensa de eventuales reclamaciones (artículo 17.3.e RGPD). Esos datos quedarán bloqueados conforme al artículo 32 LOPDGDD —accesibles solo a jueces, tribunales, Ministerio Fiscal o Administraciones Públicas— hasta que prescriba la posible responsabilidad. Esta excepción al principio de eliminación inmediata se justifica en la prevalencia de las obligaciones legales sobre la voluntad del responsable y se aplica con respeto al principio de minimización (solo los datos estrictamente necesarios para cumplir la obligación).
12. Brechas de seguridad
12.1. Teratuti aplica medidas técnicas y organizativas apropiadas para proteger los datos personales conforme al artículo 32 RGPD: cifrado en tránsito (TLS 1.3) y en reposo, control de accesos basado en roles, autenticación reforzada del personal, separación de entornos, copias de seguridad, registros de auditoría, formación periódica.
12.2. En caso de brecha de seguridad que comporte riesgo para los derechos de los Usuarios, Teratuti notificará a la AEPD en un plazo máximo de 72 horas desde el conocimiento del incidente (art. 33 RGPD) y, cuando el riesgo sea alto, comunicará individualmente a los Usuarios afectados sin demora indebida (art. 34 RGPD).
13. Marketing directo y comunicaciones comerciales
13.1. Solo con consentimiento explícito. Teratuti solo enviará comunicaciones comerciales por email o SMS cuando el Usuario haya marcado la casilla específica de marketing en el registro o lo haya activado posteriormente desde su perfil.
13.2. Cancelación fácil. Cada comunicación comercial incluye un enlace "Darse de baja" que cancela el envío con un solo clic. Adicionalmente, el Usuario puede revocar el consentimiento en cualquier momento desde su perfil o en hola@teratuti.com.
13.3. Distinción de comunicaciones transaccionales. Las comunicaciones operativas y transaccionales necesarias para la ejecución del contrato (confirmaciones, recordatorios, recibos, alertas de seguridad) no son comerciales y se rigen por la base del artículo 6.1.b) RGPD, sin requerir consentimiento separado.
14. Cookies y tecnologías similares
El detalle de las cookies utilizadas, su finalidad y la forma de gestionar el consentimiento se encuentran en la Política de Cookies. El consentimiento se solicita mediante un banner en la primera visita, que permite aceptar, rechazar o configurar de forma granular, en condiciones de equivalencia visual conforme a la Guía de Cookies de la AEPD vigente.
15. Modificación de la Política de Privacidad
Teratuti puede modificar esta Política para reflejar cambios legales o en el funcionamiento del servicio. Los cambios sustantivos se notificarán a los Usuarios con razonable antelación (mínimo 15 días para los Profesionales conforme al P2B) por correo electrónico o por aviso destacado en la aplicación. La fecha de la última actualización aparece al inicio del documento. Si el Usuario continúa utilizando el servicio tras la entrada en vigor de los cambios, se entiende que los acepta, sin perjuicio de su derecho a oponerse o cancelar la cuenta.
16. Información complementaria
Esta Política se complementa con los siguientes documentos, también disponibles en el centro legal de Teratuti:
- Aviso Legal
- Términos y Condiciones del Paciente
- Términos del Profesional
- Términos para Empresas y Clínicas (B2B)
- Política de Pagos, Cancelaciones y Reembolsos
- Política de Cookies
- Política de Reseñas y Moderación
- Encargo de Tratamiento (DPA) Profesional
Documento de referencia interna: 03-POLITICA-PRIVACIDAD.md — Versión 2026-05-22.