1. Cifrado de datos

Datos en tránsito

Todos los datos transmitidos a través de nuestro sitio web y aplicaciones (por ejemplo, información médica, entradas de verificación de identidad, datos de cuenta y pedidos) están encriptados utilizando TLS 1.2 o superior.

Datos en reposo

Los datos almacenados en nuestras bases de datos y copias de seguridad están encriptados utilizando AES-256 o criptografía equivalente de estándar industrial.

Seguridad de última generación

Estas medidas siguen el estándar de seguridad de "última generación" requerido por el Artículo 32 del RGPD / RGPD del Reino Unido.

2. Ubicaciones de servidores y alojamiento

Alojamiento de datos en la UE

Todos los datos personales de los usuarios de la UE se alojan exclusivamente en servidores dentro del Espacio Económico Europeo (EEE).

Centros de datos certificados

Transtoyou utiliza centros de datos certificados bajo ISO 27001, SOC 2, y cumple con todos los requisitos relevantes del GDPR.

Transferencias internacionales

No se transfieren datos personales fuera del EEE, a menos que esto ocurra bajo:

Cláusulas contractuales estándar (SCC)
Una decisión de adecuación de la Comisión Europea
El consentimiento explícito del interesado

3. Acceso y portabilidad de datos del usuario (Ley de Datos de la UE)

Los usuarios pueden acceder, descargar y exportar sus datos de cuenta y generados por el servicio directamente a través de su panel de Transtoyou.

Cuando sea técnicamente posible, los usuarios también pueden solicitar que Transtoyou transmita estos datos a un tercero designado por el usuario, de acuerdo con las normas aplicables de acceso y portabilidad de datos de la UE, incluida la Ley de Datos de la UE cuando sea relevante.

Accede a tus datos

Descarga y exporta tus datos directamente desde tu panel.

Ir al panel

4. Verificación de identidad (comprobación de ID)

Transtoyou puede requerir una verificación de identidad única para:

Caminos de receta de alto riesgo

Caminos de atención sanitaria para personas transgénero donde lo exijan la ley o las normas de seguridad

Sospecha de uso indebido, indicadores de fraude o información médica inconsistente

Obligaciones regulatorias o de farmacia

Cómo funciona la verificación de identidad

La verificación de identidad implica el reconocimiento automatizado de un documento de identidad válido emitido por el gobierno y una coincidencia facial para confirmar la identidad.

Datos biométricos se procesa únicamente para la verificación de identidad única, prevención de fraudes y prescripción segura. No se utiliza para marketing, perfilado ni ningún otro propósito.

La base legal para el procesamiento biométrico se basa en el Artículo 9(2) del RGPD / RGPD del Reino Unido junto con el Artículo 6(1), respaldado por DPIAs, estricta limitación de propósito y reglas de retención.

Verificación de Terceros

La verificación de identidad es realizada por un proveedor externo especializado que actúa como procesador en nombre de Transtoyou.

Transtoyou no almacena una copia del documento de identidad. Recibimos solo un estado de verificación y metadatos limitados necesarios para el cumplimiento y la prevención de fraudes.

La retención del proveedor se limita a lo que es legalmente requerido y está regida por nuestro Acuerdo de Procesamiento de Datos.

5. Autenticación de Dos Factores (2FA)

Personal, Médicos y Farmacias

Obligatorio

La 2FA es obligatoria para todos los inicios de sesión, de acuerdo con las mejores prácticas para asegurar el acceso a los datos médicos.

Clientes

Opcional pero Recomendado

La 2FA es opcional pero se recomienda encarecidamente. Una vez habilitada, se requiere un segundo paso de autenticación (por ejemplo, SMS) al iniciar sesión o al realizar un pedido.

6. Operaciones Sensibles y Controles de Acceso

Las revisiones médicas y las aprobaciones de recetas solo las realizan médicos colegiados conectados a través de 2FA, con acceso restringido solo a los datos del paciente necesarios.
No se exige re-autenticación adicional (por ejemplo, biometría) para los médicos durante acciones sensibles, pero se aplica un estricto Control de acceso basado en roles (RBAC).
Cada acceso a los registros médicos es registrado y auditable.

7. Registros de auditoría y registro de accesos

Registro integral

Transtoyou mantiene registros de todos los accesos a datos de consultas, recetas, verificación de identidad y registros de usuarios.

Revisión regular

Los registros se revisan periódicamente para detectar accesos no autorizados o anomalías.

Acceso restringido

Solo las personas autorizadas con un rol operativo definido pueden acceder a los registros médicos.

8. Seguridad en las videoconferencias y chats

Plataforma de consulta segura

Transtoyou utiliza una plataforma de videoconferencia y chat segura con conexiones encriptadas (TLS/DTLS/SRTP) y estrictos controles de acceso.

Grabaciones de consultas

Las consultas por video y/o chat pueden ser grabadas solo cuando sea necesario para:

Seguridad clínica
Aseguramiento de la calidad
Formación relacionada con la seguridad del paciente
Manejo de disputas o quejas (por ejemplo, si un usuario o médico impugna lo que se dijo durante una consulta)

Período de retención: 90 días

Las grabaciones se almacenan de forma segura durante un período limitado de retención de 90 días, tras el cual se eliminan automáticamente, a menos que se requiera una retención más prolongada debido a una queja abierta, obligación legal o investigación en curso. Esto sigue el principio de limitación de almacenamiento del GDPR/UK GDPR.

Medidas de seguridad importantes

El acceso a las grabaciones está estrictamente limitado al médico asignado y al personal autorizado de cumplimiento o resolución de disputas, bajo RBAC y con registro completo de auditoría.
Las grabaciones nunca se utilizan para marketing, perfilado o cualquier propósito no relacionado.
Los usuarios son informados antes de que comience la consulta de que puede haber grabación, el propósito de la grabación y el período de retención.

9. Protección contra violaciones de datos

Nuestro protocolo de respuesta

En caso de una violación de datos, Transtoyou:

Notificar a las autoridades

Notifica a la autoridad de protección de datos correspondiente (por ejemplo, Andmekaitse Inspektsioon en Estonia) dentro de 72 horas, según lo requerido por los Artículos 33 y 34 del GDPR.

Notificar a los usuarios afectados

Si hay un alto riesgo para las personas, se les notificará directamente.

Análisis de la causa raíz

Se realiza un análisis de la causa raíz después de cada incidente, con acciones correctivas tomadas de inmediato.

10. Medidas de seguridad interna

Revisión de derechos de acceso

Los derechos de acceso se revisan de forma recurrente y de inmediato tras un cambio de rol o terminación.

Formación en seguridad

La formación en concienciación sobre seguridad y privacidad es obligatoria para todo el personal con acceso a datos personales o médicos.

Actualizaciones regulares

Las políticas de seguridad y los controles técnicos se revisan y actualizan regularmente.

11. Acuerdos de procesamiento de datos y subprocesadores

Transtoyou ha firmado Acuerdos de procesamiento de datos (DPAs) con todos los procesadores de terceros (incluidos proveedores de alojamiento, proveedores de verificación de identidad, farmacias, médicos y herramientas de marketing).
Los subprocesadores solo pueden procesar datos bajo la instrucción y supervisión de Transtoyou.
Una lista actual de subprocesadores está disponible a solicitud a través de: privacy@transtoyou.com

12. Registro de actividades de procesamiento (Art. 30 GDPR)

Transtoyou mantiene un Registro de Actividades de Tratamiento (ROPA) de acuerdo con el Artículo 30 del RGPD.

Este registro incluye:

Todas las actividades de tratamiento
Finalidades
Categorías de datos personales
Encargados del tratamiento
Ubicaciones de almacenamiento
Períodos de retención
Medidas de seguridad aplicadas

Está disponible para las autoridades de supervisión a petición.

13. Evaluaciones de Impacto en la Protección de Datos (DPIA)

Para todo el tratamiento de datos médicos o personales sensibles, Transtoyou realiza regularmente Evaluaciones de Impacto en la Protección de Datos (DPIAs) de acuerdo con el Artículo 35 del RGPD.

Las DPIAs también se llevan a cabo antes de introducir nuevas tecnologías o flujos de trabajo que presenten riesgos elevados para la privacidad.

14. Responsable de Privacidad Interno (no-DPO)

Transtoyou no está legalmente obligado a nombrar un Delegado de Protección de Datos (DPO) bajo el Artículo 37 del RGPD, ya que operamos bajo la confidencialidad profesional médica.

Sin embargo, hemos nombrado un responsable de privacidad interno para supervisar:

Cumplimiento de la privacidad
El mantenimiento de nuestro registro de tratamientos
Ejecución de Evaluaciones de Impacto en la Protección de Datos
Revisión de acuerdos con encargados del tratamiento

Esta persona actúa como el principal punto de contacto para asuntos de privacidad y apoya auditorías, respuestas a brechas y mitigación de riesgos.

Preguntas o Reportar una Inquietud

Si tienes preguntas sobre la seguridad de los datos, o deseas reportar una vulnerabilidad (sospechada), por favor contáctanos:

Equipo de Privacidad y Seguridad

Para preguntas e inquietudes de seguridad:
privacy@transtoyou.com

Reportar una Vulnerabilidad

¿Encontraste un problema de seguridad? Háznoslo saber:
privacy@transtoyou.com

Tu seguridad es nuestra prioridad

Invertimos continuamente en proteger tus datos personales y médicos con medidas de seguridad de última generación.

Política de privacidad Derechos GDPR

Tipo

Rango de precios

Salud sexual y rendimiento

Salud hormonal y vitalidad

Cuidado del cabello y cuero cabelludo

Anticoncepción

Salud hormonal y reproductiva

Salud vaginal y menstrual

Transición y cuidado hormonal

Soluciones de salud de apoyo

Apoyo mental y general

Dolor y recuperación

Crónico y metabólico

Alergia, infección y vías urinarias

Dermatología e íntimo

Resumen de soporte

Tus herramientas gratuitas de eHealth

Sobre Transtoyou eHealth

Transtoyou en redes sociales