1. Cifrado de datos

Datos en tránsito

Todos los datos transmitidos a través de nuestra web y nuestras apps, como información médica, datos de verificación de identidad, datos de cuenta y pedidos, se cifran con TLS 1.2 o superior.

Datos en reposo

Los datos almacenados en nuestras bases de datos y copias de seguridad se cifran con AES-256 o con criptografía equivalente según los estándares del sector.

Seguridad avanzada

Estas medidas siguen el estándar de seguridad “de última generación” exigido por el artículo 32 del RGPD / RGPD del Reino Unido.

2. Ubicación de servidores y alojamiento

Alojamiento de datos en la UE

Todos los datos personales de usuarios de la UE se alojan exclusivamente en servidores dentro del Espacio Económico Europeo (EEE).

Centros de datos certificados

Transtoyou usa centros de datos certificados según ISO 27001, SOC 2 y cumple todos los requisitos aplicables del RGPD.

Transferencias internacionales

No transferimos datos personales fuera del EEE, salvo que se haga bajo:

Cláusulas Contractuales Tipo (CCT)
Una decisión de adecuación de la Comisión Europea
El consentimiento explícito del interesado

3. Acceso y portabilidad de datos del usuario (Ley de Datos de la UE)

Los usuarios pueden acceder, descargar y exportar los datos de su cuenta y los datos generados por el servicio directamente desde su panel de Transtoyou.

Cuando sea técnicamente posible, los usuarios también pueden pedir a Transtoyou que envíe estos datos a un tercero indicado por ellos, de acuerdo con las normas aplicables de la UE sobre acceso y portabilidad de datos, incluida la Ley de Datos de la UE cuando corresponda.

Accede a tus datos

Descarga y exporta tus datos directamente desde tu panel.

Ir al panel

4. Verificación de identidad (comprobación de ID)

Transtoyou puede pedir una verificación de identidad puntual para:

Procesos de receta médica de mayor riesgo

Procesos de atención trans cuando lo exijan la ley o los estándares de seguridad

Sospecha de uso indebido, indicios de fraude o información médica incoherente

Obligaciones normativas o de farmacia

Cómo funciona la verificación de identidad

La comprobación de identidad incluye el reconocimiento automatizado de un documento oficial válido y una coincidencia facial para confirmar la identidad.

Datos biométricos se tratan únicamente para la verificación puntual de identidad, la prevención del fraude y la prescripción segura. No se usan para marketing, perfilado ni ningún otro fin.

La base legal para el tratamiento de datos biométricos se apoya en el artículo 9(2) del RGPD / RGPD del Reino Unido junto con el artículo 6(1), con evaluaciones de impacto, limitación estricta de finalidad y normas de conservación.

Verificación con un proveedor externo

La verificación de identidad la realiza un proveedor externo especializado que actúa como encargado del tratamiento en nombre de Transtoyou.

Transtoyou no guarda una copia del documento de identidad. Solo recibimos el estado de verificación y metadatos limitados necesarios para cumplimiento y prevención del fraude.

La conservación por parte del proveedor se limita a lo exigido legalmente y se regula en nuestro Acuerdo de Tratamiento de Datos.

5. Autenticación en dos pasos (2FA)

Personal, médicos y farmacias

Obligatoria

La 2FA es obligatoria para todos los inicios de sesión, siguiendo las buenas prácticas para proteger el acceso a datos médicos.

Clientes

Opcional, pero recomendada

La 2FA es opcional, pero la recomendamos mucho. Una vez activada, se necesita un segundo paso de autenticación, por ejemplo por SMS, al iniciar sesión o al hacer un pedido.

6. Operaciones sensibles y controles de acceso

Las revisiones médicas y aprobaciones de recetas solo las realizan médicos autorizados que han iniciado sesión con 2FA, con acceso limitado únicamente a los datos del paciente necesarios.
No se exige una reautenticación adicional, como biometría, a los médicos durante acciones sensibles, pero se aplica un Control de acceso basado en roles (RBAC) estricto.
Cada acceso a los historiales médicos queda registrado y auditable.

7. Registros de auditoría y registro de accesos

Registro completo

Transtoyou mantiene registros de todos los accesos a datos de consulta, recetas médicas, verificación de identidad y registros de usuario.

Revisión periódica

Los registros se revisan periódicamente para detectar accesos no autorizados o anomalías.

Acceso restringido

Solo las personas autorizadas con una función operativa definida pueden acceder a historiales médicos.

8. Seguridad de las consultas por vídeo y chat

Plataforma de consulta segura

Transtoyou usa una plataforma segura de consulta por vídeo y chat con conexiones cifradas (TLS/DTLS/SRTP) y controles de acceso estrictos.

Grabaciones de consultas

Las consultas por vídeo o chat solo pueden grabarse cuando sea necesario para:

Seguridad clínica
Control de calidad
Formación relacionada con la seguridad del paciente
Gestión de disputas o reclamaciones, por ejemplo si un usuario o un médico cuestiona lo dicho durante una consulta

Periodo de conservación: 90 días

Las grabaciones se guardan de forma segura durante un periodo limitado de 90 días. Después se eliminan automáticamente, salvo que sea necesario conservarlas más tiempo por una reclamación abierta, una obligación legal o una investigación en curso. Esto sigue el principio de limitación de conservación del RGPD / RGPD del Reino Unido.

Medidas de protección importantes

El acceso a las grabaciones está estrictamente limitado al médico asignado y al personal autorizado de cumplimiento o resolución de disputas, bajo RBAC y con registro completo de auditoría.
Las grabaciones nunca se usan para marketing, perfilado ni ningún fin no relacionado.
Antes de que empiece la consulta, se informa a los usuarios de que puede grabarse, del motivo de la grabación y del periodo de conservación.

9. Protección ante brechas de seguridad

Nuestro protocolo de respuesta

En caso de una brecha de seguridad, Transtoyou:

Notificar a las autoridades

Notifica a la autoridad de protección de datos correspondiente, por ejemplo Andmekaitse Inspektsioon en Estonia, en un plazo de 72 horas, tal y como exigen los artículos 33 y 34 del RGPD.

Notificar a los usuarios afectados

Si existe un alto riesgo para las personas, se les notificará directamente.

Análisis de la causa raíz

Después de cada incidente se realiza un análisis de la causa raíz, con medidas correctivas aplicadas de inmediato.

10. Medidas de seguridad interna

Revisión de derechos de acceso

Los derechos de acceso se revisan de forma periódica y de inmediato cuando cambia una función o termina una relación laboral o profesional.

Formación en seguridad

La formación sobre seguridad y privacidad es obligatoria para todo el personal con acceso a datos personales o médicos.

Actualizaciones periódicas

Las políticas de seguridad y los controles técnicos se revisan y actualizan periódicamente.

11. Acuerdos de tratamiento de datos y subencargados

Transtoyou ha firmado Acuerdos de Tratamiento de Datos (DPA) con todos los encargados externos, incluidos proveedores de alojamiento, proveedores de verificación de identidad, farmacias, médicos y herramientas de marketing.
Los subencargados solo pueden tratar datos siguiendo las instrucciones y bajo la supervisión de Transtoyou.
Puedes solicitar la lista actual de subencargados a través de: privacy@transtoyou.com

12. Registro de actividades de tratamiento (art. 30 RGPD)

Transtoyou mantiene un Registro de Actividades de Tratamiento (ROPA) interno de acuerdo con el artículo 30 del RGPD.

Este registro incluye:

Todas las actividades de tratamiento
Finalidades
Categorías de datos personales
Encargados del tratamiento
Ubicaciones de almacenamiento
Periodos de conservación
Medidas de seguridad aplicadas

Está disponible para las autoridades de control previa solicitud.

13. Evaluaciones de impacto sobre la protección de datos (EIPD)

Para todo tratamiento de datos médicos o datos personales sensibles, Transtoyou realiza periódicamente Evaluaciones de Impacto sobre la Protección de Datos (EIPD) de acuerdo con el artículo 35 del RGPD.

También se realizan EIPD antes de introducir nuevas tecnologías o flujos de trabajo que puedan suponer riesgos elevados para la privacidad.

14. Responsable interno de privacidad (no DPD)

Transtoyou no está legalmente obligada a nombrar un Delegado de Protección de Datos (DPD) según el artículo 37 del RGPD, ya que operamos bajo confidencialidad profesional médica.

Aun así, hemos nombrado un responsable interno de privacidad para supervisar:

Cumplimiento en materia de privacidad
Mantenimiento de nuestro registro de tratamientos
Realización de EIPD
Revisión de acuerdos con encargados del tratamiento

Esta persona actúa como principal punto de contacto para asuntos de privacidad y apoya auditorías, respuesta ante brechas y reducción de riesgos.

Preguntas o notificación de una incidencia

Si tienes preguntas sobre seguridad de datos o quieres informar de una vulnerabilidad, o sospecha de vulnerabilidad, contacta con nosotros:

Equipo de privacidad y seguridad

Para preguntas y dudas sobre seguridad:
privacy@transtoyou.com

Informar de una vulnerabilidad

¿Has encontrado un problema de seguridad? Avísanos:
privacy@transtoyou.com

Tu seguridad es nuestra prioridad

Invertimos de forma continua en proteger tus datos personales y médicos con medidas de seguridad avanzadas.

Política de privacidad Derechos RGPD

Tipo

Rango de precios

Salud sexual y rendimiento

Hormonas y bienestar

Salud capilar

Anticoncepción

Salud hormonal y reproductiva

Salud vaginal y menstrual

Transición de género y terapia hormonal

Apoyo para tu salud

Bienestar mental y apoyo emocional

Dolor y recuperación

Metabólica y enfermedades crónicas

Alergias, infecciones y salud urinaria

Piel y salud íntima

Centro de ayuda

Herramientas eHealth gratuitas

Sobre Transtoyou eHealth

Transtoyou en redes sociales