1. Responsable del tratamiento
El responsable del tratamiento de los datos personales recogidos a través de este sitio es:
- Titular
- Alba Cabrera Batet
- Forma jurídica
- Persona física (autónoma)
- NIF
- 47759813Z
- Domicilio
- Carrer Rosselló 9, 08553 Seva, Barcelona, España
- Email de privacidad
- [email protected]
Por la naturaleza y el volumen del tratamiento, actualmente no es obligatoria la designación formal de Delegado de Protección de Datos (DPD). Las consultas de privacidad se atienden directamente en la dirección de correo indicada.
2. Datos que tratamos
Según el tipo de relación que mantengas con TheZenDen (visitante, alumno/a, miembro o paciente), podremos tratar las siguientes categorías de datos:
2.1 Datos de identificación y contacto
Nombre, apellidos, dirección de correo electrónico, teléfono.
2.2 Datos de cuenta y perfil
Identificador de usuario, avatar, biografía, zona horaria, preferencias, historial de actividad en la plataforma (cursos en los que estás matriculado/a, progreso, suscripción activa).
2.3 Datos de categoría especial — Salud (art. 9 RGPD)
Cuando mantienes una relación terapéutica directa con la titular (sesiones 1:1, programas de acompañamiento, intensivos), podrán tratarse datos relativos a tu salud: notas clínicas, objetivos terapéuticos, evolución de las sesiones, antecedentes que voluntariamente decidas compartir. Estos datos se consideran de categoría especial conforme al artículo 9 del RGPD y se tratan bajo la base de consentimiento explícito (art. 9.2.a RGPD) que prestas al inicio del proceso. Reciben medidas de seguridad reforzadas (cifrado en base de datos, acceso restringido al profesional terapeuta).
2.4 Datos económicos y de facturación
Los cobros de cursos, membresías y sesiones se gestionan a través de Stripe Payments Europe Ltd. (encargado de tratamiento). TheZenDen no almacena los números completos de tarjeta: únicamente conservamos el identificador de cliente y, en su caso, los últimos cuatro dígitos y la marca de la tarjeta para identificarla en tu portal de facturación.
2.5 Datos de navegación
Cookies técnicas necesarias para el funcionamiento del sitio (sesión, CSRF, preferencias del banner) y, si das tu consentimiento, otras de analítica o marketing. Consulta el detalle en nuestra política de cookies.
2.6 Comunicaciones
Si nos contactas por correo electrónico u otros canales, conservaremos el contenido de la comunicación durante el tiempo necesario para atender la consulta y, después, durante el plazo legal de prescripción que pudiera aplicar.
3. Finalidad del tratamiento
Trataremos tus datos para las siguientes finalidades:
- Gestionar tu cuenta de usuario, el acceso a la plataforma y la prestación de los servicios contratados (cursos, membresías, sesiones).
- Gestionar la relación terapéutica cuando proceda: registro de notas clínicas, planificación y seguimiento de sesiones, recordatorios.
- Gestionar el cobro y la facturación de los servicios, así como el cumplimiento de obligaciones contables y fiscales.
- Enviar comunicaciones del servicio (confirmaciones, recordatorios, avisos legales relevantes, cambios en la política).
- Atender consultas, reclamaciones y solicitudes de ejercicio de derechos.
- Garantizar la seguridad del sitio y prevenir el fraude.
- Realizar estadísticas internas anonimizadas para mejorar la plataforma y los contenidos formativos.
- Cumplir las obligaciones legales que sean aplicables.
No utilizamos tus datos para tomar decisiones automatizadas con efectos jurídicos o significativos sobre ti, ni los empleamos para elaborar perfiles comerciales sin tu consentimiento.
4. Base legal
El tratamiento de tus datos se ampara en las siguientes bases jurídicas (art. 6 y 9 RGPD):
- Ejecución de un contrato (art. 6.1.b RGPD): tratamiento necesario para prestarte los cursos, membresías y servicios que contratas.
- Consentimiento explícito (art. 9.2.a RGPD): tratamiento de datos de salud y notas clínicas en el marco de la relación terapéutica. Puedes retirar este consentimiento en cualquier momento.
- Consentimiento (art. 6.1.a RGPD): cookies no esenciales, envío de comunicaciones comerciales si llegamos a remitirlas y otros tratamientos opcionales.
- Cumplimiento de obligaciones legales (art. 6.1.c RGPD): facturación, contabilidad, atención de requerimientos de autoridades competentes.
- Interés legítimo (art. 6.1.f RGPD): seguridad del sitio, prevención del fraude, estadística anonimizada y mejora del servicio.
5. Destinatarios y encargados de tratamiento
Tus datos no se ceden a terceros, salvo por obligación legal. Sí son tratados, en nombre del responsable, por los siguientes encargados de tratamiento debidamente seleccionados por sus garantías de seguridad y con los que existe el correspondiente contrato (art. 28 RGPD):
| Encargado | Finalidad | Ubicación |
|---|---|---|
| Hetzner Online GmbH | Alojamiento del sitio y bases de datos. | Alemania (UE) |
| Stripe Payments Europe Ltd. | Procesamiento de pagos y suscripciones. | Irlanda (UE) · ver §6 |
Los archivos multimedia (imágenes, vídeos, audios de cursos) se almacenan en el propio servidor de Hetzner mediante la librería Spatie Media Library: no intervienen proveedores externos para este almacenamiento. Si en el futuro se incorporan otros encargados (por ejemplo, proveedor de email marketing o analítica), se actualizará esta lista y, cuando proceda, se recabará tu consentimiento.
6. Transferencias internacionales de datos
El alojamiento principal de los datos se encuentra dentro de la Unión Europea (Hetzner, Alemania), por lo que la mayor parte del tratamiento no implica transferencias internacionales.
El proveedor de pagos Stripe tiene su sede europea en Irlanda, pero puede transferir determinados datos a su matriz en Estados Unidos. Esta transferencia se realiza con las siguientes garantías:
- Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914).
- Adhesión de Stripe al Marco UE-EE. UU. de Privacidad de Datos (EU–US Data Privacy Framework), reconocido por la Comisión Europea como nivel adecuado de protección.
- Medidas técnicas y organizativas suplementarias adoptadas por Stripe (cifrado, controles de acceso, auditorías).
Puedes consultar el detalle en la política de Stripe: stripe.com/es/privacy.
7. Plazos de conservación
Conservaremos tus datos durante el tiempo estrictamente necesario para cumplir las finalidades descritas y, posteriormente, durante los plazos de prescripción legal aplicables:
| Tipo de dato | Plazo |
|---|---|
| Datos de cuenta y perfil | Mientras se mantenga la relación contractual + 5 años (plazo general de prescripción de acciones personales, art. 1964 Código Civil). |
| Datos contables y de facturación | 6 años desde el cierre del ejercicio (art. 30 Código de Comercio) y plazos fiscales aplicables. |
| Datos de salud (historia clínica) | Mínimo 5 años desde la última asistencia conforme al art. 17 de la Ley 41/2002. Algunas comunidades autónomas establecen plazos mayores (por ejemplo, en Cataluña la historia clínica puede conservarse hasta 15 años desde la última asistencia para determinados contenidos; este plazo debe verificarse con asesoramiento jurídico específico aplicable a la actividad). |
| Consentimientos prestados | Mientras dure el tratamiento al que se refieren + plazo general de prescripción. |
| Comunicaciones comerciales | Hasta que retires tu consentimiento o solicites la baja. |
| Logs técnicos y seguridad | Hasta 12 meses, salvo investigación de incidentes. |
Transcurridos los plazos indicados, los datos serán suprimidos o, cuando sea técnicamente posible, anonimizados de forma irreversible.
8. Tus derechos
Como titular de los datos, puedes ejercer los siguientes derechos en cualquier momento:
- Acceso: conocer qué datos tuyos tratamos y obtener una copia.
- Rectificación: corregir datos inexactos o incompletos.
- Supresión ("derecho al olvido"): solicitar el borrado cuando ya no sean necesarios o cuando retires tu consentimiento, sin perjuicio de los plazos legales de conservación.
- Oposición: oponerte al tratamiento basado en interés legítimo o a la recepción de comunicaciones comerciales.
- Limitación del tratamiento en los supuestos previstos por el RGPD.
- Portabilidad: recibir tus datos en un formato estructurado y de uso común, o solicitar su envío a otro responsable.
- No ser objeto de decisiones automatizadas con efectos significativos.
- Retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento previo.
Cómo ejercer tus derechos
Envía un correo a [email protected] indicando el derecho que deseas ejercer, tu nombre completo y, para acreditar tu identidad, una copia de tu DNI, NIE o documento identificativo equivalente (puedes ocultar la imagen y los datos no necesarios). Responderemos en el plazo máximo de un mes desde la recepción.
Si consideras que el tratamiento no se ajusta a la normativa o no estás satisfecho con nuestra respuesta, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.
9. Medidas de seguridad
Aplicamos medidas técnicas y organizativas adecuadas al riesgo y a la sensibilidad de los datos tratados (art. 32 RGPD), entre otras:
- Cifrado en tránsito mediante HTTPS/TLS en todo el sitio.
- Cifrado en base de datos de los campos sensibles de notas clínicas marcadas como confidenciales (cifrado simétrico AES mediante la capa de encriptación de Laravel).
- Control de acceso por roles: el personal autorizado solo accede a los datos estrictamente necesarios para su función.
- Autenticación robusta con verificación de email, política de contraseñas y rate limiting.
- Copias de seguridad cifradas y procedimiento documentado de restauración.
- Registro de actividades de tratamiento y revisión periódica del cumplimiento.
- Procedimiento de notificación de brechas de seguridad conforme al art. 33 RGPD.
10. Menores de edad
Los servicios de TheZenDen no están dirigidos a personas menores de 14 años, edad mínima establecida por la LOPDGDD (art. 7) para el consentimiento autónomo en el tratamiento de datos personales en la sociedad de la información. Para personas entre 14 y 18 años, el tratamiento requiere igualmente el consentimiento de quienes ostenten la patria potestad o tutela cuando así lo determine la legislación aplicable al servicio concreto. Si detectamos una cuenta de menor sin la debida autorización, procederemos a su supresión.
11. Modificaciones de la política
Esta política puede actualizarse para reflejar cambios legales, operativos o de servicio. La versión vigente es siempre la publicada en este sitio, con su fecha de última actualización visible al inicio. Cuando los cambios sean sustanciales y afecten de manera relevante a tus derechos, te lo comunicaremos por un canal razonable (aviso en el sitio o correo electrónico).
12. Contacto
Para cualquier consulta sobre esta política o sobre el tratamiento de tus datos, escríbenos a: