Política de Privacidad

En ZicoAsis, nos tomamos muy en serio la privacidad y protección de los datos personales. La presente Política de Privacidad describe cómo recopilamos, utilizamos y protegemos la información de los usuarios de nuestra plataforma, en cumplimiento del Reglamento General de Protección de Datos (RGPD o Reglamento (UE) 2016/679), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD), así como en consonancia con los principios del futuro Reglamento de Inteligencia Artificial de la UE (AI Act). Nuestro objetivo es ser transparentes y claros sobre el tratamiento de sus datos, por lo que le recomendamos leer atentamente este documento.

El responsable del tratamiento de sus datos personales es Agustín Hernán Rodríguez (en adelante, “ZicoAsis” o “nosotros”), plataforma propiedad de ZICOFY SOFTWARE S.L., con domicilio en Av. de la República Argentina, 25, Planta 8 y 9, 41011 Sevilla, y NIF B19932045. Puede contactarnos para cualquier cuestión relativa a privacidad escribiendo a ayuda@zicofy.com.

Recopilamos únicamente los datos personales necesarios para las finalidades definidas. Estas son las categorías de datos que tratamos:

• Datos de registro y perfil de profesionales (usuarios psicólogos): información de identificación y contacto del psicólogo o profesional que utiliza la plataforma, como nombre, apellidos, número de colegiado (si procede), dirección de correo electrónico, teléfono, nombre de la clínica o centro, y datos de facturación (incluyendo los necesarios para procesar pagos mediante Stripe, por ejemplo datos de tarjeta de pago u otros medios, que en su mayoría gestiona Stripe directamente).
• Datos de pacientes y sesiones clínicas: información que los profesionales introducen en la plataforma acerca de sus pacientes y las sesiones terapéuticas. Esto puede incluir datos identificativos del paciente (nombre, edad, contacto), datos de salud y detalles psicológicos (historias clínicas, notas clínicas, diagnósticos, planes de tratamiento, observaciones realizadas por el psicólogo) y cualquier otro dato proporcionado durante las sesiones. Nota: ZicoAsis actúa principalmente como encargado del tratamiento de estos datos por cuenta del profesional sanitario (ver sección de Encargados del Tratamiento), por lo que el profesional es quien debe recabar el consentimiento del paciente o contar con base legal para registrar sus datos en la plataforma.
• Datos generados por funcionalidades de IA: nuestra plataforma ofrece herramientas de Inteligencia Artificial que pueden transcribir audios de sesiones, analizar textos (por ejemplo, detectar temas o sentimiento en una conversación) y generar informes o resúmenes de sesión. Para ello, pueden procesarse los siguientes datos: grabaciones de voz o audio de sesiones (que se transcriben a texto), transcripciones textuales de las sesiones, y resultados de análisis automatizados (resúmenes, sugerencias de intervención, etc.). Estos datos pueden incluir información altamente sensible de salud, por lo que se tratan con medidas de seguridad reforzadas.
• Datos de uso y registros (“logs”): la plataforma almacena registros de actividad para garantizar la trazabilidad y seguridad. Esto incluye historiales de acceso del usuario (por ejemplo, cuándo inicia sesión), registro de acciones importantes realizadas (creación o edición de una nota clínica, eliminación de un registro, etc.), direcciones IP de conexión, tipo de dispositivo/navegador, y registros de cambios en la información (tablas de historial y logs de modificaciones). Estos datos se usan para fines de seguridad, auditoría y soporte, permitiendo detectar accesos no autorizados o recuperar cambios.
• Datos de comunicaciones: si contacta con nosotros para soporte técnico o consultas (por ejemplo, vía correo electrónico o chat de soporte integrado), podremos guardar dichas comunicaciones junto con sus datos de contacto para gestionar su solicitud. Asimismo, podemos utilizar servicios de CRM (p. ej. HubSpot) para llevar un seguimiento de las interacciones con usuarios profesionales, incluyendo correos informativos o comunicaciones sobre actualizaciones del servicio.
• Datos de navegación en el sitio web: utilizamos cookies y tecnologías similares en nuestro sitio web corporativo (por fuera de la plataforma de pacientes) para mejorar la experiencia de navegación, realizar analíticas de uso y ofrecer contenido personalizado. Consulte nuestra Política de Cookies para más detalle al respecto (si aplica).

Protección de menores: ZicoAsis no recopila conscientemente información personal directamente de menores de edad sin el consentimiento apropiado. La plataforma no está dirigida a menores de 14 años para su registro directo. En caso de que un psicólogo usuario introduzca datos de un paciente menor de 14 años, éste deberá contar con el consentimiento expreso de sus padres o tutores legales, conforme exige el artículo 7 de la LOPDGDD. Para menores de 14 a 17 años, se recomienda igualmente obtener consentimiento paterno, salvo en aquellos casos excepcionales permitidos por la normativa (por ejemplo, servicios de asesoramiento psicológico preventivo ofrecidos directamente al menor, según el Considerando 38 del RGPD). Si descubriésemos que hemos recopilado datos de un menor sin la debida autorización, los eliminaremos de inmediato.

Tratamos los datos personales con fines legítimos y específicos. A continuación detallamos para qué usamos sus datos y la base legal que lo permite, de acuerdo con el RGPD:

• Prestación del servicio y funcionamiento de la plataforma: Utilizamos los datos de registro de los psicólogos y los datos clínicos de pacientes para habilitar y gestionar las funcionalidades de ZicoAsis. Esto incluye gestionar las cuentas de usuario, programar y gestionar citas y sesiones, almacenar y organizar las notas e historiales clínicos, y en general facilitar las herramientas de gestión de pacientes y expedientes. Base legal: Ejecución de un contrato (art. 6.1.b RGPD) – estos tratamientos son necesarios para ofrecer la plataforma y sus servicios a los profesionales que la han contratado. En el caso de datos de pacientes, el profesional es responsable de contar con la base legal adecuada; típicamente se apoyará en la prestación de servicios de salud por parte de un profesional sanitario (art. 9.2.h RGPD, tratamiento de datos de salud con fines de atención sanitaria) y/o en el consentimiento explícito del paciente cuando así se requiera. ZicoAsis actúa como encargado del tratamiento en este contexto, siguiendo instrucciones del profesional.
• Funcionalidades de Inteligencia Artificial (transcripción, análisis y generación de informes): La plataforma procesa audio y texto a través de sistemas de IA para transcribir las sesiones, analizar el contenido (por ejemplo, para obtener insights como estados emocionales predominantes, identificación de posibles riesgos, etc.) y generar informes automatizados que asisten al psicólogo en su labor clínica. Base legal: Ejecución del contrato con el usuario profesional (art. 6.1.b) en tanto que estas funciones son parte del servicio solicitado. Dado que involucran datos sensibles de salud, se amparan en la excepción del art. 9.2.h RGPD (tratamiento necesario para la asistencia sanitaria, realizado por un profesional sujeto a secreto) cuando se utilizan con fines de cuidado de la salud del paciente. Alternativamente, podría basarse en el consentimiento explícito del paciente (art. 9.2.a RGPD) para el uso de estas funcionalidades de IA, especialmente en casos donde se envían datos a terceros proveedores (por ejemplo, servicios externos de IA) o se requiere por normativa. Por este motivo, ZicoAsis proporciona a los profesionales modelos de consentimiento informado para sus pacientes acerca del uso de estas herramientas (ver sección de AI Act y transparencia más abajo).
• Mejora de la plataforma y desarrollo de nuevas funciones: Podemos tratar datos de uso y resultados agregados de las funcionalidades para entender cómo se utiliza nuestro servicio y mejorar su rendimiento, calidad y seguridad. Siempre que sea posible, utilizamos datos anonimizados o agregados para estos fines, de modo que no se identifique a personas individuales. Por ejemplo, podemos analizar cuántos psicólogos utilizan determinada herramienta de IA o recopilar métricas de precisión de las transcripciones para optimizar el sistema. Base legal: Interés legítimo (art. 6.1.f RGPD) de ZicoAsis en mejorar sus servicios tecnológicos. En todo caso, este análisis nunca tendrá por objeto tomar decisiones que afecten a usuarios de manera individual sin su conocimiento, y no utilizaremos información personal identificable para fines incompatibles con la prestación del servicio.
• Comunicaciones con los usuarios (información y soporte): Usamos los datos de contacto de los profesionales para enviarles comunicaciones relacionadas con el servicio: notificaciones operativas (por ejemplo, confirmación de registro, avisos de mantenimiento técnico, cambios en términos o políticas), boletines informativos sobre nuevas funciones o contenidos educativos relacionados con la psicología y la gestión de la práctica profesional, y para responder sus consultas de soporte. Base legal: Interés legítimo de ZicoAsis en comunicar mejoras del servicio a sus clientes, y en proporcionar soporte (art. 6.1.f RGPD), en equilibrio con sus derechos. En el caso de comunicaciones comerciales no relacionadas directamente con el servicio contratado, le solicitaremos previamente su consentimiento (art. 6.1.a RGPD) – por ejemplo, para suscribirse a un newsletter opcional. El usuario siempre podrá optar por no recibir comunicaciones promocionales.
• Facturación y cumplimiento legal: Procesamos datos necesarios para gestionar la facturación de la suscripción o pagos por el uso de ZicoAsis (por ejemplo, nombres o razón social, NIF/CIF, dirección de facturación, datos de método de pago) y conservar registros contables. Asimismo, conservaremos y trataremos aquellos datos que las normativas aplicables nos exijan (por ejemplo, obligaciones fiscales, prevención de blanqueo de capitales si aplicase, respuestas a requerimientos de autoridades). Base legal: Cumplimiento de obligaciones legales (art. 6.1.c RGPD) y ejecución del contrato de servicio (6.1.b).
• Seguridad y prevención de abusos: Los datos de logs y actividad, así como ciertas métricas técnicas (IP, info de dispositivo) se utilizan para mantener la seguridad de la plataforma, prevenir accesos no autorizados, usos indebidos o actividades ilícitas (por ej., detección de posible robo de cuentas, protección frente a ataques informáticos) y para investigar incidentes de seguridad o violaciones de datos si ocurrieran. Base legal: Interés legítimo de ZicoAsis en garantizar la seguridad de sus sistemas y la integridad de los datos (6.1.f RGPD). Este interés es fundamental para proteger tanto a los usuarios como a los pacientes, y consideramos que no prevalece sobre los derechos de los interesados, ya que este tratamiento se realiza con expectativas razonables de seguridad. En caso de ser legalmente necesario, podríamos también basarnos en el cumplimiento de obligaciones legales en materia de seguridad de los tratamientos (6.1.c, por ejemplo, obligación de notificar brechas de seguridad según RGPD).
• Uso del chatbot de IA (asistente conversacional): En caso de que la plataforma ofrezca un chatbot de Inteligencia Artificial integrado (por ejemplo, un asistente virtual en un iframe dentro de la aplicación, destinado a pacientes o a apoyar al psicólogo), los datos que el usuario introduzca en dicho chatbot (mensajes, preguntas, información proporcionada) serán tratados para generar respuestas automáticas y eventualmente podrían almacenarse para fines de supervisión y mejora. Base legal: Ejecución del servicio bajo las condiciones acordadas y, tratándose de datos sensibles de pacientes, el consentimiento explícito del propio paciente para participar en esta interacción con IA (art. 9.2.a RGPD) obtenido mediante un formulario de consentimiento informado específico. El chatbot se ofrece con fines de apoyo y nunca reemplaza la evaluación personal del profesional (ver más en la sección Consentimiento Informado del Chatbot a continuación y documento específico).

En ZicoAsis no vendemos ni cedemos datos personales a terceros para usos propios de marketing. No obstante, para poder prestar nuestros servicios en ocasiones debemos compartir o externalizar el tratamiento de algunos datos con terceras empresas de confianza que actúan siguiendo nuestras instrucciones. Estas entidades son encargados del tratamiento (data processors) que aportan servicios complementarios (por ejemplo, infraestructura técnica) o terceros destinatarios en casos necesarios (p. ej. autoridades). Siempre firmamos con ellos acuerdos de protección de datos conformes al art. 28 RGPD, y solo pueden usar los datos para la finalidad pactada. Los principales proveedores y terceros con los que trabajamos son:

• Google Cloud Platform (GCP): Proveedor de infraestructura cloud donde alojamos la plataforma y la base de datos. Esto significa que todos los datos (incluyendo datos personales y datos de salud) se almacenan en servidores seguros de GCP. Hemos configurado la infraestructura en centros de datos dentro de la Unión Europea para asegurar que la información permanezca en territorio europeo. Google actúa como encargado del tratamiento, ofreciendo garantías de seguridad y cumplimiento del RGPD (está certificado en normas internacionales como ISO 27001, y sus contratos incluyen cláusulas de protección de datos).
• OpenAI: Proveedor de servicios de Inteligencia Artificial generativa que utilizamos para las funciones de transcripción de audio a texto y análisis/generación de lenguaje natural (por ejemplo, generación de informes automáticos o funcionamiento del chatbot). Para realizar estas tareas, fragmentos de audio o texto pueden ser enviados a la API de OpenAI. OpenAI actúa como encargado del tratamiento respecto a estos datos, exclusivamente para devolvernos el resultado de la transcripción o análisis. Hemos suscrito las cláusulas contractuales tipo de la Comisión Europea con OpenAI para legitimar transferencias internacionales de datos, dado que los servidores de OpenAI podrían estar ubicados en Estados Unidos u otros países fuera del EEE. Importante: Siempre que se procese información especialmente sensible (como datos de salud de las conversaciones), procuramos enviar la mínima información necesaria y, en la medida de lo posible, pseudonimizada (por ejemplo, usando identificadores en vez de nombres reales) para proteger la privacidad. OpenAI se compromete contractualmente a no utilizar los datos que le enviamos para entrenar sus modelos ni para ningún otro fin ajeno a la prestación del servicio solicitado (modo “opt-out” de utilización de datos para entrenamiento).
• HubSpot: Plataforma CRM que empleamos para gestionar la relación con nuestros usuarios profesionales y comunicaciones comerciales (por ejemplo, almacenar emails de suscripción a nuestro boletín, enviar notificaciones importantes sobre el servicio, o gestionar solicitudes de información de interesados en ZicoAsis a través de formularios web). Los datos típicamente alojados en HubSpot son datos de contacto profesionales (nombre, email, teléfono, empresa/clinica) y el historial de interacciones (e.g. si se abrió un correo informativo). HubSpot puede implicar transferencia de datos fuera del EEE (Estados Unidos); sin embargo, está acogido a mecanismos legales adecuados (cláusulas tipo) y certificados en privacidad. No compartimos datos de pacientes ni datos clínicos en HubSpot – se limita a datos de clientes y potenciales clientes (psicólogos).
• Stripe: Pasarela de pago utilizada para procesar de forma segura los cobros de suscripciones o servicios de pago en ZicoAsis. Cuando el profesional introduce sus datos de tarjeta u otro método de pago, esa información es transmitida directamente a Stripe a través de formularios seguros, y Stripe la procesa para realizar el cobro recurrente o puntual. ZicoAsis no almacena los números completos de tarjeta ni otros datos financieros sensibles; Stripe actúa como encargado del tratamiento para procesar los pagos, cumpliendo con PCI-DSS (estándar de seguridad de la industria de pagos) y con el RGPD. Stripe puede almacenar ciertos datos (por ejemplo, los 4 últimos dígitos de la tarjeta, o un identificador de suscripción) para referencias, así como datos de facturación necesarios. Stripe Inc. es una empresa con sede en EE.UU., pero utiliza su afiliada europea Stripe Payments Europe Ltd. (Irlanda) para los servicios en la UE; igualmente, cualquier transferencia fuera del EEE está cubierta por cláusulas contractuales tipo.
• Otros proveedores de servicios: En ocasiones podremos emplear otros servicios especializados, como herramientas de envío de emails transaccionales, servicios de videoconferencia integrados para tele-sesiones, o almacenamiento de archivos adjuntos. Siempre seleccionamos proveedores con garantías de seguridad y preferiblemente ubicados en la UE. En caso de incorporar un nuevo proveedor relevante que implique datos personales, actualizaremos esta Política e informaremos a los usuarios.

Además de los anteriores, los datos personales podrán ser comunicados a terceros destinatarios cuando exista una base legal que lo justifique, por ejemplo: autoridades administrativas o judiciales que lo soliciten en ejercicio de sus competencias (en cumplimiento de una obligación legal), entidades aseguradoras o gestoras de cobro en caso de impago, o asesores legales y auditores en caso necesario (bajo deber de confidencialidad).

Como regla general, tratamos de almacenar y procesar los datos dentro del Espacio Económico Europeo (EEE). Sin embargo, algunos de nuestros proveedores de servicios externos mencionados (como OpenAI, HubSpot, Stripe) pueden tratar o acceder a datos desde países fuera de la UE. En tales casos, nos aseguramos de que se implementen salvaguardas adecuadas conforme a los artículos 44 y siguientes del RGPD:

• Cláusulas Contractuales Tipo (SCC): Hemos firmado los modelos de cláusulas contractuales tipo aprobadas por la Comisión Europea con aquellos encargados establecidos en terceros países (por ejemplo, OpenAI, en la medida en que sus servidores estén en EE.UU.). Esto obliga contractualmente al proveedor a proteger los datos personales según estándares equivalentes a los europeos.
• Evaluación de garantías adicionales: Cuando es necesario, evaluamos si hace falta alguna medida técnica u organizativa complementaria para asegurar la protección de los datos en destino (por ejemplo, cifrado fuerte de la información durante su transmisión y almacenamiento, políticas de acceso limitado, etc.).
• Consentimiento explícito: En el contexto del procesamiento de datos de salud mediante IA con proveedores en terceros países, podemos recabar el consentimiento explícito del paciente o interesado, informándole de los posibles riesgos inherentes a una transferencia internacional (art. 49.1.a RGPD, como salvaguarda de último recurso). Un ejemplo es el consentimiento informado que se solicita al paciente antes de usar el chatbot de IA, explicando que sus mensajes serán procesados por un servicio externo (OpenAI) fuera del EEE, bajo las medidas de seguridad mencionadas.

Si desea más información sobre las transferencias internacionales de datos o copias de las garantías específicas implementadas, puede contactarnos a través de los canales de contacto proporcionados.

Conservamos los datos personales solo durante el tiempo necesario para cumplir las finalidades para las cuales fueron recopilados, y de acuerdo con los plazos que nos exijan las normativas vigentes. En términos generales:

• Los datos de la cuenta de usuario profesional y la información de sus pacientes en la plataforma se mantienen mientras el psicólogo tenga una cuenta activa con nosotros y no solicite su supresión. Entendemos que, dado el carácter sanitario, los profesionales pueden necesitar conservar historiales clínicos por ciertos periodos (p. ej., por obligaciones de sanidad o deontológicas). Si un profesional decide cancelar su suscripción o cuenta, le daremos la posibilidad de exportar sus datos y los de sus pacientes. Posteriormente, realizaremos la eliminación segura de los datos tras un periodo determinado. Por defecto, tras la baja, mantendremos la información durante un plazo máximo de 90 días por si el cliente requiere una recuperación o reactivación imprevista; pasado ese tiempo, se procederá al borrado completo de la información de identificación personal en nuestros sistemas activos. Podemos conservar ciertos datos mínimos de forma disociada (por ejemplo, número de cliente, facturas) para fines administrativos internos o cumplimiento legal.
• Los datos de pacientes que trata el profesional a través de ZicoAsis se conservarán bajo el control del profesional. ZicoAsis, como encargado, no eliminará ni modificará datos de pacientes sin instrucción del profesional, salvo en casos de cierre de cuenta mencionados arriba o obligación legal. Corresponde al profesional determinar cuánto tiempo conservar la historia clínica de un paciente conforme a la legislación sanitaria aplicable. Tras la baja del servicio, eliminaremos esos datos de nuestros sistemas, como se indicó, salvo copia segura en backups.
• Las transcripciones de sesiones y análisis de IA se almacenan como parte de la historia de cada sesión para consulta del psicólogo. Permanecerán disponibles igual que las notas clínicas, salvo que el usuario decida eliminarlas. Si por alguna razón alguna transcripción o contenido de IA se almacena temporalmente en servidores de terceros (p. ej., logs de servicio de OpenAI), nos aseguraremos de que sean eliminados según las políticas de esos terceros (en el caso de OpenAI API, los datos de las consultas se retienen por defecto un máximo de 30 días para monitoreo de abusos y luego se borran, según nos informa el proveedor).
• Los datos de logs y actividad se suelen conservar por periodos delimitados que nos permitan revisar incidencias de seguridad o auditorías internas. Por ejemplo, registros de acceso e historial de cambios se guardarán al menos 1 año y podrán extenderse hasta 3-5 años en sistemas de archivo seguro, dependiendo de la criticidad, antes de su eliminación o anonimización.
• Los datos de comunicaciones de soporte (emails, chats) y los datos en HubSpot sobre los clientes se mantienen mientras tenga vigente la relación con el usuario. Si un usuario profesional deja de ser cliente, es posible que conservemos su historial de comunicaciones por hasta 5 años para tener un registro del servicio prestado y poder defendernos ante posibles reclamaciones, aunque dejaremos de usar sus datos con fines comerciales al darse de baja.
• Los datos necesarios para facturación (por ejemplo, facturas emitidas, información fiscal) se conservarán durante los plazos legales aplicables (p.ej., la ley fiscal nos exige guardar facturas 6 años).
• Cuando la base legal del tratamiento sea el consentimiento y este se retire, eliminaremos o anonimizaremos los datos vinculados a ese tratamiento específico, salvo que exista otra base legal que nos obligue a conservarlos (por ejemplo, una obligación legal).

En todos los casos, pasado el periodo de conservación, los datos personales serán eliminados de forma segura o anonimizados de manera irreversible para poder utilizarlos con fines estadísticos. Implementamos procedimientos de depuración periódica de datos conforme al principio de limitación de conservación del RGPD.

Como usuario de ZicoAsis (ya sea como profesional o como paciente cuyos datos estén en la plataforma), la normativa de protección de datos le reconoce una serie de derechos que puede ejercer en cualquier momento:

• Derecho de Acceso: Puede solicitar confirmación de si estamos tratando datos personales suyos y, en tal caso, acceder a una copia de esos datos y a información sobre cómo los tratamos.
• Derecho de Rectificación: Tiene derecho a pedir que corrijamos datos personales inexactos o incompletos que tengamos sobre usted.
• Derecho de Supresión (Olvido): Puede solicitarnos la eliminación de sus datos personales cuando, entre otros motivos, ya no sean necesarios para los fines para los que se recogieron, o retire su consentimiento (en tratamientos basados en este) y no exista otra base legal. En el contexto de ZicoAsis, un psicólogo puede borrar registros de sus pacientes a petición de éstos o cuando corresponda; igualmente, si usted es paciente y desea que sus datos sean eliminados, puede contactar a su psicólogo responsable o a nosotros (ver más abajo cómo ejercer derechos). Tenga en cuenta que, si su profesional necesita conservar ciertos datos por obligación legal, es posible que no podamos atender la eliminación total inmediatamente (por ejemplo, informes clínicos que deben guardarse cierto tiempo).
• Derecho a la Limitación del Tratamiento: Puede solicitarnos que temporalmente no utilicemos parte de sus datos personales en determinados supuestos, por ejemplo, mientras se resuelve una solicitud de rectificación (se limita el tratamiento hasta verificar la corrección de los datos) o si considera que el tratamiento es ilícito pero prefiere que se restrinja su uso en lugar de borrarlos.
• Derecho de Oposición: Tiene derecho a oponerse, por motivos relacionados con su situación particular, a aquellos tratamientos basados en nuestro interés legítimo. Dejaremos de tratar sus datos en lo que corresponda, salvo que demostremos motivos imperiosos que prevalezcan o para la formulación, ejercicio o defensa de reclamaciones. Por ejemplo, puede oponerse a seguir recibiendo comunicaciones informativas no esenciales; en cada email habrá un enlace para darse de baja fácilmente.
• Derecho a la Portabilidad: En los casos en que tratemos sus datos de forma automatizada sobre la base legal de un contrato o su consentimiento, tiene derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro proveedor. En la práctica, para profesionales, ofrecemos opciones de exportar los datos de la plataforma (p. ej., descarga de historiales en formatos estándar). Para pacientes, su psicólogo puede proporcionarle copia de su historia a través de la plataforma.
• Derecho a no ser sujeto de decisiones automatizadas: ZicoAsis no realiza decisiones automatizadas sin intervención humana que produzcan efectos jurídicos o significativos sobre usted basadas únicamente en el procesamiento automatizado (incluida la elaboración de perfiles). Si en algún momento implementásemos una funcionalidad de evaluación automática que tome decisiones relevantes sobre individuos, garantizaremos el derecho a obtener intervención humana, expresar su punto de vista y a impugnar la decisión, conforme al art. 22 RGPD. Actualmente, las herramientas de IA de la plataforma son de apoyo y siempre cuentan con supervisión y validación humana (el psicólogo revisa los resultados).

¿Cómo ejercer sus derechos? Puede ejercer sus derechos enviándonos una solicitud a ayuda@zicofy.com o por correo postal a la dirección indicada en la sección del responsable, indicando claramente qué derecho desea ejercer y sobre qué datos. Deberá adjuntar copia de un documento identificativo válido (por ejemplo, DNI o NIE) del titular de los datos, para verificar su identidad. Si actúa mediante representante legal, deberá aportar también documento que acredite la representación y la identidad del representante.

Atenderemos su petición en el plazo legal máximo (actualmente 1 mes, ampliable a 2 meses en casos complejos, en cuyo caso le informaremos). El ejercicio de estos derechos es gratuito, salvo solicitudes manifiestamente infundadas o excesivas, en cuyo caso podríamos o bien rechazar la solicitud (motivadamente) o cobrar un cargo razonable acorde al coste administrativo de atenderla.

Si es paciente de uno de los profesionales usuarios de ZicoAsis y desea ejercer derechos sobre sus datos clínicos, le recomendamos en primer lugar contactar al psicólogo o centro que le atendió, ya que ellos actúan como responsables directos de sus datos y podrán gestionar su solicitud (por ejemplo, entrega de su historial, rectificación de algún dato personal en sus registros, etc.). No obstante, si no obtiene respuesta del profesional, ZicoAsis le asistirá en la medida de lo posible para canalizar su petición.

Por último, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) u otra autoridad de control competente, especialmente si considera que no hemos satisfecho correctamente el ejercicio de sus derechos o que el tratamiento de sus datos vulnera la normativa. Puede consultar más información en www.aepd.es. No obstante, le invitamos a que, antes de ello, nos contacte para intentar resolver cualquier cuestión de manera amistosa y rápida.

En ZicoAsis aplicamos medidas de seguridad técnicas y organizativas apropiadas para proteger la confidencialidad, integridad y disponibilidad de los datos personales, especialmente considerando la naturaleza sensible de muchos de ellos (datos de salud, historiales psicológicos, etc.). Entre las medidas de seguridad que hemos implementado, destacamos:

• Cifrado de datos: Toda la información se transmite de forma segura mediante protocolos de cifrado TLS (HTTPS) para evitar intercepciones durante el transporte. Asimismo, los datos almacenados en nuestra base de datos y archivos se encuentran cifrados “en reposo” (at-rest encryption), de manera que, incluso en caso de acceso no autorizado a los servidores, la información permanezca protegida.
• Control de accesos y autenticación: El acceso a los datos tanto por parte de los usuarios de la plataforma como de nuestro equipo técnico está estrictamente limitado. Cada profesional tiene su propia cuenta protegida con contraseña robusta (recomendamos encarecidamente el uso de contraseñas únicas y activar un segundo factor de autenticación, 2FA, si la plataforma lo ofrece). Los usuarios solo pueden acceder a los datos de sus propios pacientes y funcionalidades asociadas a su rol. Internamente, nuestro personal y colaboradores solo acceden a datos personales en la medida necesaria para realizar sus funciones (principio de privilegios mínimos y necesidad de saber), estando todos sujetos a obligaciones legales y contractuales de confidencialidad.
• Pseudonimización: En ciertos procesos, especialmente al enviar datos a los servicios de IA externos, aplicamos técnicas de pseudonimización o minimización de datos. Por ejemplo, para transcribir un audio, normalmente no es necesario enviar identificadores reales del paciente, por lo que utilizamos códigos o iniciales. Los informes generados pueden referirse al paciente de forma genérica (ej. “el paciente”) en vez de por su nombre completo. Esto reduce el riesgo en caso de cualquier filtración, pues dificulta la atribución directa de la información a una persona específica sin información adicional.
• Logs y monitoreo de seguridad: Como se describió, llevamos registros de las actividades en la plataforma. Estos logs se revisan automáticamente en busca de patrones anómalos (p.ej., múltiples intentos fallidos de login, accesos desde ubicaciones inusuales) que pudieran indicar intentos de intrusión. Contamos con sistemas de alerta temprana y, en caso de detección de una incidencia de seguridad, tenemos protocolos para responder rápidamente (que incluyen aislar el incidente, informar a los afectados y autoridades si corresponde, etc.).
• Firewalls y pruebas de penetración: Nuestra infraestructura en la nube está protegida por firewalls y configuraciones de seguridad a nivel de red que impiden accesos no autorizados. Regularmente realizamos auditorías de seguridad y pruebas de penetración (pentesting) con empresas especializadas para identificar y corregir potenciales vulnerabilidades en la aplicación y servidores.
• Backups cifrados: Realizamos copias de seguridad periódicas de la base de datos y archivos para asegurar la resiliencia del servicio y evitar pérdida de información ante fallos técnicos. Estos backups también se almacenan cifrados y en ubicaciones seguras. Solo se accede a ellos para pruebas de restauración o en caso necesario, siguiendo protocolos controlados.
• Evaluaciones y políticas internas: Hemos adoptado políticas internas de protección de datos y formación del personal en buenas prácticas de seguridad (concienciación en phishing, manejo correcto de información sensible, etc.). Además, evaluamos regularmente la eficacia de las medidas implementadas conforme al art. 32 RGPD, adaptándonos a nuevas amenazas o avances tecnológicos.

En caso improbable de que se produzca una violación de seguridad que comprometa significativamente sus datos personales (por ejemplo, una brecha de datos), ZicoAsis se compromete a notificarlo de acuerdo con los artículos 33 y 34 del RGPD: informando a la autoridad de control competente (AEPD) dentro de las 72 horas de haber tenido conocimiento, y también a los usuarios afectados cuando sea probable que el incidente entrañe un alto riesgo para sus derechos y libertades (salvo que se hubiesen tomado medidas que neutralicen el riesgo, como datos cifrados sin clave comprometida, etc.).

Aunque el Reglamento de Inteligencia Artificial de la UE (AI Act) aún está en proceso de implementación, en ZicoAsis nos adelantamos a sus exigencias incorporando desde ya sus principios rectores:

• Transparencia sobre el uso de IA: Siempre informamos claramente cuando una funcionalidad es impulsada por Inteligencia Artificial. En la plataforma, las herramientas o secciones que implican generación automatizada (por ejemplo, un resumen propuesto por el sistema o el chatbot conversacional) están identificadas para que el usuario sepa que el contenido es producido por una IA y no por una persona. Asimismo, comunicamos las capacidades y limitaciones de estas herramientas: qué pueden hacer (por ejemplo, resumir texto, identificar palabras clave, etc.) y qué no hacen (no proporcionan un diagnóstico definitivo, no reemplazan la valoración profesional, pueden contener errores). Esta información se proporciona en la documentación de ayuda de la plataforma y en los consentimientos informados para usuarios finales cuando corresponde.
• Explicabilidad: Entendemos la importancia de poder explicar, al menos de forma general, el funcionamiento de nuestros sistemas de IA, especialmente en un contexto sanitario donde se requiere confianza. Si bien las tecnologías de IA generativa (como las basadas en modelos de lenguaje tipo GPT) son complejas, ZicoAsis procura ofrecer explicaciones comprensibles a los profesionales sobre cómo se llegan a ciertos resultados. Por ejemplo, acompañamos los informes generados con indicaciones de que son un borrador basado en patrones estadísticos de lenguaje; en funciones analíticas más estructuradas (como detección de sentimientos), podemos proveer indicadores o razones básicas (ej. “se detectó tono de tristeza por la presencia de ciertas palabras clave”). Además, mantenemos documentación técnica interna y evaluaciones de los algoritmos, de forma que si un usuario (profesional o paciente) solicita más información de cómo funciona la IA que ha influido en su caso, podamos proporcionarla en la medida posible. La trazabilidad de las operaciones de IA está garantizada mediante logs: queda registro de qué modelo generó qué salida y con qué datos de entrada, para posibles revisiones.
• Supervisión humana: Las funcionalidades de IA de ZicoAsis están diseñadas como asistencia al profesional, no como sistemas autónomos. Siempre hay un humano en el circuito de toma de decisiones. Por ejemplo, un psicólogo recibe un informe generado automáticamente, pero es él/ella quien decide si lo acepta, lo modifica o lo descarta antes de integrarlo en la historia clínica. Igualmente, el chatbot de IA para pacientes está concebido como un recurso complementario; el terapeuta puede revisar las conversaciones (con consentimiento del paciente) y intervenir cuando sea necesario. De acuerdo con el AI Act, los sistemas de alto riesgo (como podrían considerarse aquellos aplicados a la salud mental) deben tener medidas de control humano: en nuestro caso, nos aseguramos de que el profesional pueda invalidar o corregir cualquier recomendación automatizada. Además, si el sistema emitiera una alerta crítica (ejemplo: “el paciente menciona ideas de autolesión”), dicha alerta sería verificada y gestionada por un humano (el profesional de referencia o un equipo de apoyo) antes de actuar.
• Calidad y reducción de sesgos: Aunque no sea un requerimiento explícito del usuario en su pregunta, aprovechamos para informar que evaluamos nuestros sistemas de IA periódicamente para detectar posibles sesgos o errores, especialmente porque el AI Act y las guías éticas de IA promueven la no discriminación y la precisión. Cualquier algoritmo o modelo usado (ya sea provisto por OpenAI u otro) pasa por pruebas internas con datos de ejemplo relevantes al contexto clínico, y recogemos feedback de los psicólogos usuarios. Si se identifica un sesgo (por ejemplo, que las respuestas del chatbot sean menos empáticas con cierto colectivo) o una información claramente errónea que pueda ser problemática, trabajamos en afinar las indicaciones al modelo o en establecer limitaciones adicionales (por ejemplo, filtros de contenido) para evitar daños.
• Registro de actividades de IA: Tal como el AI Act requerirá, llevamos un registro/documentación de nuestros sistemas de IA: su propósito, versiones del modelo utilizado, datos de entrenamiento (en el caso de modelos propios), evaluación de riesgos potenciales y las medidas de mitigación implementadas. Este expediente técnico estará disponible para autoridades si lo solicitaran y para dar cumplimiento a futuras obligaciones de registro en la UE.

Dada la naturaleza de nuestra plataforma –que combina tratamiento de datos sensibles de salud y el uso de tecnologías de inteligencia artificial– somos conscientes de que muchos de estos tratamientos pueden requerir una Evaluación de Impacto relativa a la Protección de Datos (EIPD o DPIA por sus siglas en inglés) según el art. 35 RGPD.

ZicoAsis, como proveedor de la plataforma, ha llevado a cabo evaluaciones de impacto en privacidad antes de implementar las funcionalidades de IA más novedosas, con el fin de identificar los riesgos para los derechos de los usuarios (pacientes y profesionales) y establecer las salvaguardas adecuadas. Por ejemplo, evaluamos los posibles riesgos de utilizar servicios externos de transcripción (riesgo de filtración, error en reconocimiento de voz que derive en información incorrecta, etc.) y tomamos medidas como las mencionadas (cifrado, pseudonimización, consentimiento informado, posibilidad de revisión humana siempre).

Recomendaciones para profesionales (usuarios de ZicoAsis): Si usted es un psicólogo o entidad que va a utilizar ZicoAsis para gestionar datos de sus pacientes, es importante que considere su obligación de realizar una DPIA en ciertos casos. En particular, la Agencia Española de Protección de Datos sugiere que el tratamiento a gran escala de datos de salud o la utilización de sistemas de evaluación automatizada con efectos significativos son escenarios donde una DPIA es exigible. Si su consulta va a almacenar cientos de historiales clínicos y usar herramientas de IA para analizarlos, es muy probable que estemos ante un tratamiento de alto riesgo que amerita dicha evaluación. Le recomendamos:

• Analizar, con la ayuda de su DPO o asesor en protección de datos, si los tratamientos que realizará en ZicoAsis suponen alto riesgo para los interesados. Factores a valorar: volumen de datos de pacientes, categorías especiales de datos (salud mental), si hay evaluaciones sistemáticas o scoring de aspectos personales, si trata datos de menores, etc.
• En caso afirmativo, llevar a cabo una Evaluación de Impacto antes de comenzar a usar plenamente el sistema con datos reales de pacientes. ZicoAsis puede facilitarle información necesaria sobre el funcionamiento de la plataforma y sus medidas de seguridad para ayudar en ese análisis.
• Documentar las medidas adoptadas para mitigar riesgos identificados. Muchas de esas medidas ya están integradas en ZicoAsis (seguridad, consentimiento, supervisión humana…), pero quizás usted deba complementar con medidas organizativas en su clínica (por ejemplo, políticas de quién accede a la plataforma, formación de su personal en el uso correcto de la herramienta, obtención de consentimientos de pacientes, etc.).
• Revisar periódicamente la DPIA y actualizarla ante cambios significativos, como la incorporación de una nueva funcionalidad de IA en la plataforma o ampliación de su base de pacientes.

Por nuestra parte, nos comprometemos a seguir la metodología de “Privacy by Design” (privacidad desde el diseño) en el desarrollo de nuevas características: realizando análisis de riesgo, consultando a nuestro Delegado de Protección de Datos cuando sea necesario, y buscando el mayor respeto a la privacidad posible en cada actualización.

Esta Política de Privacidad puede actualizarse periódicamente para reflejar mejoras en el servicio o cambios legales. Publicaremos cualquier modificación en esta misma página y, si son cambios significativos, se lo comunicaremos a los usuarios registrados (por ejemplo, vía email o notificación en la aplicación) para que puedan revisarlos. Al final de este documento indicaremos la fecha de la última actualización.

La continuación en el uso de ZicoAsis después de la entrada en vigor de las nuevas condiciones de privacidad se interpretará como aceptación de las mismas. No obstante, si los cambios implicasen nuevos tratamientos de datos para los cuales la base legal principal sea el consentimiento, le solicitaremos dicho consentimiento adicional de ser necesario.

Última actualización: 23/05/2025.

Para cualquier duda o consulta relativa a esta Política de Privacidad o al tratamiento de sus datos personales en ZicoAsis, no dude en contactarnos:

• Email: ayuda@zicofy.com
• Dirección postal: Av. de la República Argentina, 25, Planta 8 y 9, 41011 Sevilla

Estaremos encantados de atenderle y resolver cualquier inquietud en materia de privacidad o seguridad de la información. Su confianza es fundamental para nosotros, y trabajamos continuamente para merecerla mediante la protección responsable de sus datos.