Política de Privacidad — Optonet Vision Unit
Última actualización: mayo 2026 Conforme al RGPD Producto sanitario SaMD — RDM 2017/745
Esta Política de Privacidad explica cómo Optonet Ltd trata los datos personales en relación con Optonet Vision Unit (optonet.online), un software de gestión del examen visual optométrico clasificado como Producto Sanitario Software (SaMD), utilizado en centros de optometría en España.
🔐 Cifrado de extremo a extremo — Sus datos están protegidos por diseño
Optonet Vision Unit utiliza cifrado de extremo a extremo (E2E) en el lado del cliente. Sus datos clínicos se cifran en el dispositivo del centro óptico antes de ser transmitidos o almacenados. Optonet Ltd no posee las claves de cifrado y no tiene medios técnicos para acceder a sus datos clínicos en texto legible. Solo su centro optométrico puede descifrar y leer su historial. Esta es una medida deliberada de privacidad por diseño conforme al artículo 25 del RGPD.
1. Responsable del tratamiento
| Encargado del tratamiento (infraestructura) / Responsable (datos del centro) | |
|---|---|
| Empresa | Optonet Ltd |
| Registro mercantil (UK) | Companies House: 09744666 |
| NIF / VAT | GB232373724 |
| Domicilio social | 81 North Park Brook Road, Callands, Warrington WA5 9ST, Reino Unido |
| Contacto general | optonet@optonetproject.com |
| Contacto RGPD / ejercicio de derechos | gdpr@euverify.com |
| Portal DSAR | Enviar solicitud de derechos |
| Representante legal | Guillermo Bueno del Romo |
| Delegado de Protección de Datos (DPO) | Nombramiento en curso — contacte con gdpr@euverify.com para cualquier asunto relacionado con el DPO |
- Su centro optométrico es el Responsable del Tratamiento de su historia clínica. Es quien determina la finalidad y los medios del tratamiento de sus datos de salud.
- Optonet Ltd actúa como proveedor de infraestructura cifrada. Dado que todos los datos de pacientes están cifrados de extremo a extremo con claves que únicamente posee el centro, Optonet Ltd no puede acceder ni procesar sus datos clínicos. Se mantiene un Contrato de Encargado del Tratamiento (DPA) con cada centro a efectos de transparencia y cumplimiento normativo.
- Optonet Ltd es Responsable del Tratamiento únicamente de los datos de carácter empresarial del personal del centro (gestión de cuenta y facturación).
2. Datos personales tratados
2.1 Datos del centro optométrico (Optonet Ltd como Responsable)
- Nombre del centro, dirección, email de contacto, teléfono
- Nombre y cargo del representante
- Datos de facturación (tratados por Stripe)
- Credenciales de acceso (almacenadas de forma hasheada)
2.2 Datos clínicos del paciente (centro como Responsable — cifrados E2E)
Los siguientes datos se almacenan exclusivamente en formato cifrado. Optonet Ltd no puede leer estos datos:
- Identidad del paciente: nombre y apellidos, fecha de nacimiento, género, datos de contacto, número de historia clínica
- Datos de salud (categoría especial, Art. 9 RGPD): anamnesis estructurada, antecedentes oculares y sistémicos, medicación, alergias
- Resultados del examen optométrico: agudeza visual (lejos y cerca), refracción subjetiva y objetiva (esfera, cilindro, eje, prisma), campimetría, presión intraocular (PIO / tonometría), cover test, motilidad ocular, estereopsis, visión del color, exploración en lámpara de hendidura, fondo de ojo, topografía corneal, OCT, imágenes de segmento anterior y posterior y cualquier otra exploración visual estándar
- Informe clínico y prescripción óptica
- Historial de revisiones y seguimiento
3. Base legal del tratamiento
| Categoría de datos | Base legal | Norma aplicable |
|---|---|---|
| Datos del personal del centro (cuenta y facturación) | Art. 6.1.b RGPD — ejecución de contrato | RGPD |
| Datos clínicos del paciente (tratados por el centro como Responsable) | Art. 9.2.h RGPD — asistencia sanitaria; Art. 9.2.a — consentimiento explícito del paciente | RGPD + Ley 41/2002 |
| Infraestructura de almacenamiento cifrado (rol de Optonet Ltd) | Art. 6.1.b — contrato con el centro; Art. 32 — obligación de seguridad | RGPD |
| Monitorización de la plataforma | Art. 6.1.f — interés legítimo (servicio seguro y fiable) — sin datos de pacientes en telemetría | RGPD |
4. Sin procesamiento por inteligencia artificial
Todos los datos clínicos son registrados, almacenados y accedidos exclusivamente por los profesionales sanitarios del centro. Ningún dato de paciente se envía a sistemas de IA, modelos de lenguaje ni herramientas de toma de decisiones automatizada. La plataforma funciona como un sistema seguro y cifrado de gestión de historia clínica optométrica.
5. Subencargados del tratamiento
Dada la arquitectura de cifrado de extremo a extremo, los subencargados de Optonet Ltd solo tienen acceso a datos cifrados (texto cifrado) y no pueden leer los datos de los pacientes.
| Subencargado | Finalidad | Ubicación | Acceso a datos |
|---|---|---|---|
| Proveedor de infraestructura cloud | Almacenamiento y copia de seguridad de datos cifrados | UE | Solo texto cifrado — sin acceso a datos en claro |
| Stripe | Procesamiento de pagos (facturación del centro) | UE / EE.UU. | Solo datos de facturación — sin datos de pacientes |
| Sentry (instancia UE) | Monitorización de errores — solo panel del centro | UE | Registros de error anonimizados — rutas clínicas excluidas |
No cedemos datos de pacientes a terceros. No utilizamos datos de pacientes con fines publicitarios, de investigación ni de entrenamiento de modelos.
6. Transferencias internacionales de datos
- Todos los datos clínicos de pacientes se almacenan cifrados dentro de la Unión Europea.
- Stripe (EE.UU.): solo datos de facturación — amparado por el Marco de Privacidad de Datos UE-EE.UU. (DPF, 2023).
- Reino Unido (Optonet Ltd): La decisión de adecuación UE-Reino Unido, renovada el 19 de diciembre de 2025 y válida hasta 2031, garantiza la licitud de las transferencias de datos desde la UE a Optonet Ltd sin necesidad de salvaguardias adicionales.
7. Plazos de conservación
| Categoría de datos | Plazo de conservación | Base legal |
|---|---|---|
| Datos clínicos del paciente (cifrados E2E) | Mínimo 5 años desde el último contacto clínico; pacientes pediátricos: hasta los 18 años + 5 años | Ley 41/2002, Art. 17 (España) |
| Imágenes diagnósticas (OCT, topografías, fotografías) | Según protocolo clínico del centro; mínimo 5 años | Ley 41/2002; guías clínicas |
| Datos de cuenta y facturación del centro | Duración del contrato + 6 años | Plazo de prescripción legal (UK) |
| Registros de errores | 90 días (renovación continua) | Interés legítimo |
Cuando un centro causa baja, los datos clínicos cifrados se devuelven al centro o se eliminan de forma segura según sus instrucciones, en un plazo máximo de 30 días desde la baja.
8. Medidas de seguridad
- Cifrado de extremo a extremo (E2E) en el cliente: los datos se cifran en el dispositivo del clínico antes de su transmisión; Optonet Ltd no posee las claves de descifrado
- Cifrado AES-256 para todos los datos en reposo
- TLS 1.2 o superior para todos los datos en tránsito
- Control de acceso basado en roles dentro de cada centro
- Registro de auditoría de accesos a los datos
- Redundancia geográfica dentro de la UE
- Revisiones periódicas de seguridad y pruebas de penetración
9. Sus derechos
Como paciente, su interlocutor principal para el ejercicio de derechos es su centro optométrico, que posee las claves de cifrado y actúa como Responsable del Tratamiento de su historia clínica. También puede dirigirse a Optonet Ltd a través de nuestro portal DSAR.
| Derecho | Cómo ejercerlo |
|---|---|
| Acceso (Art. 15 RGPD) | Contacte con su centro optométrico o con nuestro portal DSAR |
| Rectificación (Art. 16) | Contacte con su centro optométrico |
| Supresión (Art. 17) | Contacte con su centro — los plazos mínimos de la Ley 41/2002 pueden condicionar la supresión |
| Portabilidad (Art. 20) | Su centro puede exportar su historial en formato estructurado |
| Reclamación ante autoridad de control | Agencia Española de Protección de Datos (AEPD) |
10. Software como producto sanitario (SaMD)
Optonet Vision Unit está clasificado como Software como Producto Sanitario (SaMD) bajo el Reglamento UE de Productos Sanitarios 2017/745 (RDM/MDR). Como tal, está sujeto a requisitos adicionales de calidad, seguridad y evaluación clínica. La plataforma no emite diagnósticos de forma autónoma — toda decisión clínica es adoptada por el profesional sanitario habilitado que utiliza la plataforma como herramienta de apoyo.
Representante en la UE/EEE (Artículo 27 RGPD)
Si se encuentra en la UE/EEE y tiene preguntas o solicitudes relativas a sus datos personales, puede contactar con nuestro representante RGPD designado:
Representante UE:Euverify Ltd (Irlanda)
Unit 3D North Point House
North Point Business Park
New Mallow Road, Cork
T23 AT2P, Irlanda
Email: gdpr@euverify.com
Para presentar una solicitud de acceso a datos (DSAR), solicitud de supresión u otra consulta relacionada con el RGPD, utilice nuestro portal seguro de solicitudes. Las solicitudes presentadas a través de este portal quedan registradas y se gestionan en los plazos reglamentarios.
11. Contacto
- Email: gdpr@euverify.com
- Portal DSAR: gdpr.euverify.com
- Email: optonet@optonetproject.com
- Optonet Ltd · 81 North Park Brook Road, Callands, Warrington WA5 9ST, Reino Unido
12. Modificaciones de esta política
Podemos actualizar esta Política de Privacidad. Los cambios sustanciales se notificarán a los centros registrados por correo electrónico con al menos 30 días de antelación.