Política de Privacidad

EMDR Digital es responsable del tratamiento de tus datos personales según lo descrito en esta política.

Para cualquier consulta, contacta con nosotros en:

info@emdrdigital.com

Recogemos diferentes tipos de datos según si utilizas la plataforma como terapeuta o participas como paciente.

2.1 Datos de Cuenta de Terapeuta

Al crear una cuenta, recogemos:

• Nombre, dirección de correo electrónico y nombre de usuario
• Credenciales de autenticación (correo/contraseña o inicio de sesión con Google)
• Preferencias profesionales (configuración de estimulación, tema, idioma)

Almacenado en Google Cloud Firestore (Bélgica/Países Bajos, UE).

Base legal: ejecución de contrato (Art. 6(1)(b) RGPD).

2.2 Registros de Pacientes

Los terapeutas introducen información de pacientes en la plataforma:

• Nombre, fecha de nacimiento, datos de contacto (correo, teléfono)
• Género y contacto de emergencia
• Notas clínicas y observaciones terapéuticas

Solo el nombre del paciente es obligatorio. El resto de campos son opcionales y los introduce el terapeuta a su criterio.

Estos datos pueden incluir categorías especiales de datos de salud según el Art. 9 del RGPD. El terapeuta actúa como responsable del tratamiento de los datos clínicos de sus pacientes; EMDR Digital los procesa en nombre del terapeuta.

Almacenado en Google Cloud Firestore (Bélgica/Países Bajos, UE).

Base legal: consentimiento explícito y/o necesidad para asistencia sanitaria (Art. 9(2)(a) y (h) RGPD).

2.3 Datos de Sesión

Durante las sesiones terapéuticas, se pueden generar los siguientes datos:

• Datos de sesión (fecha, duración, configuración de estimulación)
• Grabaciones de audio (solo cuando el terapeuta las inicia explícitamente con consentimiento del paciente)
• Transcripciones automáticas generadas a partir de las grabaciones
• Análisis generado por IA (resumen narrativo, dianas ICES, personas clave, recomendaciones terapéuticas)

El vídeo nunca se graba. Solo se graba audio, y únicamente cuando el terapeuta lo activa explícitamente y el paciente da su consentimiento.

Almacenado en Google Cloud Firestore y Firebase Storage (Bélgica/Países Bajos, UE).

2.4 Participación del Paciente en Sesión

Los pacientes se unen a las sesiones sin crear una cuenta. Su identidad en la sesión viene determinada por el registro de paciente que el terapeuta ha seleccionado. Durante la participación:

• Una imagen de cámara se mantiene en la memoria del servidor para la admisión en sala de espera — nunca se guarda en disco, se elimina al terminar la sesión
• El audio de la videollamada solo se procesa si la grabación está activada con consentimiento

2.5 Datos Técnicos y de Diagnóstico

Para la estabilidad de la plataforma, recogemos:

• Tipo de navegador, información del dispositivo y zona horaria
• Direcciones IP en los registros de acceso del servidor
• Métricas de calidad de conexión

Base legal: interés legítimo (Art. 6(1)(f) RGPD) — garantizar la fiabilidad de la plataforma.

Procesamos tus datos para los siguientes fines:

• Proporcionar la plataforma de terapia y el servicio de videollamada
• Generar transcripciones a partir de las grabaciones de audio
• Producir análisis de sesión e informes clínicos con IA
• Mantener la seguridad de la plataforma (control de acceso, limitación de solicitudes)
• Diagnosticar y resolver problemas técnicos
• Enviar notificaciones del servicio (verificación de cuenta, actualizaciones importantes)

Cuando una sesión se graba y transcribe, la transcripción es analizada por Google Vertex AI (Gemini) para generar informes clínicos. Este procesamiento tiene lugar en Madrid, España (UE).

La IA recibe la transcripción de la sesión, nombre del paciente, nombre del terapeuta, fecha de la sesión y datos demográficos del paciente (edad y género). Genera un resumen narrativo, dianas ICES, personas clave mencionadas, fechas significativas y recomendaciones terapéuticas.

Google procesa estos datos bajo su Acuerdo de Tratamiento de Datos y no los utiliza para entrenar sus modelos de IA. Todo el procesamiento permanece dentro de la Unión Europea.

Conservamos los datos solo el tiempo necesario para su finalidad:

• Datos de cuenta del terapeuta — hasta la eliminación de la cuenta
• Registros de pacientes — hasta que el terapeuta los elimine
• Datos de sesión y análisis — hasta que el terapeuta los elimine
• Grabaciones de audio — eliminadas automáticamente a los 90 días
• Archivos temporales de procesamiento de audio — eliminados inmediatamente tras la transcripción
• Registros de diagnóstico — 30 días
• Registros de eventos webhook — 90 días

Compartimos datos únicamente con los siguientes proveedores, todos en la UE y con Acuerdos de Tratamiento de Datos vigentes:

No vendemos datos personales. No compartimos datos con anunciantes. Ningún dato personal se transfiere fuera de la Unión Europea.

Utilizamos un almacenamiento mínimo en el navegador y ninguna tecnología de rastreo:

• Una cookie funcional (sidebar_state) para recordar tu preferencia de diseño
• localStorage para preferencias no personales: idioma, tema y configuración de dispositivo
• Tokens de autenticación Firebase en IndexedDB (gestionados automáticamente por el SDK de Firebase)

No utilizamos cookies de rastreo, analíticas, publicidad ni scripts de terceros.

Protegemos tus datos con múltiples capas de seguridad:

• Todas las comunicaciones del navegador cifradas con TLS (HTTPS/WSS)
• Videollamadas y audio protegidos con cifrado DTLS-SRTP
• Datos en reposo cifrados con AES-256 en Google Cloud
• Comunicaciones entre servidores protegidas por cortafuegos basados en IP
• Controles de acceso y limitación de solicitudes en todos los endpoints
• Toda la infraestructura alojada exclusivamente en la Unión Europea

Las videollamadas están cifradas en tránsito pero no de extremo a extremo. El servidor de medios procesa audio y vídeo para el enrutamiento de llamadas y, cuando está activado, la grabación.

Según el RGPD, tienes derecho a:

• Acceso — obtener una copia de tus datos personales (Art. 15)
• Rectificación — corregir datos inexactos (Art. 16)
• Supresión — solicitar la eliminación de tus datos (Art. 17)
• Limitación — restringir cómo procesamos tus datos (Art. 18)
• Portabilidad — recibir tus datos en un formato estructurado (Art. 20)
• Oposición — oponerte al tratamiento basado en interés legítimo (Art. 21)

Para ejercer cualquiera de estos derechos, contacta con nosotros en info@emdrdigital.com. Responderemos en un plazo de 30 días.

También tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en aepd.es, o ante la autoridad de control de tu país de residencia.

EMDR Digital está diseñado para terapeutas con licencia. No recogemos datos directamente de menores. Los pacientes menores de 16 años participan bajo la responsabilidad de su terapeuta y tutores legales.

Podemos actualizar esta política para reflejar cambios en nuestras prácticas o requisitos legales. Los usuarios registrados serán notificados de cambios significativos por correo electrónico. La fecha en la parte superior indica la última revisión.

Para consultas sobre esta política de privacidad o tus datos personales:

info@emdrdigital.com