🦷 Pepys · CRONUTS DIGITAL
Política de Privacidad
Versión 1.0 · Fecha de entrada en vigor: 18 de abril de 2026 · Última actualización: 18 de abril de 2026
1. Identidad del Responsable del Tratamiento
En cumplimiento del artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 («RGPD»), y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales («LOPDGDD»), se informa que el responsable del tratamiento de los datos personales recabados a través de la plataforma Pepys es:
| Dato | Información |
|---|---|
| Denominación social | CRONUTS DIGITAL, S.L. |
| CIF | B-67049718 |
| Domicilio social | C/ Aribau 205, 3ª planta, 08021 Barcelona, España |
| Datos registrales | Inscrita en el Registro Mercantil de Barcelona, Tomo 46028, Folio 217, Hoja B-507217 |
| Teléfono | +34 937 961 031 |
| Correo electrónico general | admin@cronuts.digital |
| Correo electrónico de privacidad | privacidad@pepys.app |
| Sitio web | https://pepys.app |
Sin perjuicio de lo anterior, en relación con los datos de los pacientes introducidos o generados por los usuarios profesionales de la plataforma, el responsable del tratamiento es el propio profesional sanitario o la entidad clínica que contrata el servicio, actuando CRONUTS DIGITAL, S.L. como encargado del tratamiento en los términos del artículo 28 RGPD (véase apartado 7).
2. Categorías de datos tratados
2.1 Datos de usuarios de la plataforma (profesionales sanitarios)
| Categoría | Datos concretos | Origen |
|---|---|---|
| Identificativos | Nombre completo, dirección de correo electrónico | Facilitados por el interesado en el registro |
| Profesionales | Nombre de la clínica dental | Facilitados por el interesado |
| Credenciales | Contraseña (almacenada con hash bcrypt, nunca en texto plano) | Generada por el interesado |
| Económicos y de pago | Identificador de cliente Stripe, identificador de suscripción, plan contratado, historial de pagos | Generados por el sistema de pago (Stripe) |
| De uso del servicio | Minutos de transcripción consumidos, fechas de acceso, registros de actividad (logs) | Generados automáticamente por la plataforma |
2.2 Datos de pacientes (categorías especiales — datos de salud)
| Categoría | Datos concretos | Origen |
|---|---|---|
| Audio de la consulta | Grabación de voz de la consulta odontológica | Subido por el profesional sanitario |
| Transcripción clínica | Texto transcrito del audio de la consulta | Generado por procesamiento de IA (Whisper) |
| Historia clínica estructurada | Motivo de consulta, exploración clínica, diagnóstico presuntivo, plan de tratamiento, seguimiento | Generado por procesamiento de IA (Claude) |
| Identificadores del paciente | Los que el profesional incluya en el audio o en el historial (nombre, número de historia clínica, etc.) | Facilitados por el profesional sanitario |
3. Finalidades y bases jurídicas del tratamiento
3.1 Respecto de los datos de usuarios de la plataforma
| Finalidad | Base jurídica (art. 6 RGPD) |
|---|---|
| Gestión del registro y acceso a la cuenta | Art. 6.1.b) — Ejecución de un contrato en el que el interesado es parte |
| Prestación del servicio de transcripción y generación de historias clínicas | Art. 6.1.b) — Ejecución del contrato |
| Gestión de la suscripción y facturación | Art. 6.1.b) — Ejecución del contrato; Art. 6.1.c) — Cumplimiento de obligación legal (normativa fiscal) |
| Envío de comunicaciones transaccionales | Art. 6.1.b) — Ejecución del contrato |
| Prevención del fraude y seguridad del sistema | Art. 6.1.f) — Interés legítimo del responsable |
| Cumplimiento de obligaciones legales (tributarias, contables) | Art. 6.1.c) — Cumplimiento de obligación legal |
| Comunicaciones comerciales sobre nuevas funcionalidades o planes | Art. 6.1.a) — Consentimiento del interesado |
3.2 Respecto de los datos de pacientes
CRONUTS DIGITAL, S.L. trata los datos de pacientes exclusivamente por instrucción documentada del responsable del tratamiento (el profesional sanitario usuario de la plataforma), sin acceder a su contenido con fines propios, y únicamente para:
- Ejecutar la transcripción automática del audio mediante la API de OpenAI Whisper.
- Generar la historia clínica estructurada mediante la API de Anthropic Claude.
- Almacenar los resultados en la base de datos del usuario para su consulta y descarga.
4. Datos de salud: tratamiento de categorías especiales
El tratamiento de datos de salud de pacientes está prohibido con carácter general por el artículo 9.1 del RGPD. Sin embargo, resulta de aplicación la excepción prevista en el artículo 9.2.h) del RGPD, en relación con el artículo 9 LOPDGDD, que permite el tratamiento cuando sea necesario para «fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social», a condición de que dicho tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional.
En virtud de lo anterior:
- Es responsabilidad exclusiva del profesional sanitario obtener el consentimiento explícito e informado del paciente para la grabación y el procesamiento de la consulta, conforme al artículo 7 RGPD y al artículo 13 de la Ley 41/2002.
- El profesional sanitario garantizará que la grabación se realiza con pleno conocimiento del paciente y que se dispone de la base jurídica habilitante conforme al artículo 9.2 RGPD.
- CRONUTS DIGITAL, S.L. no utilizará los datos de salud de los pacientes para ninguna finalidad distinta de la prestación del servicio contratado.
- Los archivos de audio son procesados en streaming y no se almacenan de forma permanente una vez generada la transcripción. La transcripción y la historia clínica resultantes se almacenan cifradas en la base de datos del usuario.
5. Conservación de los datos
| Dato | Plazo de conservación | Fundamento |
|---|---|---|
| Datos de cuenta del usuario | Durante la vigencia del contrato y, una vez resuelto, 5 años adicionales | Art. 30 Código de Comercio; plazos de prescripción civil |
| Datos de facturación y pagos | 10 años desde la emisión de la factura | Art. 66 Ley General Tributaria |
| Historias clínicas y transcripciones | Mientras el usuario mantenga la cuenta activa; 5 años tras la baja, salvo instrucción en contrario | Art. 17 Ley 41/2002; normativa autonómica |
| Archivos de audio | Eliminados inmediatamente tras la generación de la transcripción | Principio de minimización (art. 5.1.c RGPD) |
| Registros de actividad (logs) | 12 meses | Art. 5.1.e RGPD |
Una vez transcurridos los plazos indicados, los datos serán eliminados o anonimizados de forma irreversible, salvo que exista obligación legal de conservación más extensa o procedimiento judicial o administrativo en curso que lo requiera.
6. Destinatarios y transferencias internacionales
6.1 Destinatarios (encargados del tratamiento)
CRONUTS DIGITAL, S.L. recurre a los siguientes proveedores en calidad de encargados del tratamiento conforme al artículo 28 RGPD:
| Proveedor | Servicio | País | Garantía |
|---|---|---|---|
| Supabase Inc. | Base de datos PostgreSQL | EE. UU. (región EU disponible) | Cláusulas Contractuales Tipo (Decisión 2021/914) |
| OpenAI, LLC | API Whisper (transcripción de audio) | EE. UU. | CCT; DPA de OpenAI |
| Anthropic, PBC | API Claude (generación de historia clínica) | EE. UU. | CCT; DPA de Anthropic |
| Stripe, Inc. | Pasarela de pago y suscripciones | EE. UU. / Irlanda | EU-US Data Privacy Framework; CCT |
| Railway Corp. | Infraestructura de alojamiento | EE. UU. | Cláusulas Contractuales Tipo |
| Resend, Inc. | Correos electrónicos transaccionales | EE. UU. | CCT; DPA de Resend |
6.2 Transferencias internacionales — Salvaguardas adicionales
Dado que varios proveedores se encuentran en EE. UU., las transferencias internacionales se amparan en las Cláusulas Contractuales Tipo adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, conforme al artículo 46.2.c) RGPD. En relación con Stripe, la transferencia se ampara además en el Marco de Privacidad de Datos UE-EE.UU. (Decisión de la Comisión Europea de 10 de julio de 2023).
El usuario puede solicitar copia de las garantías aplicables dirigiéndose a privacidad@pepys.app.
7. Relación responsable–encargado del tratamiento (Art. 28 RGPD)
En lo que respecta a los datos de salud de los pacientes procesados a través de Pepys, se establece la siguiente distinción de roles:
- Responsable del tratamiento: el profesional sanitario o la entidad clínica que contrata y utiliza la plataforma. Es el único responsable de: (i) disponer de base jurídica habilitante; (ii) informar a los pacientes (art. 13 RGPD); (iii) atender los derechos de los pacientes; y (iv) cumplir con la Ley 41/2002.
- Encargado del tratamiento: CRONUTS DIGITAL, S.L., que trata los datos únicamente por instrucción documentada del responsable y para las finalidades técnicas de prestación del servicio.
Al aceptar los Términos de Uso, el usuario suscribe el Acuerdo de Tratamiento de Datos (DPA) incorporado por referencia, conforme al artículo 28.3 RGPD, que incluye:
- Tratamiento únicamente conforme a instrucciones documentadas del responsable.
- Compromiso de confidencialidad del personal autorizado.
- Medidas de seguridad técnicas y organizativas adecuadas (art. 32 RGPD).
- Notificación al responsable de cualquier brecha en un plazo máximo de 72 horas.
- Asistencia para el cumplimiento de derechos de los interesados y EIPD.
- Eliminación o devolución de los datos al término del servicio.
8. Derechos de los interesados
De conformidad con los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la LOPDGDD, los interesados tienen los siguientes derechos:
| Derecho | Contenido |
|---|---|
| Acceso (art. 15) | Confirmación sobre si se tratan sus datos y acceso a los mismos. |
| Rectificación (art. 16) | Rectificación de datos inexactos o completación de incompletos. |
| Supresión (art. 17) | Supresión cuando ya no sean necesarios para la finalidad. |
| Limitación (art. 18) | Limitación del tratamiento en determinadas circunstancias. |
| Portabilidad (art. 20) | Recibir los datos en formato estructurado y de uso común. |
| Oposición (art. 21) | Oponerse al tratamiento basado en interés legítimo. |
| Retirada del consentimiento (art. 7.3) | Retirar el consentimiento prestado en cualquier momento. |
| Decisiones automatizadas (art. 22) | No ser objeto de decisiones únicamente automatizadas con efectos significativos. |
8.1 Ejercicio de derechos
Los derechos podrán ejercerse mediante solicitud escrita dirigida a privacidad@pepys.app, acompañando copia del DNI, NIE o pasaporte. CRONUTS DIGITAL, S.L. resolverá la solicitud en el plazo máximo de un mes desde su recepción, prorrogable por dos meses adicionales atendiendo a la complejidad o número de solicitudes.
En el caso de solicitudes relativas a datos de pacientes, el interesado deberá dirigirse, con carácter previo, al profesional sanitario responsable del tratamiento, dado que CRONUTS DIGITAL, S.L. actúa únicamente como encargado del tratamiento.
9. Medidas de seguridad
En cumplimiento del artículo 32 del RGPD, se han adoptado las siguientes medidas técnicas y organizativas:
9.1 Medidas técnicas
- Cifrado en tránsito: HTTPS/TLS 1.3 en todas las comunicaciones.
- Cifrado en reposo: AES-256 en la base de datos.
- Autenticación segura: contraseñas con hash bcrypt (factor 10).
- Control de acceso: políticas de Row Level Security (RLS) en la base de datos.
- Autenticación JWT: tokens con expiración de 7 días, firmados con clave de 256 bits.
- No retención de audio: los audios se eliminan tras la transcripción.
- Limitación de acceso a APIs: claves almacenadas como variables de entorno.
9.2 Medidas organizativas
- Acceso limitado al personal técnico estrictamente necesario, bajo confidencialidad.
- Procedimiento documentado de gestión y notificación de brechas (arts. 33 y 34 RGPD).
- Evaluación periódica de las medidas de seguridad implementadas.
9.3 Notificación de brechas de seguridad
En caso de violación de seguridad que suponga riesgo para los derechos y libertades de los interesados, CRONUTS DIGITAL, S.L. notificará a la AEPD en un plazo máximo de 72 horas (art. 33 RGPD) y, cuando el riesgo sea alto, también a los afectados sin dilación indebida.
10. Cookies y tecnologías de rastreo
Pepys utiliza exclusivamente cookies técnicas estrictamente necesarias para el funcionamiento de la plataforma (gestión de sesión). No se utilizan cookies de seguimiento, perfilado publicitario ni análisis de comportamiento de terceros. Por tanto, no resulta de aplicación la obligación de obtención de consentimiento previo del artículo 22.2 LSSI-CE.
En caso de que en el futuro se implementen cookies no estrictamente necesarias, se actualizará esta política y se obtendrá el consentimiento expreso previo conforme a la Guía sobre el uso de las cookies de la AEPD.
11. Menores de edad
Pepys es un servicio dirigido exclusivamente a profesionales sanitarios mayores de 18 años. No está orientado a menores. Si CRONUTS DIGITAL, S.L. tuviera conocimiento de haber recibido datos de un menor de 14 años sin el consentimiento parental requerido, procederá a su eliminación inmediata.
12. Modificaciones de la política
CRONUTS DIGITAL, S.L. se reserva el derecho a modificar esta Política para adaptarla a cambios legislativos, jurisprudenciales o de las prácticas del sector. Cualquier modificación sustancial será comunicada a los usuarios registrados por correo electrónico con un preaviso mínimo de 30 días naturales antes de su entrada en vigor, salvo imposición legal o de autoridad competente.
La versión vigente estará siempre disponible en https://pepys.app/privacidad, con indicación de la fecha de última actualización.
13. Reclamaciones ante la autoridad de control
Sin perjuicio del ejercicio de cualquier otro recurso, el interesado tiene derecho a presentar una reclamación ante la autoridad de control competente. En España:
Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6 · 28001 Madrid
Teléfono: 901 100 099
Web: www.aepd.es · Sede electrónica: sedeagpd.gob.es
14. Contacto y Delegado de Protección de Datos
Para cualquier cuestión relacionada con el tratamiento de sus datos personales, puede contactar con CRONUTS DIGITAL, S.L. a través de:
- Correo electrónico: privacidad@pepys.app
- Dirección postal: CRONUTS DIGITAL, S.L. — C/ Aribau 205, 3ª planta, 08021 Barcelona, España
- Teléfono: +34 937 961 031
- Correo electrónico general: admin@cronuts.digital
A la fecha de entrada en vigor, CRONUTS DIGITAL, S.L. no está obligada a designar un Delegado de Protección de Datos (DPD) en virtud del artículo 37 RGPD. No obstante, ha designado un responsable interno de privacidad como punto de contacto para los interesados y para la AEPD, y revisará anualmente esta obligación conforme a la evolución del volumen y naturaleza de los tratamientos.
© 2026 CRONUTS DIGITAL, S.L. · Pepys · Todos los derechos reservados
Documento elaborado conforme al RGPD (UE) 2016/679, la LOPDGDD (LO 3/2018) y la LSSI-CE (Ley 34/2002).
Versión 1.0 · 18 de abril de 2026