PepysPepys.app
Cumplimiento verificado · RGPD · LOPDGDD · Ley 41/2002

Tu consulta dental protegida por ley

Sí, Pepys trata datos de salud de tus pacientes. Por eso nos hemos tomado la protección de datos muy en serio desde el primer día. Aquí te explicamos exactamente cómo y por qué cumplimos con la normativa, sin letra pequeña.

Sin audio almacenadoCifrado extremo a extremoSin entrenamiento de IA con tus datosAcuerdo DPA incluidoAEPD como supervisora

Sabemos que como dentista la protección de datos de tus pacientes no es solo una obligación legal: es una cuestión de confianza y responsabilidad profesional. La historia clínica de un paciente es uno de los datos más sensibles que existen, y cuando usas Pepys para documentar una consulta, estás confiándonos información de categoría especial según el Reglamento General de Protección de Datos (RGPD).

Esta página explica, de forma clara y sin tecnicismos jurídicos innecesarios, qué hace Pepys con esos datos, qué no hace, y por qué estás cumpliendo la ley cuando usas nuestra plataforma. Si en algún momento tienes dudas, escríbenos a privacidad@pepys.app.

Punto de partida

Quién es quién en la RGPD

Lo primero que tienes que saber es que en protección de datos no todo el mundo tiene el mismo papel. La ley distingue dos figuras clave.

Eres tú →

Responsable del tratamiento

  • Eres quien decide para qué se usan los datos de tus pacientes
  • Eres quien recoge el consentimiento informado del paciente
  • Eres el profesional sanitario legalmente habilitado
  • Eres quien decide qué datos de paciente introduce en Pepys
  • Eres el responsable ante la AEPD si algo falla

Somos nosotros →

Encargados del tratamiento

  • Solo procesamos los datos que tú nos envías
  • Actuamos únicamente según tus instrucciones
  • No accedemos al contenido de tus consultas con fines propios
  • Firmamos un Acuerdo de Encargo de Tratamiento (DPA) contigo
  • Te ayudamos a cumplir la ley, pero no te sustituimos en tu responsabilidad
En términos simples: es como cuando contratas a una gestoría para que lleve tu contabilidad. Tus datos son tuyos, la gestoría solo los maneja por tu encargo. Si algo sale mal, la responsabilidad primera es tuya como empresario, pero la gestoría tiene que haber actuado correctamente. Pepys es tu gestoría de documentación clínica.

Por qué cumplimos

8 razones concretas por las que Pepys es RGPD compliant

No es un eslogan. Aquí tienes exactamente qué hace Pepys en cada punto que exige la normativa.

1. El audio desaparece en segundos

Cuando subes la grabación de una consulta, Pepys la envía a un sistema de transcripción para convertirla en texto. Una vez generada la transcripción, el archivo de audio se elimina inmediatamente de todos los servidores. No lo guardamos. Nunca.

¿Por qué importa? El audio de una consulta es el dato más sensible: contiene la voz del paciente, síntomas íntimos y todo lo que se habla en la consulta. Guardarlo sería un riesgo innecesario. La RGPD llama a esto minimización de datos.
Art. 5.1.c RGPD — Minimización

2. Todo viaja y se guarda cifrado

La conexión entre tu navegador y Pepys usa HTTPS con TLS 1.3, el protocolo de seguridad más moderno. Y los datos que guardamos en nuestra base de datos están cifrados con AES-256, el mismo estándar que usan los bancos.

Si alguien interceptara el tráfico de red o accediera físicamente al servidor, solo vería datos incomprensibles. Descifrarlos sin la clave tomaría millones de años con la tecnología actual.
Art. 32 RGPD — Seguridad

3. Nadie usa tus datos para entrenar IA

Ni nosotros ni los proveedores de IA que usamos utilizan el contenido de tus consultas para entrenar o mejorar sus modelos. Hemos firmado acuerdos de procesamiento de datos (DPA) que lo prohíben expresamente.

Sería éticamente inadmisible que los datos de salud de tus pacientes sirvieran para alimentar sistemas de IA sin su consentimiento. La historia clínica de las 10:00 no puede acabar entrenando a un chatbot.
Art. 28 RGPD — Encargado

4. Firmamos el DPA contigo automáticamente

Al aceptar nuestros Términos de Uso queda automáticamente suscrito el Acuerdo de Tratamiento de Datos (DPA) entre tu clínica y CRONUTS DIGITAL, S.L. Este documento, exigido por el artículo 28 del RGPD, regula exactamente qué podemos hacer con los datos de tus pacientes.

Nos obliga a: tratar los datos solo para prestarte el servicio, mantener confidencialidad, avisarte en 72h si hay una brecha de seguridad, eliminarte todos los datos si das de baja la cuenta, y ayudarte a atender los derechos de tus pacientes.
Art. 28.3 RGPD — Contrato

5. Base jurídica habilitante para datos de salud

Los datos de salud son una categoría especial bajo el RGPD y tienen protección reforzada. El tratamiento tiene base jurídica en el artículo 9.2.h) del RGPD: asistencia sanitaria prestada por un profesional sujeto al deber de secreto.

Como odontólogo, tu deber de secreto profesional y el consentimiento informado del paciente son la base legal que habilita el uso de herramientas digitales de documentación clínica. Recuerda informar a tus pacientes.
Art. 9.2.h RGPD · Ley 41/2002

6. Transferencias internacionales con garantías

Algunos proveedores tienen servidores en EE. UU. La RGPD no lo prohíbe, pero exige garantías específicas. Hemos suscrito las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea con cada uno de ellos.

Las CCT son contratos estándar aprobados por la UE que obligan a los proveedores americanos a proteger los datos europeos con los mismos estándares que exige la RGPD. Es el mecanismo legal más robusto.
Art. 46.2.c RGPD

7. Cada usuario solo ve sus datos

Nuestra base de datos implementa políticas de seguridad a nivel de fila (Row Level Security). En sencillo: aunque Pepys tenga miles de usuarios, el sistema garantiza a nivel técnico que nadie puede ver los datos de otro.

Es como si en un edificio de pisos cada puerta solo pudiera abrirse con la llave del propietario, y encima el portero verificase la llave antes de dejar pasar. Doble candado.
Art. 32 RGPD — Medidas técnicas

8. Puedes borrar todo cuando quieras

Tienes el control total de tus datos. Desde tu perfil puedes eliminar consultas individuales, y si decides cerrar tu cuenta, todos tus datos se eliminan de forma permanente e irreversible en un plazo de 30 días.

Solo conservamos los datos de facturación (10 años, por obligación fiscal) y los registros de actividad mínimos requeridos por la LSSI. Cuando te vas, te vas de verdad.
Art. 17 RGPD — Supresión

Bajo el capó

La arquitectura de seguridad en detalle

Para los más técnicos (o los más curiosos): esto es lo que hay detrás.

Contraseñas con bcrypt

Nunca almacenamos tu contraseña. Solo guardamos un hash irreversible con bcrypt. Ni nosotros podemos leerla.

Sesiones con JWT firmado

Tu sesión usa un token firmado con clave de 256 bits. No hay cookies de sesión que puedan robarse.

Pagos vía Stripe PCI DSS L1

Los datos de tu tarjeta nunca tocan nuestros servidores. Los gestiona Stripe, certificado al máximo nivel PCI.

Base de datos con RLS

Row Level Security: cada consulta SQL está filtrada a nivel de motor para que solo veas tus datos.

Audio en memoria, no en disco

El archivo de audio se procesa en streaming y se elimina del sistema de ficheros tras la transcripción.

Notificación de brechas en 72h

Procedimiento documentado para notificar a la AEPD y a los afectados en el plazo legal de 72 horas.

Preguntas frecuentes

Lo que nos preguntan los dentistas

Preguntas reales de odontólogos que usan Pepys.

1¿Tengo que pedir permiso al paciente para usar Pepys en su consulta?+

Sí, y es algo que ya deberías estar haciendo de todos modos: el consentimiento informado. Te recomendamos añadir una frase en tu formulario de consentimiento que indique que usas herramientas digitales de apoyo a la documentación clínica, incluyendo sistemas de inteligencia artificial. No es complicado, y tu asesor jurídico puede ayudarte a redactarlo en cinco minutos.

2¿Los proveedores de IA "leen" las conversaciones de mis pacientes para entrenar su IA?+

No. Pepys usa las APIs empresariales de los proveedores de IA, no los servicios de consumo que usa el público general. En los contratos de encargo de tratamiento que tenemos firmados se establece expresamente que los datos procesados a través de la API no se usan para entrenar sus modelos. Tus consultas no alimentan a ninguna IA.

3¿Dónde se almacenan físicamente los datos? ¿Están en España?+

Los datos se almacenan en servidores cloud que pueden estar en la UE o en EE. UU. según la región configurada. Para las transferencias a EE. UU., tenemos suscritas las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, que son el mecanismo legal establecido por la RGPD. No es lo mismo que estar en España, pero sí tiene el mismo nivel de protección legal.

4Si un paciente me pide que borre sus datos, ¿qué hago?+

Tienes el control completo desde tu cuenta de Pepys. Puedes eliminar consultas individuales directamente desde el historial. Ojo: la Ley 41/2002 obliga a conservar la historia clínica durante al menos 5 años desde el episodio asistencial (y en algunas comunidades autónomas más tiempo), así que el derecho de supresión tiene ese límite legal. Debes informar al paciente de esta obligación de conservación.

5¿Qué pasa si hay una brecha de seguridad y se filtran datos de mis pacientes?+

Pepys tiene la obligación legal (artículo 33 RGPD) de notificártelo en un plazo máximo de 72 horas desde que tengamos conocimiento del incidente. Tú, como responsable del tratamiento, tendrás que valorar si debes notificar a la AEPD y a los pacientes afectados. Tenemos un procedimiento interno de gestión de incidentes documentado para que el tiempo de respuesta sea el mínimo posible.

6¿La historia clínica generada por Pepys es válida legalmente?+

Pepys genera un borrador estructurado de la historia clínica a partir del audio de la consulta. Para que tenga validez legal plena, el profesional sanitario debe revisarla, validarla y en su caso corregirla antes de incorporarla a la historia oficial del paciente. Pepys es una herramienta de apoyo, no un sustituto del juicio clínico del odontólogo.

7¿Hay que incluir a Pepys en el Registro de Actividades de Tratamiento?+

Sí. Como clínica dental estás obligada a mantener un Registro de Actividades de Tratamiento (RAT) según el artículo 30 RGPD. Deberías incluir una actividad de tratamiento correspondiente a "Documentación clínica con herramienta de transcripción asistida por IA (Pepys)", indicando como encargado del tratamiento a CRONUTS DIGITAL, S.L. (CIF B-67049718), C/ Aribau 205, Barcelona.

Tu parte del trabajo

Lo que debes hacer tú como odontólogo

Nosotros cumplimos la parte técnica. Tú tienes que cumplir la parte clínico-legal.

Actualiza tu consentimiento informado

Añade una mención al uso de herramientas de IA para documentación clínica. Una frase es suficiente.

Actualiza tu Registro de Actividades

Añade a Pepys como encargado de tratamiento en tu RAT. Tu DPO o asesor te puede ayudar en minutos.

Revisa siempre el borrador generado

La historia clínica que genera Pepys es un borrador. Revísalo antes de incorporarlo al historial oficial.

Respeta los plazos de conservación

La Ley 41/2002 obliga a conservar la historia clínica mínimo 5 años. No borres registros antes de cumplir el plazo.

¿Tienes más preguntas sobre protección de datos?

Nuestro equipo responde en menos de 24 horas. Sin bots, sin respuestas automáticas.

Escríbenos →Política de privacidad completa