1. Responsable del Tratamiento
En el uso de GEMA como servicio B2B, el especialista en bienestar actúa como responsable del tratamiento de los datos de sus clientes finales. GEMAPLAN SL, con NIF B19392265 y sede en Calle Abobriga 22, 36393 Pontevedra, España, actúa como encargado del tratamiento en lo relativo a la prestación del servicio GEMA. Email: privacy@gema-ai.com
2. Finalidad del Tratamiento
Prestar al especialista el servicio GEMA para la entrega digital de planes de cuidado personal y contenido de bienestar a sus clientes. Facilitar la comunicación entre el especialista y sus clientes a través de la plataforma. Permitir el acceso a recomendaciones generales de bienestar y a productos de parafarmacia o de venta libre, cuando el especialista lo indique.
3. Base Jurídica
Ejecución del contrato entre GEMAPLAN SL y el especialista. Consentimiento del cliente final recabado por el especialista. Cumplimiento de obligaciones legales. Interés legítimo en la mejora del servicio.
4. Datos Recopilados
Datos identificativos y de contacto del especialista. Datos necesarios para la personalización de la experiencia del cliente final, facilitados por el especialista. Historial de interacciones en la plataforma. GEMAPLAN SL no utiliza los datos de los clientes finales para fines propios ni realiza diagnóstico médico.
5. No consideración como dispositivo médico
Referencias oficiales a la MDCG 2019-11: Página 9: “…storage, archival, communication… simple search… or lossless compression”. Páginas 26-27: “Communication systems are normally based on software for general purposes, and do not fall within the definition of a medical device.” Página 27: “Telemedicine that solely transfers and displays information for monitoring purposes without interpreting data does not qualify as a medical device.”
6. Destinatarios
Proveedores tecnológicos que actúan como subencargados de tratamiento bajo contrato RGPD. Transferencias internacionales solo con garantías adecuadas.
7. Plazo de Conservación
Los datos se conservarán mientras el especialista mantenga su cuenta activa y el tiempo necesario para cumplir obligaciones legales.
8. Derechos de los Interesados
El especialista puede ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. El especialista es responsable de atender las solicitudes de derechos de sus clientes finales.
9. Seguridad
GEMAPLAN SL aplica medidas técnicas y organizativas apropiadas para garantizar la confidencialidad, integridad, disponibilidad y trazabilidad de la información tratada en la plataforma GEMA, en cumplimiento del artículo 32 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
El acceso a la plataforma requiere autenticación con credenciales seguras y está sujeto a controles de acceso basados en roles, aplicando el principio de mínimo privilegio. Todos los accesos y acciones relevantes se registran para permitir la trazabilidad de las operaciones.
La información se transmite cifrada mediante protocolos seguros (TLS 1.2 o superior) y se almacena cifrada para prevenir accesos o usos no autorizados. Se aplican procedimientos de gestión de vulnerabilidades y actualizaciones de seguridad periódicas para mantener la integridad y protección de la información.
La disponibilidad de la información se garantiza mediante copias de seguridad cifradas y procedimientos de restauración probados periódicamente. Existe un plan de respuesta ante incidentes de seguridad que incluye el procedimiento de notificación de brechas de datos personales al especialista en su calidad de responsable del tratamiento, con la información necesaria para que cumpla sus obligaciones legales de notificación ante la autoridad de control y, en su caso, a los interesados.
Se mantiene actualizada una Evaluación de Impacto en Protección de Datos (DPIA) para valorar y mitigar los riesgos asociados al tratamiento de datos personales. GEMAPLAN SL formaliza contratos de encargo de tratamiento con todos los proveedores que puedan tener acceso a datos personales, exigiendo garantías de seguridad y confidencialidad equivalentes a las aquí descritas.