Seguridad y protección de datos

Las clínicas dentales que externalizan la recepción telefónica confían a un proveedor externo el acceso a datos de pacientes. Es una decisión que exige garantías concretas: sobre cómo está organizada la infraestructura, quién puede acceder a qué, qué protecciones jurídicas se establecen y qué ocurre si algo falla. Esta página describe con precisión cómo protegemos la información de las clínicas y de sus pacientes.

Infraestructura y acceso seguro

El servicio opera sobre infraestructura cloud profesional gestionada por proveedores especializados. Los entornos de producción están separados de los entornos de prueba y desarrollo.

• Infraestructura profesional. El servicio se despliega sobre plataformas cloud con controles operativos establecidos. No utilizamos servidores propios sin gestión profesional ni infraestructura improvisada.
• Acceso restringido a producción. El acceso a los entornos donde se procesan datos de pacientes está limitado al personal técnico con necesidad operativa justificada. No existe acceso abierto a los sistemas de producción.
• Cifrado en tránsito y en reposo. Todas las comunicaciones entre el servicio y el exterior se transmiten mediante cifrado TLS. Los datos almacenados se cifran en reposo.
• Registro de accesos. Los accesos a los entornos de producción quedan registrados. Cualquier acceso a datos de pacientes es rastreable.

Separación entre clínicas

Cada clínica que contrata el servicio opera en un entorno completamente independiente. La separación entre clínicas es una garantía estructural del diseño del sistema, no una política de uso que dependa de la conducta de los usuarios.

• Los datos de los pacientes de una clínica no son accesibles desde el entorno de otra clínica.
• El personal de una clínica no puede ver, consultar ni operar sobre los datos de otra clínica bajo ninguna circunstancia.
• La configuración, los flujos de trabajo y el histórico de llamadas de cada clínica son exclusivos de esa clínica.

Esta separación es especialmente relevante para grupos clínicos o clínicas que comparten propietario pero requieren independencia operativa entre centros.

Protección de datos y privacidad

Los datos que se recogen durante las llamadas —nombre del paciente, teléfono, motivo de consulta— pueden incluir información de salud y están clasificados como datos de categoría especial bajo el artículo 9 del RGPD. El tratamiento de esos datos exige una base de legitimación reforzada y medidas de seguridad adecuadas al riesgo.

• Encargado del tratamiento. Recepcionista Dental actúa como encargado del tratamiento conforme al artículo 28 del RGPD. Los datos pertenecen y son controlados por la clínica, que actúa como responsable del tratamiento.
• Uso exclusivo del servicio. No utilizamos los datos de los pacientes para ningún fin distinto a la prestación del servicio a la clínica. No se comparten con terceros salvo con los subencargados tecnológicos necesarios para operar el servicio.
• Plazos de retención configurables. Los plazos de conservación de datos son definidos por cada clínica y se aplican conforme a lo acordado. Recepcionista Dental no retiene datos más allá de lo necesario para la prestación del servicio.
• Subencargados tecnológicos. El servicio se apoya en proveedores especializados en síntesis y reconocimiento de voz, infraestructura cloud y procesamiento de lenguaje. Cada uno actúa como subencargado conforme al art. 28.4 del RGPD, con acuerdos de tratamiento de datos que imponen las mismas obligaciones de confidencialidad y seguridad exigibles al encargado principal.

Para una descripción detallada de las obligaciones del RGPD aplicables a la recepción dental —bases legales, grabación de llamadas, derechos de los pacientes y registro de actividades de tratamiento—, consulta la guía RGPD para clínicas dentales.

Contrato de encargado de tratamiento

Antes del inicio del servicio se firma un contrato de encargado de tratamiento con cada clínica, conforme al artículo 28 del RGPD. Ese contrato no es un trámite formal: es el instrumento jurídico que establece con precisión las condiciones bajo las que Recepcionista Dental accede y trata los datos de los pacientes de la clínica.

El contrato incluye:

• El objeto y la duración del tratamiento
• La naturaleza y finalidad del tratamiento
• El tipo de datos personales y las categorías de interesados
• Las obligaciones y derechos del responsable del tratamiento
• Las medidas de seguridad técnicas y organizativas aplicadas
• Las condiciones de eliminación o devolución de datos al finalizar la relación contractual

La clínica puede solicitar el contrato de encargado de tratamiento en cualquier momento del proceso de evaluación, antes de comprometerse con el servicio. Si tienes preguntas específicas sobre el contenido del contrato, puedes escribirnos a contacto@recepcionistadental.com o usar el formulario de evaluación.

Disponibilidad y continuidad operativa

La continuidad operativa del servicio de recepción es un requisito funcional crítico para las clínicas. Una clínica que depende del sistema para atender llamadas necesita que ese sistema esté disponible de forma fiable, especialmente en los momentos de mayor actividad.

• Monitorización continua. El estado del servicio se monitoriza de forma permanente. Las alertas operativas permiten detectar y responder a incidencias de forma temprana, antes de que afecten a la operativa de las clínicas.
• Sistemas redundantes. Los componentes críticos del servicio cuentan con redundancia para reducir el impacto de fallos en componentes individuales. El diseño del sistema evita puntos únicos de fallo en las rutas críticas.
• Recuperación rápida. El objetivo operativo ante cualquier incidencia es minimizar el tiempo de afectación y restablecer el servicio en el menor tiempo posible.
• Comunicación a clínicas afectadas. En caso de incidencia que afecte al servicio de una clínica, se comunica el estado y la evolución sin demora.

Ningún sistema puede garantizar disponibilidad absoluta. El diseño del servicio prioriza la detección temprana, la recuperación rápida y la comunicación transparente sobre cualquier afectación.

Preguntas frecuentes

¿Firmáis un contrato de encargado de tratamiento conforme al RGPD? +

Sí. Antes del inicio del servicio se firma un contrato de encargado de tratamiento conforme al artículo 28 del RGPD con cada clínica. Ese contrato regula el tratamiento de datos de pacientes, las medidas de seguridad aplicadas y las condiciones de eliminación de datos al finalizar la relación. La clínica puede solicitarlo en cualquier momento del proceso de evaluación, antes de comprometerse con el servicio.

¿Los datos de los pacientes están cifrados? +

Los datos se transmiten cifrados en tránsito mediante TLS y se almacenan cifrados en reposo. El acceso a los entornos donde se procesan esos datos está restringido mediante controles de autenticación y queda registrado para trazabilidad.

¿Puede una clínica acceder a los datos de otra? +

No. Cada clínica opera en un entorno completamente separado. La separación entre clínicas es una garantía estructural del diseño del sistema, no una política que dependa de la conducta de los usuarios. Los datos de los pacientes de una clínica no son accesibles desde el entorno de otra, ni por el personal de otra clínica bajo ninguna circunstancia.

¿Qué ocurre con los datos cuando termina el contrato? +

Cuando finaliza la relación contractual, los datos de los pacientes se eliminan conforme a los plazos establecidos en el contrato de encargado de tratamiento. La clínica puede solicitar la eliminación anticipada en cualquier momento durante la vigencia del contrato.

¿Qué disponibilidad tiene el servicio? +

El servicio se monitoriza de forma continua. Contamos con sistemas redundantes orientados a garantizar la continuidad operativa. Ningún sistema puede garantizar disponibilidad absoluta, pero el diseño prioriza la detección temprana y la recuperación rápida ante cualquier incidencia, con comunicación directa a las clínicas afectadas.

¿Qué subencargados tecnológicos utilizáis? +

El servicio se apoya en proveedores tecnológicos especializados en síntesis y reconocimiento de voz, infraestructura cloud y procesamiento de lenguaje. Estos proveedores actúan como subencargados conforme al art. 28.4 del RGPD, con acuerdos de tratamiento de datos que imponen las mismas obligaciones de confidencialidad y seguridad exigibles al encargado principal. La clínica puede solicitar información sobre los subencargados utilizados.