Saltar al contenido principal

Política de Privacidad

Última actualización: 10 de abril de 2026

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales recabados a través de la plataforma Wavaily (en adelante, la “Plataforma”) accesible desde www.wavaily.com es:

  • Identidad:Wavaily (en adelante, el “Responsable”)
  • Correo electrónico de contacto: privacidad@wavaily.com
  • Sitio web: www.wavaily.com

2. Datos personales que recabamos

En función de la relación que mantenga con la Plataforma, podremos tratar las siguientes categorías de datos personales:

2.1 Clínicas y profesionales (usuarios registrados)

  • Datos identificativos: nombre, apellidos, dirección de correo electrónico, número de teléfono.
  • Datos profesionales: nombre de la clínica, dirección, número de colegiado (si se facilita), especialidades.
  • Datos de acceso: dirección de correo electrónico y contraseña cifrada.

2.2 Pacientes (usuarios de las clínicas)

  • Datos identificativos: nombre, apellidos, dirección de correo electrónico, número de teléfono.
  • Datos de salud: únicamente los estrictamente necesarios para la gestión de citas (servicio solicitado, motivo de consulta si la clínica lo habilita). Wavaily no accede ni almacena historiales clínicos completos.
  • Datos de navegación: dirección IP, tipo de navegador, cookies.

3. Finalidades del tratamiento

Tratamos los datos personales para las siguientes finalidades:

  • Prestación del servicio: gestión de cuentas de usuario, gestión de citas y reservas, envío de confirmaciones y recordatorios.
  • Comunicaciones transaccionales: envío de correos electrónicos de confirmación de cita, cancelación, reprogramación y recordatorios por correo electrónico, SMS o WhatsApp.
  • Mejora de la Plataforma: análisis estadístico agregado y anonimizado del uso de la Plataforma.
  • Cumplimiento legal: atención a reclamaciones y ejercicio de derechos, cumplimiento de obligaciones fiscales y mercantiles.

4. Base jurídica del tratamiento

  • Ejecución de un contrato (artículo 6.1.b del RGPD): el tratamiento es necesario para la prestación del servicio contratado por las clínicas y la gestión de citas de los pacientes.
  • Consentimiento (artículo 6.1.a del RGPD): para el envío de comunicaciones comerciales, en su caso.
  • Interés legítimo (artículo 6.1.f del RGPD): para la mejora de la Plataforma y la prevención del fraude.
  • Obligación legal (artículo 6.1.c del RGPD): para el cumplimiento de obligaciones fiscales y mercantiles aplicables.

5. Destinatarios de los datos

Los datos personales podrán ser comunicados a los siguientes destinatarios, exclusivamente para las finalidades indicadas:

  • Supabase, Inc. (Estados Unidos): alojamiento de base de datos y autenticación. Cuenta con cláusulas contractuales tipo aprobadas por la Comisión Europea para transferencias internacionales.
  • Vercel, Inc. (Estados Unidos): alojamiento de la Plataforma. Cuenta con cláusulas contractuales tipo.
  • Resend, Inc. (Estados Unidos): envío de correos electrónicos transaccionales. Cuenta con cláusulas contractuales tipo.
  • Stripe, Inc. (Estados Unidos): procesamiento de pagos, si la clínica habilita el cobro online. Cuenta con cláusulas contractuales tipo.
  • Twilio, Inc. (Estados Unidos): envío de SMS y mensajes de WhatsApp, si la clínica habilita recordatorios. Cuenta con cláusulas contractuales tipo.

No se cederán datos a terceros distintos de los indicados, salvo obligación legal.

6. Transferencias internacionales

Los proveedores indicados en el apartado anterior se encuentran ubicados en Estados Unidos. En todos los casos, se han suscrito las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914) como garantía adecuada para la transferencia internacional de datos, conforme al artículo 46.2.c del RGPD.

7. Plazo de conservación

  • Datos de usuarios registrados (clínicas): mientras se mantenga la relación contractual y, tras su finalización, durante los plazos legalmente exigidos (mínimo 5 años conforme al Código de Comercio).
  • Datos de pacientes: durante el tiempo necesario para la gestión de la cita y, tras su finalización, durante un máximo de 12 meses, salvo que la clínica como responsable independiente del tratamiento establezca plazos distintos.
  • Datos de navegación: máximo 13 meses desde su recogida.

8. Derechos del interesado

De conformidad con el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), el interesado tiene derecho a:

  • Acceso: conocer qué datos personales suyos están siendo tratados.
  • Rectificación: solicitar la corrección de datos inexactos o incompletos.
  • Supresión: solicitar la eliminación de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
  • Oposición: oponerse al tratamiento de sus datos en determinadas circunstancias.
  • Limitación del tratamiento: solicitar que se limite el tratamiento de sus datos.
  • Portabilidad: recibir los datos facilitados en un formato estructurado, de uso común y lectura mecánica.

Para ejercer estos derechos, el interesado puede dirigirse a privacidad@wavaily.com, indicando su identidad y el derecho que desea ejercer. Se atenderá la solicitud en el plazo máximo de un mes.

Asimismo, el interesado tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es) si considera que sus derechos no han sido debidamente atendidos.

9. Medidas de seguridad

Wavaily aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

  • Cifrado de contraseñas y datos sensibles en tránsito (TLS) y en reposo.
  • Políticas de seguridad a nivel de fila (Row Level Security) en la base de datos, garantizando que cada clínica solo accede a sus propios datos.
  • Cabeceras de seguridad HTTP (HSTS, CSP, X-Frame-Options).
  • Autenticación segura mediante tokens JWT con expiración controlada.

10. Cookies

La Plataforma utiliza cookies estrictamente necesarias para el funcionamiento del servicio (autenticación de sesión). No se utilizan cookies con fines publicitarios o de rastreo de terceros.

Para más información sobre las cookies utilizadas, puede consultar la configuración de su navegador.

11. Relación entre Wavaily y las clínicas

A los efectos del RGPD, Wavaily actúa como encargado del tratamiento respecto a los datos de pacientes que las clínicas gestionan a través de la Plataforma. Cada clínica es responsable del tratamiento de los datos de sus pacientes y debe disponer de su propia base jurídica para dicho tratamiento (consentimiento del paciente, ejecución de contrato de prestación de servicios sanitarios, etc.).

Las condiciones de esta relación de encargo de tratamiento se regulan en el contrato de prestación de servicios suscrito entre Wavaily y cada clínica.

12. Modificaciones

Wavaily se reserva el derecho a modificar la presente Política de Privacidad para adaptarla a novedades legislativas o jurisprudenciales. En caso de cambios sustanciales, se notificará a los usuarios registrados por correo electrónico con una antelación mínima de 15 días.