Política de Gestión de Datos (RGPD)

Última actualización: 5 de mayo de 2026

La presente política describe cómo PhoxRay trata los datos personales en el marco de su aplicación web y de sus servicios asociados, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y con la ley francesa « Informatique et Libertés ». Complementa las Condiciones Generales de Uso.

1. Responsable del tratamiento

El responsable del tratamiento de los datos recopilados a través de PhoxRay es el editor del servicio que opera bajo la marca PhoxRay. Para cualquier pregunta relativa a esta política o a sus derechos, puede escribir a: contact@phoxray.com.

2. Datos recopilados

Según el uso que haga del servicio, podemos tratar, en particular:

Datos de cuenta e identificación: identificador de miembro, nombre, apellido, dirección de correo electrónico y, en su caso, información transmitida por la plataforma de alojamiento del sitio o de autenticación —por ejemplo, Wix Members—, según su perfil.

Datos de uso del servicio: contenidos que usted carga o genera en la aplicación, en particular imágenes de radiografías y archivos derivados: máscaras, resultados de tratamiento; metadatos técnicos asociados: identificadores de archivos, registros de generación, parámetros de workflow en la medida en que permitan identificarle o vincular un tratamiento a su cuenta.

Datos de relación comercial: suscripciones, créditos o consumo vinculado a las ofertas, en la medida en que estos elementos se traten para la facturación o la gestión del contrato.

Datos técnicos y de seguridad: dirección IP, registros de servidores, cookies o rastreadores estrictamente necesarios para el funcionamiento y la seguridad del servicio, según la configuración.

Los contenidos susceptibles de contener datos de salud —en particular imágenes de radiografías y archivos derivados— pueden constituir datos de salud en el sentido del RGPD cuando permitan identificar a una persona física o puedan vincularse a una persona identificable. Usted solo debe enviar dichos contenidos cuando disponga de las bases legales y profesionales que le correspondan —consentimiento, obligación legal, ejercicio de la profesión, etc.—. De conformidad con las CGU, debe priorizar la carga de contenidos anonimizados o, en su defecto, seudonimizados en la medida de lo posible; la seudonimización no elimina necesariamente el carácter personal de los datos ni sus obligaciones —secreto profesional, expediente del paciente, etc.—. Usted sigue siendo responsable de la licitud de los contenidos enviados y de las medidas previas que aplique.

3. Finalidades y bases legales

Tratamos los datos para:

Prestación y seguridad del servicio —ejecución del contrato o medidas precontractuales; interés legítimo para la seguridad y la prevención de abusos—: autenticación, almacenamiento, tratamiento mediante IA de los archivos que usted envía, visualización en su espacio, soporte técnico.

Gestión de suscripciones y pagos —ejecución del contrato; obligaciones legales contables, en su caso—.

Mejora y mantenimiento —interés legítimo o ejecución del contrato, según el caso—: corrección de incidencias, estadísticas agregadas, evolución de las funcionalidades.

Comunicaciones comerciales: únicamente si usted ha dado su consentimiento o en los supuestos previstos por la ley —base legal: consentimiento o interés legítimo con derecho de oposición según el canal—.

Cuando el tratamiento de datos de salud sea necesario para el funcionamiento del servicio por cuenta de usted, la base jurídica puede incluir la ejecución del contrato y, en su caso, obligaciones propias de su condición profesional; adapte su práctica con los pacientes de conformidad con las normas que le sean aplicables.

4. Destinatarios y subcontratistas

Los datos pueden ser tratados por proveedores que actúen por nuestra cuenta y siguiendo nuestras instrucciones —subcontratistas—, en particular: alojamiento y almacenamiento de archivos —por ejemplo, cloud de tipo Google Cloud—, tratamientos de inferencia o colas de ejecución —por ejemplo, entornos de tipo ComfyUI / servicios de IA—, alojamiento del sitio front-end y gestión de cuentas de miembros —por ejemplo, Wix—, proveedores de pago o facturación si se utilizan.

Para el almacenamiento o tratamiento de contenidos susceptibles de contener datos de salud, podemos recurrir a proveedores cuyas ofertas, dentro del perímetro aplicable a la cadena de tratamiento correspondiente, cumplan los requisitos relativos a los alojadores de datos de salud —HDS— cuando la normativa lo imponga o lo prevea para dichos tratamientos. Esto no significa que el editor del servicio PhoxRay sea él mismo titular de una certificación HDS como persona jurídica.

Estos actores están contractualmente obligados a respetar el RGPD. Puede facilitarse una lista actualizada de las categorías de subcontratistas previa solicitud razonable a contact@phoxray.com.

En caso de transferencia fuera del Espacio Económico Europeo, nos basamos en garantías adecuadas —cláusulas contractuales tipo de la Comisión Europea, decisiones de adecuación u otros mecanismos previstos por el RGPD—, en la medida en que las herramientas utilizadas impliquen dichas transferencias.

5. Periodo de conservación

Los datos se conservan durante el tiempo necesario para las finalidades mencionadas anteriormente:

Cuenta activa: los datos de perfil y los contenidos asociados al servicio se conservan mientras la cuenta esté activa y según las necesidades de funcionamiento —galería, historial de generaciones, etc.—.

Tras el cierre o una solicitud de supresión: supresión o anonimización dentro de plazos compatibles con las copias de seguridad técnicas, salvo conservación impuesta por la ley —por ejemplo, obligaciones contables o prueba en caso de litigio, dentro de límites estrictos—.

Registros de seguridad: periodos cortos o moderados según las necesidades de seguridad y la normativa.

Para una solicitud de supresión específica, véase también la página Supresión de datos.

6. Seguridad

Implementamos medidas técnicas y organizativas apropiadas —control de acceso, cifrado en tránsito cuando sea pertinente, compartimentación de entornos, gestión de autorizaciones— con el fin de proteger los datos contra el acceso no autorizado, la pérdida o la alteración. Dado que ningún sistema está exento de riesgos, le invitamos a proteger sus credenciales y a compartir contenidos sensibles únicamente dentro del marco legal de su actividad. Usted sigue siendo responsable, en virtud de sus obligaciones profesionales, de la elección de los contenidos transmitidos y de las medidas de anonimización o seudonimización que aplique previamente al servicio, tal como se precisa en las CGU.

7. Sus derechos

De conformidad con el RGPD, usted dispone de los siguientes derechos, en las condiciones y límites legales:

Derecho de acceso y rectificación;

Derecho de supresión —« derecho al olvido »—;

Derecho a la limitación del tratamiento;

Derecho de oposición al tratamiento basado en el interés legítimo, incluido el perfilado cuando sea aplicable;

Derecho a la portabilidad de los datos que usted haya proporcionado, cuando el tratamiento sea automatizado y esté basado en el contrato o en el consentimiento;

Derecho a retirar su consentimiento en cualquier momento cuando el tratamiento se base en él, sin que ello afecte a la licitud del tratamiento anterior;

Derecho a presentar una reclamación ante la autoridad de control competente —en Francia: la CNIL, **www.cnil.fr**—.

Para ejercer sus derechos: contact@phoxray.com. Podremos solicitarle un justificante de identidad en caso de duda razonable.

8. Cookies y rastreadores

El sitio puede utilizar cookies o almacenamientos locales necesarios para la sesión, las preferencias o la medición de audiencia, según la implementación técnica. Puede configurar su navegador para rechazar determinadas cookies; algunas funciones del servicio podrían verse degradadas.

8.1 Medición de audiencia — Microsoft Clarity

En las páginas aplicativas de PhoXray —excluidas las páginas legales y la vista externa del paciente— utilizamos Microsoft Clarity para analizar la ergonomía del servicio —mapas de calor, repeticiones anonimizadas de sesiones—. No se transmite a Microsoft ningún dato de salud ni imagen radiográfica. La recopilación solo se activa tras su consentimiento explícito mediante el banner mostrado en su primera visita.

Finalidad: comprensión de los recorridos de usuario y mejora de la UX.

Base legal: su consentimiento —art. 6.1.a RGPD—.

Destinatario: Microsoft Corporation. Las transferencias fuera de la UE están reguladas por las cláusulas contractuales tipo de la Comisión Europea implementadas por Microsoft.

Cookies depositadas: _clck, _clsk, CLID, MUID, ANONCHK, SM.

Duración: variable según la cookie, desde la sesión hasta un máximo de 1 año.

Política de privacidad de Microsoft: privacy.microsoft.com/privacystatement.

Usted puede en cualquier momento volver a mostrar el banner de elección o revocar su consentimiento.

9. Modificaciones

Podemos actualizar esta política. La fecha situada al principio de la página se modificará; podrá facilitarse una información más visible en caso de cambio sustancial.

10. Contacto

Para cualquier pregunta sobre el tratamiento de sus datos: contact@phoxray.com