Política de Privacidad

Última actualización: 25 de marzo de 2026

1. Responsable del tratamiento

El responsable del tratamiento de tus datos personales es:

  • Jesús Izquierdo (nombre comercial: Derivio)
  • NIF: 09066343L
  • Domicilio: Av. de los Antiguos Baños de la Isabela 5, Vilalbilla, Madrid, Spain (28810)
  • Email: [email protected]
  • Web: derivio.app

Para cualquier consulta relacionada con el tratamiento de tus datos personales, puedes contactarnos en la dirección de correo electrónico indicada.

Esta Política de Privacidad explica cómo Derivio ("nosotros" o "nuestro") recopila, utiliza, comparte y protege tus datos personales cuando usas nuestra plataforma profesional de derivación para psicólogos y servicios relacionados (el "Servicio").

Derivio es una plataforma B2B que conecta centros de psicología y psicólogos independientes para la derivación de pacientes. Derivio no presta servicios clínicos, no actúa como centro sanitario y no almacena datos de salud tal como se definen en el Artículo 9 del RGPD.

Esta política se aplica a todos los usuarios de la plataforma: profesionales que derivan (que crean derivaciones) y profesionales que reciben (que aceptan derivaciones). Los pacientes no son usuarios directos de Derivio y no interactúan con la plataforma.

2. Datos que recopilamos

Datos del perfil profesional

  • Nombre completo y dirección de correo electrónico
  • Número de colegiado
  • Número de teléfono
  • Enfoque terapéutico y especialidades (de listados predefinidos)
  • Precio por sesión, modalidad (online/presencial/ambas) y disponibilidad
  • Preferencias de estilo terapéutico
  • Idiomas hablados
  • Preferencias de comisión
  • Género y rango de edad del profesional
  • Umbral de gravedad, poblaciones con las que trabaja y compañías de seguros aceptadas
  • Foto de perfil (opcional). Los usuarios son responsables de no incluir datos clínicos ni información identificativa de pacientes en su foto de perfil
  • Video de presentación (opcional, hasta 60 segundos, almacenado en nuestros servidores en la UE, accesible únicamente para profesionales verificados). Los usuarios son responsables de no incluir datos clínicos, diagnósticos ni información identificativa de pacientes en su vídeo de presentación. Derivio no es responsable del contenido voluntariamente incluido por el usuario
  • Clave pública de cifrado (para el cifrado extremo a extremo de datos de contacto de pacientes e informes clínicos)
  • Tipo de entidad (profesional individual o equipo/centro), y en caso de equipo: nombre del equipo, CIF (si aplica) y domicilio fiscal

Datos de la derivación

  • Categoría de consulta y descripción en texto libre del motivo
  • Preferencias del paciente (franjas horarias, presupuesto máximo, idioma, modalidad)
  • Datos demográficos del paciente: origen de la demanda, género, rango de edad, género preferido del terapeuta y nivel de urgencia
  • Datos de seguro del paciente: compañía aseguradora y preferencia de uso de seguro (si se proporcionan)
  • Informe clínico adjunto (cifrado extremo a extremo; si lo proporciona el profesional que deriva). El informe se cifra en el navegador del derivador antes de subirse a nuestros servidores. Derivio no puede acceder a su contenido
  • Porcentaje de comisión para la derivación específica
  • Notas profesionales del profesional que deriva (se prohíbe expresamente incluir datos clínicos en campos no cifrados)
  • Estado de la derivación y marcas temporales
  • Respuestas de seguimiento (si se concretó la primera sesión)
  • Valoraciones entre pares (puntuación, comentario, si volvería a derivar)
  • Duración de la comisión (indefinida, número de sesiones o número de meses)
  • Acuerdo de colaboración profesional generado (PDF con datos profesionales de ambas partes, sin datos del paciente)

Datos de contacto del paciente (cifrado extremo a extremo)

Cuando un derivador crea una derivación, proporciona el nombre y los datos de contacto del paciente (teléfono y/o email). Estos datos se cifran extremo a extremo en el navegador del derivador. Tanto el derivador como el profesional receptor designado conservan una copia cifrada en nuestros servidores. Derivio no puede acceder, leer ni tratar estos datos en formato descifrado. La copia cifrada del receptor se elimina automáticamente 30 días después de la aceptación. La copia cifrada del derivador se conserva 90 días para permitir el reenvío de datos en caso necesario, y después se elimina permanentemente.

  • Nombre del paciente (almacenado en texto plano para identificación de la derivación; redactado después de 1 año)
  • Teléfono y/o email del paciente (cifrado extremo a extremo)

Datos técnicos

  • Dirección IP (con fines de seguridad y prevención de fraude)
  • Tipo y versión del navegador
  • Información del dispositivo
  • Tokens de sesión y autenticación
  • Registros técnicos de errores

Datos de terceros

  • Google OAuth: nombre, dirección de correo electrónico y foto de perfil (cuando eliges registrarte con Google)
  • Stripe: estado de confirmación de pago (ningún dato bancario o de tarjeta es almacenado por Derivio)

3. Base jurídica del tratamiento

Tratamos tus datos personales bajo las siguientes bases jurídicas conforme al Artículo 6 del RGPD:

  • Ejecución de un contrato (Art. 6.1.b): Para prestar el servicio de derivación, gestionar tu cuenta, procesar los pagos de tarifas de derivación, ejecutar el algoritmo de matching y cumplir con nuestras obligaciones contractuales.
  • Interés legítimo (Art. 6.1.f): Para mejorar nuestra plataforma, prevenir fraudes, garantizar la seguridad, generar estadísticas agregadas anonimizadas, gestionar el sistema de disponibilidad y procesar datos de derivación mediante sistemas automatizados para mejorar la calidad del matching. Nuestro interés legítimo se pondera siempre con tus derechos y libertades fundamentales.
  • Obligación legal (Art. 6.1.c): Para cumplir con las leyes aplicables, incluyendo obligaciones fiscales y contables, y para responder a solicitudes legítimas de las autoridades.
  • Consentimiento (Art. 6.1.a): Para tratamientos opcionales como comunicaciones de marketing. Puedes retirar tu consentimiento en cualquier momento sin que ello afecte a la licitud del tratamiento previo.

4. Cifrado extremo a extremo de datos del paciente

Derivio implementa cifrado extremo a extremo (E2E) utilizando algoritmos criptográficos estándar de la industria para proteger los datos de contacto de pacientes y los informes clínicos adjuntos:

  • Los datos de contacto del paciente (teléfono/email) se cifran en el navegador del derivador antes de salir de su dispositivo. Tanto el derivador como el profesional receptor designado conservan una copia cifrada en nuestros servidores.
  • Los informes clínicos adjuntos se cifran de la misma manera: se cifran en el navegador del derivador antes de subirse a nuestros servidores. Derivio almacena únicamente el archivo cifrado y no puede acceder a su contenido. La copia cifrada se elimina automáticamente a los 90 días.
  • Solo el derivador puede descifrar su copia, y solo el profesional receptor designado puede descifrar la suya, cada uno utilizando sus respectivas claves privadas almacenadas exclusivamente en sus navegadores.
  • Nuestros servidores almacenan únicamente texto cifrado y archivos cifrados que no podemos descifrar.
  • La copia cifrada del receptor se elimina automáticamente 30 días después de la aceptación. La copia cifrada del derivador se elimina automáticamente a los 90 días.
  • Los nombres de los pacientes se almacenan en texto plano para fines de identificación de la derivación y se redactan después de 1 año.
  • Tu clave privada de cifrado se genera durante el onboarding y se almacena en el almacenamiento local de tu navegador. Opcionalmente, puede almacenarse en nuestros servidores una copia de seguridad cifrada (protegida por tu PIN de seguridad mediante derivación de claves y cifrado robusto) para la recuperación de la clave en otro dispositivo.

Derivio no trata datos de salud ni datos de categoría especial según el Artículo 9 del RGPD. La plataforma prohíbe expresamente a los usuarios incluir información clínica, diagnóstica o terapéutica en las notas de derivación o en cualquier campo no cifrado. Los datos de contacto del paciente (nombre y teléfono/email) constituyen datos personales ordinarios, no datos de salud.

5. Cómo usamos tus datos

  • Para proporcionar y operar la plataforma profesional de derivación
  • Para verificar tu licencia profesional (número de colegiado) mediante revisión manual de un administrador
  • Para ejecutar el algoritmo de matching que sugiere profesionales receptores compatibles para cada derivación basándose en tus datos de perfil, incluyendo el procesamiento de datos de la derivación mediante sistemas automatizados para mejorar la calidad del matching
  • Para procesar los pagos de Tarifas de derivación a través de Stripe
  • Para enviar notificaciones transaccionales por email sobre derivaciones, estado de la cuenta, verificación y actualizaciones de la plataforma
  • Para gestionar el sistema automático de disponibilidad (p. ej., cambiar tu estado a no disponible tras derivaciones consecutivas ignoradas)
  • Para mostrar tu video de presentación opcional a otros profesionales verificados durante el proceso de matching de derivaciones
  • Para generar estadísticas agregadas y anonimizadas para la mejora de la plataforma
  • Para cumplir con obligaciones legales, fiscales y regulatorias
  • Para prevenir fraude, abuso y acceso no autorizado

6. Toma de decisiones automatizada y elaboración de perfiles

Derivio utiliza algoritmos de matching automatizados para sugerir profesionales receptores compatibles para cada derivación. El algoritmo evalúa datos de tu perfil profesional y datos de la derivación para determinar la compatibilidad. Los datos personales se procesan para el matching y no se conservan más allá del ciclo de vida de la derivación.

El profesional derivador siempre toma la decisión final sobre a qué profesional(es) enviar la derivación. No estás sujeto a decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o significativamente similares sobre ti (Artículo 22 RGPD). Tienes derecho a solicitar una revisión humana de cualquier recomendación automatizada.

7. Compartición de datos

Compartimos tus datos con los siguientes destinatarios:

  • Otros profesionales verificados en la plataforma: Tu perfil profesional (nombre, especialidades, estilo terapéutico, precios, disponibilidad, valoraciones) es visible para otros profesionales verificados con el fin de facilitar el matching de derivaciones. Además, cuando una derivación es aceptada, los datos de contacto profesional del derivador (email y teléfono) se comparten con el profesional receptor para facilitar la coordinación.
  • Stripe, Inc. (procesador de pagos): Transmitimos los datos mínimos necesarios para crear una sesión de pago para las tarifas de derivación. Stripe actúa como responsable independiente del tratamiento para los datos de pago bajo su propia política de privacidad.
  • Hetzner Online GmbH (proveedor de hosting): Nuestros servidores están alojados en la Unión Europea (Alemania). Existe un Acuerdo de Encargo de Tratamiento (DPA) conforme al Artículo 28 del RGPD.
  • Google LLC (proveedor de autenticación): Si te registras mediante Google OAuth, Google trata tus datos de autenticación bajo su propia política de privacidad.
  • Proveedores externos de procesamiento automatizado: Utilizamos servicios de procesamiento automatizado para mejorar la calidad del matching. Estos proveedores procesan datos bajo acuerdos de procesamiento de datos, no retienen datos personales y no los utilizan para sus propios fines. Nunca se comparten datos de contacto del paciente (nombre, teléfono, email) ni información de salud con estos proveedores.
  • Proveedor de servicio de email: Para el envío de notificaciones transaccionales (alertas de derivación, estado de verificación, recordatorios).
  • Autoridades legales y regulatorias: Cuando lo exija la ley, una resolución judicial o para ejercer o defender reclamaciones legales.

No vendemos tus datos personales. No compartimos tus datos con fines publicitarios. No utilizamos servicios de seguimiento o analítica de terceros.

8. Conservación de datos

Conservamos tus datos durante los siguientes plazos específicos:

  • Datos del perfil profesional: Durante la vigencia de tu cuenta y hasta 3 años después de su eliminación (por obligación legal y defensa legítima de derechos).
  • Videos de presentación: Durante la vigencia de tu cuenta. Se eliminan inmediatamente a tu solicitud o al eliminar la cuenta.
  • Datos de contacto cifrados del paciente: La copia del receptor se elimina automáticamente 30 días después de la aceptación. La copia del derivador se elimina automáticamente a los 90 días (proceso automatizado).
  • Nombres de pacientes (texto plano): Almacenados para identificación de la derivación y redactados después de 1 año.
  • Metadatos de la derivación (categoría de consulta, notas del derivador, preferencias, datos demográficos del paciente, datos de seguro, nivel de urgencia, y cualquier dato derivado del procesamiento automatizado): Se redactan automáticamente 30 días después de que la derivación se complete, rechace o expire (proceso automatizado diario).
  • Informes clínicos adjuntos: Siguen el mismo ciclo de retención que los datos cifrados de contacto del paciente — se eliminan con la copia cifrada correspondiente.
  • Registros de pago y facturación: 5 años desde la fecha de la transacción (Ley General Tributaria 58/2003).
  • Registros técnicos y de seguridad: Máximo 12 meses.
  • Valoraciones entre pares y datos de seguimiento: Durante la vigencia de la cuenta activa del profesional valorado.
  • Acuerdos de colaboración profesional (PDF): Se conservan durante 6 años desde la finalización de la relación de comisión o desde la fecha de generación si no hay comisión (conforme al Art. 30 del Código de Comercio), vinculados a la derivación y accesibles por ambas partes durante ese periodo. Los acuerdos contienen datos profesionales (nombre, número de colegiado, condiciones comerciales) pero NUNCA datos del paciente más allá de una referencia anonimizada. No requieren cifrado E2E al no contener datos de salud ni datos identificativos del paciente.

9. Transferencias internacionales de datos

Tus datos personales se almacenan principalmente en servidores ubicados en la Unión Europea (Alemania, Hetzner Online GmbH). Ciertos proveedores de servicios externos (Google para autenticación, Stripe para pagos, proveedores de procesamiento automatizado) pueden tratar datos en Estados Unidos u otros países fuera del Espacio Económico Europeo (EEE). En todos los casos, las transferencias están protegidas por garantías adecuadas conforme al Capítulo V del RGPD, incluyendo Cláusulas Contractuales Tipo (CCT) o decisiones de adecuación de la Comisión Europea.

10. Seguridad de los datos

Implementamos medidas técnicas y organizativas apropiadas conforme al Artículo 32 del RGPD, incluyendo:

  • Cifrado extremo a extremo mediante algoritmos criptográficos estándar de la industria para datos de contacto de pacientes e informes clínicos adjuntos
  • Cifrado TLS/HTTPS para todos los datos en tránsito
  • Cifrado de la base de datos en reposo
  • Controles de acceso y autenticación basada en roles
  • Mecanismos automáticos de eliminación y redacción de datos
  • Procesos periódicos de revisión de seguridad
  • Privacidad desde el diseño y por defecto (Artículo 25 RGPD)
  • En caso de brecha de seguridad que pueda suponer un riesgo para tus derechos y libertades, te notificaremos sin dilación indebida conforme a los Artículos 33 y 34 del RGPD, y notificaremos a la autoridad de control competente en un plazo máximo de 72 horas

11. Tus derechos según el RGPD

Como interesado, tienes los siguientes derechos en virtud del Reglamento General de Protección de Datos:

  • Derecho de acceso (Art. 15): Obtener confirmación de si tratamos tus datos personales y recibir una copia de los mismos.
  • Derecho de rectificación (Art. 16): Corregir datos personales inexactos o incompletos. Puedes actualizar la mayoría de tus datos de perfil directamente desde la configuración de tu cuenta.
  • Derecho de supresión (Art. 17): Solicitar la eliminación de tus datos personales cuando ya no sean necesarios para los fines para los que fueron recogidos, sin perjuicio de las obligaciones legales de conservación.
  • Derecho a la limitación del tratamiento (Art. 18): Solicitar la limitación del tratamiento en determinadas circunstancias, como mientras se verifica la exactitud de tus datos.
  • Derecho a la portabilidad (Art. 20): Recibir tus datos personales en un formato estructurado, de uso común y lectura mecánica.
  • Derecho de oposición (Art. 21): Oponerte al tratamiento basado en el interés legítimo, incluida la elaboración de perfiles para el matching.
  • Derecho a retirar el consentimiento (Art. 7.3): Cuando el tratamiento se base en el consentimiento, retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento previo.
  • Derecho a presentar una reclamación (Art. 77): Presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es, o ante cualquier autoridad de control competente de tu Estado miembro de residencia en la UE.

Para ejercer cualquiera de estos derechos, contacta con nosotros en [email protected]. Responderemos en el plazo de un mes desde la recepción de tu solicitud, ampliable en dos meses adicionales para solicitudes complejas o numerosas, en cuyo caso te informaremos de la prórroga dentro del primer mes.

12. Cookies y tecnologías similares

Utilizamos cookies estrictamente necesarias para la autenticación, gestión de sesiones y seguridad. Estas cookies son esenciales para el funcionamiento de la plataforma y no requieren consentimiento conforme al Artículo 5(3) de la Directiva de Privacidad Electrónica (Directiva 2002/58/CE). No utilizamos cookies de publicidad, cookies de seguimiento ni cookies de analítica de terceros.

13. Privacidad de menores

Nuestro Servicio está destinado exclusivamente a profesionales de la psicología con licencia, mayores de 18 años. No recopilamos conscientemente datos personales de menores de edad. Si tienes conocimiento de que un menor nos ha proporcionado datos personales, contacta con nosotros inmediatamente para su eliminación.

14. Cambios en esta Política de Privacidad

Podemos actualizar esta Política de Privacidad para reflejar cambios en nuestras prácticas de datos o requisitos legales. Te notificaremos los cambios sustanciales por email o mediante un aviso destacado en la plataforma con al menos 30 días de antelación a su entrada en vigor. Te recomendamos revisar esta política periódicamente. La fecha de la última actualización se indica en la parte superior de este documento.

15. Contacto y autoridad de control

Para cualquier consulta sobre esta Política de Privacidad o para ejercer tus derechos de protección de datos, contacta con nosotros en:

Tienes derecho a presentar una reclamación ante la autoridad de control competente. En España:

  • Agencia Española de Protección de Datos (AEPD)
  • www.aepd.es
  • C/ Jorge Juan 6, 28001 Madrid, España