Política de Privacidad
Última actualización: 22 de junio de 2026
1. Quiénes somos (Responsable del Tratamiento)
Esta Política se aplica al tratamiento de datos personales realizado en el ámbito de la plataforma Curas, accesible en curas.app ("Curas", "Plataforma", "nosotros"). La Plataforma es operada por Dalbott Lda.
Identificación del Responsable del Tratamiento (art. 4, apdo. 7 y art. 13, apdo. 1, letra a), RGPD):
| Denominación social | Dalbott Lda. |
| NIPC | 518 789 624 |
| Domicilio social | Rua Roberto Ivens, n.º 739, 4450-255 Matosinhos, Portugal |
| Correo general | customersupport@curas.app |
| Correo privacidad | privacy@curas.app |
| Correo DPD | dpo@curas.app |
Delegado de Protección de Datos (DPD): designado en los términos del art. 37, apdo. 1, letra c), RGPD, en articulación con el art. 34 de la LOPDGDD (Ley Orgánica 3/2018), por tratar datos de salud a gran escala cuando los interesados revelen información clínica a través de la Plataforma. El DPD de Dalbott Lda. es Raquel Rodrigues. Todas las comunicaciones relativas a la protección de datos deben dirigirse a dpo@curas.app.
Naturaleza de la Plataforma: Curas opera como marketplace de intermediación entre terapeutas y clientes finales. Curas NO es prestadora de asistencia sanitaria. Los actos terapéuticos son realizados exclusivamente por los terapeutas, fuera de la Plataforma, bajo su responsabilidad exclusiva.
2. Principio general
Esta Política existe para cumplir el deber de transparencia impuesto por los artículos 12, 13 y 14 del RGPD. Nos comprometemos a:
- Tratar solo los datos estrictamente necesarios para cada finalidad (minimización, art. 5.1.c).
- Tratar los datos de forma lícita, leal y transparente (art. 5.1.a).
- Conservar los datos únicamente durante el tiempo necesario (limitación del plazo de conservación, art. 5.1.e).
- Proteger los datos con medidas técnicas y organizativas adecuadas (integridad y confidencialidad, art. 5.1.f).
- Poder demostrar el cumplimiento (responsabilidad proactiva, art. 5.2).
Si algún punto te suscita dudas, contáctanos en privacy@curas.app.
3. Qué datos recogemos
3.1. Terapeutas (usuarios profesionales suscriptores)
| Categoría | Ejemplos | Origen |
|---|---|---|
| Identificación | Nombre, fecha de nacimiento, NIF | Registro |
| Contacto | Correo electrónico, móvil, dirección de la consulta | Registro |
| Profesional | Modalidades, formación autodeclarada, declaración de compromiso, experiencia, biografía | Panel |
| Perfil público | Fotografía, descripción, precios, disponibilidad, políticas de cancelación | Panel |
| Suscripción | Plan, historial de pagos, referencias Stripe, estado de prueba | Stripe |
| Facturación | NIF, dirección, facturas | Obligación legal |
| Uso | Registros, IP, huella de dispositivo, páginas, acciones | Automático |
| Comunicaciones | Mensajes con clientes y soporte | Automático |
| Contenido generado | Respuestas a reseñas, ofertas publicadas (Premium) | Panel |
3.2. Clientes (usuarios finales)
| Categoría | Ejemplos | Origen |
|---|---|---|
| Identificación | Nombre, fecha de nacimiento (validación de mayoría de edad) | Registro |
| Contacto | Correo electrónico, móvil (opcional) | Registro |
| Perfil | Foto (opcional), ubicación (provincia/municipio) | Registro |
| Uso | Búsquedas, visualizaciones, favoritos, clics | Automático |
| Reservas | Historial, cancelaciones, estado | Acción del usuario |
| Reseñas | Valoraciones y comentarios | Acción del usuario |
| Comunicaciones | Mensajes con terapeutas y soporte | Automático |
| Datos de salud (eventuales) | Motivos de consulta, síntomas, condiciones clínicas que el cliente decida compartir | Voluntaria, por el interesado |
3.3. Visitantes (no registrados)
| Categoría | Ejemplos | Origen |
|---|---|---|
| Técnicos | IP, user-agent, dispositivo, resolución | Automático |
| Navegación | Páginas visitadas, tiempo, referente, UTM | Automático |
| Cookies | Esenciales y (con consentimiento) funcionales/analíticas/marketing | Ver Política de Cookies |
4. Con qué fines y con qué bases legales
Curas solo trata datos personales cuando existe una base legal válida en los términos del art. 6 RGPD (y, para datos de salud, del art. 9.2).
| Finalidad | Base legal | Conservación |
|---|---|---|
| Crear y gestionar cuenta (Terapeuta o Cliente) | Ejecución de contrato (art. 6.1.b) | Activa + 24 meses |
| Facturación de suscripciones | Obligación legal (art. 6.1.c) + LGT (Ley 58/2003) + Código de Comercio | 4 años (LGT art. 66); hasta 6 años (C. Com. art. 30) |
| Pagos a través de Stripe | Ejecución de contrato + obligación legal | 4 años (facturación) |
| Reservas y mensajes Cliente↔Terapeuta | Ejecución de contrato (art. 6.1.b) | 24 meses tras la última sesión |
| Publicación y moderación de reseñas | Contrato + interés legítimo (moderación) | Mientras exista el perfil |
| Soporte al usuario | Ejecución de contrato | 3 años tras el cierre del ticket |
| Analítica de producto (seudonimizada) | Interés legítimo (art. 6.1.f) con LIA | 14 meses |
| Recuento agregado de visitantes en línea (ciudad aproximada vía IP, consultada en base de datos local y descartada) | Consentimiento (art. 6.1.a) — categoría Analíticas | En memoria, volátil |
| Prevención del fraude, registros de auditoría | Interés legítimo (art. 6.1.f) | 12m registros, 24m indicios |
| Marketing directo (newsletter) | Consentimiento (art. 6.1.a) + art. 21 Ley 34/2002 (LSSICE) | Hasta su retirada |
| Obligaciones DSA (art. 30 KYC, art. 16 notificaciones) | Obligación legal (art. 6.1.c + Reg. UE 2022/2065) | 6 meses tras la resolución |
| Defensa de reclamaciones | Interés legítimo + obligación legal | Plazos de prescripción (regla general 5 años, art. 1964 CC español) |
| Datos de salud revelados en mensajes/reseñas | Consentimiento explícito (art. 9.2.a) — ver §5 | Según la finalidad primaria |
Nota sobre el interés legítimo: siempre que invocamos el art. 6.1.f, efectuamos y documentamos una ponderación (LIA — Legitimate Interests Assessment) conforme a las directrices del CEPD. Tienes derecho a oponerte a este tratamiento en los términos del art. 21 RGPD — ver §11.
5. Datos de salud (art. 9 RGPD)
Los datos de salud son una categoría especial (art. 9.1 RGPD) con protección reforzada (art. 4.15 + Considerando 35).
5.1. Contextos en los que Curas puede tratar datos de salud
Curas no recoge activamente datos de salud. No obstante, pueden surgir en:
- Mensajes entre Cliente y Terapeuta (síntomas, condiciones, motivos de consulta);
- Reseñas públicas (referencia a la condición que motivó la consulta);
- Campo "motivo de la consulta" en la reserva;
- Contenido de ofertas promocionales (Premium) con referencia a patologías.
5.2. Base legal: consentimiento explícito (art. 9.2.a)
Curas fundamenta el tratamiento de datos de salud revelados en la Plataforma en el consentimiento explícito del interesado (art. 9.2.a RGPD).
No invocamos el art. 9.2.h (prestación de asistencia sanitaria) porque Curas no es prestadora de asistencia — opera como intermediario. La letra h) exige que el responsable sea profesional sanitario o entidad sujeta a secreto profesional, lo que no es el caso.
5.3. Papel del Terapeuta
El Terapeuta es responsable del tratamiento autónomo de los datos clínicos recogidos y procesados fuera de la Plataforma (notas clínicas, historial, plan de tratamiento). Curas no accede ni trata esos datos.
5.4. Medidas reforzadas
- Cifrado en reposo (AES-256) y en tránsito (TLS 1.3) para los mensajes;
- Control de acceso basado en roles (RBAC): solo los intervinientes y un número mínimo de agentes autorizados en casos estrictamente necesarios;
- Registros de acceso a los mensajes con auditoría permanente;
- Avisos contextuales recomendando no compartir datos clínicos sensibles a través de la Plataforma;
- Procedimiento ágil de supresión a petición del interesado (art. 17);
- Evaluación de Impacto relativa a la Protección de Datos (EIPD — art. 35.3.b) obligatoria antes del lanzamiento.
6. Cuando contactas con un terapeuta
Esta sección explica en detalle el tratamiento de tus datos cuando pulsas Contactar o Enviar mensaje en el perfil de un terapeuta o en la página de un evento. Cumple el deber de información en el momento de la recogida (art. 13 RGPD) y la transparencia sobre el flujo de datos compartidos con el terapeuta.
6.1. Qué ocurre cuando envías el mensaje
- Creas (o abres una ya existente) una Conversación entre tú y el terapeuta que elegiste, dentro de la Plataforma Curas.
- Curas almacena tu mensaje, la hora de envío y el identificador de la conversación, y notifica al terapeuta por correo electrónico y/o notificación in-app, según sus preferencias.
- El terapeuta lee y responde dentro de la Plataforma. Las respuestas siguen la misma vía técnica.
- Todo el intercambio queda visible para ambos intervinientes en vuestra bandeja de mensajes.
6.2. Quién es responsable del tratamiento
Conforme al dictamen CEPD 07/2020 (§51-53) sobre los conceptos de responsable y encargado, este flujo configura una relación responsable-a-responsable (no corresponsabilidad):
| Momento | Quién decide la finalidad | Rol |
|---|---|---|
| Conversación y mensajes dentro de la Plataforma | Dalbott Lda. (Curas) | Responsable del tratamiento (art. 4.7 RGPD) — define la finalidad (facilitar el contacto inicial), los medios técnicos y las salvaguardas. |
| Después de que el terapeuta reciba y use tu mensaje fuera de la Plataforma (respuesta por otro canal, concertación de sesión, notas propias) | El terapeuta | Responsable autónomo del tratamiento de los datos que recibió — pasa a decidir sus propias finalidades y medios. |
Curas no responde por las decisiones autónomas del terapeuta tras la recepción del mensaje. Cada terapeuta en la Plataforma asume, al aceptar los Términos, obligaciones de seguridad razonable, limitación de la finalidad a la solicitud inicial, respuesta a tus peticiones como interesado (arts. 15 a 22 RGPD) y notificación a Curas en caso de violación de datos.
6.3. Qué datos se comparten con el terapeuta
- Tu nombre tal como consta en tu perfil;
- Tu fotografía de perfil, si la has definido;
- El contenido del mensaje que escribes;
- La fecha y hora del envío;
- El servicio o evento al que se asocia el contacto (cuando proceda).
Tu correo electrónico y teléfono no se compartenen la conversación. Solo se revelan al terapeuta si tú mismo los escribes en el cuerpo del mensaje o si más tarde reservas una sesión (caso en el que se aplica el tratamiento descrito en §4 — "Reservas").
6.4. Finalidades y bases legales
| Finalidad | Base legal (art. 6 RGPD) |
|---|---|
| Permitir el primer contacto entre tú y el terapeuta que elegiste | Ejecución de contrato y actuaciones precontractuales (art. 6.1.b) — usas la Plataforma para conectarte con un profesional. |
| Notificar al terapeuta de la llegada del mensaje por correo electrónico y/o in-app | Ejecución de contrato (art. 6.1.b) con el terapeuta + interés legítimo en el funcionamiento del servicio (art. 6.1.f). |
| Seguridad del servicio (anti-fraude, anti-spam, moderación) | Interés legítimo (art. 6.1.f) con ponderación documentada. |
| Datos de salud que decidas compartir voluntariamente | Consentimiento explícito (art. 9.2.a) — manifestado al decidir revelar esa información. Ver §5. |
6.5. Conservación
- Mensajes guardados por Curas — 24 meses tras el último intercambio; después eliminados o anonimizados (ver §8);
- Copia que el terapeuta retiene fuera de la Plataforma — bajo responsabilidad exclusiva del terapeuta, según sus propias políticas, con las obligaciones mínimas asumidas en los Términos de Curas (limitación de la finalidad, seguridad razonable, plazos de prescripción).
6.6. Tus derechos en este flujo
Tienes derecho a (arts. 15 a 22 RGPD):
- Acceso, rectificación, supresión, limitación y oposición en cualquier momento — los ejerces directamente en privacy@curas.app o dpo@curas.app;
- Retirar el consentimiento sobre los datos de salud que hayas revelado, con efecto futuro (art. 7.3);
- Ejercer los mismos derechos directamente ante el terapeuta sobre la copia que conserve fuera de la Plataforma — Curas puede ayudar a encaminar la petición si contactas con el DPD;
- Reclamar ante la AEPD en cualquier momento (art. 77 RGPD), en los contactos indicados en §11.
6.7. Recomendaciones
- Escribe solo lo necesario para concertar una primera conversación. Los detalles clínicos profundos pertenecen a la sesión, no al mensaje inicial;
- No escribas datos sensibles de terceros sin autorización;
- Si prefieres no compartir información de salud a través de la Plataforma, puedes pedir al terapeuta que te contacte por otro canal — queda a criterio de cada profesional.
7. Con quién compartimos (encargados del tratamiento)
Todos los encargados del tratamiento (processors, art. 4.8 RGPD) están vinculados por un Contrato de Encargo (DPA) en los términos del art. 28.3 RGPD.
| Encargado | Finalidad | Ubicación | Base de transferencia |
|---|---|---|---|
| Stripe Payments Europe, Ltd. + Stripe, Inc. | Procesamiento de pagos y gestión de suscripciones | Irlanda + EE. UU. | SCC (art. 46.2.c) + DPF + TIA |
| Wasabi Technologies, Inc. | Almacenamiento de imágenes (fotografías de perfil, portadas, galerías) | EE. UU. (región configurable) | SCC + TIA |
| Sendinblue SAS (Brevo) | Correos transaccionales (SMTP) y comunicaciones | Francia (UE) | Intra-UE (sin transferencia internacional) |
| Google Ireland Ltd. + Google LLC | Autenticación OAuth e infraestructura corporativa (Workspace) | Irlanda + EE. UU. | SCC + DPF + TIA |
| Render Services, Inc. | Alojamiento de la aplicación (frontend Next.js + backend Node) y base de datos PostgreSQL | Fráncfort, Alemania (UE) | Datos en reposo en la UE; proveedor con sede en EE. UU. — SCC + DPF + TIA aplicables a accesos administrativos |
Otros encargados ocasionales:
- Entidad de resolución alternativa de litigios de consumo (art. 24 y ss. Ley 7/2017) — a designar;
- Software de facturación conforme a la normativa española aplicable — a designar antes del cobro de pagos reales;
- Despachos de abogados y asesores fiscales, sujetos a secreto profesional.
Actualizaciones: esta lista se mantiene actualizada. Los cambios de encargados se reflejarán aquí con comunicación previa a los interesados conforme al §14.
8. Transferencias internacionales
Siempre que los datos se transfieren fuera del EEE, Curas garantiza que se cumple una de las condiciones del Capítulo V del RGPD. Instrumentos utilizados:
- Cláusulas Contractuales Tipo (SCC) — Decisión de Ejecución (UE) 2021/914, art. 46.2.c RGPD. Firmadas con cada encargado en un tercer país.
- Marco de Privacidad de Datos UE-EE. UU. (DPF) — Decisión de Adecuación de 10.07.2023, cuando el encargado esté certificado. Aviso: bajo escrutinio judicial, puede ser invalidada (Schrems I C-362/14, Schrems II C-311/18).
- Transfer Impact Assessment (TIA) — evaluación caso por caso de los riesgos a la luz de las Recomendaciones CEPD 01/2020, considerando FISA 702, EO 12333, CLOUD Act y medidas suplementarias.
- Medidas suplementarias técnicas — cifrado en tránsito (TLS 1.3), en reposo (AES-256), seudonimización cuando sea posible.
Se puede facilitar copia de las SCC y del TIA previa petición motivada a privacy@curas.app.
9. Cuánto tiempo conservamos los datos
Aplicamos el principio de limitación del plazo de conservación (art. 5.1.e RGPD). Los datos se conservan únicamente durante el tiempo estrictamente necesario o durante el plazo impuesto por ley.
| Tipo de dato | Plazo | Fundamento |
|---|---|---|
| Cuenta activa | Mientras esté activa | Ejecución de contrato |
| Cuenta cancelada | 24 meses tras la baja + supresión | Plazos de prescripción |
| Cuenta Pausada del Terapeuta (§7.5/§10.1 de los Términos) | 12 meses sin reactivación → aviso 30d → supresión automática | Minimización + limitación |
| Mensajes Cliente↔Terapeuta | 24 meses tras la última sesión | Contrato + prevención de litigios |
| Reseñas públicas | Mientras exista el perfil; anonimizadas si el Cliente elimina la cuenta | Libertad de expresión + utilidad pública |
| Facturas (suscripciones) | 4 años (LGT); hasta 6 años (C. Com.) | Art. 66 LGT (Ley 58/2003) + art. 30 Código de Comercio |
| Datos fiscales | 4 años (LGT); hasta 6 años (C. Com.) | Obligación legal fiscal |
| Registros de seguridad | 12 meses | Interés legítimo |
| Indicios de fraude | 24 meses tras la detección | Interés legítimo + prevención de blanqueo cuando proceda |
| Analítica seudonimizada | 14 meses | Estándares + ponderación |
| Cookies de sesión | Hasta el fin de la sesión | Esencial |
| Cookies persistentes funcionales/analíticas | Máximo 24 meses | Guía de Cookies AEPD (2023) + ePrivacy |
| Datos de soporte | 3 años tras el cierre del ticket | Plazos TRLGDCU (RDL 1/2007) |
| Notificaciones DSA | 6 meses tras la resolución | Obligación DSA |
| Registros de consentimientos | 5 años tras la retirada | Responsabilidad proactiva art. 5.2 + 7 |
Tras cada plazo, los datos se eliminan o anonimizan de forma irreversible, según la finalidad (art. 32).
10. Cookies y tecnologías similares
Curas utiliza cookies en los términos del art. 5.3 de la Directiva 2002/58/CE (ePrivacy) y del art. 22 de la Ley 34/2002 (LSSICE).
| Categoría | Finalidad | Base legal | ¿Consentimiento? |
|---|---|---|---|
| Esenciales | Sesión, autenticación | Necesidad técnica (excepción ePrivacy) | No |
| Funcionales | Preferencias, UX | Consentimiento | Sí |
| Analíticas | Métricas de uso (si se introducen) | Consentimiento granular | Sí |
| Marketing | Publicidad, retargeting | Consentimiento granular | Sí |
Banner de consentimiento: mostramos un banner en la primera visita con opciones Aceptar todo / Rechazar todo / Personalizar en igualdad visual, sin dark patterns prohibidos (Directrices CEPD 03/2022 + Guía de Cookies AEPD 2023 + art. 25.3.b DSA). Para más detalles, consulta la Política de Cookies dedicada.
11. Tus derechos
Como interesado, tienes los siguientes derechos (artículos 15 a 22 RGPD):
| Derecho | Artículo | Descripción |
|---|---|---|
| Acceso | 15 | Saber qué datos tenemos y obtener copia |
| Rectificación | 16 | Corregir datos inexactos |
| Supresión ("derecho al olvido") | 17 | Eliminar cuando ya no sean necesarios |
| Limitación | 18 | Suspender temporalmente el tratamiento |
| Portabilidad | 20 | Recibir en formato estructurado (JSON/CSV) |
| Oposición | 21 | Oponerte a tratamientos basados en interés legítimo o marketing |
| Decisiones automatizadas | 22 | No ser objeto de decisiones exclusivamente automatizadas |
| Retirar el consentimiento | 7.3 | En cualquier momento, sin efecto retroactivo |
| Reclamación ante la AEPD | 77 | Presentar reclamación ante la autoridad de control |
Cómo ejercer tus derechos
- Correo: privacy@curas.app o dpo@curas.app;
- Plazo de respuesta: hasta 30 días (prorrogables 60d en casos complejos, art. 12.3);
- Gratuidad: el ejercicio es gratuito, salvo peticiones manifiestamente infundadas o excesivas (art. 12.5);
- Verificación de identidad: podemos solicitar elementos para confirmar la identidad (art. 12.6).
Reclamación ante la autoridad de control
Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6, 28001 Madrid, España
Sede electrónica: sedeaepd.gob.es
Website: www.aepd.es
12. Seguridad
Curas implementa medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad ajustado al riesgo, en los términos del art. 32 RGPD.
12.1. Medidas técnicas
- Cifrado en tránsito: TLS 1.3;
- Cifrado en reposo: AES-256 para bases de datos y copias de seguridad;
- Autenticación multifactor (MFA) obligatoria para cuentas administrativas;
- Segregación de entornos (dev, staging, producción);
- Principio de mínimo privilegio y RBAC;
- Registro y monitorización continua (SIEM);
- Copias de seguridad cifradas, geográficamente distribuidas, probadas periódicamente;
- Seudonimización de identificadores en analítica;
- Análisis de vulnerabilidades (SAST/DAST) periódicos.
12.2. Medidas organizativas
- Formación obligatoria en protección de datos para el personal;
- Acuerdos de Confidencialidad (NDAs);
- EIPD para tratamientos de alto riesgo (art. 35);
- DPAs (art. 28) con todos los encargados;
- Verificación previa y revisión anual de encargados;
- Procedimiento documentado de respuesta a incidentes.
12.3. Respuesta a violaciones de seguridad (arts. 33 y 34)
- Notificación a la AEPD: en 72 horas tras tener conocimiento, salvo que sea improbable un riesgo para los derechos y libertades (art. 33.1);
- Comunicación a los interesados: cuando la violación implique alto riesgo, sin dilación indebida, en lenguaje claro (art. 34);
- Registro interno: todas las violaciones se registran para la responsabilidad proactiva (art. 33.5);
- Protocolo documentado con fases (0-4h, 4-24h, 24-48h, 48-72h, post-incidente) y playbooks por escenario.
13. Menores
Curas se destina exclusivamente a usuarios con edad igual o superior a 18 años. Esta decisión es más restrictiva que el umbral de 14 años del art. 7 de la LOPDGDD (Ley Orgánica 3/2018) / art. 8 RGPD, y se fundamenta en razones sanitarias:
- Las terapias pueden implicar decisiones sobre la propia salud que exigen plena capacidad;
- Curas no implementa mecanismos de consentimiento parental (art. 8 RGPD) — el requisito de mayoría de edad evita esta complejidad;
- El tratamiento de datos clínicos de menores exige garantías adicionales (Considerando 38).
Procedimiento en caso de detección de un menor: suspensión inmediata de la cuenta y supresión de los datos en 30 días, salvo obligación legal de conservación en contrario. El tutor legal puede contactar con privacy@curas.app para la supresión inmediata en los términos del art. 17.
14. Cambios en la Política
- Notificación: los cambios sustanciales se notifican por correo electrónico con 30 días de antelación;
- Versión anterior: mantenemos públicamente disponibles las versiones anteriores;
- Derecho de rechazo: puedes cancelar la cuenta antes de la entrada en vigor, sin penalización (art. 7.3 RGPD + normativa de consumo TRLGDCU, RDL 1/2007);
- Versión vigente: la publicada en curas.app/privacy, con fecha y versión en el encabezado.
15. Contacto
Para todas las cuestiones sobre protección de datos y privacidad:
Dalbott Lda. (operadora de la plataforma Curas)
NIPC: 518 789 624
Domicilio: Rua Roberto Ivens, n.º 739, 4450-255 Matosinhos, Portugal
Correo dedicado: privacy@curas.app
Delegado de Protección de Datos (DPD): Raquel Rodrigues · dpo@curas.app