Saltar para o conteúdo

Política de Privacidad

Última actualización: 22 de junio de 2026

1. Quiénes somos (Responsable del Tratamiento)

Esta Política se aplica al tratamiento de datos personales realizado en el ámbito de la plataforma Curas, accesible en curas.app ("Curas", "Plataforma", "nosotros"). La Plataforma es operada por Dalbott Lda.

Identificación del Responsable del Tratamiento (art. 4, apdo. 7 y art. 13, apdo. 1, letra a), RGPD):

Denominación socialDalbott Lda.
NIPC518 789 624
Domicilio socialRua Roberto Ivens, n.º 739, 4450-255 Matosinhos, Portugal
Correo generalcustomersupport@curas.app
Correo privacidadprivacy@curas.app
Correo DPDdpo@curas.app

Delegado de Protección de Datos (DPD): designado en los términos del art. 37, apdo. 1, letra c), RGPD, en articulación con el art. 34 de la LOPDGDD (Ley Orgánica 3/2018), por tratar datos de salud a gran escala cuando los interesados revelen información clínica a través de la Plataforma. El DPD de Dalbott Lda. es Raquel Rodrigues. Todas las comunicaciones relativas a la protección de datos deben dirigirse a dpo@curas.app.

Naturaleza de la Plataforma: Curas opera como marketplace de intermediación entre terapeutas y clientes finales. Curas NO es prestadora de asistencia sanitaria. Los actos terapéuticos son realizados exclusivamente por los terapeutas, fuera de la Plataforma, bajo su responsabilidad exclusiva.

2. Principio general

Esta Política existe para cumplir el deber de transparencia impuesto por los artículos 12, 13 y 14 del RGPD. Nos comprometemos a:

  • Tratar solo los datos estrictamente necesarios para cada finalidad (minimización, art. 5.1.c).
  • Tratar los datos de forma lícita, leal y transparente (art. 5.1.a).
  • Conservar los datos únicamente durante el tiempo necesario (limitación del plazo de conservación, art. 5.1.e).
  • Proteger los datos con medidas técnicas y organizativas adecuadas (integridad y confidencialidad, art. 5.1.f).
  • Poder demostrar el cumplimiento (responsabilidad proactiva, art. 5.2).

Si algún punto te suscita dudas, contáctanos en privacy@curas.app.

3. Qué datos recogemos

3.1. Terapeutas (usuarios profesionales suscriptores)

CategoríaEjemplosOrigen
IdentificaciónNombre, fecha de nacimiento, NIFRegistro
ContactoCorreo electrónico, móvil, dirección de la consultaRegistro
ProfesionalModalidades, formación autodeclarada, declaración de compromiso, experiencia, biografíaPanel
Perfil públicoFotografía, descripción, precios, disponibilidad, políticas de cancelaciónPanel
SuscripciónPlan, historial de pagos, referencias Stripe, estado de pruebaStripe
FacturaciónNIF, dirección, facturasObligación legal
UsoRegistros, IP, huella de dispositivo, páginas, accionesAutomático
ComunicacionesMensajes con clientes y soporteAutomático
Contenido generadoRespuestas a reseñas, ofertas publicadas (Premium)Panel

3.2. Clientes (usuarios finales)

CategoríaEjemplosOrigen
IdentificaciónNombre, fecha de nacimiento (validación de mayoría de edad)Registro
ContactoCorreo electrónico, móvil (opcional)Registro
PerfilFoto (opcional), ubicación (provincia/municipio)Registro
UsoBúsquedas, visualizaciones, favoritos, clicsAutomático
ReservasHistorial, cancelaciones, estadoAcción del usuario
ReseñasValoraciones y comentariosAcción del usuario
ComunicacionesMensajes con terapeutas y soporteAutomático
Datos de salud (eventuales)Motivos de consulta, síntomas, condiciones clínicas que el cliente decida compartirVoluntaria, por el interesado

3.3. Visitantes (no registrados)

CategoríaEjemplosOrigen
TécnicosIP, user-agent, dispositivo, resoluciónAutomático
NavegaciónPáginas visitadas, tiempo, referente, UTMAutomático
CookiesEsenciales y (con consentimiento) funcionales/analíticas/marketingVer Política de Cookies

4. Con qué fines y con qué bases legales

Curas solo trata datos personales cuando existe una base legal válida en los términos del art. 6 RGPD (y, para datos de salud, del art. 9.2).

FinalidadBase legalConservación
Crear y gestionar cuenta (Terapeuta o Cliente)Ejecución de contrato (art. 6.1.b)Activa + 24 meses
Facturación de suscripcionesObligación legal (art. 6.1.c) + LGT (Ley 58/2003) + Código de Comercio4 años (LGT art. 66); hasta 6 años (C. Com. art. 30)
Pagos a través de StripeEjecución de contrato + obligación legal4 años (facturación)
Reservas y mensajes Cliente↔TerapeutaEjecución de contrato (art. 6.1.b)24 meses tras la última sesión
Publicación y moderación de reseñasContrato + interés legítimo (moderación)Mientras exista el perfil
Soporte al usuarioEjecución de contrato3 años tras el cierre del ticket
Analítica de producto (seudonimizada)Interés legítimo (art. 6.1.f) con LIA14 meses
Recuento agregado de visitantes en línea (ciudad aproximada vía IP, consultada en base de datos local y descartada)Consentimiento (art. 6.1.a) — categoría AnalíticasEn memoria, volátil
Prevención del fraude, registros de auditoríaInterés legítimo (art. 6.1.f)12m registros, 24m indicios
Marketing directo (newsletter)Consentimiento (art. 6.1.a) + art. 21 Ley 34/2002 (LSSICE)Hasta su retirada
Obligaciones DSA (art. 30 KYC, art. 16 notificaciones)Obligación legal (art. 6.1.c + Reg. UE 2022/2065)6 meses tras la resolución
Defensa de reclamacionesInterés legítimo + obligación legalPlazos de prescripción (regla general 5 años, art. 1964 CC español)
Datos de salud revelados en mensajes/reseñasConsentimiento explícito (art. 9.2.a) — ver §5Según la finalidad primaria

Nota sobre el interés legítimo: siempre que invocamos el art. 6.1.f, efectuamos y documentamos una ponderación (LIA — Legitimate Interests Assessment) conforme a las directrices del CEPD. Tienes derecho a oponerte a este tratamiento en los términos del art. 21 RGPD — ver §11.

5. Datos de salud (art. 9 RGPD)

Los datos de salud son una categoría especial (art. 9.1 RGPD) con protección reforzada (art. 4.15 + Considerando 35).

5.1. Contextos en los que Curas puede tratar datos de salud

Curas no recoge activamente datos de salud. No obstante, pueden surgir en:

  • Mensajes entre Cliente y Terapeuta (síntomas, condiciones, motivos de consulta);
  • Reseñas públicas (referencia a la condición que motivó la consulta);
  • Campo "motivo de la consulta" en la reserva;
  • Contenido de ofertas promocionales (Premium) con referencia a patologías.

5.2. Base legal: consentimiento explícito (art. 9.2.a)

Curas fundamenta el tratamiento de datos de salud revelados en la Plataforma en el consentimiento explícito del interesado (art. 9.2.a RGPD).

No invocamos el art. 9.2.h (prestación de asistencia sanitaria) porque Curas no es prestadora de asistencia — opera como intermediario. La letra h) exige que el responsable sea profesional sanitario o entidad sujeta a secreto profesional, lo que no es el caso.

5.3. Papel del Terapeuta

El Terapeuta es responsable del tratamiento autónomo de los datos clínicos recogidos y procesados fuera de la Plataforma (notas clínicas, historial, plan de tratamiento). Curas no accede ni trata esos datos.

5.4. Medidas reforzadas

  • Cifrado en reposo (AES-256) y en tránsito (TLS 1.3) para los mensajes;
  • Control de acceso basado en roles (RBAC): solo los intervinientes y un número mínimo de agentes autorizados en casos estrictamente necesarios;
  • Registros de acceso a los mensajes con auditoría permanente;
  • Avisos contextuales recomendando no compartir datos clínicos sensibles a través de la Plataforma;
  • Procedimiento ágil de supresión a petición del interesado (art. 17);
  • Evaluación de Impacto relativa a la Protección de Datos (EIPD — art. 35.3.b) obligatoria antes del lanzamiento.

6. Cuando contactas con un terapeuta

Esta sección explica en detalle el tratamiento de tus datos cuando pulsas Contactar o Enviar mensaje en el perfil de un terapeuta o en la página de un evento. Cumple el deber de información en el momento de la recogida (art. 13 RGPD) y la transparencia sobre el flujo de datos compartidos con el terapeuta.

6.1. Qué ocurre cuando envías el mensaje

  1. Creas (o abres una ya existente) una Conversación entre tú y el terapeuta que elegiste, dentro de la Plataforma Curas.
  2. Curas almacena tu mensaje, la hora de envío y el identificador de la conversación, y notifica al terapeuta por correo electrónico y/o notificación in-app, según sus preferencias.
  3. El terapeuta lee y responde dentro de la Plataforma. Las respuestas siguen la misma vía técnica.
  4. Todo el intercambio queda visible para ambos intervinientes en vuestra bandeja de mensajes.

6.2. Quién es responsable del tratamiento

Conforme al dictamen CEPD 07/2020 (§51-53) sobre los conceptos de responsable y encargado, este flujo configura una relación responsable-a-responsable (no corresponsabilidad):

MomentoQuién decide la finalidadRol
Conversación y mensajes dentro de la PlataformaDalbott Lda. (Curas)Responsable del tratamiento (art. 4.7 RGPD) — define la finalidad (facilitar el contacto inicial), los medios técnicos y las salvaguardas.
Después de que el terapeuta reciba y use tu mensaje fuera de la Plataforma (respuesta por otro canal, concertación de sesión, notas propias)El terapeutaResponsable autónomo del tratamiento de los datos que recibió — pasa a decidir sus propias finalidades y medios.

Curas no responde por las decisiones autónomas del terapeuta tras la recepción del mensaje. Cada terapeuta en la Plataforma asume, al aceptar los Términos, obligaciones de seguridad razonable, limitación de la finalidad a la solicitud inicial, respuesta a tus peticiones como interesado (arts. 15 a 22 RGPD) y notificación a Curas en caso de violación de datos.

6.3. Qué datos se comparten con el terapeuta

  • Tu nombre tal como consta en tu perfil;
  • Tu fotografía de perfil, si la has definido;
  • El contenido del mensaje que escribes;
  • La fecha y hora del envío;
  • El servicio o evento al que se asocia el contacto (cuando proceda).

Tu correo electrónico y teléfono no se compartenen la conversación. Solo se revelan al terapeuta si tú mismo los escribes en el cuerpo del mensaje o si más tarde reservas una sesión (caso en el que se aplica el tratamiento descrito en §4 — "Reservas").

6.4. Finalidades y bases legales

FinalidadBase legal (art. 6 RGPD)
Permitir el primer contacto entre tú y el terapeuta que elegisteEjecución de contrato y actuaciones precontractuales (art. 6.1.b) — usas la Plataforma para conectarte con un profesional.
Notificar al terapeuta de la llegada del mensaje por correo electrónico y/o in-appEjecución de contrato (art. 6.1.b) con el terapeuta + interés legítimo en el funcionamiento del servicio (art. 6.1.f).
Seguridad del servicio (anti-fraude, anti-spam, moderación)Interés legítimo (art. 6.1.f) con ponderación documentada.
Datos de salud que decidas compartir voluntariamenteConsentimiento explícito (art. 9.2.a) — manifestado al decidir revelar esa información. Ver §5.

6.5. Conservación

  • Mensajes guardados por Curas — 24 meses tras el último intercambio; después eliminados o anonimizados (ver §8);
  • Copia que el terapeuta retiene fuera de la Plataforma — bajo responsabilidad exclusiva del terapeuta, según sus propias políticas, con las obligaciones mínimas asumidas en los Términos de Curas (limitación de la finalidad, seguridad razonable, plazos de prescripción).

6.6. Tus derechos en este flujo

Tienes derecho a (arts. 15 a 22 RGPD):

  • Acceso, rectificación, supresión, limitación y oposición en cualquier momento — los ejerces directamente en privacy@curas.app o dpo@curas.app;
  • Retirar el consentimiento sobre los datos de salud que hayas revelado, con efecto futuro (art. 7.3);
  • Ejercer los mismos derechos directamente ante el terapeuta sobre la copia que conserve fuera de la Plataforma — Curas puede ayudar a encaminar la petición si contactas con el DPD;
  • Reclamar ante la AEPD en cualquier momento (art. 77 RGPD), en los contactos indicados en §11.

6.7. Recomendaciones

  • Escribe solo lo necesario para concertar una primera conversación. Los detalles clínicos profundos pertenecen a la sesión, no al mensaje inicial;
  • No escribas datos sensibles de terceros sin autorización;
  • Si prefieres no compartir información de salud a través de la Plataforma, puedes pedir al terapeuta que te contacte por otro canal — queda a criterio de cada profesional.

7. Con quién compartimos (encargados del tratamiento)

Todos los encargados del tratamiento (processors, art. 4.8 RGPD) están vinculados por un Contrato de Encargo (DPA) en los términos del art. 28.3 RGPD.

EncargadoFinalidadUbicaciónBase de transferencia
Stripe Payments Europe, Ltd. + Stripe, Inc.Procesamiento de pagos y gestión de suscripcionesIrlanda + EE. UU.SCC (art. 46.2.c) + DPF + TIA
Wasabi Technologies, Inc.Almacenamiento de imágenes (fotografías de perfil, portadas, galerías)EE. UU. (región configurable)SCC + TIA
Sendinblue SAS (Brevo)Correos transaccionales (SMTP) y comunicacionesFrancia (UE)Intra-UE (sin transferencia internacional)
Google Ireland Ltd. + Google LLCAutenticación OAuth e infraestructura corporativa (Workspace)Irlanda + EE. UU.SCC + DPF + TIA
Render Services, Inc.Alojamiento de la aplicación (frontend Next.js + backend Node) y base de datos PostgreSQLFráncfort, Alemania (UE)Datos en reposo en la UE; proveedor con sede en EE. UU. — SCC + DPF + TIA aplicables a accesos administrativos

Otros encargados ocasionales:

  • Entidad de resolución alternativa de litigios de consumo (art. 24 y ss. Ley 7/2017) — a designar;
  • Software de facturación conforme a la normativa española aplicable — a designar antes del cobro de pagos reales;
  • Despachos de abogados y asesores fiscales, sujetos a secreto profesional.

Actualizaciones: esta lista se mantiene actualizada. Los cambios de encargados se reflejarán aquí con comunicación previa a los interesados conforme al §14.

8. Transferencias internacionales

Siempre que los datos se transfieren fuera del EEE, Curas garantiza que se cumple una de las condiciones del Capítulo V del RGPD. Instrumentos utilizados:

  • Cláusulas Contractuales Tipo (SCC) — Decisión de Ejecución (UE) 2021/914, art. 46.2.c RGPD. Firmadas con cada encargado en un tercer país.
  • Marco de Privacidad de Datos UE-EE. UU. (DPF) — Decisión de Adecuación de 10.07.2023, cuando el encargado esté certificado. Aviso: bajo escrutinio judicial, puede ser invalidada (Schrems I C-362/14, Schrems II C-311/18).
  • Transfer Impact Assessment (TIA) — evaluación caso por caso de los riesgos a la luz de las Recomendaciones CEPD 01/2020, considerando FISA 702, EO 12333, CLOUD Act y medidas suplementarias.
  • Medidas suplementarias técnicas — cifrado en tránsito (TLS 1.3), en reposo (AES-256), seudonimización cuando sea posible.

Se puede facilitar copia de las SCC y del TIA previa petición motivada a privacy@curas.app.

9. Cuánto tiempo conservamos los datos

Aplicamos el principio de limitación del plazo de conservación (art. 5.1.e RGPD). Los datos se conservan únicamente durante el tiempo estrictamente necesario o durante el plazo impuesto por ley.

Tipo de datoPlazoFundamento
Cuenta activaMientras esté activaEjecución de contrato
Cuenta cancelada24 meses tras la baja + supresiónPlazos de prescripción
Cuenta Pausada del Terapeuta (§7.5/§10.1 de los Términos)12 meses sin reactivación → aviso 30d → supresión automáticaMinimización + limitación
Mensajes Cliente↔Terapeuta24 meses tras la última sesiónContrato + prevención de litigios
Reseñas públicasMientras exista el perfil; anonimizadas si el Cliente elimina la cuentaLibertad de expresión + utilidad pública
Facturas (suscripciones)4 años (LGT); hasta 6 años (C. Com.)Art. 66 LGT (Ley 58/2003) + art. 30 Código de Comercio
Datos fiscales4 años (LGT); hasta 6 años (C. Com.)Obligación legal fiscal
Registros de seguridad12 mesesInterés legítimo
Indicios de fraude24 meses tras la detecciónInterés legítimo + prevención de blanqueo cuando proceda
Analítica seudonimizada14 mesesEstándares + ponderación
Cookies de sesiónHasta el fin de la sesiónEsencial
Cookies persistentes funcionales/analíticasMáximo 24 mesesGuía de Cookies AEPD (2023) + ePrivacy
Datos de soporte3 años tras el cierre del ticketPlazos TRLGDCU (RDL 1/2007)
Notificaciones DSA6 meses tras la resoluciónObligación DSA
Registros de consentimientos5 años tras la retiradaResponsabilidad proactiva art. 5.2 + 7

Tras cada plazo, los datos se eliminan o anonimizan de forma irreversible, según la finalidad (art. 32).

10. Cookies y tecnologías similares

Curas utiliza cookies en los términos del art. 5.3 de la Directiva 2002/58/CE (ePrivacy) y del art. 22 de la Ley 34/2002 (LSSICE).

CategoríaFinalidadBase legal¿Consentimiento?
EsencialesSesión, autenticaciónNecesidad técnica (excepción ePrivacy)No
FuncionalesPreferencias, UXConsentimiento
AnalíticasMétricas de uso (si se introducen)Consentimiento granular
MarketingPublicidad, retargetingConsentimiento granular

Banner de consentimiento: mostramos un banner en la primera visita con opciones Aceptar todo / Rechazar todo / Personalizar en igualdad visual, sin dark patterns prohibidos (Directrices CEPD 03/2022 + Guía de Cookies AEPD 2023 + art. 25.3.b DSA). Para más detalles, consulta la Política de Cookies dedicada.

11. Tus derechos

Como interesado, tienes los siguientes derechos (artículos 15 a 22 RGPD):

DerechoArtículoDescripción
Acceso15Saber qué datos tenemos y obtener copia
Rectificación16Corregir datos inexactos
Supresión ("derecho al olvido")17Eliminar cuando ya no sean necesarios
Limitación18Suspender temporalmente el tratamiento
Portabilidad20Recibir en formato estructurado (JSON/CSV)
Oposición21Oponerte a tratamientos basados en interés legítimo o marketing
Decisiones automatizadas22No ser objeto de decisiones exclusivamente automatizadas
Retirar el consentimiento7.3En cualquier momento, sin efecto retroactivo
Reclamación ante la AEPD77Presentar reclamación ante la autoridad de control

Cómo ejercer tus derechos

  • Correo: privacy@curas.app o dpo@curas.app;
  • Plazo de respuesta: hasta 30 días (prorrogables 60d en casos complejos, art. 12.3);
  • Gratuidad: el ejercicio es gratuito, salvo peticiones manifiestamente infundadas o excesivas (art. 12.5);
  • Verificación de identidad: podemos solicitar elementos para confirmar la identidad (art. 12.6).

Reclamación ante la autoridad de control

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6, 28001 Madrid, España
Sede electrónica: sedeaepd.gob.es
Website: www.aepd.es

12. Seguridad

Curas implementa medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad ajustado al riesgo, en los términos del art. 32 RGPD.

12.1. Medidas técnicas

  • Cifrado en tránsito: TLS 1.3;
  • Cifrado en reposo: AES-256 para bases de datos y copias de seguridad;
  • Autenticación multifactor (MFA) obligatoria para cuentas administrativas;
  • Segregación de entornos (dev, staging, producción);
  • Principio de mínimo privilegio y RBAC;
  • Registro y monitorización continua (SIEM);
  • Copias de seguridad cifradas, geográficamente distribuidas, probadas periódicamente;
  • Seudonimización de identificadores en analítica;
  • Análisis de vulnerabilidades (SAST/DAST) periódicos.

12.2. Medidas organizativas

  • Formación obligatoria en protección de datos para el personal;
  • Acuerdos de Confidencialidad (NDAs);
  • EIPD para tratamientos de alto riesgo (art. 35);
  • DPAs (art. 28) con todos los encargados;
  • Verificación previa y revisión anual de encargados;
  • Procedimiento documentado de respuesta a incidentes.

12.3. Respuesta a violaciones de seguridad (arts. 33 y 34)

  • Notificación a la AEPD: en 72 horas tras tener conocimiento, salvo que sea improbable un riesgo para los derechos y libertades (art. 33.1);
  • Comunicación a los interesados: cuando la violación implique alto riesgo, sin dilación indebida, en lenguaje claro (art. 34);
  • Registro interno: todas las violaciones se registran para la responsabilidad proactiva (art. 33.5);
  • Protocolo documentado con fases (0-4h, 4-24h, 24-48h, 48-72h, post-incidente) y playbooks por escenario.

13. Menores

Curas se destina exclusivamente a usuarios con edad igual o superior a 18 años. Esta decisión es más restrictiva que el umbral de 14 años del art. 7 de la LOPDGDD (Ley Orgánica 3/2018) / art. 8 RGPD, y se fundamenta en razones sanitarias:

  • Las terapias pueden implicar decisiones sobre la propia salud que exigen plena capacidad;
  • Curas no implementa mecanismos de consentimiento parental (art. 8 RGPD) — el requisito de mayoría de edad evita esta complejidad;
  • El tratamiento de datos clínicos de menores exige garantías adicionales (Considerando 38).

Procedimiento en caso de detección de un menor: suspensión inmediata de la cuenta y supresión de los datos en 30 días, salvo obligación legal de conservación en contrario. El tutor legal puede contactar con privacy@curas.app para la supresión inmediata en los términos del art. 17.

14. Cambios en la Política

  • Notificación: los cambios sustanciales se notifican por correo electrónico con 30 días de antelación;
  • Versión anterior: mantenemos públicamente disponibles las versiones anteriores;
  • Derecho de rechazo: puedes cancelar la cuenta antes de la entrada en vigor, sin penalización (art. 7.3 RGPD + normativa de consumo TRLGDCU, RDL 1/2007);
  • Versión vigente: la publicada en curas.app/privacy, con fecha y versión en el encabezado.

15. Contacto

Para todas las cuestiones sobre protección de datos y privacidad:

Dalbott Lda. (operadora de la plataforma Curas)
NIPC: 518 789 624
Domicilio: Rua Roberto Ivens, n.º 739, 4450-255 Matosinhos, Portugal
Correo dedicado: privacy@curas.app
Delegado de Protección de Datos (DPD): Raquel Rodrigues · dpo@curas.app