Back to home

Last updated:

Política de Privacidad / Privacy Policy

ESPAÑOL

Política de Privacidad

Última actualización: 2026-05-30

1. Responsable del tratamiento

IBIZA CARE, S.L. ("OnCall Clinic", "nosotros")

  • CIF: B19973569
  • Domicilio social: C/ Lugo 11, 3º 2ª, 07830 Sant Josep de Sa Talaia, Illes Balears, España
  • Inscrita en el Registro Mercantil de Eivissa, hoja IB-21129
  • Email contacto: dpo@oncall.clinic
  • Email reclamaciones consumo: info@oncall.clinic

Delegado de Protección de Datos (DPO): contacto designado para consultas sobre privacidad: dpo@oncall.clinic. Decisión motivada sobre obligatoriedad documentada internamente conforme al WP243 (Directrices GT29 sobre DPO).

2. Naturaleza del servicio (importante)

OnCall Clinic es una plataforma tecnológica intermediaria entre pacientes y profesionales sanitarios autónomos colegiados, en virtud de la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).

OnCall Clinic NO presta servicios sanitarios. El profesional médico que realiza la visita es el responsable independiente del tratamiento clínico y de los datos de salud generados durante la consulta, conforme al Art. 9.2.h RGPD (asistencia sanitaria) y la Ley 41/2002 de Autonomía del Paciente. Toda información clínica, diagnóstico o historial médico queda exclusivamente en custodia del profesional sanitario y NO es accesible, almacenada ni tratada por OnCall Clinic.

3. Datos personales que tratamos

Categoría Datos Finalidad
Identificativos Nombre, apellidos, email, teléfono Crear cuenta, contactar
Localización Dirección visita, coordenadas GPS booking Asignar profesional cercano, tracking ETA
Económicos Stripe customer ID, último 4 dígitos tarjeta (tokenizado por Stripe) Procesar pago, factura, reembolso
Conexión IP, user agent, fecha/hora acceso Seguridad, prevención fraude
Marketing (opcional) Email para newsletter Comunicaciones comerciales si consentimiento
Reseñas Texto reseña, puntuación 1-5 Reputación profesional pública
Profesionales sanitarios Número de colegiado, especialidad, copia DNI/NIE, copia título, copia RC profesional Verificación regulatoria Ley 44/2003

OnCall Clinic NO recoge ni trata:

  • Síntomas, motivos de consulta, signos clínicos
  • Diagnósticos, tratamientos, prescripciones
  • Historial médico, antecedentes
  • Datos de salud (Art. 9.1 RGPD categorías especiales)
  • Datos biométricos identificadores

4. Bases legales del tratamiento (Art. 6 RGPD)

Tratamiento Base legal Artículo
Crear cuenta + autenticación Ejecución contrato Art. 6.1.b
Procesar reserva visita Ejecución contrato Art. 6.1.b
Cobro y pago profesional Ejecución contrato + obligación legal fiscal Art. 6.1.b + 6.1.c
Facturación y conservación contable 4 años Obligación legal (LGT Art. 66) Art. 6.1.c
Marketing email (newsletter) Consentimiento Art. 6.1.a
Cookies analítica Consentimiento granular Art. 6.1.a (Art. 22 LSSI-CE)
Prevención fraude y abuso plataforma Interés legítimo Art. 6.1.f
Verificación colegial profesionales Obligación legal Ley 44/2003 Art. 6.1.c
Reseñas públicas usuarios Consentimiento + interés legítimo informar mercado Art. 6.1.a + f

5. Encargados y sub-encargados del tratamiento

Para prestar el servicio contratamos a los siguientes proveedores, que actúan como encargados del tratamiento vinculados por contrato conforme al Art. 28 RGPD (DPA firmado).

Proveedor Servicio Ubicación procesamiento Mecanismo transferencia
Supabase Inc. Base de datos, autenticación, almacenamiento Irlanda (eu-west-1) Adecuación UE
Vercel Inc. Hosting, edge network UE (Frankfurt fra1) SCCs UE 2021
Stripe Inc. Procesamiento pagos Irlanda + EE.UU. SCCs UE 2021
Resend Inc. Envío emails transaccionales Irlanda (eu-west-1) Adecuación UE
Tawk.to Inc. Chat soporte EE.UU. SCCs UE 2021 + DPA
GoDaddy LLC Registro dominio, gestión DNS EE.UU. SCCs UE 2021
PostHog Inc. Analítica producto (sólo con consentimiento) UE (eu.posthog.com) Adecuación UE
Sentry GmbH Monitorización errores técnicos EE.UU. (cuenta @sentry.io) SCCs UE 2021
Twilio Inc. (cuando se active) SMS notificaciones EE.UU. SCCs UE 2021
Mapbox Inc. Geolocalización médico durante visita activa (ventana 15 min) EE.UU. SCCs UE 2021 + DPA
Cloudflare, Inc. Protección anti-bot de formularios públicos (Turnstile) EE.UU. / red global SCCs UE 2021 + Turnstile Privacy Addendum

Lista actualizada en: https://oncall.clinic/legal/privacy

Cualquier cambio de sub-encargado se notifica con 30 días de antelación al email registrado.

Tratamiento específico Mapbox: solo se procesan coordenadas GPS del médico (no del paciente) durante el estado on_the_way de una visita confirmada, con expiración automática 15 min tras status='arrived'. Base legal: ejecución contrato (Art. 6.1.b RGPD). El médico autónomo consiente explícitamente cada visita mediante toggle "Compartir ubicación" en la app profesional.

Tratamiento específico Cloudflare Turnstile: para proteger nuestros formularios públicos frente a accesos automatizados (bots) utilizamos Cloudflare Turnstile. Cloudflare puede tratar datos técnicos de tu dispositivo y navegador (p. ej. señales de interacción y atributos del navegador) con el único fin de distinguir usuarios humanos de bots; no se emplean para publicidad ni para elaborar perfiles. Base legal: interés legítimo en la seguridad y la prevención del fraude (Art. 6.1.f RGPD). Más información en el Cloudflare Turnstile Privacy Addendum.

6. Transferencias internacionales

Tawk.to, Sentry, GoDaddy, Stripe y Mapbox procesan parcialmente datos en EE.UU. Aplicamos:

  1. Cláusulas Contractuales Tipo (SCCs) versión UE 2021
  2. Evaluación de impacto en transferencias (TIA) documentada internamente
  3. Medidas técnicas suplementarias: cifrado en tránsito (TLS 1.3) y en reposo (AES-256)

Puede solicitar copia de las SCCs aplicables a dpo@oncall.clinic.

7. Plazos de conservación

Dato Plazo
Datos de cuenta activa Durante la vida de la cuenta + 1 año tras baja
Facturación 4 años (Ley General Tributaria Art. 66)
Documentación profesional sanitario 5 años tras desvinculación
Logs de acceso (IP, user agent) 12 meses
Logs Stripe webhooks (sin PII) 24 meses
Mensajes chat consulta 24 horas tras finalización (purge automatizado)
Reseñas públicas Indefinido (anonimizadas tras baja del autor)

8. Derechos del interesado

Conforme a los artículos 15-22 RGPD y 13-18 LOPDGDD, puede ejercer:

  • Acceso a sus datos personales
  • Rectificación de datos inexactos
  • Supresión ("derecho al olvido"), salvo obligación legal de conservación
  • Limitación del tratamiento
  • Portabilidad en formato estructurado y legible (JSON)
  • Oposición al tratamiento basado en interés legítimo
  • Retirada del consentimiento en cualquier momento
  • No ser objeto de decisiones automatizadas (OnCall no realiza profiling)

Cómo ejercer: email a dpo@oncall.clinic con copia DNI/NIE para verificación. Plazo respuesta: 30 días naturales (prorrogable +60 días casos complejos).

Reclamación: si considera vulnerados sus derechos, puede reclamar ante la Agencia Española de Protección de Datos (www.aepd.es).

9. Seguridad

Aplicamos medidas técnicas y organizativas conforme al Art. 32 RGPD y Real Decreto 1720/2007:

  • Cifrado en tránsito (TLS 1.3) y reposo (AES-256)
  • Autenticación sin contraseña (magic link + 2FA opcional)
  • Row-Level Security en base de datos por usuario y rol
  • Backups automatizados diarios
  • Auditoría regular de accesos y permisos
  • Notificación de brechas a la AEPD en menos de 72 horas conforme Art. 33 RGPD

10. Menores

OnCall Clinic está dirigida a mayores de 14 años. Para menores se requiere consentimiento del titular de la patria potestad. Si detectamos cuenta de menor sin consentimiento, será eliminada.

11. Cookies

Información detallada en nuestra Política de Cookies.

12. Cambios

Cualquier modificación material se notifica al email registrado con 30 días de antelación. La fecha "Última actualización" en el encabezado refleja la versión vigente.

ENGLISH

Privacy Policy

Last updated: 2026-05-30

1. Data controller

IBIZA CARE, S.L. ("OnCall Clinic", "we")

  • Tax ID: B19973569
  • Registered office: C/ Lugo 11, 3º 2ª, 07830 Sant Josep de Sa Talaia, Balearic Islands, Spain
  • Companies Register of Eivissa, sheet IB-21129
  • Contact email: dpo@oncall.clinic
  • Consumer claims: info@oncall.clinic

DPO: designated contact for privacy queries: dpo@oncall.clinic. DPO obligation assessment documented internally per WP243 (Article 29 WP guidelines on DPO).

2. Nature of the service (important)

OnCall Clinic is a technological intermediary platform between patients and self-employed licensed healthcare professionals, under Spanish Law 34/2002 on Information Society Services (LSSI-CE).

OnCall Clinic does NOT provide healthcare services. The medical professional performing the visit is the independent controller of clinical treatment and any health data generated during consultation, per Art. 9.2.h GDPR (healthcare provision) and Spanish Law 41/2002 on Patient Autonomy. All clinical information, diagnoses, and medical history remain exclusively in custody of the healthcare professional and are NOT accessible, stored, or processed by OnCall Clinic.

3. Personal data we process

Category Data Purpose
Identification Name, email, phone Account, contact
Location Visit address, GPS coordinates Doctor matching, ETA tracking
Financial Stripe customer ID, last 4 card digits (tokenized) Payment, invoicing, refund
Connection IP, user agent, access timestamp Security, fraud prevention
Marketing (opt-in) Newsletter email Marketing communications upon consent
Reviews Review text, 1-5 rating Public reputation
Healthcare professionals Medical license number, specialty, ID copy, title, professional liability insurance Regulatory verification (Spanish Law 44/2003)

OnCall Clinic does NOT collect or process:

  • Symptoms, reason for consultation, clinical signs
  • Diagnoses, treatments, prescriptions
  • Medical history
  • Health data (Art. 9.1 GDPR special categories)
  • Biometric identifiers

4. Legal bases (Art. 6 GDPR)

Processing Legal basis
Account creation + auth Contract performance (Art. 6.1.b)
Booking Contract performance
Payment + professional payout Contract + legal fiscal obligation (Art. 6.1.b+c)
Invoice retention 4 years Legal obligation (Spanish Tax Law Art. 66)
Newsletter Consent (Art. 6.1.a)
Analytics cookies Granular consent (LSSI-CE Art. 22)
Fraud prevention Legitimate interest (Art. 6.1.f)
License verification Legal obligation (Spanish Law 44/2003)
Public reviews Consent + legitimate interest (informing market)

5. Processors and sub-processors

We engage the following providers as data processors under Art. 28 GDPR (DPA in place):

Provider Service Processing location Transfer mechanism
Supabase Inc. Database, auth, storage Ireland (eu-west-1) EU adequacy
Vercel Inc. Hosting, edge network EU (Frankfurt fra1) EU SCCs 2021
Stripe Inc. Payment processing Ireland + USA EU SCCs 2021
Resend Inc. Transactional emails Ireland (eu-west-1) EU adequacy
Tawk.to Inc. Live chat support USA EU SCCs 2021 + DPA
GoDaddy LLC Domain registry, DNS USA EU SCCs 2021
PostHog Inc. Product analytics (consent only) EU (eu.posthog.com) EU adequacy
Sentry GmbH Error monitoring USA (sentry.io) EU SCCs 2021
Twilio Inc. (when activated) SMS notifications USA EU SCCs 2021
Mapbox Inc. Doctor geolocation during active visit (15 min window) USA EU SCCs 2021 + DPA
Cloudflare, Inc. Anti-bot protection for public forms (Turnstile) USA / global network EU SCCs 2021 + Turnstile Privacy Addendum

Updated list at: https://oncall.clinic/en/legal/privacy

Mapbox specific processing: only the doctor's GPS coordinates (not the patient's) are processed during the on_the_way state of a confirmed visit, with automatic expiration 15 min after status='arrived'. Legal basis: contract performance (Art. 6.1.b GDPR). The self-employed doctor explicitly consents per visit via the "Share location" toggle in the professional app.

Cloudflare Turnstile specific processing: we use Cloudflare Turnstile to protect our public forms from automated abuse (bots). Cloudflare may process technical device and browser data (e.g. interaction signals and browser attributes) solely to tell humans from bots; it is not used for advertising or profiling. Legal basis: legitimate interest in security and fraud prevention (Art. 6.1.f GDPR). See the Cloudflare Turnstile Privacy Addendum.

Any sub-processor change is notified 30 days in advance to your registered email.

6. International transfers

Tawk.to, Sentry, GoDaddy and Stripe partially process data in the USA. We apply:

  1. EU Standard Contractual Clauses (2021 version)
  2. Documented Transfer Impact Assessment (TIA)
  3. Supplementary technical measures: TLS 1.3 in transit, AES-256 at rest

Request copies of applicable SCCs at dpo@oncall.clinic.

7. Retention periods

Data Period
Active account data Account lifetime + 1 year after closure
Invoicing 4 years (Spanish Tax Law)
Healthcare professional documents 5 years after offboarding
Access logs (IP, UA) 12 months
Stripe webhook logs (no PII) 24 months
Consultation chat messages 24 hours after completion (auto-purge)
Public reviews Indefinite (anonymized after author closure)

8. Data subject rights

Per Articles 15-22 GDPR and 13-18 LOPDGDD:

  • Access, rectification, erasure ("right to be forgotten"), restriction, portability (JSON), objection, consent withdrawal, no automated decisions

How to exercise: email dpo@oncall.clinic with ID copy for verification. Response within 30 calendar days (extensible +60 days for complex cases).

Complaint: lodge with the Spanish Data Protection Agency (AEPD) at www.aepd.es.

9. Security

Per Art. 32 GDPR and RD 1720/2007:

  • TLS 1.3 in transit, AES-256 at rest
  • Passwordless auth (magic link + optional 2FA)
  • Row-Level Security per user/role
  • Daily automated backups
  • Regular access audits
  • Breach notification to AEPD within 72 hours (Art. 33 GDPR)

10. Minors

OnCall Clinic targets users 14+. For minors, parental consent is required. Detected unconsented minor accounts are deleted.

11. Cookies

Detailed information in our Cookie Policy.

12. Changes

Material changes notified to registered email 30 days in advance. "Last updated" date reflects current version.

13. Data Protection Impact Assessment (DPIA · Art. 35 GDPR)

OnCall Clinic has carried out a prior assessment of processing operations under Art. 35 GDPR. The conclusion is that a full DPIA is not mandatory, on the following grounds:

  • Pure-intermediary model (LSSI-CE Art. 12-17). OnCall Clinic does NOT process health data of patients (Art. 9 GDPR). The healthcare professional performing the home visit is the independent data controller for clinical processing (Art. 9.2.h GDPR — healthcare). The platform is limited to logistics: contact details, address, real-time geolocation of the doctor en route, and payment.
  • No large-scale systematic and exhaustive processing of personal data (Art. 35.3.b GDPR): the booking volume in alpha phase is small and the purpose is exclusively intermediation.
  • No large-scale systematic monitoring of publicly accessible areas (Art. 35.3.c GDPR): geolocation is point-in-time during the active visit, not continuous.
  • No automated decisions with legal effects (Art. 22 GDPR) — geographic matching doctor↔patient is logical, not profiling.

Residual risks identified + mitigations:

Risk Mitigation
Improper access to patient address PostgreSQL RLS + isolated service_role + audit
Credential leak in logs Sentry SENSITIVE_KEYS redact + URL fragment scrubbing + quarterly review
Cloud-provider compromise (Vercel/Supabase) DPF + SCCs in place (see section 7) + encryption in transit and at rest
Data loss through error Daily Supabase backups + Stripe-side storage for payment records

The assessment is reviewed whenever: (i) the processing model changes, (ii) a new Art. 9 special category is incorporated, (iii) volume exceeds 5,000 bookings/month, or (iv) a regulatory change requires it.

To contact the Data Protection Officer regarding this assessment: dpo@oncall.clinic.

© 2026 Ibiza Care SL · CIF: B19973569 · Sant Josep de Sa Talaia, Illes Balears, España

Términos y condicionesPolítica de privacidadPolítica de cookies