← Volver al inicio

Politica de Privacidad

1. Responsable del tratamiento

El responsable del tratamiento de los datos personales es el centro educativo que contrata el servicio de Nurse Control. Cada centro educativo actua como responsable independiente de los datos de sus alumnos, profesores, familias y personal sanitario.

Nurse Control (proveedor tecnologico) actua como encargado del tratamiento conforme al Articulo 28 del RGPD, bajo un Acuerdo de Encargo de Tratamiento (DPA) firmado con cada centro educativo.

2. Finalidad del tratamiento

Los datos personales se recogen y tratan exclusivamente con las siguientes finalidades:

  • Gestion de la enfermeria escolar: registro de visitas, constantes vitales, tratamientos administrados.
  • Gestion de alergias, condiciones medicas y medicacion autorizada de alumnos y profesores.
  • Administracion de medicamentos previa autorizacion parental y medica.
  • Comunicacion con las familias sobre el estado de salud de sus hijos.
  • Planificacion sanitaria de excursiones y actividades extraescolares.
  • Gestion del comedor escolar: dietas especiales y necesidades alimentarias.

No se realizan decisiones automatizadas ni elaboracion de perfiles con los datos personales recogidos (Art. 22 RGPD).

3. Base juridica del tratamiento

El tratamiento de los datos se fundamenta en:

  • Consentimiento explicito de los padres/tutores legales (Art. 6.1.a RGPD) para la administracion de medicamentos y el tratamiento de datos de salud.
  • Interes vital del interesado (Art. 6.1.d RGPD) en situaciones de emergencia sanitaria.
  • Interes publico (Art. 6.1.e RGPD) en el ambito de la salud escolar.
  • Obligacion legal (Art. 6.1.c RGPD) derivada de la normativa educativa y sanitaria aplicable.
  • Ejecucion del contrato (Art. 6.1.b RGPD) para la prestacion del servicio contratado por el centro educativo.

El tratamiento de datos de salud (categoria especial, Art. 9 RGPD) se ampara en:

  • Art. 9.2.a) RGPD: consentimiento explicito del interesado o su representante legal.
  • Art. 9.2.c) RGPD: proteccion de intereses vitales del interesado.
  • Art. 9.2.h) RGPD: fines de medicina preventiva, diagnostico medico y asistencia sanitaria.

Conforme a la LOPDGDD (Ley Organica 3/2018, de 5 de diciembre), el tratamiento de datos de menores requiere consentimiento de los titulares de la patria potestad o tutela cuando el menor tenga menos de 14 anos (Art. 7 LOPDGDD).

4. Datos personales recogidos

Se recogen unicamente los datos estrictamente necesarios para las finalidades indicadas (principio de minimizacion, Art. 5.1.c RGPD):

  • Alumnos: nombre, apellidos, fecha de nacimiento, curso, clase, fotografia (opcional).
  • Datos de salud (Art. 9 RGPD): alergias, condiciones medicas, medicacion, constantes vitales (temperatura, tension arterial, frecuencia cardiaca, saturacion de oxigeno), motivos de visita, tratamientos administrados, dietas especiales.
  • Padres/tutores: nombre, apellidos, email, telefono, relacion con el alumno.
  • Personal docente: nombre, apellidos, email, telefono, asignaturas, alergias, historial medico, contacto de emergencia.
  • Usuarios del sistema: nombre, apellidos, email, rol profesional.
  • Datos de consentimiento: fecha y hora de firma, nombre completo del firmante, estado del consentimiento.

5. Derechos de los interesados (Arts. 15-22 RGPD)

De conformidad con el RGPD y la LOPDGDD, los interesados pueden ejercer los siguientes derechos:

  • Acceso (Art. 15): conocer que datos personales se tratan, con que finalidad y a quien se comunican.
  • Rectificacion (Art. 16): solicitar la correccion de datos inexactos o incompletos.
  • Supresion (Art. 17): solicitar la eliminacion de sus datos cuando ya no sean necesarios para la finalidad para la que fueron recogidos.
  • Limitacion del tratamiento (Art. 18): solicitar la limitacion del tratamiento en determinadas circunstancias.
  • Portabilidad (Art. 20): recibir sus datos en formato estructurado, de uso comun y lectura mecanica (CSV/JSON).
  • Oposicion (Art. 21): oponerse al tratamiento de sus datos en determinadas circunstancias.
  • Retirada del consentimiento: retirar el consentimiento otorgado en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior.

Para ejercer estos derechos, contacte con el centro educativo responsable del tratamiento o envie un correo a la direccion proporcionada en el momento del registro. Se respondera en un plazo maximo de un mes (Art. 12.3 RGPD).

6. Conservacion de los datos

Los datos personales se conservaran conforme a los siguientes plazos:

  • Datos de alumnos: durante el periodo de escolarizacion del alumno en el centro, mas el plazo legal de conservacion (minimo 5 anos conforme a la normativa sanitaria).
  • Historial de visitas y tratamientos: 5 anos desde la ultima actualizacion (Ley 41/2002 de autonomia del paciente).
  • Consentimientos firmados: durante la vigencia del consentimiento y 5 anos adicionales como prueba juridica.
  • Registros de auditoria: minimo 2 anos (LOPDGDD Art. 73).
  • Datos de facturacion: 6 anos (Codigo de Comercio Art. 30).
  • Registros de errores del sistema: maximo 1 ano, con anonimizacion automatica.

Transcurridos los plazos indicados, los datos seran suprimidos o anonimizados de forma irreversible.

7. Medidas de seguridad (Art. 32 RGPD)

Se aplican medidas tecnicas y organizativas adecuadas al riesgo para garantizar la seguridad de los datos:

  • Comunicaciones cifradas mediante SSL/TLS (cifrado en transito).
  • Contrasenas hasheadas con algoritmo bcrypt (cost factor 12).
  • Control de acceso basado en roles: enfermera, administrador, padre, residencia.
  • Autorizacion granular mediante politicas de acceso (Pundit) en cada endpoint.
  • Registro de auditoria de todas las acciones sobre datos personales.
  • Bloqueo automatico de cuenta tras 5 intentos fallidos de acceso (1 hora).
  • Cierre automatico de sesion por inactividad (1 hora).
  • Sesion unica por dispositivo (invalidacion automatica de sesiones previas).
  • Aislamiento completo de datos entre centros educativos (multi-tenancy).
  • Limitacion de velocidad (rate limiting) en endpoints sensibles.
  • Proteccion contra CSRF (Cross-Site Request Forgery) en todas las operaciones.
  • Politica de Seguridad de Contenido (CSP) para prevenir inyeccion de scripts.
  • Cabeceras de seguridad HTTP (Referrer-Policy, Permissions-Policy, X-Frame-Options).
  • Filtrado de parametros sensibles en logs del servidor.
  • Validacion de firma en webhooks externos (Stripe).

8. Encargados del tratamiento, proveedores de infraestructura y transferencias internacionales

Los datos no se ceden a terceros salvo obligacion legal. Los siguientes encargados del tratamiento tienen acceso limitado a los datos conforme al Art. 28 RGPD, bajo contrato de encargo de tratamiento (DPA) en vigor:

Infraestructura de servidores y almacenamiento

  • Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Alemania) — proveedor de servidores dedicados y almacenamiento de copias de seguridad. Los servidores donde se aloja la aplicacion y la base de datos estan ubicados en centros de datos dentro de la Union Europea (Alemania y Finlandia). Hetzner actua como encargado del tratamiento conforme al Art. 28 RGPD y ha suscrito un Acuerdo de Proteccion de Datos (DPA) con Nurse Control. No tiene acceso logico a los datos de la aplicacion; su responsabilidad se limita a la capa fisica de infraestructura. Mas informacion: hetzner.com/legal/privacy-policy.

Red de distribucion de contenido (CDN) y proxy de seguridad

  • Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, Estados Unidos) — proveedor de servicios de red de distribucion de contenido (CDN), proxy inverso y proteccion frente a ataques DDoS. El trafico web pasa a traves de la red de Cloudflare antes de llegar a nuestros servidores; esto implica que Cloudflare puede procesar datos de conexion (direccion IP, cabeceras HTTP) de los usuarios que acceden a la plataforma.
    Transferencia internacional: Cloudflare es una empresa estadounidense. Esta transferencia internacional de datos se ampara en las siguientes garantias adecuadas, conforme al Capitulo V del RGPD:
    • Cloudflare ha suscrito las Clausulas Contractuales Tipo (CCT) aprobadas por la Comision Europea (Decision de Ejecucion (UE) 2021/914), que garantizan un nivel de proteccion equivalente al exigido por el RGPD.
    • Cloudflare ha firmado un Acuerdo de Proteccion de Datos (DPA) con Nurse Control, disponible para consulta de los centros educativos que lo soliciten.
    • Cloudflare se ha adherido al Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework), reconocido como garantia adecuada por la Comision Europea mediante Decision de Adecuacion de julio de 2023.
    Cloudflare no almacena datos de salud ni contenido de la aplicacion; su acceso se limita a metadatos de red necesarios para la prestacion del servicio de seguridad y rendimiento. Mas informacion: cloudflare.com/privacypolicy.

Otros proveedores de servicios

  • Proveedor tecnologico (Nurse Control): acceso tecnico para mantenimiento del servicio, bajo DPA firmado. Sin acceso a datos de salud de alumnos.
  • Proveedor de pagos (Stripe, Inc.): integrado para la futura gestion de facturacion. Cuando este activo, procesara exclusivamente datos de facturacion del centro educativo (nombre de empresa, CIF, direccion). No recibira datos de alumnos ni familias. Stripe opera bajo CCT y esta adherido al EU-U.S. Data Privacy Framework. En tanto no se active la funcionalidad de pago, Stripe no recibe ningun dato personal.
  • Proveedor de email (SMTP): transmite notificaciones a familias. Los emails contienen datos minimos necesarios.

Transferencias internacionales — resumen: con excepcion del trafico de red procesado por Cloudflare, los datos personales almacenados (base de datos, copias de seguridad) permanecen en servidores ubicados en la Union Europea. Cuando se active la funcionalidad de pago, Stripe tambien procesara datos de facturacion bajo las mismas garantias. Todas las transferencias internacionales activas cuentan con las garantias adecuadas exigidas por el Art. 46 RGPD (CCT y/o decision de adecuacion).

9. Notificacion de brechas de seguridad

En caso de violacion de la seguridad de los datos personales que suponga un riesgo para los derechos y libertades de los interesados, se notificara:

  • A la Agencia Espanola de Proteccion de Datos (AEPD) en un plazo maximo de 72 horas desde que se tenga constancia (Art. 33 RGPD).
  • A los interesados afectados sin dilacion indebida cuando la violacion entrane un alto riesgo para sus derechos (Art. 34 RGPD).
  • Al centro educativo como responsable del tratamiento, de forma inmediata.

10. Menores de edad (Art. 7 LOPDGDD)

Dado que la aplicacion gestiona datos de menores de edad en el ambito educativo:

  • El consentimiento para el tratamiento de datos de menores de 14 anos corresponde a sus padres o tutores legales.
  • Los menores de 14 anos no pueden registrarse ni utilizar directamente la plataforma.
  • Todo tratamiento de datos de salud de menores requiere consentimiento explicito de ambos padres o del tutor legal.
  • La administracion de medicamentos requiere doble autorizacion: parental y medica.

11. Autoridad de control

Si considera que sus derechos no han sido debidamente atendidos, puede presentar una reclamacion ante la Agencia Espanola de Proteccion de Datos (AEPD): www.aepd.es.

C/ Jorge Juan 6, 28001 Madrid. Tel: 901 100 099.

12. Legislacion aplicable

  • Reglamento (UE) 2016/679 (RGPD).
  • Ley Organica 3/2018, de 5 de diciembre, de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD).
  • Ley 41/2002, de 14 de noviembre, basica reguladora de la autonomia del paciente y de derechos y obligaciones en materia de informacion y documentacion clinica.
  • Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacion y de Comercio Electronico (LSSI-CE).

Ultima actualizacion: marzo 2026