En Davoxly (davoxly.com) respetamos tu privacidad y nos comprometemos a proteger tus datos personales. Esta Política de Privacidad describe qué datos recogemos a través de la aplicación móvil Davoxly y el sitio web davoxly.com, cómo los utilizamos y cuáles son tus derechos conforme al Reglamento General de Protección de Datos (RGPD, UE 2016/679) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Aviso importante: Davoxly es una herramienta de gestión destinada exclusivamente al personal de clínicas, centros y negocios (recepcionistas, profesionales y administradores). No es una aplicación orientada a pacientes o clientes finales. Los datos de pacientes o clientes que gestiones a través de la plataforma son responsabilidad de tu organización como Responsable del tratamiento; Davoxly actúa como Encargado del tratamiento a ese respecto.
1. Responsable del tratamiento
| Nombre | Flormarys Elena Diaz Diaz |
| Condición | Autónoma (Spain) |
| Domicilio | Murcia, España |
| Correo electrónico | support@davoxly.com |
| Sitio web | https://davoxly.com |
Para efectos de los datos personales de los usuarios de la plataforma (personal de la clínica), Davoxly actúa como Responsable del tratamiento.
Para los datos personales de los pacientes introducidos o gestionados en la plataforma, Davoxly actúa como Encargado del tratamiento por cuenta de cada clínica, que es la Responsable del tratamiento de sus pacientes.
2. Datos que recogemos
2.1 Datos del usuario de la plataforma (personal de la clínica)
| Categoría | Datos concretos | Fuente |
|---|---|---|
| Identidad | Nombre completo, dirección de correo electrónico, rol (recepcionista, médico, administrador) | Registro creado por el administrador de la clínica |
| Credenciales | Contraseña (almacenada con hash bcrypt, nunca en texto plano), tokens de sesión Sanctum | Generados por el sistema |
| Datos de uso | Registro de acceso (fecha/hora, IP de origen), acciones realizadas en la plataforma (citas creadas/modificadas) | Automático durante el uso |
| Dispositivo | Token de notificaciones push (Expo Push Token), plataforma (iOS/Android) | Cuando el usuario otorga permiso de notificaciones |
| Diagnóstico | Errores de la aplicación, traza del error (stack trace), IP parcialmente anonimizada | Automático vía Sentry (servicio de monitorización de errores) |
2.2 Datos de pacientes (tratados como Encargado)
En el desempeño de nuestras funciones como Encargado del tratamiento, podemos acceder a los datos de pacientes que la clínica introduce en la plataforma: nombre completo, DNI, teléfono, correo electrónico, fecha de nacimiento, dirección, notas clínicas y datos de citas. Estos datos pertenecen a la clínica y son gestionados conforme al Acuerdo de Encargo del Tratamiento (AET) suscrito o aceptado al activar la cuenta.
2.3 Grabaciones de llamadas telefónicas
La plataforma integra un asistente de voz IA que gestiona llamadas de pacientes a la clínica. Las grabaciones de las llamadas son procesadas por Vapi AI y se almacenan de forma temporal. Los pacientes son informados verbalmente al inicio de cada llamada de que esta puede ser grabada. Las grabaciones se utilizan exclusivamente para supervisión de la calidad del servicio y resolución de incidencias. En la medida en que las conversaciones contengan información sobre la salud del paciente, el tratamiento de dichos datos se ampara adicionalmente en el Art. 9.2.h RGPD, relativo a la prestación de asistencia sanitaria.
3. Finalidad y base legal del tratamiento
| Finalidad | Base legal (RGPD) |
|---|---|
| Prestar el servicio contratado (gestión de citas, acceso a la plataforma) | Art. 6.1.b — Ejecución de un contrato |
| Administración de cuentas de usuario y autenticación | Art. 6.1.b — Ejecución de un contrato |
| Envío de notificaciones push sobre citas | Art. 6.1.a — Consentimiento del interesado |
| Monitorización de errores técnicos y seguridad de la aplicación | Art. 6.1.f — Interés legítimo (seguridad y estabilidad del servicio) |
| Cumplimiento de obligaciones legales | Art. 6.1.c — Obligación legal |
| Procesamiento de llamadas de voz IA | Art. 6.1.b — Ejecución del contrato con la clínica; Art. 9.2.h RGPD (cuando las llamadas contengan datos de salud) |
4. Conservación de datos
| Datos | Período de conservación |
|---|---|
| Cuentas de usuario activas | Mientras la cuenta esté activa o hasta que se solicite la eliminación |
| Registros de acceso y actividad | 12 meses desde el registro |
| Datos de citas y pacientes (como Encargado) | Según instrucciones de la clínica (mínimo 5 años por obligaciones fiscales y sanitarias) |
| Grabaciones de llamadas (audio) | Máximo 90 días, almacenadas por Vapi AI conforme a su política de retención. Los metadatos de la llamada (duración, transcripción, resumen) son gestionados por Davoxly y se conservan según las instrucciones de la clínica. |
| Tokens de notificaciones push | Mientras el dispositivo esté registrado o hasta desactivación por el usuario |
| Logs de errores (Sentry) | 90 días |
Transcurridos los períodos indicados, los datos serán eliminados o anonimizados de forma segura.
5. Destinatarios y terceros
Davoxly comparte datos con los siguientes proveedores de servicios en calidad de Encargados del tratamiento, con quienes se han suscrito los correspondientes contratos de encargo o se aplican las cláusulas contractuales tipo de la UE:
| Proveedor | Servicio | País | Garantías |
|---|---|---|---|
| DigitalOcean LLC | Alojamiento del servidor (región FRA1, Fráncfort, Alemania) | EE. UU. / UE (datos en Alemania) | Servidores en la UE; Cláusulas Contractuales Tipo (CCT) para transferencias UE-EE. UU. |
| Vapi AI Inc. | Asistente de voz IA, procesamiento de llamadas | EE. UU. | Cláusulas Contractuales Tipo (CCT) |
| Twilio Inc. | Envío de SMS de notificación | EE. UU. | Cláusulas Contractuales Tipo (CCT) |
| Functional Software Inc. (Sentry) | Monitorización de errores técnicos | EE. UU. | Cláusulas Contractuales Tipo (CCT); IPs anonimizadas |
| Expo (Expo SDK / EAS) | Distribución de la aplicación móvil y envío de notificaciones push | EE. UU. | Cláusulas Contractuales Tipo (CCT) |
No vendemos, alquilamos ni cedemos tus datos personales a terceros con fines comerciales propios.
6. Transferencias internacionales de datos
Algunos de nuestros proveedores están ubicados en Estados Unidos. En todos los casos, las transferencias se realizan al amparo de las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea o mediante otro mecanismo de transferencia válido conforme al RGPD (Capítulo V). Los datos de producción se almacenan en servidores ubicados en Alemania (región FRA1 de DigitalOcean), dentro del Espacio Económico Europeo.
7. Sus derechos
Conforme al RGPD y la LOPDGDD, tiene derecho a:
- Acceso: Obtener confirmación sobre si tratamos tus datos y acceder a ellos.
- Rectificación: Solicitar la corrección de datos inexactos o incompletos.
- Supresión («derecho al olvido»): Solicitar la eliminación de tus datos cuando, entre otros supuestos, dejen de ser necesarios para los fines para los que fueron recogidos.
- Limitación del tratamiento: Solicitar que suspendamos temporalmente el tratamiento de tus datos.
- Portabilidad: Recibir tus datos en un formato estructurado, de uso común y lectura mecánica.
- Oposición: Oponerte al tratamiento basado en interés legítimo.
- No ser objeto de decisiones automatizadas: No ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos.
- Retirar el consentimiento: Cuando el tratamiento se base en tu consentimiento (p. ej., notificaciones push), puedes retirarlo en cualquier momento sin que afecte a la licitud del tratamiento anterior.
Para ejercer cualquiera de estos derechos, envía un correo a support@davoxly.com indicando el derecho que deseas ejercer y adjuntando una copia de tu documento de identidad. Responderemos en el plazo máximo de un mes (ampliable a tres meses en casos complejos, notificándotelo dentro del primer mes).
Si consideras que el tratamiento de tus datos infringe la normativa vigente, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es.
8. Eliminación de cuenta
Si deseas eliminar tu cuenta de Davoxly y todos los datos personales asociados, puedes hacerlo de las siguientes formas:
- Desde la aplicación: Ve a Perfil → Ajustes de cuenta → Eliminar cuenta y sigue las instrucciones.
- Por correo electrónico: Envía una solicitud a support@davoxly.com con el asunto «Eliminar cuenta» desde la dirección de correo asociada a tu cuenta.
- A través del administrador: El administrador de tu clínica puede eliminar tu cuenta desde el panel de gestión.
- Formulario web: Visita davoxly.com/delete-account.
Procesaremos tu solicitud en un plazo máximo de 30 días. Los datos de citas y registros históricos que sean necesarios para cumplir obligaciones legales o contractuales con la clínica podrán conservarse durante el período legalmente establecido, debidamente anonimizados o disociados de tu identidad en la medida de lo posible.
9. Grabaciones de llamadas telefónicas
El asistente de voz IA de Davoxly graba las llamadas entrantes de los pacientes a la clínica. Antes del inicio de cualquier conversación, el asistente informa verbalmente a los pacientes de que la llamada puede ser grabada. Estas grabaciones:
- Son procesadas y almacenadas por Vapi AI (sub-encargado del tratamiento) durante un período máximo de 90 días, conforme a la política de retención de Vapi AI. Los metadatos de la llamada (duración, transcripción, resumen e identificación de la llamada) son gestionados por Davoxly y conservados según las instrucciones de la clínica.
- Son accesibles al personal autorizado de la clínica para supervisión de calidad y resolución de incidencias.
- No se utilizan para fines publicitarios ni se ceden a terceros distintos de los indicados en esta política.
- En la medida en que las conversaciones contengan datos de salud del paciente, el tratamiento se ampara adicionalmente en el Art. 9.2.h RGPD (prestación de asistencia sanitaria).
- Los pacientes pueden solicitar la eliminación de su grabación contactando con la clínica directamente o con nosotros en support@davoxly.com.
10. Notificaciones push
Con tu consentimiento, Davoxly envía notificaciones push a tu dispositivo sobre actualizaciones de citas (confirmaciones, cancelaciones, nuevos registros). El token de dispositivo necesario para el envío se transmite a nuestros servidores y a Expo (EAS) para la entrega.
Puedes revocar este permiso en cualquier momento desde los ajustes de tu dispositivo (iOS: Ajustes → Davoxly → Notificaciones / Android: Ajustes → Aplicaciones → Davoxly → Notificaciones) o desde la sección de perfil de la aplicación. Al revocar el permiso, dejarás de recibir notificaciones y eliminaremos el token de tu dispositivo.
11. Seguridad
Aplicamos medidas técnicas y organizativas adecuadas para proteger tus datos frente a accesos no autorizados, pérdida, divulgación o alteración. Entre otras medidas:
- Comunicaciones cifradas mediante HTTPS/TLS.
- Contraseñas almacenadas con bcrypt (hash unidireccional).
- Tokens de autenticación de corta duración (Sanctum).
- Acceso a datos restringido según el rol del usuario.
- Monitorización continua de errores y anomalías (Sentry).
- Copias de seguridad periódicas en infraestructura segura.
No obstante, ningún sistema es completamente inexpugnable. Si detectas una posible vulnerabilidad de seguridad, te rogamos la comuniques responsablemente a support@davoxly.com.
12. Menores de edad
Davoxly está destinado exclusivamente a profesionales adultos (mayores de 18 años). No recogemos conscientemente datos de menores de 18 años. Si tienes conocimiento de que un menor ha creado una cuenta, comunícalo a support@davoxly.com para proceder a su eliminación.
13. Cambios en esta política
Podemos actualizar esta Política de Privacidad periódicamente para reflejar cambios en nuestros servicios o en la normativa aplicable. Cuando los cambios sean significativos, te lo comunicaremos por correo electrónico o mediante un aviso prominente en la aplicación con al menos 30 días de antelación. La fecha de «Última actualización» que aparece al inicio de esta página refleja la versión vigente.
El uso continuado del servicio tras la entrada en vigor de los cambios constituye tu aceptación de la Política de Privacidad actualizada.
14. Contacto
Si tienes preguntas, solicitudes o quejas relacionadas con esta Política de Privacidad o el tratamiento de tus datos personales, puedes contactar con nosotros en:
- Correo electrónico: support@davoxly.com
- Sitio web: https://davoxly.com