Versión 1.0 · Última actualización: 13 de mayo de 2026
La presente Política de Privacidad regula el tratamiento de los datos personales de los usuarios del sitio web https://bajardepeso.es (en adelante, «el Sitio Web») por parte del responsable del tratamiento.
1. Responsable del tratamiento
El responsable del tratamiento de los datos personales es:
- Razón social: DIGITAL EMPRESA LTD
- Domicilio: 20-22 Wenlock Road, London, N1 7GU, England
- VAT: 414177022
- Teléfono: +44 204 577 2348
- Email general: soporte@bajardepeso.es
- Email para asuntos de privacidad: privacidad@bajardepeso.es
2. Datos que tratamos
Bajardepeso.es es un directorio online de profesionales de la nutrición, dietética y salud relacionada con la pérdida de peso. Para prestar el servicio tratamos las siguientes categorías de datos personales:
2.1. Datos de pacientes (usuarios finales)
- Nombre y apellidos
- Dirección de correo electrónico
- Número de teléfono (opcional)
- Datos de pago (procesados directamente por Stripe; no almacenamos números de tarjeta)
- Historial de citas reservadas en la plataforma
Importante: No tratamos datos clínicos, diagnósticos médicos, historias clínicas, prescripciones ni ningún dato de salud del paciente. La consulta sanitaria propiamente dicha se realiza entre el paciente y el profesional, fuera del alcance técnico de la plataforma.
2.2. Datos de profesionales (titulares de fichas)
- Nombre, apellidos y nombre profesional
- Email y teléfono de contacto profesional
- Datos profesionales: especialidad, número de colegiado, dirección de la consulta, sitio web
- Credenciales OAuth de Zoom (cifradas) cuando el profesional conecta su cuenta para ofrecer videoconsultas
- Métodos de pago propios que el profesional decida mostrar al paciente
3. Finalidades del tratamiento
Tratamos los datos personales para:
- Gestionar el alta y mantenimiento de fichas profesionales en el directorio.
- Gestionar reservas de citas entre pacientes y profesionales.
- Cobrar la tarifa de gestión de pre-reserva del 10% del precio de la consulta.
- Crear automáticamente reuniones de Zoom cuando se reserve una consulta online y el profesional haya autorizado la integración.
- Enviar comunicaciones transaccionales: confirmaciones de reserva, recordatorios de cita e instrucciones de acceso a videoconsulta.
- Cumplir obligaciones legales, fiscales y contables.
- Atender solicitudes de soporte y consultas.
4. Base jurídica del tratamiento
Conforme al artículo 6 del Reglamento (UE) 2016/679 (RGPD) y al UK GDPR aplicables, las bases jurídicas que legitiman el tratamiento son:
- Ejecución de un contrato (art. 6.1.b): gestión del alta, reservas y prestación del servicio.
- Cumplimiento de obligaciones legales (art. 6.1.c): facturación, contabilidad y obligaciones fiscales.
- Consentimiento (art. 6.1.a): autorización expresa para la integración con Zoom mediante OAuth.
- Interés legítimo (art. 6.1.f): mejora del servicio, prevención del fraude y seguridad de la plataforma.
5. Datos de categoría especial
Bajardepeso.es no recopila ni trata datos de categoría especial (art. 9 RGPD), incluidos datos de salud, diagnósticos, tratamientos o información médica del paciente. Toda comunicación clínica entre paciente y profesional se produce fuera de la plataforma; el contenido de las videoconsultas en Zoom no es accesible ni almacenado por la plataforma.
6. Integración con Zoom
Cuando un profesional decide ofrecer videoconsultas a través de Zoom, autoriza voluntariamente a la aplicación «Consulta Online» de bajardepeso.es para acceder a su cuenta de Zoom mediante el protocolo OAuth 2.0.
6.1. Datos a los que accedemos
Con autorización del profesional accedemos exclusivamente a:
- Información básica de perfil: nombre y email asociados a la cuenta de Zoom (scope
user:read:user). - Capacidad de crear reuniones en su nombre (scope
meeting:write:meeting). - Capacidad de consultar los detalles de las reuniones creadas (scope
meeting:read:meeting).
No accedemos en ningún caso al contenido de las reuniones de Zoom: ni audio, ni vídeo, ni transcripciones, ni chat, ni pantalla compartida, ni grabaciones.
6.2. Datos que almacenamos
- Tokens OAuth (access_token y refresh_token), cifrados con AES-256-GCM antes de almacenarse en base de datos.
- Identificador único de usuario de Zoom (Zoom user_id), para asociar la cuenta Zoom con el perfil del profesional.
- Metadatos de cada reunión creada: ID de reunión, URL de acceso, código de acceso y hora programada, asociados a la reserva correspondiente.
6.3. Revocación
El profesional puede revocar la autorización en cualquier momento mediante: (a) el botón «Desconectar Zoom» desde su panel personal en bajardepeso.es, que elimina los tokens OAuth de la base de datos; o (b) desde su panel de Zoom Marketplace, retirando la autorización. En ambos casos cesa inmediatamente la creación de futuras reuniones automáticas.
7. Destinatarios de los datos
Para prestar el servicio compartimos datos personales, estrictamente necesarios, con los siguientes encargados del tratamiento:
| Destinatario | Finalidad | Datos compartidos |
|---|---|---|
| Zoom Video Communications, Inc. (EE.UU.) | Creación y gestión de reuniones | Identidad del profesional, metadatos de la reunión |
| Stripe, Inc. (EE.UU. / Irlanda) | Procesamiento de pagos | Nombre, email y datos de tarjeta del paciente |
| Proveedor de hosting (UE) | Alojamiento de la plataforma | Todos los datos del sitio, cifrados en reposo |
| Proveedor de email | Envío de notificaciones transaccionales | Nombre y email del destinatario |
| Profesional sanitario seleccionado | Atención de la cita | Nombre y contacto del paciente |
No vendemos ni cedemos datos personales a terceros con fines comerciales. Todos los encargados operan bajo contrato escrito conforme al artículo 28 del RGPD.
8. Transferencias internacionales
Algunos proveedores (Zoom, Stripe) están establecidos en Estados Unidos. Las transferencias internacionales se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea o de las decisiones de adecuación correspondientes, incluido el EU-US Data Privacy Framework cuando proceda.
Las transferencias entre Reino Unido y Unión Europea se realizan al amparo de la decisión de adecuación de la Comisión Europea de 28 de junio de 2021 que considera al Reino Unido como país con nivel adecuado de protección.
9. Plazos de conservación
- Datos de cuenta y perfil: mientras la cuenta esté activa, más 12 meses tras la baja.
- Tokens OAuth de Zoom: hasta revocación; tras revocación se eliminan en un máximo de 72 horas.
- Datos de facturación: 6 años desde la emisión, conforme a la normativa fiscal del Reino Unido.
- Metadatos de citas y reuniones Zoom: 2-5 años según categoría.
- Logs técnicos: 12 meses.
10. Derechos del usuario
De conformidad con el Reglamento General de Protección de Datos (RGPD) y la legislación aplicable en materia de protección de datos personales, el usuario tiene los siguientes derechos sobre sus datos personales, que puede ejercer en cualquier momento de forma gratuita:
- Derecho de acceso: obtener confirmación sobre si estamos tratando datos personales que le conciernen y, en su caso, acceder a esos datos y obtener una copia.
- Derecho de rectificación: solicitar la corrección de datos personales inexactos o incompletos.
- Derecho de supresión («derecho al olvido»): solicitar la eliminación de sus datos personales cuando ya no sean necesarios para los fines para los que fueron recogidos, cuando retire el consentimiento, o cuando se opongan al tratamiento.
- Derecho a la limitación del tratamiento: solicitar que se limite el tratamiento de sus datos cuando impugne su exactitud, el tratamiento sea ilícito, ya no necesitemos los datos pero el usuario los necesite para reclamaciones, o haya ejercido el derecho de oposición.
- Derecho a la portabilidad de los datos: recibir los datos personales que le incumban en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable cuando el tratamiento se base en consentimiento o contrato y se efectúe por medios automatizados.
- Derecho de oposición: oponerse, por motivos relacionados con su situación particular, al tratamiento de sus datos basado en interés legítimo, así como a su uso para marketing directo.
- Derecho a retirar el consentimiento: retirar en cualquier momento el consentimiento prestado para tratamientos específicos (por ejemplo, la autorización OAuth de Zoom), sin que ello afecte a la licitud del tratamiento anterior a la retirada.
- Derecho a no ser objeto de decisiones automatizadas: no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o le afecten significativamente.
10.1. Cómo ejercer los derechos
Para ejercer cualquiera de estos derechos basta con enviar una solicitud por correo electrónico a privacidad@bajardepeso.es indicando:
- Nombre y apellidos del solicitante.
- Copia de documento identificativo (DNI, NIE o pasaporte) que acredite la identidad.
- Derecho que se desea ejercer y, en su caso, detalle de la solicitud.
- Dirección de correo electrónico u otro medio para recibir la respuesta.
Responderemos a la solicitud en un plazo máximo de un mes desde su recepción. Este plazo podrá prorrogarse otros dos meses en caso de solicitudes especialmente complejas o numerosas, comunicándolo al solicitante.
El ejercicio de estos derechos es gratuito, salvo en casos de solicitudes manifiestamente infundadas o excesivas, en cuyo caso podremos cobrar un canon razonable o negarnos a actuar.
10.2. Derecho a presentar una reclamación
Si el usuario considera que el tratamiento de sus datos personales vulnera la normativa aplicable o no se han atendido satisfactoriamente sus derechos, puede presentar una reclamación ante la autoridad de control competente:
- Information Commissioner’s Office (ICO) — Reino Unido: https://ico.org.uk
- Agencia Española de Protección de Datos (AEPD) — España: https://www.aepd.es
11. Seguridad de los datos
Hemos adoptado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo cifrado de datos en tránsito (HTTPS / TLS 1.2+) y en reposo, control de accesos con doble factor de autenticación, copias de seguridad cifradas, y políticas de respuesta ante incidentes con notificación a las autoridades de control en un plazo máximo de 72 horas conforme al artículo 33 del RGPD.
12. Cookies
El uso de cookies y tecnologías similares en el Sitio Web se regula en nuestra Política de Cookies.
13. Modificaciones de la política
DIGITAL EMPRESA LTD se reserva el derecho de modificar la presente Política de Privacidad para adaptarla a cambios legislativos, jurisprudenciales o de la práctica empresarial. Cualquier modificación se publicará en esta misma página y, en caso de cambios sustanciales, se informará al usuario por los canales habituales.