Volver

Política de Privacidad

Tratamiento de datos personales conforme al RGPD (UE 2016/679) y LOPDGDD (Ley Orgánica 3/2018)

Última actualización: 22 de abril de 2026

1. Responsable del tratamiento

Laneishon — David Melón Torres · NIF 47352943Z · C/ Arquitecto Rey Pedreira 12, 1ºA · 15002 A Coruña · Email de contacto para asuntos de privacidad: info@laneishon.com.

Cuando una clínica utiliza Laneishon para gestionar los datos de sus clientes y pacientes, la clínica actúa como Responsable del Tratamiento y Laneishon como Encargado del Tratamiento. Las condiciones de esa relación se rigen por el Anexo I de los Términos de Servicio (Contrato de Encargo de Tratamiento) (art. 28 RGPD).

2. Datos que tratamos

Para el veterinario titular de la cuenta:

  • Datos identificativos: nombre de la clínica, email, teléfono.
  • Datos fiscales: NIF/CIF, dirección.
  • Datos de navegación y uso de la plataforma.
  • Datos de facturación asociados al plan contratado.

Para los clientes finales (dueños de mascotas) registrados por las clínicas: los datos son tratados por la clínica; Laneishon actúa como Encargado y no los trata para fines propios.

3. Finalidades

  • Prestar el servicio contratado (gestión clínica + LANA IA).
  • Facturación y gestión contable.
  • Comunicaciones administrativas y de soporte.
  • Mejora del servicio mediante datos agregados y anonimizados.
  • Cumplimiento de obligaciones legales, fiscales y veterinarias.

4. Base legal

  • Ejecución del contrato (art. 6.1.b RGPD) para prestar el servicio.
  • Obligación legal (art. 6.1.c) para facturación y conservación fiscal.
  • Interés legítimo (art. 6.1.f) para seguridad, prevención de fraude y mejora del servicio.
  • Consentimiento (art. 6.1.a) para comunicaciones comerciales, siempre opt-in.

5. Plazos de conservación

  • Datos de cuenta: mientras dure el servicio + 6 años mercantil.
  • Facturas: 6 años (Código de Comercio) — 4 años (AEAT) — lo que sea mayor.
  • Comunicaciones: hasta la retirada del consentimiento.

6. Destinatarios y transferencias internacionales

Los datos se alojan en Google Cloud Platform (Firebase), región europe-west1 (Bélgica). Google puede acceder desde fuera del EEE bajo las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea y el Data Privacy Framework UE-EEUU.

Lista completa de subencargados:

  • Google Cloud / Firebase — alojamiento, Firestore, Storage, FCM, Cloud Functions. Región UE (europe-west1).
  • Google Gemini API — IA de LANA y OCR de gastos. Región UE. Sin uso de datos para entrenar.
  • Revolut Payments UAB — pagos del plan de la clínica. No almacenamos datos de tarjeta.
  • Sentry — monitorización de errores y estabilidad técnica.
  • Cloudflare — seguridad (firewall), DNS y red de entrega de contenidos.

7. Plazos de respuesta a tus derechos

Atendemos cualquier solicitud de ejercicio de derechos en un plazo máximo de un mes desde la recepción (art. 12.3 RGPD), prorrogable otros 2 meses en casos complejos con aviso previo justificado. Para supresión y portabilidad, la herramienta de Configuración → Mis Datos permite auto-ejercicio inmediato por la Clínica.

8. Tus derechos (ARCO-POL)

Puedes ejercer en cualquier momento los siguientes derechos escribiendo a info@laneishon.com desde la dirección con la que te registraste, o desde Configuración → Mis Datos dentro de la app:

  • Acceso (exportación de datos en formato JSON)
  • Rectificación (editar tus datos)
  • Supresión / Olvido (borrar cuenta y datos)
  • Oposición y Limitación
  • Portabilidad (formato estructurado)

Tienes derecho a reclamar ante la Agencia Española de Protección de Datos (aepd.es).

9. Medidas de seguridad y brechas

Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256), control de acceso basado en identidad de clínica, reglas de aislamiento multi-tenant a nivel de base de datos (Firestore Rules), sesiones con cookie segura y httpOnly. Auditoría interna regular y copias de seguridad gestionadas por GCP.

En caso de brecha de seguridad con riesgo para los derechos y libertades de las personas afectadas, Laneishon notificará a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde el conocimiento de la brecha (art. 33 RGPD) y a los Responsables (clínicas) sin dilación indebida. Si el riesgo es alto, se notificará también a los interesados afectados (art. 34).