Política de privacidad
Última actualización: 13 de mayo de 2026 — Versión 2.1
PhotoFlux es una herramienta de fotografía clínica diseñada con el principio de privacidad por diseño: las fotografías y los datos clínicos de tus pacientes nunca se almacenan ni se procesan en nuestros servidores. Toda la información sensible vive en el ordenador donde instalas la aplicación de escritorio. Esta web (photoflux.org) y la app móvil sólo tratan los datos estrictamente necesarios para emitir tu licencia, facturarte y, en el caso de la app móvil, transmitir las fotos directamente a tu propio ordenador emparejado.
1. Responsable del tratamiento
| Campo | Dato |
|---|---|
| Titular | Diego Berrocal |
| NIF | (pendiente de cumplimentar) |
| Dirección | Avenida Diagonal 523, 08029 Barcelona, España |
| Email de contacto | contact@photoflux.org |
| Email para asuntos de privacidad | contact@photoflux.org |
No se ha designado un Delegado de Protección de Datos (DPO) por no concurrir ninguno de los supuestos del artículo 37 RGPD.
2. A quién va dirigido el servicio
PhotoFlux está dirigido exclusivamente a profesionales y clínicas y se contrata por personas mayores de edad que actúan como profesionales o en representación de una persona jurídica. No tratamos conscientemente datos de menores como usuarios del servicio.
Las fotografías y los datos clínicos de los pacientes los gestiona la propia clínica como responsable del tratamiento; PhotoFlux es únicamente la herramienta de software que la clínica utiliza para almacenar y comparar esas fotografías en sus equipos. La obligación de obtener el consentimiento informado de cada paciente recae en la clínica.
3. Qué datos tratamos y con qué finalidad
3.1. Datos de la cuenta y la suscripción
| Dato | Finalidad | Base legal | Conservación |
|---|---|---|---|
| Crear cuenta, enviar la clave de licencia, comunicaciones operativas | Ejecución de contrato (art. 6.1.b RGPD) | Mientras exista la cuenta y, tras su baja, lo necesario para atender obligaciones legales | |
| Datos fiscales (nombre, dirección, NIF) que introduzcas en Stripe | Facturación y obligaciones contables | Obligación legal (art. 6.1.c RGPD) | 6 años (LGT, Código de Comercio) |
| Identificadores y estado de la suscripción (plan, fechas, importes) | Activar y desactivar tu licencia | Ejecución de contrato | Mientras exista la cuenta + 6 años para facturación |
| Clave de licencia generada para tu instalación | Validar tu suscripción contra el servidor de licencias | Ejecución de contrato | Mientras la suscripción esté activa |
3.2. Formulario de contacto
| Dato | Finalidad | Base legal | Conservación |
|---|---|---|---|
| Nombre, email, clínica, mensaje | Responder tu solicitud | Interés legítimo en atender consultas (art. 6.1.f) | Hasta 12 meses tras la última interacción |
3.3. Email entrante a contact@photoflux.org
Cualquier email que envíes a esa dirección se reenvía automáticamente a un buzón interno (Google Workspace / Gmail) para poder responderte. El contenido se conserva en ese buzón el tiempo razonable para gestionar la relación contigo.
3.4. App de escritorio
La app de escritorio guarda en el ordenador de la clínica:
- Las fotografías capturadas y sus metadatos.
- Información de los pacientes que la propia clínica decida introducir.
- La clave de licencia.
Estos datos no se transmiten a nuestros servidores en ningún momento. Sólo se realiza una llamada periódica a nuestra API para verificar que la licencia sigue activa, en la que enviamos exclusivamente la clave de licencia y un identificador del equipo.
3.5. App móvil
La app móvil de PhotoFlux:
- Solicita permisos de cámara y galería de fotos únicamente para capturar fotografías y leer un código QR de emparejamiento con tu ordenador.
- En el caso de Android, solicita además acceso al micrófono cuando el vídeo lo requiera.
- Las fotografías se transmiten directamente al ordenador emparejado a través de la red local; no se suben a nuestros servidores.
- La app no recoge analítica, telemetría ni datos de uso.
- No utiliza identificadores publicitarios.
3.6. Página /descargas
Para mostrar la última versión disponible de la app de escritorio, la web consulta la API de GitHub Releases del repositorio privado del producto usando un token de sólo lectura. No se envía ningún dato tuyo a GitHub en este proceso.
3.7. Cookies y analítica web
Esta web no utiliza cookies de seguimiento publicitario ni perfilado
entre sitios. Sólo se emplean las cookies estrictamente necesarias para
el funcionamiento del proceso de pago de Stripe y para mantener tu sesión
iniciada en /cuenta. No requieren consentimiento previo según el
art. 22.2 LSSI.
Para medir de forma agregada el rendimiento técnico y el uso del sitio utilizamos dos herramientas de Vercel Inc., el proveedor que aloja la web:
- Vercel Web Analytics: cuenta visitas y páginas vistas.
- Vercel Speed Insights: recoge métricas de Core Web Vitals (tiempos de carga, interactividad, estabilidad visual).
Ambas funcionan sin cookies ni identificadores persistentes. Para distinguir visitantes únicos durante un día generan un hash anónimo a partir de la dirección IP y el user-agent con un salt que rota cada día, por lo que no permiten seguir al mismo visitante entre días ni entre sitios. La dirección IP no se almacena. La base legal es nuestro interés legítimo (art. 6.1.f RGPD) en mantener la web operativa y detectar problemas de rendimiento. Puedes oponerte enviando un email a contact@photoflux.org o bloqueando los dominios de Vercel desde tu navegador.
4. Encargados del tratamiento (subencargados)
Para prestar el servicio nos apoyamos en estos proveedores. Todos cuentan con garantías adecuadas conforme al Capítulo V del RGPD: cláusulas contractuales tipo (SCCs) de la Comisión Europea y/o adhesión al EU-US Data Privacy Framework.
| Proveedor | Servicio | Ubicación | Mecanismo de transferencia |
|---|---|---|---|
| Stripe Payments Europe, Ltd. | Procesado de pagos y facturación | Irlanda + EE. UU. | SCCs + DPF |
| Vercel Inc. | Hosting de la web y APIs, analítica web y Speed Insights | EE. UU. | SCCs + DPF |
| Resend, Inc. | Envío y recepción de emails transaccionales | EE. UU. | SCCs + DPF |
| GitHub, Inc. (Microsoft) | Distribución de instaladores de la app de escritorio (sólo descarga del binario) | EE. UU. | SCCs + DPF |
| Google LLC (Workspace / Gmail) | Buzón interno donde se reenvían los emails entrantes | EE. UU. | SCCs + DPF |
| Apple Inc. (App Store Connect) | Distribución de la app móvil iOS | EE. UU. | SCCs + DPF |
| Google LLC (Google Play) | Distribución de la app móvil Android | EE. UU. | SCCs + DPF |
| Expo (Application Services, Inc.) | Compilación y firma de la app móvil | EE. UU. | SCCs + DPF |
Estos proveedores pueden tener acceso a tus datos exclusivamente para prestar su servicio y en virtud del correspondiente contrato de encargo.
5. Decisiones automatizadas y elaboración de perfiles
No se realizan decisiones automatizadas con efectos jurídicos significativos ni elaboración de perfiles sobre tus datos.
6. Tus derechos
Como interesado, puedes ejercer en cualquier momento los siguientes derechos sobre tus datos personales:
- Acceso a los datos que tratamos sobre ti.
- Rectificación de datos inexactos.
- Supresión ("derecho al olvido") cuando ya no sean necesarios.
- Oposición al tratamiento.
- Limitación del tratamiento.
- Portabilidad en formato estructurado y de uso común.
- Retirar el consentimiento en cualquier momento, cuando aplique, sin que ello afecte a la licitud del tratamiento previo.
Puedes ejercerlos enviando un email a contact@photoflux.org indicando el derecho que deseas ejercer y adjuntando, si fuera necesario, copia de un documento identificativo. Responderemos en el plazo máximo de un mes.
Si consideras que el tratamiento de tus datos no es conforme a la normativa, puedes presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
7. Seguridad
Aplicamos medidas técnicas y organizativas razonables para proteger tus datos: cifrado en tránsito (HTTPS/TLS), control de acceso a los sistemas de los proveedores listados en el apartado 4, copias de seguridad operativas y principio de minimización (no almacenamos lo que no necesitamos). El hecho de que las fotografías y los datos clínicos no salgan del ordenador de la clínica reduce drásticamente la superficie de exposición.
8. Cambios en esta política
Si modificamos esta política, publicaremos la nueva versión en esta misma URL e indicaremos la fecha de última actualización en la cabecera. Los cambios sustanciales se notificarán además por email a las cuentas activas.