Política de privacidad

El responsable del tratamiento de los datos personales recogidos a través de CercaFarma es: · Titular: Extern Sales Ventas S.L.U. · NIF: B75354985 · Domicilio: Calle Saturnino Calleja, 20, 1º A, 02005, Albacete, España · Correo de contacto en materia de privacidad: privacidad@cercafarma.com En adelante, «CercaFarma», «nosotros» o «el responsable».

Esta Política de Privacidad regula el tratamiento de los datos personales de las personas físicas (en adelante, «el Usuario») que utilizan la aplicación móvil y el sitio web cercafarma.com (incluyendo el panel para farmacias en admin.cercafarma.com), en cualquiera de sus modalidades de uso. Se aplica además del marco normativo siguiente: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).

CercaFarma aplica los principios de minimización (Art. 5.1.c RGPD) y privacidad por diseño y por defecto (Art. 25 RGPD): solo se recogen los datos estrictamente necesarios para la finalidad declarada, y la modalidad de uso por defecto para el paciente es el modo invitado, sin registro previo ni perfilado.

En función del uso que hagas del Servicio, podemos tratar las siguientes categorías de datos: a) USUARIO INVITADO (paciente sin cuenta): · Búsquedas: nombre del medicamento o término introducido y, opcionalmente, ciudad seleccionada o derivada por geolocalización. · Interacciones agregadas con fichas de farmacia: tipo de acción (ver ficha, pulsar «Llamar», pulsar «Cómo llegar», ver oferta), marca temporal y ciudad. · Reservas: nombre de contacto que voluntariamente facilites, listado de medicamentos del pack, ciudad, hora de recogida elegida (si aplica) y código de reserva. · Datos técnicos esenciales: identificador efímero anti-spam almacenado en el navegador (localStorage) y datos básicos de conexión gestionados por nuestros proveedores de infraestructura. b) USUARIO REGISTRADO COMO TITULAR O EMPLEADO DE FARMACIA: · Datos de cuenta: correo electrónico, nombre y contraseña (almacenada cifrada con bcrypt por nuestro proveedor de autenticación). · Datos de identificación de la farmacia gestionada (nombre comercial, dirección, teléfono, horarios, fotos, ofertas). · Rol asignado (titular/empleado) y registro de farmacias administradas. · Si se utiliza acceso con Google: identificador de cuenta de Google y nombre asociado. · Si se activan notificaciones push: token de dispositivo emitido por Expo Notification Service. NO recogemos: DNI/NIE del paciente, número de teléfono del paciente, dirección física del paciente, coordenadas GPS exactas (sólo se calcula la distancia en tu dispositivo), información financiera ni datos de tarjetas de pago.

Los términos de búsqueda y los medicamentos incluidos en las reservas pueden, en determinadas circunstancias, revelar información sobre tu estado de salud (por ejemplo, al buscar un fármaco característico de una patología). Esta información se considera dato de categoría especial conforme al Art. 9 RGPD. Por ese motivo: · No asociamos esos términos a tu identidad: el modo invitado no requiere registro y no almacenamos identificadores estables del visitante. · No los compartimos con terceros ajenos a la prestación del servicio. · No los usamos para perfilado, publicidad o segmentación. · Las farmacias acceden únicamente a los datos necesarios para preparar el pack que has reservado en su establecimiento (ver Apartado 7). · Te recomendamos no introducir términos de búsqueda que vayan más allá del nombre del medicamento (no añadas datos clínicos personales en el campo de búsqueda).

Tratamos tus datos para las siguientes finalidades y al amparo de las siguientes bases jurídicas (Art. 6 RGPD): · Prestación del servicio de búsqueda y reserva: ejecución de las medidas precontractuales solicitadas por el interesado y ejecución del servicio gratuito (Art. 6.1.b RGPD). · Métricas agregadas y mejora del servicio: interés legítimo del responsable (Art. 6.1.f RGPD) en operar y mejorar la plataforma. Las métricas se calculan sobre datos no identificativos: número de eventos por tipo, ciudad y día, sin asociación con visitantes concretos. · Cuentas de farmacia y panel de gestión: ejecución del contrato de prestación del servicio (Art. 6.1.b RGPD). · Notificaciones push: consentimiento explícito del usuario, revocable en cualquier momento desde los ajustes del sistema operativo (Art. 6.1.a RGPD). · Cumplimiento de obligaciones legales: cumplimiento de la normativa contable, fiscal y administrativa aplicable (Art. 6.1.c RGPD). · Atención a derechos del interesado y a comunicaciones de soporte: ejecución del contrato e interés legítimo (Art. 6.1.b y f RGPD). No realizamos decisiones automatizadas con efectos jurídicos sobre el usuario ni elaboración de perfiles en los términos del Art. 22 RGPD.

CercaFarma NO vende, alquila ni cede tus datos a terceros con finalidades comerciales. a) DESTINATARIOS NECESARIOS PARA LA PRESTACIÓN DEL SERVICIO: · La farmacia destinataria de una reserva recibe los datos imprescindibles para preparar el pack: nombre de contacto que facilites, código de reserva, medicamentos del pack, ofertas añadidas, hora de recogida y ciudad. La farmacia actúa como responsable independiente del tratamiento de esos datos a partir del momento en que los recibe, en el marco de la relación cliente-farmacia. b) ENCARGADOS DEL TRATAMIENTO: · Supabase Inc. — infraestructura de base de datos y autenticación. Datos alojados en región UE cuando es técnicamente posible. Política: https://supabase.com/privacy. · Vercel Inc. — alojamiento del sitio web y panel admin. Política: https://vercel.com/legal/privacy-policy. · Expo (650 Industries, Inc.) — envío de notificaciones push para cuentas que las hayan activado. Política: https://expo.dev/privacy. · Google LLC — únicamente cuando se utiliza la opción «Iniciar sesión con Google» (datos de OAuth) y para la presentación de mapas y reseñas de fichas de farmacia (Google Maps Platform/Places). Política: https://policies.google.com/privacy. · OpenStreetMap Foundation — únicamente para la presentación de mapas en el sitio web. Política: https://wiki.osmfoundation.org/wiki/Privacy_Policy. Con todos los encargados se han suscrito o están en proceso de suscripción los correspondientes contratos de tratamiento de datos exigidos por el Art. 28 RGPD.

Algunos de nuestros proveedores tienen su sede en Estados Unidos. Cuando una transferencia internacional de datos es necesaria, garantizamos su licitud mediante alguno de los siguientes mecanismos previstos en el Capítulo V del RGPD: · Adhesión del receptor al Data Privacy Framework UE-EE.UU. cuando esté disponible. · Cláusulas Contractuales Tipo aprobadas por la Comisión Europea. · Medidas suplementarias de seguridad (cifrado en tránsito, control de acceso) cuando el análisis de impacto lo recomiende. Puedes obtener una copia de los mecanismos aplicables solicitándolo al correo privacidad@cercafarma.com.

Conservamos los datos durante el tiempo estrictamente necesario para la finalidad de su recogida y, en su caso, durante los plazos legales obligatorios: · Búsquedas y eventos agregados: 30 días en su forma original; a partir de ese momento se conservan en forma agregada y no identificativa. · Reservas: hasta su expiración (2 horas) y posterior conservación durante un máximo de 30 días para resolución de incidencias. Las reservas marcadas como vendidas pueden conservarse durante 6 años a efectos contables si tu farmacia lo requiere por obligación fiscal (Art. 30 Código de Comercio). · Cuentas de farmacia: mientras la cuenta esté activa y hasta 90 días tras la solicitud de baja, salvo obligación legal de conservación. · Tokens de notificación push: hasta que el dispositivo se desinstale o el usuario revoque los permisos. · Comunicaciones de soporte: durante el tiempo necesario para resolver la consulta y, posteriormente, hasta 1 año.

Puedes ejercer en cualquier momento los siguientes derechos reconocidos por los Arts. 15 a 22 RGPD: · Acceso: obtener confirmación de si estamos tratando datos tuyos y, en su caso, una copia. · Rectificación: corregir datos inexactos o incompletos. · Supresión («derecho al olvido»): solicitar la eliminación cuando ya no sean necesarios. · Limitación del tratamiento: solicitar que paralicemos el tratamiento en supuestos tasados. · Portabilidad: recibir tus datos en un formato estructurado y reutilizable. · Oposición: oponerte a un tratamiento basado en interés legítimo. · Revocación del consentimiento prestado, sin efecto retroactivo. · No ser objeto de decisiones automatizadas con efectos jurídicos. Puedes ejercerlos enviando un correo a privacidad@cercafarma.com indicando el derecho que deseas ejercitar y aportando, si procede, copia de un documento que acredite tu identidad. Responderemos en el plazo máximo de un mes desde la recepción de la solicitud (prorrogable a dos meses si la solicitud es compleja, informándote previamente). Si consideras que el tratamiento no se ajusta a la normativa, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es), C/ Jorge Juan 6, 28001 Madrid.

CercaFarma aplica medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Art. 32 RGPD), entre otras: · Cifrado en tránsito (HTTPS/TLS) en todas las comunicaciones. · Cifrado en reposo en la base de datos. · Contraseñas almacenadas con funciones de hash criptográficas modernas (bcrypt). · Control de accesos por rol con Row Level Security en la base de datos. · Auditoría de accesos administrativos. · Procedimientos antibots básicos para evitar la creación masiva de reservas falsas. · Política de notificación de quiebras de seguridad conforme a los Arts. 33-34 RGPD. En caso de detectar una quiebra de seguridad que afecte a tus datos personales y suponga un alto riesgo para tus derechos y libertades, te lo comunicaremos sin dilación indebida.

CercaFarma no está dirigido específicamente a menores de edad. Conforme al Art. 7 LOPDGDD, los menores de 14 años no pueden prestar válidamente su consentimiento al tratamiento de sus datos personales; será necesario el consentimiento de los titulares de la patria potestad o tutela. Si detectamos que se han recogido datos de un menor sin el consentimiento del responsable parental, procederemos a su supresión inmediata. Si un menor utiliza CercaFarma para reservar un medicamento, recuerda que la dispensación efectiva del medicamento se realiza en la farmacia física conforme a la normativa vigente y bajo el criterio del farmacéutico responsable.

CercaFarma NO utiliza cookies de seguimiento ni perfilado. La web y la app utilizan exclusivamente almacenamiento local técnico (localStorage en navegador, AsyncStorage en la app móvil) para: · Recordar la ciudad seleccionada por el usuario (cf:city). · Evitar el envío duplicado de eventos de métrica (cf:ev:dedup, cf:sr:dedup). · Conservar la sesión de las cuentas autenticadas (token de sesión de Supabase Auth). · Mantener el estado de la reserva activa para que puedas consultarla aunque cierres la app. Estos almacenamientos son técnicamente necesarios para la prestación del servicio y por tanto están exentos del deber de obtener consentimiento previo conforme al Art. 22.2 LSSI-CE. Puedes borrarlos en cualquier momento desde los ajustes de tu navegador o desinstalando la app.

Cuando concedes permiso de geolocalización al navegador o a la app, las coordenadas obtenidas se utilizan EXCLUSIVAMENTE EN TU DISPOSITIVO para calcular la distancia hasta cada farmacia y ordenar los resultados. Las coordenadas no se transmiten a nuestros servidores ni se almacenan en ninguna base de datos. Si rechazas el permiso, podrás seguir usando la app indicando manualmente tu ciudad.

CercaFarma no envía comunicaciones comerciales por correo electrónico ni notificaciones push promocionales a los pacientes. Las notificaciones push, cuando están activadas, se utilizan únicamente con fines transaccionales (estado de tus reservas, confirmaciones de la farmacia, etc.). Si en el futuro decidiéramos enviar comunicaciones promocionales a las cuentas de farmacia (boletín de novedades, mejoras, etc.), se realizará en cumplimiento del Art. 21 LSSI-CE: solo a quien lo haya solicitado o autorizado expresamente, con opción de baja gratuita en cada comunicación.

En la actualidad, CercaFarma no está obligada a designar un Delegado de Protección de Datos en virtud del Art. 37 RGPD. No obstante, hemos habilitado un canal específico para cuestiones de privacidad: privacidad@cercafarma.com. Cuando el volumen de tratamiento alcance los umbrales que lo exijan, designaremos un DPO y actualizaremos esta Política de Privacidad.

Esta Política podrá ser actualizada para adaptarla a cambios normativos o de funcionalidad del Servicio. La fecha de última actualización figura al inicio de este documento. Te recomendamos consultar periódicamente esta página. Si los cambios fueran sustanciales, se te comunicarán por los medios habituales (notificación en la app o sitio web).

Para cualquier consulta sobre privacidad puedes escribirnos a privacidad@cercafarma.com. Para reclamaciones, te recordamos que tienes derecho a presentarla ante la Agencia Española de Protección de Datos (AEPD): www.aepd.es.