CotevyIniciar sesión

Política de privacidad

Última actualización: 9 de mayo de 2026

1. Quiénes somos

Cotevy es una plataforma SaaS de gestión y cotejo de facturación médica orientada a profesionales sanitarios autónomos y equipos médicos en España.

Responsable del tratamiento de los datos del usuario médico:
Razón social: [A completar antes del lanzamiento]
NIF/CIF: [A completar]
Domicilio: [A completar]
Email de contacto en materia de privacidad: info@cotevy.com

2. Dos roles de tratamiento, según el dato

Cotevy desempeña dos roles distintos según el dato de que se trate:

  • Responsable de los datos de la cuenta del médico (email, nombre, contraseña, foto, teléfono, datos de uso de la plataforma).
  • Encargado del tratamiento de los datos de pacientes que el médico introduce en la plataforma. El médico sigue siendo el responsable de los datos de sus pacientes; Cotevy los trata por cuenta del médico bajo el contrato de prestación de servicios.

3. Qué datos recogemos

Datos del usuario médico (responsable: Cotevy):

  • Email, nombre y apellidos, contraseña (hasheada con bcrypt).
  • Título profesional (Dr./Dra.), alias para mostrar y foto de perfil (opcional).
  • Número de teléfono móvil (opcional).
  • Datos técnicos: dirección IP, navegador, fecha y hora de inicio de sesión.

Datos de pacientes (responsable: el médico, encargado: Cotevy):

  • Número de historia clínica (NIP), nombre y apellidos, fecha de nacimiento.
  • Número de episodio, fecha del acto, tipo de ingreso, hospital.
  • Datos clínicos mínimos: tipo de anestesia, observaciones, reintervención.
  • Datos de aseguradora y, si aplica, número de tarjeta sanitaria.
  • Imagen de la etiqueta hospitalaria capturada por OCR.
  • Datos económicos derivados del cotejo con liquidaciones del hospital.

Algunos de estos datos pueden ser datos de salud (categoría especial del art. 9 RGPD). Cotevy los trata con medidas de seguridad reforzadas: cifrado de campos sensibles con AES-256-GCM, cifrado en tránsito con TLS 1.3, y acceso aislado por médico mediante Row-Level Security en base de datos.

4. Para qué usamos los datos

  • Prestar el servicio de registro y cotejo de actos médicos.
  • Mantener la cuenta del usuario y permitirle el acceso seguro.
  • Enviarle comunicaciones esenciales del servicio (confirmación de email, restablecimiento de contraseña).
  • Mejorar la calidad del producto a partir de información agregada y anonimizada.

No usamos los datos para publicidad, perfilado comercial ni los cedemos a terceros con fines comerciales.

5. Bases legales del tratamiento

  • Ejecución de contrato (art. 6.1.b RGPD): para prestar el servicio que el médico ha contratado al registrarse.
  • Cumplimiento de obligaciones legales (art. 6.1.c): conservación de información a efectos contables y fiscales.
  • Interés legítimo (art. 6.1.f): seguridad de la plataforma y prevención de fraude.
  • Consentimiento (art. 6.1.a y 9.2.a): para los datos de pacientes con categoría especial, el médico responsable obtiene el consentimiento expreso del paciente o lo trata con otra base habilitante prevista en el art. 9.2 (asistencia sanitaria, obligación legal, etc.).

6. Cuánto tiempo conservamos los datos

  • Datos de cuenta del médico: mientras la cuenta esté activa, y posteriormente durante los plazos de prescripción que apliquen.
  • Datos de pacientes: durante toda la vigencia del servicio. Tras la baja, se conservan los plazos mínimos exigidos por la normativa sanitaria (Ley 41/2002 de autonomía del paciente) y fiscal aplicable.
  • Imágenes de etiquetas (OCR): 60 días desde su captura. Después se borran automáticamente; los datos extraídos quedan en la base de datos.

7. Con quién compartimos datos

Para prestar el servicio, Cotevy confía determinados tratamientos a proveedores que actúan como encargados, con contratos que cumplen el art. 28 RGPD:

  • Supabase (Frankfurt, UE): base de datos, autenticación y almacenamiento de imágenes.
  • AWS Textract (Irlanda, UE): procesamiento OCR de las etiquetas hospitalarias.
  • Vercel (Estados Unidos): alojamiento de la aplicación. Vercel está adherido al EU-US Data Privacy Framework como mecanismo de garantía adecuada.
  • Resend (Estados Unidos): envío de emails transaccionales (confirmaciones, restablecimientos).

No realizamos ninguna otra cesión de datos sin tu consentimiento previo o sin obligación legal.

8. Tus derechos

Como interesado tienes derecho a acceder a tus datos, rectificarlos, suprimirlos, oponerte al tratamiento, limitarlo y a la portabilidad de los datos. Puedes ejercerlos escribiendo a info@cotevy.com adjuntando copia de un documento que acredite tu identidad.

Si consideras que hemos tratado tus datos de forma incorrecta puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD) en www.aepd.es.

9. Cookies

Cotevy solo utiliza cookies técnicamente necesarias para mantener iniciada la sesión del usuario y proteger la cuenta:

  • sb-*: cookies de autenticación de Supabase. Imprescindibles para que la plataforma funcione.
  • cotevy_session (sessionStorage, no es una cookie): marca de pestaña activa que cierra automáticamente la sesión al cerrar el navegador.

No usamos cookies de tracking, publicidad ni de terceros con fines comerciales. Si en el futuro añadimos analítica anónima, lo notificaremos en esta política y a través del banner de cookies.

10. Seguridad

  • Cifrado en tránsito con TLS 1.3.
  • Cifrado de campos sensibles (nombre y tarjeta de paciente) con AES-256-GCM en base de datos.
  • Servidores en la Unión Europea (Frankfurt).
  • Aislamiento de datos por médico mediante Row-Level Security.
  • Contraseñas almacenadas con bcrypt (función de derivación segura).
  • Acceso a la cuenta protegido por sesión por pestaña que se cierra al cerrar el navegador.

11. Cambios en esta política

Podemos actualizar esta política para reflejar cambios en el servicio o en la normativa aplicable. Te notificaremos los cambios sustanciales con antelación razonable a través del email asociado a tu cuenta o mediante un aviso en la propia plataforma.