Academia Integrativa — Campus Medicina Integrativa
Última actualización: 5 de marzo de 2026Titular: Félix Pedrero Ramallo
Nombre comercial: Academia Integrativa · Campus Medicina Integrativa
NIF: 51028606-C
Email de contacto: info@campusmedica.com
Sitio web: campusmedica.com
M.I.A es una plataforma de software como servicio (SaaS) diseñada exclusivamente para profesionales médicos colegiados. Su finalidad es asistir en la transcripción, resumen y análisis de consultas médicas mediante inteligencia artificial, mejorando la eficiencia clínica sin sustituir el criterio médico profesional.
M.I.A es una herramienta de apoyo, no un producto sanitario regulado. Las transcripciones, resúmenes y recomendaciones generadas por IA son orientativas y nunca sustituyen el diagnóstico, criterio o responsabilidad del médico. El profesional sanitario es el único responsable de las decisiones clínicas.
El código fuente, diseño, textos, logotipos, marcas y demás elementos de M.I.A son propiedad exclusiva de Félix Pedrero Ramallo o de sus respectivos titulares. Queda prohibida su reproducción, distribución o modificación sin autorización expresa.
Este aviso legal se rige por la legislación española. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales del domicilio social del titular, salvo que la normativa aplicable disponga otra cosa.
En cumplimiento del Reglamento (UE) 2016/679 (GDPR) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos:
La relación entre las partes en el tratamiento de datos es la siguiente:
| Rol | Entidad | Descripción |
|---|---|---|
| Responsable del tratamiento Art. 4.7 GDPR |
La clínica o el médico profesional que utiliza M.I.A | Determina los fines y medios del tratamiento. Es quien recaba el consentimiento del paciente y decide utilizar M.I.A como herramienta. |
| Encargado del tratamiento Art. 4.8 / Art. 28 GDPR |
Félix Pedrero Ramallo (M.I.A · MiCopiloto.es) | Trata los datos por cuenta del responsable, prestando el servicio de transcripción y análisis con IA. Suscribe un DPA con el responsable. |
| Subencargados Art. 28.2 GDPR |
OpenAI, Inc. · Proveedor de hosting | Proveedores de infraestructura del encargado. Su relación contractual se establece directamente con el encargado, no con el responsable. |
| Campo | Datos |
|---|---|
| Encargado | Félix Pedrero Ramallo (NIF: 51028606-C) |
| Contacto DPO del encargado | nachones@doctorpedrero.com |
| Finalidad del encargo | Prestación del servicio de transcripción y análisis médico con IA |
| Base del encargo | Contrato de suscripción + DPA (Art. 28 GDPR) |
| Subencargados autorizados | OpenAI, Inc. (procesamiento IA) · Proveedor de hosting (infraestructura) |
| Transferencia internacional | EE.UU. (OpenAI), bajo EU-US Data Privacy Framework + Cláusulas Contractuales Tipo |
| Conservación | Procesamiento efímero — datos eliminados tras cada sesión |
M.I.A trata datos relativos a la salud, que son categoría especial según el Art. 9 del GDPR. El tratamiento se realiza bajo el consentimiento explícito del interesado (Art. 9.2.a).
| Categoría | Datos | Conservación |
|---|---|---|
| Cuenta del médico | Email, contraseña (hash bcrypt), nombre profesional | Mientras la cuenta esté activa |
| Audio de consulta | Grabación de voz WebM | Efímero — eliminado inmediatamente tras transcripción |
| Transcripción | Texto de la conversación doctor-paciente | Efímero — solo en memoria del navegador durante la sesión |
| Resumen / Análisis IA | Resumen clínico y recomendaciones generados por IA | Efímero — solo en memoria del navegador durante la sesión |
| Pseudónimo paciente | Alias o iniciales (nunca nombre real) | Efímero — solo en memoria del navegador durante la sesión |
| Imágenes clínicas | Imágenes subidas al Notebook para análisis IA | Efímero — procesadas y no almacenadas en servidor |
| Dispositivo | ID de dispositivo (fingerprint) para control de licencias | Mientras la cuenta esté activa |
| Tratamiento | Base legal | Artículo GDPR |
|---|---|---|
| Datos de salud (audio, transcripción) | Consentimiento explícito del paciente | Art. 9.2.a |
| Cuenta del médico | Ejecución de contrato (suscripción) | Art. 6.1.b |
| Control de dispositivos | Interés legítimo (prevención de fraude) | Art. 6.1.f |
| Estadísticas anonimizadas | Interés legítimo | Art. 6.1.f + Considerando 26 |
M.I.A ha sido diseñado bajo los principios de minimización de datos y privacidad desde el diseño (Art. 25 GDPR):
Tanto el médico como los pacientes cuyos datos se traten tienen derecho a:
| Derecho | Descripción |
|---|---|
| Acceso (Art. 15) | Conocer qué datos personales se tratan |
| Rectificación (Art. 16) | Corregir datos inexactos |
| Supresión (Art. 17) | Solicitar la eliminación de datos ("derecho al olvido") |
| Limitación (Art. 18) | Restringir el tratamiento en determinados supuestos |
| Portabilidad (Art. 20) | Recibir los datos en formato estructurado |
| Oposición (Art. 21) | Oponerse al tratamiento por motivos legítimos |
| Retirar consentimiento | En cualquier momento, sin efecto retroactivo |
Para ejercer estos derechos, contacte con nuestro DPO en nachones@doctorpedrero.com. Tiene derecho a presentar reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
El encargado del tratamiento (Félix Pedrero Ramallo, M.I.A · MiCopiloto.es) utiliza como subencargado de infraestructura a OpenAI, Inc. (Estados Unidos) para el procesamiento de audio y texto. OpenAI actúa como subencargado: su relación contractual se establece directamente con el encargado, no siendo parte firmante del DPA entre el responsable y el encargado.
La transferencia internacional de datos a EE.UU. se ampara en:
El Data Processing Agreement (Art. 28 GDPR) es el contrato obligatorio entre el responsable del tratamiento (la clínica o médico) y el encargado del tratamiento (Félix Pedrero Ramallo) que define las condiciones del procesamiento de datos personales.
Responsable (firmante): La clínica o profesional médico que contrata el servicio M.I.A
Encargado (firmante): Félix Pedrero Ramallo (M.I.A · MiCopiloto.es)
OpenAI, Inc. y el proveedor de hosting actúan como subencargados de infraestructura (Art. 28.2 GDPR). No son parte firmante del DPA entre el responsable y el encargado, ya que su relación contractual se establece directamente con el encargado (Félix Pedrero Ramallo).
Conforme al Art. 28 GDPR, el encargado se compromete a:
El responsable otorga su autorización general al encargado para recurrir a subencargados, con la obligación de informar de cualquier cambio (Art. 28.2 GDPR).
| Subencargado | Función | Datos tratados | Ubicación | Garantías |
|---|---|---|---|---|
| OpenAI, Inc. | Infraestructura de IA: transcripción de audio (Whisper) y análisis con GPT | Audio de consulta, texto de transcripción, imágenes clínicas | EE.UU. | EU-US DPF + SCC |
| Proveedor de hosting | Infraestructura de servidores y alojamiento | Logs de acceso, datos de sesión | UE | Contrato conforme Art. 28 |
El encargado ha suscrito un acuerdo con OpenAI que garantiza:
OpenAI ofrece la opción de Zero Data Retention para clientes de API elegibles, lo que significa que los datos enviados a la API no se almacenan en absoluto tras el procesamiento. Félix Pedrero Ramallo ha solicitado/activado esta opción cuando está disponible.
1. Médico [RESPONSABLE] graba consulta → Audio WebM en navegador
2. Audio se envía al servidor M.I.A [ENCARGADO] → Archivo temporal
3. Servidor envía audio a OpenAI Whisper [SUBENCARGADO] → Transcripción
4. Audio eliminado inmediatamente del servidor
5. Transcripción devuelta al navegador del médico [RESPONSABLE]
6. Médico solicita resumen → Texto enviado a GPT [SUBENCARGADO] → Respuesta
7. Todos los datos clínicos solo en memoria del navegador del médico
8. Al cerrar sesión → Datos eliminados del navegador
Conforme al Art. 32 GDPR, Félix Pedrero Ramallo implementa las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:
| Medida | Implementación | Estado |
|---|---|---|
| Cifrado en tránsito | HTTPS/TLS 1.2+ obligatorio en producción | Activo |
| Headers de seguridad | HSTS, X-Content-Type-Options, X-Frame-Options | Activo |
| CORS restringido | Solo dominio de producción autorizado | Activo |
| Cifrado API → OpenAI | TLS 1.2+ en todas las llamadas a la API | Activo |
Las claves API y credenciales se gestionan bajo el siguiente protocolo:
| Control | Descripción |
|---|---|
| Almacenamiento seguro | Todas las claves API se almacenan en variables de entorno del servidor (.env). Nunca se incluyen en código fuente, repositorios o logs. |
| Acceso restringido | Solo administradores autorizados tienen acceso al servidor y a las variables de entorno. |
| Rotación periódica | Las claves API se rotan como mínimo cada 90 días o inmediatamente si se sospecha compromiso. |
| Principio de mínimo privilegio | Cada clave API tiene únicamente los permisos estrictamente necesarios. |
| Monitorización | Se monitorizan los patrones de uso de API para detectar anomalías. |
| No exposición al cliente | Las claves API nunca se envían al navegador. Todas las llamadas a OpenAI se realizan desde el servidor (server-side). |
| Medida | Implementación |
|---|---|
| Contraseñas | Hash bcrypt con salt — nunca almacenadas en texto plano |
| Sesiones | Tokens seguros con cookie HttpOnly + SameSite=Strict |
| Rate limiting | Limitación de intentos de login para prevenir ataques de fuerza bruta |
| Control de dispositivos | Límite de dispositivos por licencia |
fs.unlink) inmediatamente tras la transcripción.En cumplimiento de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) y la Directiva 2002/58/CE (ePrivacy), le informamos sobre el uso de cookies en esta plataforma.
Las cookies son pequeños archivos de texto que los sitios web almacenan en su navegador para recordar información sobre su visita (sesión, preferencias, etc.).
| Cookie | Tipo | Finalidad | Duración | Consentimiento |
|---|---|---|---|---|
| mia_session | Técnica / Necesaria | Mantener la sesión del médico autenticado | Sesión del navegador | No requerido (LSSI Art. 22.2) |
| mia_cookie_consent | Técnica / Necesaria | Recordar la elección de cookies del usuario | 365 días | No requerido |
| Servicio | Proveedor | Tipo | Finalidad |
|---|---|---|---|
| Google Fonts | Google LLC | Funcional | Carga de tipografía Inter. Puede registrar la dirección IP. |
| Font Awesome CDN | Fonticons, Inc. | Funcional | Carga de iconos. Puede establecer cookies de CDN. |
| jsDelivr CDN | ProspectOne | Funcional | Carga de librería jsPDF para exportación. |
La aplicación utiliza un Service Worker (PWA) que almacena recursos estáticos en la caché del navegador para permitir un acceso más rápido y funcionalidad offline limitada. El Service Worker no almacena datos personales ni clínicos.
Puede configurar su navegador para bloquear o eliminar cookies:
Nota: Si desactiva la cookie de sesión, no podrá acceder a la aplicación M.I.A ya que es necesaria para la autenticación.