Saltar al contenido principal
InicioAcerca de AuraMedPreguntas frecuentesClínicasBlogContactoInicia tu caso
🇪🇸

Ajustes de interfaz

Idioma

🇪🇸

Tema

InicioAcerca de AuraMedPreguntas frecuentesClínicasBlogContactoInicia tu caso

AuraMed aporta claridad a cualquiera que considere un tratamiento o procedimiento médico en Rumanía —pacientes locales, la diáspora rumana y pacientes del extranjero— a través de casos mejor organizados, expectativas realistas y próximos pasos más fáciles de coordinar.

Teléfono

+40 750 484 004

Contacto

contact@auramed.ro

Plataforma

Acerca de AuraMedBlogPreguntas frecuentesCómo revisamos un casoCriterios de admisiónContacto

Confianza y seguridad

Términos de usoPrivacidadDescargo de responsabilidad médicaSeguridad
Políticas públicas de privacidad y seguridad disponibles

© 2026 AuraMed. Todos los derechos reservados.

  1. Inicio
  2. /Seguridad

POLÍTICA DE SEGURIDAD DE AURAMED

Esta Política de Seguridad (la “Política”) describe los principios generales, las medidas organizativas y técnicas, y las reglas de gobernanza de seguridad aplicables a la plataforma AuraMed (la “Plataforma”).

Última actualización: 23 de abril de 2026Fecha de entrada en vigor: 23 de abril de 2026

Protocolo de seguridad

Artículo 1. Propósito y naturaleza del documento1Artículo 2. Marco legal relevante2Artículo 3. Principios de seguridad aplicados por AuraMed3Artículo 4. Medidas técnicas y organizativas4Artículo 5. Control de acceso y confidencialidad del personal5Artículo 6. Diseño, desarrollo y proveedores seguros6Artículo 7. Datos de salud y alto nivel de protección7Artículo 8. Registros, evaluaciones de impacto y gobernanza8Artículo 9. Delegado de protección de datos y función de seguridad9Artículo 10. Monitorización, pruebas y mejora continua10Artículo 11. Continuidad del negocio, copias de seguridad y recuperación ante desastres11Artículo 12. Gestión de incidentes de seguridad y violaciones de datos12Artículo 13. Notificación de incidentes cibernéticos en la medida en que se aplique NIS213Artículo 14. Responsabilidades del usuario14Artículo 15. Notificación de vulnerabilidades15Artículo 16. Revisión y actualización de la política

iArtículo 1. Propósito y naturaleza del documento

  • (1)Esta Política de Seguridad (la “Política”) describe los principios generales, las medidas organizativas y técnicas, y las reglas de gobernanza de seguridad aplicables a la plataforma AuraMed (la “Plataforma”), operada por PTECHIT SRL, con domicilio social en Bdul. Mamaia Nord 14, CORP B2, Piso 2, Apt. 38, Navodari, Condado de Constanta, código postal 905700, Rumanía, inscrita en el Registro Mercantil con el número J2025043440008, código de identificación fiscal 51988476, EUID ROONRC.J2025043440008, contacto por correo electrónico contact@auramed.ro, teléfono +40 750 484 004.
  • (2)La Política tiene una función de información pública y transparencia y no describe exhaustivamente todos los controles, configuraciones, procedimientos internos, arquitecturas, registros, umbrales de alerta, mecanismos de defensa o planes operativos aplicados por AuraMed.
  • (3)AuraMed implementa y actualiza medidas de seguridad de acuerdo con la naturaleza, el propósito, el contexto y los riesgos del procesamiento, así como la evolución tecnológica, las amenazas y las obligaciones legales aplicables.
  • (4)Al interpretar y aplicar esta Política, AuraMed tiene en cuenta, en particular, el principio de integridad y confidencialidad previsto en el artículo 5(1)(f) del RGPD, la obligación general del responsable del tratamiento prevista en el artículo 24(1)-(2) del RGPD y la obligación de integrar la protección de datos desde el diseño y por defecto, de acuerdo con el artículo 25(1)-(2) del RGPD.

1Artículo 2. Marco legal relevante

  • (1)Esta Política se interpreta junto con:
  • a)Reglamento (UE) 2016/679 (“RGPD”);
  • b)Ley rumana nº 190/2018 sobre medidas para la aplicación del RGPD;
  • c)Legislación rumana y europea aplicable a la ciberseguridad;
  • d)cuando sea aplicable, la legislación relativa a las comunicaciones electrónicas, la confidencialidad, la continuidad del negocio y la gestión de incidentes.
  • (2)En lo que respecta a la seguridad del tratamiento de datos personales, AuraMed tiene en cuenta en particular:
  • a)Artículo 24 del RGPD – responsabilidad del responsable del tratamiento;
  • b)Artículo 25 del RGPD – protección de datos desde el diseño y por defecto;
  • c)Artículo 28 del RGPD – selección de encargados del tratamiento y obligaciones contractuales;
  • d)Artículo 30 del RGPD – registros de las actividades de tratamiento;
  • e)Artículo 32 del RGPD – seguridad del tratamiento;
  • f)Artículos 33-34 del RGPD – notificación de violaciones de seguridad;
  • g)Artículo 35 del RGPD – evaluación de impacto relativa a la protección de datos;
  • h)Artículos 37-39 del RGPD – el delegado de protección de datos, cuando sea aplicable.
  • (3)En materia de ciberseguridad, AuraMed también sigue los requisitos aplicables, en la medida en que sean relevantes para su modelo operativo, incluidos los derivados de la Directiva (UE) 2022/2555 (NIS2) y su transposición al derecho rumano mediante el Decreto de Emergencia del Gobierno nº 155/2024, aprobado por la Ley nº 124/2025.

2Artículo 3. Principios de seguridad aplicados por AuraMed

  • (1)AuraMed aplica un enfoque basado en el riesgo, proporcionado y orientado a la minimización, de modo que el nivel de seguridad sea apropiado a la naturaleza de los datos, incluidos los datos de salud, el volumen del tratamiento, los fines perseguidos y el impacto potencial en los interesados.
  • (2)Las medidas de seguridad tienen como objetivo garantizar de forma acumulativa:
  • a)la confidencialidad de los datos;
  • b)la integridad de los datos y sistemas;
  • c)la disponibilidad de los servicios y el acceso legítimo;
  • d)la resiliencia de la infraestructura;
  • e)la detección, respuesta y remediación de incidentes;
  • f)la trazabilidad y la capacidad de auditoría.
  • (3)AuraMed también persigue, cuando sea aplicable, un enfoque de "todos los peligros" para los riesgos cibernéticos y operativos, incluidos los relacionados con el desarrollo de software, la cadena de suministro, la continuidad del negocio, las vulnerabilidades y las comunicaciones seguras. NIS2 exige exactamente un enfoque proporcionado y basado en el riesgo y enumera entre los elementos mínimos: análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, adquisición/desarrollo/mantenimiento seguros, gestión y divulgación de vulnerabilidades, formación y criptografía / cuando sea apropiado, cifrado.

3Artículo 4. Medidas técnicas y organizativas

  • (1)De conformidad con el artículo 32(1) del RGPD, AuraMed implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
  • (2)Estas medidas pueden incluir, cuando sea aplicable:
  • a)la seudonimización y/o el cifrado de datos;
  • b)el control de acceso basado en roles y el acceso basado en la necesidad de conocer;
  • c)la segregación de los entornos de desarrollo, prueba y producción;
  • d)la autenticación reforzada y, cuando sea apropiado, la autenticación multifactor;
  • e)la monitorización, el registro y la auditoría de accesos;
  • f)la protección de terminales, actualizaciones de seguridad y gestión de parches;
  • g)planes de copia de seguridad, restauración y recuperación;
  • h)pruebas periódicas de la eficacia de las medidas;
  • i)controles sobre la exportación, transferencia y eliminación de datos;
  • j)procedimientos de continuidad y respuesta a incidentes.
  • (3)De acuerdo con el artículo 32(1)(a)-(d) del RGPD, los ejemplos expresamente previstos por la ley incluyen la seudonimización y el cifrado, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas, la restauración oportuna de la disponibilidad y el acceso a los datos, y un proceso para probar, evaluar y valorar regularmente la eficacia de las medidas.
  • (4)AuraMed no garantiza la seguridad absoluta, pero tiene como objetivo mantener un nivel de protección adecuado, actualizado y documentado según los artículos 24 y 32 del RGPD. La ANSPDCP ha reiterado en su práctica que la ausencia de controles de seguridad elementales y de pruebas de eficacia puede dar lugar a sanciones según los artículos 24 y 32 del RGPD.

4Artículo 5. Control de acceso y confidencialidad del personal

  • (1)AuraMed limita el acceso a los datos y sistemas únicamente a personas autorizadas que tengan una necesidad legítima y documentada de acceso para realizar sus funciones.
  • (2)El acceso se concede, revisa y retira según roles, responsabilidades, el principio de "privilegio mínimo" y el principio de separación de funciones, cuando sea aplicable.
  • (3)Las personas que actúen bajo la autoridad de AuraMed y que puedan tener acceso a los datos están obligadas por confidencialidad contractual, legal o profesional y solo podrán tratar los datos de acuerdo con las instrucciones y políticas aplicables.
  • (4)El artículo 32(4) del RGPD exige expresamente que el responsable y el encargado del tratamiento adopten medidas para garantizar que toda persona que actúe bajo su autoridad y tenga acceso a los datos no los trate salvo por instrucciones del responsable, a menos que la ley exija lo contrario.

5Artículo 6. Diseño, desarrollo y proveedores seguros

  • (1)AuraMed tiene como objetivo integrar la seguridad y la protección de datos desde las etapas de diseño, selección, desarrollo, configuración, implementación y modificación de la Plataforma, de acuerdo con el artículo 25(1)-(2) del RGPD.
  • (2)En la medida en que AuraMed utilice subcontratistas de TI, en la nube, de alojamiento, de comunicaciones, de seguridad, de IA, de análisis, de soporte u otros subcontratistas relevantes, su selección se realiza teniendo en cuenta sus garantías en materia de seguridad y protección de datos.
  • (3)Cuando un tercero actúe como encargado del tratamiento, AuraMed utilizará, en virtud del artículo 28(1) y (3) del RGPD, únicamente proveedores que ofrezcan garantías suficientes y celebrará la documentación contractual necesaria, incluidas las relativas a la confidencialidad, las medidas de seguridad, los subencargados, la asistencia en caso de incidentes, la eliminación/devolución y la auditoría.
  • (4)En la medida en que AuraMed esté sujeta al ámbito de aplicación de NIS2/Decreto de Emergencia del Gobierno nº 155/2024, la gobernanza de seguridad también incluirá requisitos relativos a la seguridad de la cadena de suministro y a la adquisición, desarrollo y mantenimiento seguros, incluida la gestión y divulgación de vulnerabilidades.

6Artículo 7. Datos de salud y alto nivel de protección

  • (1)En la medida en que AuraMed trate datos de salud, dichos datos se considerarán datos de categorías especiales en el sentido del artículo 9(1) del RGPD y se beneficiarán de medidas de protección mejoradas.
  • (2)AuraMed tiene como objetivo aplicar, dependiendo del contexto real del tratamiento:
  • a)la minimización de datos;
  • b)la limitación del acceso;
  • c)la seudonimización, cuando sea apropiado;
  • d)la retención limitada;
  • e)la separación lógica de flujos y registros;
  • f)controles mejorados para documentos médicos y conversaciones sensibles.
  • (3)AuraMed adapta sus medidas de seguridad a la naturaleza particularmente sensible de los datos de salud, de conformidad con el artículo 9(1)-(2) del RGPD y la obligación general de seguridad prevista en el artículo 32 del RGPD. La ANSPDCP afirma expresamente que los datos de salud forman parte de las categorías especiales y solo pueden tratarse en las condiciones del artículo 9(2) del RGPD.

7Artículo 8. Registros, evaluaciones de impacto y gobernanza

  • (1)AuraMed mantiene, en la medida aplicable, registros de las actividades de tratamiento de conformidad con el artículo 30 del RGPD y documenta las medidas de seguridad y cumplimiento pertinentes.
  • (2)Si una operación de tratamiento es susceptible de generar un alto riesgo para los derechos y libertades de las personas físicas, AuraMed realiza una evaluación de impacto relativa a la protección de datos (EIPD) según el artículo 35 del RGPD antes de iniciar o ampliar dicho tratamiento.
  • (3)El artículo 35 del RGPD indica, entre los casos típicos, el tratamiento a gran escala de categorías especiales de datos, y el CEPD enfatiza que una EIPD es una evaluación escrita destinada a identificar riesgos y salvaguardias apropiadas. La ANSPDCP incluye la EIPD entre las obligaciones clave del responsable del tratamiento.

8Artículo 9. Delegado de protección de datos y función de seguridad

  • (1)AuraMed evalúa periódicamente si se aplica la obligación de nombrar un Delegado de Protección de Datos (DPD), especialmente en relación con el artículo 37(1)(b) y (c) del RGPD.
  • (2)De acuerdo con el artículo 37(1) del RGPD, es obligatorio nombrar un DPD, entre otros casos, cuando:
  • a)las actividades principales impliquen la monitorización sistemática y a gran escala y regular; o
  • b)las actividades principales impliquen el tratamiento a gran escala de categorías especiales de datos, incluidos datos de salud.
  • (3)Si se nombra un DPD, AuraMed garantiza su participación adecuada y oportuna en todas las cuestiones relativas a la protección de datos, de conformidad con el artículo 38(1) y (3) del RGPD, y sus tareas también incluyen el asesoramiento sobre la EIPD y la supervisión del cumplimiento, de acuerdo con el artículo 39(1)(b)-(c) del RGPD.

9Artículo 10. Monitorización, pruebas y mejora continua

  • (1)AuraMed aplica procesos periódicos para la verificación, prueba, evaluación y mejora de los controles técnicos y organizativos, de conformidad con el artículo 32(1)(d) del RGPD.
  • (2)Estos procesos pueden incluir, cuando sea aplicable:
  • a)revisiones de acceso;
  • b)comprobaciones de configuración;
  • c)evaluaciones de vulnerabilidad;
  • d)auditorías internas o externas;
  • e)ejercicios de respuesta a incidentes;
  • f)comprobaciones de copias de seguridad y restauración;
  • g)formación y concienciación del personal.
  • (3)La ANSPDCP menciona explícitamente entre las medidas necesarias la existencia de un proceso para probar, evaluar y valorar regularmente la eficacia de las medidas de seguridad, y NIS2 también exige políticas/procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad.

10Artículo 11. Continuidad del negocio, copias de seguridad y recuperación ante desastres

  • (1)AuraMed tiene como objetivo mantener la continuidad del negocio y la resiliencia operativa a través de medidas proporcionales de copia de seguridad, restauración, redundancia, recuperación y gestión de crisis, en relación con la naturaleza de los servicios prestados.
  • (2)El artículo 32(1)(c) del RGPD exige la capacidad de restaurar la disponibilidad de los datos personales y el acceso a ellos de manera oportuna en caso de incidente físico o técnico.
  • (3)En la medida en que se aplique NIS2/Decreto de Emergencia del Gobierno nº 155/2024, AuraMed también tiene como objetivo integrar medidas de continuidad del negocio, gestión de copias de seguridad, recuperación ante desastres y gestión de crisis, que forman parte del núcleo mínimo del artículo 21 de NIS2. La DNSC también publica directrices específicas para las políticas de recuperación ante desastres en el contexto del Decreto de Emergencia del Gobierno nº 155/2024, aprobado por la Ley nº 124/2025.

11Artículo 12. Gestión de incidentes de seguridad y violaciones de datos

  • (1)AuraMed mantiene procedimientos internos para identificar, evaluar, escalar, contener, investigar, remediar y documentar incidentes de seguridad.
  • (2)AuraMed distingue entre:
  • a)un incidente de ciberseguridad / operativo, que afecta o puede afectar a sistemas, servicios o continuidad del negocio; y
  • b)una violación de datos personales, en el sentido del artículo 4(12) del RGPD, que puede implicar la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los datos.
  • (3)En caso de violación de datos personales, AuraMed aplica el artículo 33 del RGPD y notifica a la autoridad de control competente sin dilación indebida y, siempre que sea posible, a más tardar 72 horas después de tener conocimiento de ella, a menos que sea improbable que la violación entrañe un riesgo para los derechos y libertades de las personas físicas.
  • (4)Si la violación es susceptible de entrañar un alto riesgo para los derechos y libertades de las personas físicas, AuraMed también comunica el incidente al interesado según el artículo 34(1) del RGPD.
  • (5)El artículo 33(3) del RGPD exige que la notificación incluya al menos la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, los datos de contacto del punto de contacto/DPD, las consecuencias probables y las medidas adoptadas o propuestas; el artículo 33(5) también exige la documentación de todas las violaciones. La ANSPDCP proporciona el formulario de notificación de una violación de seguridad según el RGPD.

12Artículo 13. Notificación de incidentes cibernéticos en la medida en que se aplique NIS2

  • (1)En la medida en que AuraMed esté sujeta al ámbito de aplicación de NIS2 y la legislación de transposición rumana, los incidentes significativos también se gestionarán y notificarán de acuerdo con las normas de ciberseguridad sectoriales aplicables.
  • (2)En el marco de NIS2, las entidades incluidas tienen obligaciones de notificación en varias etapas: alerta temprana en un plazo de 24 horas desde que tengan conocimiento, notificación en un plazo de 72 horas y un informe final, generalmente en el plazo de un mes.
  • (3)A través de esta Política, AuraMed no afirma automáticamente que califica como entidad esencial o importante en el sentido de NIS2/Decreto de Emergencia del Gobierno nº 155/2024; esta calificación se analiza por separado, dependiendo de las actividades reales, el sector, el tamaño y los criterios legales aplicables.

13Artículo 14. Responsabilidades del usuario

  • (1)Los usuarios de la Plataforma deben utilizar servicios y dispositivos razonablemente seguros, proteger sus credenciales, evitar compartir cuentas o enlaces de acceso no autorizados e informarnos sin demora si sospechan un uso no autorizado o una vulnerabilidad.
  • (2)Los usuarios no deben cargar código malicioso, intentar eludir las medidas de seguridad, realizar pruebas no autorizadas, scraping, ingeniería inversa prohibida, intentos de escalada de privilegios ni ninguna otra acción que pueda afectar a la disponibilidad, integridad o confidencialidad de la Plataforma.
  • (3)AuraMed se reserva el derecho de suspender, limitar o bloquear el acceso en caso de actividades que supongan un riesgo de seguridad o violen la ley o la documentación contractual aplicable.

14Artículo 15. Notificación de vulnerabilidades

  • (1)Si identifica una vulnerabilidad, un comportamiento anómalo, una configuración insegura o un incidente de seguridad relacionado con la Plataforma, póngase en contacto con nosotros en: dev@auramed.ro.
  • (2)AuraMed fomenta la divulgación responsable y de buena fe de las vulnerabilidades y puede analizar, validar, priorizar y remediar los problemas notificados en función de su gravedad e impacto.
  • (3)En la medida en que se aplique NIS2, la gestión y divulgación de vulnerabilidades se encuentran entre los elementos expresamente mencionados por el marco europeo de gestión de riesgos cibernéticos.

15Artículo 16. Revisión y actualización de la política

  • (1)AuraMed puede revisar y actualizar esta Política por razones legales, técnicas, operativas o comerciales.
  • (2)Cualquier versión actualizada se publicará en la Plataforma, indicando la fecha de la última actualización.
  • (3)Los cambios relevantes también pueden correlacionarse con cambios en la arquitectura técnica, los proveedores, los flujos de datos, las obligaciones del RGPD, el marco NIS2 o las amenazas cibernéticas actuales.