Al descargar y usar la aplicación móvil SACYL CONECTA manifiesta haber leído y aceptado la Política de privacidad.

Lea detenidamente esta política de privacidad para personas usuarias de la aplicación móvil SACYL CONECTA (en adelante la "aplicación") como instrumento de punto de acceso centralizado a recursos móviles de la Gerencia Regional de Salud de Castilla y León (SACYL).

Esta política de privacidad, así como las condiciones de uso de la aplicación podrán complementarse con la información sobre el funcionamiento de la aplicación publicada en https://www.saludcastillayleon.es/es/sacylconecta, con la política de privacidad de datos personales de la Consejería de Sanidad y de la Gerencia Regional de Salud de Castilla y León, y la información general sobre tratamiento de datos personales del Servicio de Salud de Castilla y León.

1.Responsable del tratamiento de los datos de las personas usuarias de SACYL CONECTA

Consejería de Sanidad / Servicio de Salud de Castilla y León (SACYL). Paseo Zorrilla 1, 47007 Valladolid

Contacto delegado de Protección de Datos: dpd.sanidad@jcyl.es

2. Métodos de autenticación en el sistema

La aplicación permite la identificación en el sistema a partir de los siguientes datos (https://www.saludcastillayleon.es/es/sacylconecta.ficheros/1882261-Preguntas%20frecuentes%20nuevo%20usuario%20SACYL%20CONECTA.pdf):

  1. Identificador en el registro de población de la tarjeta sanitaria en Castilla y León (CIPA)
  2. Primer apellido
  3. Confirmación de la identificación media mediante envío de un código numérico al teléfono móvil de la persona usuaria

El detalle de la limitación de acceso a los servicios que permite cada nivel de identificación está publicado en https://www.saludcastillayleon.es/es/sacylconecta

3. Los datos personales que se utilizarán en el caso de que la persona usuaria decida registrarse en la aplicación serán los siguientes

Datos identificativos de la persona usuaria registrados en el tratamiento de Identificación de usuarios del sistema público sanitario de Castilla y León:

  • ¿Nombre y apellidos para confirmar la identidad
  • CIPA (Código de Identificación Personal en el Sistema de Información de Tarjeta Sanitaria)
  • Número de teléfono móvil, para el envío de notificaciones SMS

Datos de salud de la persona usuaria contenidos en el tratamiento de Gestión de Historia Clínica y Actividad asistencial:

  • Datos de citas médicas
  • Datos almacenados en aplicaciones de Historia Clínica Electrónicas

¿4.Origen de los datos

  • Datos facilitados por la persona usuaria al sistema de Tarjeta Sanitaria Individual, Cita Previa e Historia Clínica Electrónica.

5.Finalidades del tratamiento de datos y funcionalidades de la aplicación

La aplicación tiene como objetivo ofrecer a toda la ciudadanía el catálogo de apps y servicios de SACYL, de forma transversal, inclusivo y eficaz de cara a:

  1. Potenciar el acceso de los e-servicios de mayor demanda por la ciudadanía
  2. Incorporar nuevos e-servicios
  3. Mejorar el acceso entre las diferentes aplicaciones

¿¿6.Legitimación para el tratamiento de datos personales

Las bases de legitimación del tratamiento de datos derivado de la utilización de la aplicación responden a dos momentos distintos en el ciclo de vida de esos datos.


En un primer momento, en la descarga de la aplicación, la base de legitimación es el consentimiento, en los términos de los artículos 6.1.a) y 9.2.a) RGPD, porque dicha descarga es voluntaria, y porque la falta de ella no conlleva ningún perjuicio para el proceso asistencial.


En un segundo momento, en el que el usuario hace uso de la aplicación y su funcionamiento tiene efecto en un proceso asistencial (a través de la función de cita previa o de comunicación de un positivo COVID-19), la base de legitimación es la necesidad para la gestión de los sistemas y servicios que dan soporte a la prestación asistencial.


7.Plazo de conservación de los datos

Los datos se conservarán durante el tiempo necesario para cada una de las funcionalidades de la aplicación y se procederá a su supresión, anonimización y/o bloqueo conforme a lo previsto en la normativa vigente.

8.Categorías de destinatarios de los datos personales


Los centros sanitarios adscritos a Sacyl son cesionarios de los datos, en relación con las funciones antes descritas.


9.Derechos de las personas interesadas respecto de sus datos personales y como solicitarlos

El responsable del tratamiento garantizará y facilitará en todo momento a la ciudadanía el ejercicio de sus derechos en materia de protección de datos personales. Estos derechos son:

  • Derecho de acceso: derecho a obtener confirmación sobre si se están tratando los datos e información, en su caso, sobre dicho tratamiento
  • Derecho de rectificación: derecho a solicitar la rectificación de los datos cuando sean inexactos
  • Derecho de supresión u olvido: derecho a obtener la supresión de los datos en los términos previstos en la normativa vigente
  • Derecho de oposición: derecho a oponerse, en cualquier momento, a que los datos personales sean objecto de tratamiento
  • Derecho a la limitación del tratamiento: derecho a que el responsable limite el tratamiento de los datos de la persona interesada en los supuestos recogidos en la normativa vigente
  • Derecho a la portabilidad de los datos: derecho a recibir los datos que proporcionó en un formato estructurado, de uso común y lectura mecánica, o a que sean transmitidos directamente a un tercero en los supuestos establecidos en la normativa vigente
  • Derecho a no ser objeto de decisiones individuales automatizadas: derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar
  • Derecho a retirar el consentimiento: cuando el tratamiento de los datos se base en el consentimiento de las personas interesadas, estas podrán retirar el consentimiento otorgado en cualquier momento, sin que eso afecte a la licitud del tratamiento previo a su retirada

Las personas interesadas podrán solicitar el derecho de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos personales tratados. Además, podrán retirar cada consentimiento otorgado en cualquier momento, aunque eso no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada.

A las personas interesadas les asiste en todo momento el derecho para presentar una reclamación frente a la Agencia Española de Protección de Datos – AEPD.

10.Otras garantías en el tratamiento de los datos

Tanto en el desarrollo como en la puesta en marcha y funcionamiento del sistema y de la aplicación que da acceso a este, y posteriormente en su desactivación, se establecerán las garantías necesarias para las personas usuarias y demás personas afectadas respecto al tratamiento de sus datos personales, según lo dispuesto en la normativa vigente en materia de protección de datos y confidencialidad de las comunicaciones, en especial la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, del 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), así como sus normas de transposición, el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Estas garantías respetarán los principios recogidos en dicha normativa. En particular, la recogida de los datos personales se regirá por los principios generales de efectividad, necesidad y proporcionalidad, respetándose en todo caso el principio de minimización de los datos.

Se tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable y tenga acceso a datos personales solamente pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a eso en virtud del Derecho de la Unión o de los Estados miembros. Entre otras medidas, se solicitarán los compromisos de confidencialidad personales necesarios, en los que se hará mención expresa al deber de secreto profesional conforme a lo exigido en el Reglamento General de Protección de Datos.

En cumplimento del principio de limitación de la finalidad, los datos personales serán tratados únicamente para las finalidades indicadas y para ninguna otra, y no serán utilizados posteriormente de manera incompatible con dicho fin. Los posibles tratamientos que puedan resultar necesarios con fines de archivo en interés público, investigación científica o histórica o estadísticos estarán sujetos a las garantías previstas en el artículo 89 del RGPD y se regirán por la legislación aplicable a cada caso. Así mismo, de acuerdo con el principio de minimización de datos, únicamente serán objeto de tratamiento los datos que sean adecuados, pertinentes y estrictamente necesarios para las distintas funcionalidades del sistema, después de valorar la necesidad de su tratamiento y su pertinencia, además de no existir otra medida menos invasiva que pueda ofrecer los mismos resultados.

El cumplimento del principio de responsabilidad proactiva y de la obligación de implementar la privacidad desde el diseño y por defecto se documentó en una evaluación de impacto en la protección de datos.

Dicha evaluación de impacto será objeto de las actualizaciones necesarias en la medida en que el sistema y la aplicación que da acceso a este puedan evolucionar, incorporando progresivamente nuevos servicios para las personas usuarias a las que inicialmente se pongan a su disposición, siempre dentro de las finalidades y funcionalidades previstas en la orden de regulación de la aplicación.

Se aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo: el uso de seudónimos y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia física o técnica y un procedimiento permanente de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. En concreto, se aplicarán a los tratamientos de datos personales derivados de las distintas funcionalidades del sistema las medidas que correspondan según lo previsto en el Esquema Nacional de Seguridad, protegiendo así la seguridad de los datos. Dichas medidas se documentarán adecuadamente. Se implementarán además las medidas necesarias para garantizar la exactitud y actualización de los datos personales tratados.

11.Política de cookies ‍Utilizamos solamente cookies técnicas que permiten a la persona usuaria la navegación y la utilización de las diferentes opciones o servicios que se ofrecen en la aplicación como, por ejemplo, identificar la sesión e identificarse como usuaria registrada cada vez que acceda a la aplicación, acceder a partes de acceso restringido o utilizar elementos de seguridad durante la navegación.


12.Normativa básica aplicable

  • Reglamento (UE) 2016/679, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por lo que se deroga la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales

Real Decreto 3/2010, del 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administra