Política de privacidad y Acuerdo de Encargado de Tratamiento de datos

Última actualización: 18/02/2026

Entrada en vigor: 18/02/2026 (nuevos usuarios) —– Entrada en vigor: 18/03/2026 (usuarios existentes previamente a la última actualización)

¡Gracias por usar MediaValue! En este documento describimos cómo recabamos, utilizamos y gestionamos tus datos personales cuando utilizas nuestros sitios web, software y servicios de MV (en adelante, “Servicios”) y cómo actuamos con los datos que tratamos como encargados del tratamiento, sobre los cuales no actuamos como Responsables del Tratamiento.

La misión de MediaValue es simplificar el día a día de las farmacias para que puedan dedicar tiempo a lo realmente importante, sus pacientes, tanto en atención en mostrador como en seguimiento, así como en el propio desarrollo profesional de cada agente sanitario.

MediaValue (“MV”) desarrolla tecnologías y servicios que permiten que los sanitarios y empresas del sector se conecten, compartan contenido, generen comunidad y hagan crecer sus organizaciones.

POLÍTICA DE PRIVACIDAD — MEDIAVALUE

1. Quién es el responsable del tratamiento

El responsable del tratamiento es MEDIA FOR VALUE, S.L. (“MV”), NIF B10987485, con domicilio en Zaragoza (España).
Contacto para privacidad: privacy@mediaforvalue.com
Contacto general: info@mediaforvalue.com

Delegado de Protección de Datos (DPD/DPO). En este momento, MV no ha designado un DPD. Para cualquier consulta relativa a privacidad, puedes contactar en privacy@mediaforvalue.com. Si en el futuro se designara un DPD, se informará y publicará su canal de contacto.

2. A quién aplica esta Política

Esta Política aplica a:
a) personas que visitan las webs de MV; y
b) usuarios que se registran y/o utilizan MediaValue como parte de una Cuenta-Farmacia, en un contexto profesional (B2B).

No consumidores. MediaValue no está dirigido a consumidores ni se ofrece para fines personales o domésticos.

3. Roles de las partes: cuándo MV actúa como Responsable y cuándo como Encargado

En MediaValue pueden coexistir dos escenarios:

3.1. Regla general: MV como Responsable (tratamientos propios)

Como regla general, MV actúa como Responsable respecto de los tratamientos propios necesarios para prestar y gestionar el Servicio, sobre las siguientes bases:

• Ejecución de contrato / medidas precontractuales (art. 6.1.b RGPD);
• Obligación legal (art. 6.1.c RGPD); y
• Interés legítimo (art. 6.1.f RGPD), especialmente en materia de seguridad y mejora del Servicio.

Ejemplos: alta y administración técnica, autenticación y seguridad, comunicaciones operativas, gestión contractual B2B, facturación y cobros, analítica de producto basada en uso y eventos técnicos, cumplimiento legal, atención de derechos cuando MV sea responsable.

3.2. MV como Encargado (por cuenta de la Farmacia)

La Farmacia suele ser Responsable respecto de los datos personales que incorpora o gestiona dentro del Servicio (empleados/colaboradores, clientes/pacientes cuando se use módulo de consentimientos, terceros incluidos en documentos, etc.). En esos casos, MV actúa como Encargado y el tratamiento se regula por el DPA.

Ejercicio de derechos. Cuando MV actúe como Encargado, la Farmacia es la responsable principal de atender derechos. MV asistirá conforme al DPA.

4. Qué datos personales tratamos (categorías)

Según el uso del Servicio, MV puede tratar:

4.1. Datos de cuenta, contacto y relación B2B

a) nombre y apellidos;
b) email y teléfono profesional (si se facilita);
c) farmacia/organización, cargo/rol, identificadores de cuenta;
d) preferencias de configuración y comunicaciones;
e) datos administrativos de contratación/facturación (razón social/denominación, NIF/CIF, domicilio fiscal, datos de facturación);
f) evidencias de aceptación de textos legales (fecha/hora, versión, usuario aceptante y evidencias técnicas razonables).

4.2. Datos de autenticación, acceso y seguridad

a) credenciales y tokens de sesión (contraseñas almacenadas de forma segura mediante técnicas de cifrado/hasheo);
b) registros de acceso (fecha/hora, IP, dispositivo/navegador, cuando proceda);
c) eventos de seguridad y auditoría técnica;
d) trazas técnicas de verificación y prevención de abuso/fraude.

4.3. Datos de uso del Servicio (“Datos del Servicio”)

Eventos de interacción con funcionalidades, métricas operativas y registros técnicos necesarios para prestar el Servicio, depurar incidencias y mejorar la experiencia.

4.4. Contenidos y comunicaciones dentro del Servicio (“Contenido”)

a) archivos, documentos, imágenes, vídeos u otros contenidos que se suban/creen/organicen/compartan;
b) mensajes, comentarios y comunicaciones internas;
c) metadatos asociados (fecha/hora de subida, autor, permisos, actividad);
d) módulo de consentimientos/firmas RGPD (si se utiliza): datos que la Farmacia introduzca o recoja de sus clientes/pacientes para documentar consentimientos (p. ej., nombre, apellidos, teléfono, email, fecha de nacimiento y otros datos no especiales que la Farmacia incluya), junto con evidencias de firma/aceptación (versión del texto, fecha/hora y trazas técnicas necesarias para acreditación).
e) módulo de registro horario (si se utiliza): registros de fichaje/check-in/check-out y actividad asociada, pudiendo incluir identificadores técnicos como IP para seguridad, integridad y auditoría.

Importante (datos de terceros). Si incorporas datos personales de terceros (p. ej., en documentos), declaras disponer de base suficiente para hacerlo y cumplir tus obligaciones de información cuando proceda.

4.5. Datos de comunicación por canales externos (cuando se habiliten)

Para comunicaciones operativas o comerciales (según base legítima): datos necesarios para el envío/gestión (p. ej., número/identificador, estado de entrega, bajas y trazas técnicas asociadas).

4.6. Categorías especiales (p. ej., salud)

MV no solicita datos de salud ni requiere categorías especiales. Si la Farmacia incorpora por su cuenta categorías especiales en contenidos, será responsable de su base jurídica y obligaciones aplicables; MV las tratará únicamente como Encargado bajo DPA y con medidas reforzadas acordes al riesgo.

5. De dónde proceden los datos

a) de ti o de la Farmacia (registro/contratación/uso);
b) de los dispositivos/navegadores desde los que accedes;
c) de terceros cuando la Farmacia incorpora contenidos de terceros.

6. Para qué tratamos los datos y con qué base jurídica (art. 13 RGPD)

6.1. Registro, alta, administración y prestación del Servicio
Finalidad: crear y gestionar cuenta, habilitar acceso, operar funcionalidades.
Base: ejecución de contrato y/o medidas precontractuales.

6.2. Autenticación, control de accesos, prevención de abuso/fraude y seguridad
Finalidad: proteger el Servicio, prevenir accesos no autorizados, mantener integridad y disponibilidad.
Base: interés legítimo (seguridad, continuidad) y/o ejecución de contrato.
Oposición: cuando la base sea interés legítimo, puedes oponerte por motivos relacionados con tu situación particular, sin perjuicio de tratamientos estrictamente necesarios por razones imperiosas de seguridad.

6.3. Soporte, mantenimiento, incidencias y comunicaciones operativas
Finalidad: atender solicitudes, resolver incidencias, avisos de seguridad o cambios relevantes.
Base: ejecución de contrato e interés legítimo (calidad y continuidad).

6.4. Gestión contractual, administrativa, facturación y cobros
Finalidad: contratar, facturar, gestionar pagos/suscripciones.
Base: ejecución de contrato y obligación legal.

6.5. Cumplimiento legal y atención de requerimientos
Finalidad: cumplir obligaciones legales, atender requerimientos válidos, prevenir fraude.
Base: obligación legal y/o interés legítimo.

6.6. Analítica de producto y mejora del Servicio
Finalidad: medir uso, rendimiento, detectar errores, mejorar funcionalidades.
Base: interés legítimo (mejora, seguridad, calidad) y/o ejecución de contrato.

6.7. Funcionalidades inteligentes dentro del Servicio (IA)
Finalidad: ofrecer resúmenes, guías, preguntas, recomendaciones y propuestas dentro de la plataforma basadas en Contenido y uso, respetando permisos y sin compartir por defecto fuera de la Cuenta-Farmacia.
Base: ejecución de contrato y/o interés legítimo de mejora; cuando MV actúe como Encargado respecto de ese Contenido, se rige por el DPA y las instrucciones de la Farmacia.

6.8. Segmentación y funcionalidades premium no nominales
Finalidad: generar insights agregados, benchmarks y segmentación no nominal dentro del Servicio.
Base: interés legítimo y/o ejecución de contrato; en todo caso sin venta de datos personales ni revelación nominal de personas.

6.9. Comunicaciones comerciales (art. 21 LSSI) — consentimiento por canal
Finalidad: envío de información comercial sobre MV por email, SMS, WhatsApp o llamadas.
Base: consentimiento cuando proceda y, en su caso, interés legítimo en comunicaciones B2B conforme a LSSI, con derecho de oposición y baja sencilla.

7. Con quién compartimos datos (destinatarios)

7.1. Proveedores tecnológicos necesarios (encargados/subencargados). Para operar el Servicio, MV utiliza proveedores bajo obligaciones contractuales y de confidencialidad. Principales proveedores (informativo):

• Amazon Web Services (infraestructura/hosting)
• SendGrid (envío de emails)
• Klaviyo (marketing cuando exista base legítima/correspondiente)
• UserGuiding (onboarding)
• Google (servicios técnicos/analítica según configuración)
• Meta Platforms (servicios técnicos/marketing según configuración y base legítima)
• Metricool (gestión/analítica publicaciones cuando aplique)
• Airtable (operación interna/gestión cuando aplique)
• Microsoft (servicios técnicos/operativos cuando aplique)
• Twilio (SMS/WhatsApp/voz, según canal habilitado)
• Stripe (pagos y suscripciones)

Actualización de proveedores. MV puede sustituir proveedores por otros equivalentes por razones técnicas, operativas o de seguridad. MV mantiene un listado actualizado de subencargados y lo facilita bajo solicitud.

7.2. Autoridades. Podremos comunicar datos a autoridades cuando exista obligación legal o requerimiento válido.

7.3. Compartición por decisión de la Farmacia. Si la Farmacia decide invitar/compartir Contenido con Usuarios Externos, se compartirá conforme a permisos definidos por la Farmacia y a su base legal.

8. Transferencias internacionales

Algunos proveedores pueden tratar datos fuera del Espacio Económico Europeo. En esos casos, MV aplicará garantías adecuadas (p. ej., cláusulas contractuales tipo u otros mecanismos válidos), junto con medidas técnicas y organizativas apropiadas.

9. Conservación (criterios y plazos)

MV aplica minimización y conserva los datos solo el tiempo necesario:

9.1. Cuenta y relación contractual. Mientras exista relación activa y durante el tiempo necesario para atender responsabilidades contractuales y/o reclamaciones.

9.2. Facturación y administración. Conforme a plazos legales aplicables.

9.3. Logs y seguridad. Durante un periodo limitado y proporcional para seguridad, auditoría técnica, prevención de fraude e incidencias.

9.4. Contenido y datos gestionados en la plataforma. La eliminación puede requerir ventanas técnicas: inicio tras solicitud/baja; eliminación en sistemas activos en plazo técnico razonable; retirada progresiva de copias de seguridad/DR.

9.5. Registro horario (si se usa). Los registros (incluida información asociada de seguridad como IP cuando proceda) se conservarán 4 años.

9.6. Evidencias de consentimientos/firmas RGPD (si se usa). Se conservarán mientras sea necesario para acreditar licitud y durante plazos de prescripción aplicables, o hasta que la Farmacia solicite supresión cuando sea procedente.

MV podrá conservar información cuando sea necesaria para obligaciones legales, seguridad o defensa ante reclamaciones.

10. Comunicaciones comerciales y preferencias

Puedes:
a) retirar consentimiento u oponerte al marketing;
b) darte de baja mediante el mecanismo incluido en cada comunicación;
c) gestionar preferencias desde tu cuenta si está habilitado.

11. Derechos y cómo ejercerlos

Puedes ejercer: acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento.
Canal: privacy@mediaforvalue.com (asunto: “Derechos RGPD”). Podremos solicitar información adicional para verificar identidad/vinculación.

Si tus datos se tratan principalmente por cuenta de una Farmacia, tu solicitud puede requerir contactar con la Farmacia o que MV coordine la respuesta conforme al DPA.

Reclamación: Agencia Española de Protección de Datos.

12. Decisiones automatizadas

MV no adopta decisiones automatizadas con efectos jurídicos basadas exclusivamente en tratamiento automatizado, salvo que se informe expresamente cuando aplique.

13. Seguridad

MV aplica medidas técnicas y organizativas acordes al riesgo y al estado de la técnica, con controles de acceso, cifrado/hasheo de credenciales, monitorización y copias de seguridad.

14. Menores

El Servicio no está dirigido a menores.

15. Cambios

MV puede actualizar esta Política. Si el cambio es material, se comunicará por medios razonables (web/Servicio/email al Admin/Owner).

ACUERDO DE ENCARGADO DEL TRATAMIENTO (DPA) — MEDIAVALUE

0. Aceptación, partes y alcance

0.1. Partes.
Encargado: MEDIA FOR VALUE, S.L. (“MV”).
Responsable (Cliente/Farmacia): la farmacia/entidad profesional que crea una Cuenta-Farmacia y acepta este DPA.

0.2. Identificación del Cliente sin documento individual. Este DPA queda vinculado al Cliente mediante los datos facilitados en el registro y/o contratación (razón social/denominación profesional, NIF/CIF, domicilio fiscal, email del Admin/Owner y demás datos de cuenta).

0.3. Forma de aceptación y evidencias. Este DPA se acepta electrónicamente por el/los Owner(s) de la Cuenta-Farmacia mediante acción afirmativa en el proceso de registro y, cuando proceda, doble verificación (double opt-in) u otra verificación equivalente. MV conservará evidencias asociadas: fecha/hora, versión aceptada, identificador de cuenta, usuario aceptante y evidencias técnicas asociadas.
Requisito de Owners. MV podrá requerir que todos los Owners acepten este DPA como condición para contratar, activar o continuar el uso del Servicio en el contexto de Cuenta-Farmacia.

0.4. Alcance. Este DPA regula el tratamiento de datos personales por parte de MV por cuenta del Cliente en el marco de la prestación del Servicio MediaValue, conforme al art. 28 RGPD.

0.5. Infraestructura cloud y ubicación. MV presta el Servicio apoyándose en infraestructura cloud y proveedores tecnológicos. La ubicación y transferencias internacionales, cuando existan, se regulan conforme a este DPA.

0.6. Prelación. En caso de conflicto, prevalecerá este DPA respecto de lo relativo al tratamiento por cuenta del Cliente.

1. Objeto, naturaleza, finalidad y duración

1.1. Objeto. Prestación del Servicio SaaS MediaValue, que implica acceso, alojamiento, organización, transmisión y otras operaciones técnicas sobre datos personales incorporados por el Cliente y sus Usuarios.

1.2. Naturaleza y finalidad. Tratamientos necesarios para: operar funcionalidades contratadas, permitir colaboración y permisos configurados, asegurar el Servicio, prestar soporte y continuidad, y ejecutar las instrucciones documentadas del Cliente dentro del Servicio.

1.3. Duración. Durante la vigencia del contrato principal y, tras su terminación, durante las ventanas técnicas de supresión/devolución y/o plazos legales aplicables.

2. Categorías de interesados, tipos de datos y operaciones

2.1. Interesados (según uso).
a) empleados y colaboradores de la Farmacia;
b) usuarios externos invitados por la Farmacia (colaboración 1:1);
c) clientes/pacientes cuando la Farmacia use funcionalidades de consentimientos/firmas;
d) terceros cuyos datos se incorporen en documentos o comunicaciones.

2.2. Tipos de datos personales (según lo introducido por el Cliente).
a) identificativos y profesionales (nombre, apellidos, rol/cargo);
b) contacto profesional (email, teléfono profesional);
c) acceso y autenticación (identificadores, tokens, trazas de verificación);
d) metadatos de uso vinculados a la Cuenta-Farmacia (fecha/hora, acciones, eventos, auditoría);
e) comunicaciones internas (mensajes, comentarios);
f) archivos/documentos/imágenes/vídeos y demás Contenido;
g) datos personales de terceros incorporados por el Cliente;
h) módulo de consentimientos/firmas RGPD (si se utiliza): datos identificativos y de contacto que el Cliente recoja/introduzca para documentar consentimientos (p. ej., nombre, apellidos, teléfono, email, fecha de nacimiento y otros datos no especiales que el Cliente incluya), junto con evidencias de aceptación/firma (versión del texto, fecha/hora y trazas técnicas necesarias);
i) registro horario/control horario (si se utiliza): registros de fichaje y metadatos asociados, pudiendo incluir IP del registro u otros identificadores técnicos estrictamente necesarios para seguridad e integridad del servicio.

2.3. Categorías especiales. MV no solicita datos de salud. Si el Cliente incorpora categorías especiales (p. ej., salud) en el Contenido, MV las tratará únicamente para prestar el Servicio bajo instrucciones del Cliente y con medidas reforzadas acordes al riesgo (ver cláusula 6).

2.4. Operaciones de tratamiento. Las necesarias para prestar el servicio: alojar, almacenar, organizar, consultar, mostrar según permisos, transmitir conforme a comparticiones, soportar y mantener, asegurar, respaldar y restaurar, y ejecutar operaciones técnicas para funcionalidades inteligentes dentro del Servicio (ver 3.3).

3. Instrucciones del Cliente

3.1. Principio general. MV tratará los datos únicamente siguiendo instrucciones documentadas del Cliente, salvo obligación legal aplicable a MV.

3.2. Qué constituye instrucción documentada. Se consideran instrucciones documentadas, entre otras:
a) configuración de roles, permisos y accesos realizada por el Admin/Owner;
b) creación, subida, organización y compartición de Contenido por Usuarios autorizados;
c) activación/desactivación de funcionalidades dentro del Servicio;
d) solicitudes cursadas por canales de soporte autorizados cuando proceda.

3.3. Compartición y colaboración 1:1 como instrucción. Invitar/añadir usuarios, habilitar colaboración 1:1 (entre usuarios individuales y/o entre cuentas/organizaciones) y compartir contenidos con usuarios externos conforme a permisos constituye una instrucción del Cliente.

3.4. Funcionalidades inteligentes dentro del Servicio. MV puede realizar operaciones técnicas sobre el Contenido bajo instrucciones del Cliente (configuración/permisos) tales como indexación, OCR, clasificación y generación de resultados dentro del Servicio (resúmenes, preguntas, recomendaciones, guías, sugerencias), siempre respetando permisos y sin divulgar el Contenido fuera de lo permitido por este DPA y el contrato principal.

3.5. Instrucciones ilícitas. Si MV considera que una instrucción infringe normativa aplicable, lo comunicará al Cliente y podrá suspender su ejecución.

4. Obligaciones de MV como Encargado

4.1. Confidencialidad. Garantizar que las personas autorizadas se comprometen a confidencialidad y reciben formación adecuada.

4.2. Seguridad. Aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (ver Anexo II).

4.3. Asistencia en derechos. Asistir al Cliente, mediante medidas técnicas/organizativas apropiadas, para responder a solicitudes de derechos.

4.4. Asistencia en cumplimiento (DPIA/consultas previas). Asistir razonablemente cuando sea aplicable y en la medida en que la información esté disponible.

4.5. Violaciones de seguridad. Notificar al Cliente sin dilación indebida cualquier violación de seguridad que afecte a datos tratados por cuenta del Cliente, con información relevante disponible.

4.6. Subencargados. Recurrir a subencargados conforme a cláusula 7, imponiéndoles obligaciones equivalentes.

4.7. Supresión o devolución al finalizar. Al finalizar, suprimir o devolver datos conforme a instrucciones del Cliente dentro de ventanas técnicas razonables, e imponer supresión a subencargados cuando proceda. MV podrá emitir certificado de supresión bajo solicitud.

4.8. Registro y trazabilidad mínima. Mantener registro interno de categorías de actividades (art. 30.2 RGPD) y trazas técnicas mínimas necesarias para seguridad y auditoría (incluida IP cuando proceda), facilitando información razonable bajo solicitud sin comprometer seguridad ni derechos de terceros.

5. Obligaciones del Cliente (Responsable)

5.1. Determinar base jurídica y cumplir deber de información respecto de los datos incorporados (empleados, colaboradores, clientes/pacientes, terceros).

5.2. Asegurar que los datos introducidos son adecuados, pertinentes y limitados.

5.3. Configurar roles/permisos aplicando mínimo privilegio.

5.4. Mantener seguridad de credenciales, equipos y medidas organizativas internas.

5.5. Dar instrucciones lícitas y documentadas.

5.6. En compartición con usuarios externos, asegurar legitimación, minimización y finalidad profesional.

6. Categorías especiales (p. ej., salud)

6.1. MV no solicita datos de salud ni requiere categorías especiales.

6.2. Si el Cliente incorpora categorías especiales, declara disponer de base jurídica suficiente y asume obligaciones reforzadas aplicables.

6.3. MV tratará dichas categorías especiales exclusivamente para prestar el Servicio bajo instrucciones del Cliente, aplicando controles reforzados cuando sea necesario (limitación de accesos internos y registro de accesos de soporte cuando se autorice).

7. Subencargados (Subprocesadores)

7.1. Autorización general. El Cliente autoriza a MV a contratar subencargados necesarios para prestar el Servicio, imponiéndoles obligaciones equivalentes.

7.2. Principales subencargados (informativo). A fecha de esta versión, según configuración y necesidad del Servicio: AWS; SendGrid; Klaviyo; UserGuiding; Airtable; Microsoft; Google; Meta; Metricool; Stripe; Twilio.

7.3. Actualizaciones y equivalencias. MV puede sustituir o añadir subencargados por otros equivalentes por motivos técnicos, operativos o de seguridad. MV mantiene un listado actualizado y lo facilita bajo solicitud del Cliente.

7.4. Notificación y oposición razonada. Si se incorpora un subencargado con acceso material a Datos del Cliente, MV lo notificará al Admin/Owner por medios razonables. El Cliente podrá oponerse por motivos razonados y documentados. Las partes intentarán acordar alternativa técnica razonable; si no fuera posible, el Cliente podrá solicitar baja/limitación de la parte del Servicio afectada conforme al contrato principal.

8. Transferencias internacionales

Si un subencargado implica transferencias fuera del EEE, MV aplicará garantías adecuadas (p. ej., SCC u otros mecanismos válidos) y medidas complementarias cuando proceda.

9. Auditorías y verificación

A solicitud del Cliente, MV pondrá a disposición información razonable para demostrar cumplimiento (descripción general de medidas de seguridad, políticas aplicables, respuestas a cuestionarios razonables), protegiendo confidencialidad y seguridad de otros clientes y de MV. Auditorías presenciales se limitarán a lo razonable, con preaviso, confidencialidad y sin interferencia indebida.

10. Devolución/supresión y ventanas técnicas

Tras la terminación, la supresión/devolución se realizará conforme a instrucciones del Cliente, teniendo en cuenta ventanas técnicas y copias de seguridad, y la conservación necesaria por obligaciones legales o defensa ante reclamaciones.

ANEXO I — Descripción del Servicio (resumen)

Servicio SaaS B2B de organización, comunicación y gestión operativa y documental para farmacias, con control de accesos por roles/permisos, compartición e invitación de usuarios internos y externos, colaboración 1:1 y módulos opcionales como registro horario y gestión de consentimientos RGPD.

ANEXO II — Medidas de seguridad

Medidas aplicables según configuración y alcance:

1. control de accesos por roles y principio de mínimo privilegio;
2. autenticación robusta, gestión de sesiones y, cuando aplique, MFA/2FA;
3. protección de credenciales mediante técnicas de cifrado/hasheo;
4. segregación lógica de entornos/tenants y controles de compartición;
5. registros y auditoría técnica de eventos relevantes (incluida IP cuando proceda) para seguridad e integridad;
6. monitorización y detección de actividad anómala/abuso;
7. backups periódicos, continuidad y procedimientos de restauración;
8. gestión de vulnerabilidades y actualizaciones de seguridad;
9. control y registro de accesos de soporte cuando se autoricen;
10. gestión de incidentes y notificación;
11. políticas internas de confidencialidad y formación;
12. evaluación y obligaciones contractuales de seguridad de subencargados.