IDENTIFICACIÓN DE LAS PARTES
👨⚕️ RESPONSABLE DEL TRATAMIENTO
Profesional Sanitario: [Se completa automáticamente al registrarse]
Nº Colegiación: [Según datos del perfil]
Especialidad: Psicología Sanitaria/Clínica
Responsabilidad: Propietario exclusivo de los datos de pacientes
🖥️ ENCARGADO DEL TRATAMIENTO
Empresa: [NOMBRE EMPRESA TITULAR], S.L.
CIF: [CIF]
Domicilio: [DIRECCIÓN COMPLETA]
Función: Proveedor de plataforma tecnológica
⚠️ DECLARACIÓN FUNDAMENTAL DEL RESPONSABLE
Al registrarse en PsicoInforme, el profesional sanitario DECLARA BAJO SU RESPONSABILIDAD que:
• Dispone de consentimiento informado válido de sus pacientes para el tratamiento de datos
• Actúa dentro del marco de la Ley 41/2002 de autonomía del paciente
• Cumple con el Código Deontológico de su Colegio Profesional
• Es único propietario y responsable de las decisiones sobre los datos de pacientes
ARTÍCULO 1. OBJETO Y NATURALEZA DEL TRATAMIENTO
1.1 Servicios de Procesamiento Autorizados
El Encargado proporcionará exclusivamente los siguientes servicios técnicos:
| Servicio | Descripción Técnica | Base Legal |
|---|
| Almacenamiento cifrado | Base de datos con cifrado AES-256 | Art. 28.3.a) RGPD |
| Transcripción por IA | Conversión audio a texto mediante APIs certificadas | Instrucciones documentadas del Responsable |
| Generación de informes | Estructuración de contenido según templates | Instrucciones documentadas del Responsable |
| Sincronización calendarios | Generación de archivos ICS estándar | Funcionalidad técnica del servicio |
| Exportación de datos | Copias de seguridad en formatos estándar | Art. 20 RGPD - Portabilidad |
1.2 Categorías de Datos Procesados
Datos de Categoría Especial (Art. 9 RGPD) - Datos de Salud Mental:
- Datos identificativos de pacientes: Nombre/seudónimo, edad, datos de contacto
- Información clínica: Notas de sesiones, observaciones del profesional
- Transcripciones de audio: Grabaciones de sesiones cuando el Responsable lo autorice
- Métricas de evolución: Escalas de ansiedad, depresión, calidad del sueño
- Datos de citas: Fechas, duración, modalidad terapéutica, asistencia
ARTÍCULO 2. OBLIGACIONES DEL ENCARGADO
2.1 Tratamiento Conforme a Instrucciones
El Encargado se compromete a:
- Procesamiento limitado: Tratar los datos exclusivamente según las configuraciones establecidas por el Responsable en la plataforma
- No reutilización: No utilizar los datos para fines distintos a los servicios contratados
- Prohibición de decisiones automatizadas: No tomar decisiones clínicas o diagnósticas sin supervisión del Responsable
- Acceso restringido: Solo personal técnico autorizado con necesidad de acceso para mantenimiento
2.2 Medidas de Seguridad Técnicas
🔐 Protección en Reposo
- Cifrado AES-256: Todos los datos almacenados en Supabase EU
- Claves de cifrado: Gestionadas por AWS KMS en infraestructura europea
- Separación lógica: Aislamiento completo entre diferentes profesionales
🌐 Protección en Tránsito
- TLS 1.3: Cifrado extremo a extremo para todas las comunicaciones
- Certificados SSL/TLS: Validación extendida y renovación automática
- Perfect Forward Secrecy: Claves de sesión únicas no reutilizables
2.3 Medidas de Seguridad Organizativas
- Principio de menor privilegio: Acceso mínimo necesario por función
- Formación continua: Concienciación en protección de datos para todo el personal
- Auditorías regulares: Revisiones internas trimestrales y externas anuales
- Monitorización 24/7: Detección automática de accesos anómalos
ARTÍCULO 3. SUBENCARGADOS AUTORIZADOS
El Responsable autoriza expresamente los siguientes subencargados:
| Subencargado | Función | Ubicación | Certificaciones | DPA Firmado |
|---|
| Supabase Inc. | Base de datos principal | 🇪🇺 Unión Europea | SOC 2 Type II, ISO 27001 | ✅ Sí |
| Vercel Inc. | Hosting de aplicación | 🇺🇸 Estados Unidos | SOC 2, Cláusulas Contractuales Tipo | ✅ Sí |
| OpenAI/Anthropic | Procesamiento IA temporal | 🇺🇸 Estados Unidos | Eliminación < 24h garantizada | ✅ Sí |
| Resend Inc. | Email transaccional | 🇺🇸 Estados Unidos | Solo metadatos técnicos | ✅ Sí |
Notificación de cambios: Cualquier modificación en la lista de subencargados será comunicada con 30 días de antelación, otorgando derecho de objeción al Responsable.
ARTÍCULO 4. DERECHOS DE LOS INTERESADOS
4.1 Obligaciones de Asistencia
El Encargado asistirá al Responsable en el cumplimiento de los derechos de los pacientes:
| Derecho | Plazo Respuesta | Método |
|---|
| Acceso (Art. 15) | 48 horas | Exportación automática desde dashboard |
| Rectificación (Art. 16) | Inmediato | Edición directa por el Responsable |
| Supresión (Art. 17) | 72 horas | Eliminación selectiva + certificado |
| Portabilidad (Art. 20) | 48 horas | Formatos JSON, CSV, PDF |
ARTÍCULO 5. NOTIFICACIÓN DE VIOLACIONES
5.1 Procedimiento de Notificación
En caso de violación de seguridad que afecte a datos personales:
- Detección automática (0-4h): Sistemas de monitorización identifican el incidente
- Notificación inmediata (<24h): Comunicación al Responsable vía email + SMS
- Informe detallado (24-48h): Evaluación completa de impacto y medidas adoptadas
- Colaboración AEPD (48-72h): Asistencia en notificación a autoridades si procede
5.2 Información Proporcionada
- Descripción técnica de la naturaleza de la violación
- Categorías y número aproximado de interesados afectados
- Medidas adoptadas o propuestas para hacer frente a la violación
- Recomendaciones para mitigar los posibles efectos adversos
ARTÍCULO 6. RETORNO Y ELIMINACIÓN
6.1 Finalización del Tratamiento
Al término de la prestación de servicios relacionados con el tratamiento:
- Notificación previa: 30 días antes del vencimiento del contrato
- Período de gracia: 30 días adicionales para descarga de datos
- Eliminación certificada: Destrucción irreversible tras confirmación del Responsable
- Certificado de eliminación: Documento acreditativo emitido automáticamente
6.2 Copias de Seguridad
Las copias de seguridad técnicas se mantienen durante un máximo de 90 días adicionales con acceso bloqueado, tras lo cual son eliminadas automáticamente mediante procesos criptográficamente seguros.
ARTÍCULO 7. LIMITACIÓN DE RESPONSABILIDAD
⚖️ LIMITACIÓN CONTRACTUAL
La responsabilidad del Encargado por violaciones de este acuerdo está limitada a CINCO MIL EUROS (5.000€) por incidente, con un máximo anual de DIEZ MIL EUROS (10.000€).
7.1 Exclusiones de Responsabilidad
El Encargado no será responsable por:
- Uso indebido de la plataforma por parte del Responsable
- Violaciones causadas por credenciales del Responsable comprometidas
- Decisiones clínicas tomadas basándose en outputs de la plataforma
- Contenido introducido por el Responsable contrario a normativa sanitaria
ARTÍCULO 8. AUDITORÍAS E INSPECCIONES
El Responsable tiene derecho a:
- Auditorías documentales: Revisión de certificaciones y políticas anuales
- Inspección remota: Verificación de medidas técnicas mediante dashboard de transparencia
- Auditoría presencial: Con 30 días de preaviso y coste a cargo del solicitante
- Informes de cumplimiento: Disponibles trimestralmente en formato automatizado
ARTÍCULO 9. VIGENCIA Y MODIFICACIONES
Este contrato:
- Entra en vigor: Automáticamente al registrarse en la plataforma
- Duración: Mientras mantenga activa su cuenta de usuario
- Modificaciones: Notificación con 60 días de antelación para cambios sustanciales
- Terminación anticipada: Cualquiera de las partes con 30 días de preaviso
ARTÍCULO 10. LEY APLICABLE Y JURISDICCIÓN
Este contrato se rige por la legislación española y el Reglamento (UE) 2016/679. Cualquier controversia será resuelta ante los Juzgados y Tribunales de [CIUDAD SEDE], España.
📧 Contacto para asuntos del DPA:
- Delegado de Protección de Datos: dpo@psicoinforme.com
- Responsable Técnico: security@psicoinforme.com
- Notificación de brechas (24/7): incidentes@psicoinforme.com
Contrato de Encargado de Tratamiento v1.0
Fecha de vigencia: 22 de junio de 2024 | Próxima revisión: diciembre 2024
Este documento se considera aceptado automáticamente al utilizar la plataforma