Contrato de Encargo de Tratamiento
Artículo 28 del Reglamento General de Protección de Datos (RGPD)
Ultima actualización: Febrero 2025
El presente contrato regula la relación entre el Responsable del Tratamiento (tu, como profesional de la psicología) y el Encargado del Tratamiento (Psicofactu), en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD).
1. Partes del Contrato
Responsable del Tratamiento
- Identidad: El profesional de la psicología usuario de Psicofactu
- Rol: Determina los fines y medios del tratamiento de datos personales de sus pacientes
- Obligaciones: Conforme a los artículos 24 y siguientes del RGPD
Encargado del Tratamiento
- Denominacion: Psicofactu
- Sitio web: https://psicofactu.com
- Contacto: soporte@emails.psicofactu.com
- Rol: Trata datos personales por cuenta del Responsable
2. Objeto del Encargo
Mediante el presente contrato, el Responsable encarga al Encargado (Psicofactu) el tratamiento de datos personales necesario para la prestación de los siguientes servicios:
- Almacenamiento y gestión de fichas de pacientes
- Registro y gestión de citas y calendario
- Almacenamiento de notas clínicas y datos de salud
- Generacion de sugerencias clínicas mediante Inteligencia Artificial
- Emision y almacenamiento de facturas
- Envío de recordatorios de citas por email
- Generacion de informes y estadísticas anonimizadas
3. Datos Personales Objeto del Tratamiento
3.1 Categorias de interesados
- Pacientes del Responsable (personas fisicas que reciben atención psicologica)
- Contactos de emergencia de los pacientes (en su caso)
3.2 Tipos de datos tratados
| Categoria | Datos | Categoria Especial (Art. 9 RGPD) |
|---|---|---|
| Identificativos | Nombre, apellidos, DNI/NIE, teléfono, email | No |
| Salud | Notas clínicas, diagnósticos, medicación, historial terapéutico | Si |
| Economicos | Datos de facturación del paciente | No |
| Citas | Fechas, horarios, historial de asistencia | No |
Datos de categoria especial: Los datos de salud (Art. 9 RGPD) reciben un nivel de protección reforzado. Su tratamientoestá legitimado por el artículo 9.2.h) del RGPD (fines de medicina preventiva o laboral, asistencia sanitaria) y requiere que el Responsable haya obtenido el consentimiento explicito del paciente conforme al artículo 9.2.a) del RGPD.
4. Obligaciones del Encargado del Tratamiento
Psicofactu, como Encargado del Tratamiento, se compromete a:
4.1 Tratar los datos únicamente según instrucciones
Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales de datos, salvo que este obligado a hacerlo en virtud del Derecho de la Union o del Estado miembro (Art. 28.3.a RGPD).
4.2 Confidencialidad
Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o esten sujetas a una obligación de confidencialidad de naturaleza estatutaria (Art. 28.3.b RGPD). Todo el personal con acceso a datosestá vinculado por acuerdos de confidencialidad.
4.3 Medidas de seguridad (Art. 32 RGPD)
Tomar todas las medidas técnicas y organizativas necesarias conforme al artículo 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo. Ver seccion 6 para el detalle completo de medidas implementadas.
4.4 Sub-encargados
No recurrir a otro encargado del tratamiento sin la autorización previa por escrito del Responsable. En caso de autorización general, informar al Responsable de cualquier cambio previsto en la incorporacion o sustitucion de sub-encargados, dando al Responsable la oportunidad de oponerse (Art. 28.2 y 28.4 RGPD). Ver seccion 7 para la lista completa de sub-encargados actuales.
4.5 Asistencia al Responsable
Asistir al Responsable en el cumplimiento de su obligación de atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación, oposición), así como en la realización de evaluaciones de impacto y consultas previas a la autoridad de control cuando sean necesarias (Art. 28.3.e y 28.3.f RGPD).
4.6 Supresion o devolución de datos
A eleccion del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios, y suprimir las copias existentes salvo que el Derecho de la Union o del Estado miembro exija la conservación de los datos (Art. 28.3.g RGPD). El Responsable puede exportar todos los datos de pacientes en formato estructurado en cualquier momento desde la plataforma.
4.7 Auditorías e inspecciones
Poner a disposicion del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado (Art. 28.3.h RGPD).
4.8 Notificación de brechas de seguridad
Notificar al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 48 horas, cualquier violación de la seguridad de los datos personales de la que tenga conocimiento, facilitando toda la información relevante para que el Responsable pueda cumplir con su obligación de notificación a la autoridad de control (Art. 33 RGPD) y, en su caso, a los interesados (Art. 34 RGPD).
5. Obligaciones del Responsable del Tratamiento
El profesional, como Responsable del Tratamiento, se compromete a:
- Obtener el consentimiento informado de sus pacientes para el tratamiento de datos de salud, conforme a los artículos 6 y 9 del RGPD, antes de introducir sus datos en la plataforma
- Informar a sus pacientes sobre la existencia de este encargo de tratamiento y sobre la identidad del Encargado
- Garantizar que dispone de la base legal adecuada para cada tratamiento de datos
- Facilitar el ejercicio de los derechos ARCO+ (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Limitación) a sus pacientes
- Utilizar la plataforma conforme a la normativa deontológica de su colegio profesional
- Notificar al Encargado cualquier incidencia que afecte al tratamiento de datos
- Mantener actualizado el Registro de Actividades de Tratamiento (Art. 30 RGPD)
6. Medidas de Seguridad Técnicas y Organizativas (Art. 32 RGPD)
Psicofactu implementa las siguientes medidas de seguridad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemás y servicios de tratamiento:
6.1 Cifrado de datos
Cifrado en reposo (data at rest)
- Algoritmo: AES-256-GCM (Advanced Encryption Standard con Galois/Counter Mode)
- Alcance: Todos los datos sensibles de pacientes (notas clínicas, diagnósticos, medicación, historial terapéutico) se cifran campo a campo antes de almacenarse en la base de datos
- Claves: Las claves de cifrado se gestionan de forma independiente a los datos cifrados, con rotación periódica
- IV (Vector de Inicializacion): Unico y aleatorio para cada operacion de cifrado, garantizando que datos identicos produzcan textos cifrados diferentes
Cifrado en tránsito (data in transit)
- Protocolo: TLS 1.3 (Transport Layer Security) para todas las comunicaciones cliente-servidor
- Certificados: Certificados SSL/TLS gestiónados y renovados automáticamente
- HSTS: HTTP Strict Transport Security habilitado para prevenir ataques de downgrade
Hash de contraseñas
- Algoritmo: bcrypt con factor de coste 12 (salt rounds)
- Funcionamiento: Las contraseñas se transforman mediante una función hash unidireccional con salt aleatorio único por usuario. Es computacionalmente inviable revertir el hash para obtener la contraseña original
- Almacenamiento: Unicamente se almacena el hash resultante, nunca la contraseña en texto plano
- Resistencia: El factor de coste adaptativo protege contra ataques de fuerza bruta y tablas rainbow
6.2 Control de acceso
- Autenticacion: OAuth 2.0 (Google) y credenciales con contraseña hasheada (bcrypt)
- Sesiones: Tokens JWT (JSON Web Tokens) con expiracion configurable y firma criptografica
- Aislamiento de datos: Cada profesional solo puede acceder a los datos de sus propios pacientes (multi-tenant con aislamiento logico)
- Principio de mínimo privilegio: Cada componente del sistema accede únicamente a los datos estrictamente necesarios para su función
6.3 Tratamiento de datos mediante Inteligencia Artificial
Psicofactu utiliza modelos de Inteligencia Artificial para ofrecer asistencia en la redacción de notas clínicas y sugerencias terapéuticas. Las medidas de protección aplicadas son:
- Zero Data Retention (ZDR): El proveedor de IA (OpenAI) opera bajo política de retención cero de datos. Los datos enviados para procesamiento NO se almacenan, NO se utilizan para entrenar modelos y se eliminan inmediatamente tras generar la respuesta
- Datos mínimos: Se aplica el principio de minimizacion de datos (Art. 5.1.c RGPD). Solo se envian al modelo los datos estrictamente necesarios para generar la sugerencia solicitada, nunca el historial completo del paciente
- Sin identificación directa: Antes de enviar datos al modelo de IA, se minimizan los datos identificativos. Los nombres y datos identificativos directos se excluyen del procesamiento cuando es posible
- Naturaleza auxiliar: Las sugerencias de la IA tienen caracter meramente orientativo. El profesional conserva en todo momento la responsabilidad clínica y la decision final sobre el contenido de las notas y el tratamiento
- Cifrado en tránsito: Las comunicaciones con la API de IA se realizan exclusivamente a traves de conexiónes cifradas TLS 1.3
- Registro de uso: Se mantiene un log de auditoría de las consultas realizadas al modelo de IA, sin almacenar el contenido de las respuestas
6.4 Seguridad de la infraestructura
- Alojamiento: Servidores ubicados en la Unión Europea, conformes con el RGPD
- Base de datos: MongoDB Atlas con cifrado en reposo, en tránsito y aislamiento de red
- Backups: Copias de seguridad automáticas diarias cifradas, con retención configurable
- Monitorizacion: Monitorizacion continua 24/7 de la disponibilidad y seguridad del servicio
- Protección contra ataques: Rate limiting, protección contra DDoS y deteccion de anomalias
- Actualizaciones: Aplicación regular de parches de seguridad y actualizaciones del software
6.5 Registro de auditoría (Art. 30 RGPD)
- Eventos registrados: Accesos, modificaciones, eliminaciones, exportaciones de datos de pacientes, uso de funcionalidades de IA y cambios de configuración
- Información registrada: Fecha y hora, usuario, accion realizada, recurso afectado e IP de origen
- Retención: Los logs de auditoría se conservan durante un período de 2 anos
- Integridad: Los registros de auditoría son inmutables una vez creados
6.6 Seudonimizacion y anonimización
- Soft delete: La eliminación de datos de pacientes se realiza mediante marcado logico (soft delete), permitiendo la recuperacion en caso de error y la supresión definitiva conforme al derecho al olvido (Art. 17 RGPD)
- Anonimización: El Responsable puede anonimizar datos de pacientes para fines estadísticos propios, haciendo irreversible la identificación del interesado
- Aislamiento por profesional: Los datos de cada profesional están logicamente aislados, impidiendo el acceso cruzado entre usuarios
7. Sub-encargados del Tratamiento (Art. 28.2 y 28.4 RGPD)
El Responsable autoriza al Encargado a recurrir a los siguientes sub-encargados del tratamiento, todos ellos con acuerdos de procesamiento de datos (DPA) conformes al RGPD:
| Sub-encargado | Finalidad | Ubicacion de datos | Garantias |
|---|---|---|---|
| MongoDB Atlas (MongoDB Inc.) | Alojamiento de base de datos | Unión Europea (AWS eu-west-1) | RGPD, ISO 27001, SOC 2 Type II, DPA firmado |
| Vercel Inc. | Hosting de la aplicación web | Unión Europea | RGPD, SOC 2 Type II, DPA firmado |
| OpenAI LP | Procesamiento de IA (sugerencias clínicas) | EE.UU. (con DPA y SCCs) | Zero Data Retention, DPA Art. 28, SCCs (Clausulas Contractuales Tipo) |
| Stripe Inc. | Procesamiento de pagos | Unión Europea | PCI-DSS Level 1, RGPD, SOC 2, DPA firmado |
| Resend Inc. | Envío de correos electrónicos transaccionales y recordatorios de citas | EE.UU. (con DPA y SCCs) | RGPD, DPA firmado, SCCs |
| Google LLC | Autenticacion OAuth, Google Calendar | Unión Europea | RGPD, ISO 27001, SOC 2, DPA firmado |
| Amazon Web Services (AWS) | Almacenamiento de archivos (PDFs de facturas) | Unión Europea (eu-west-1) | RGPD, ISO 27001, SOC 2, DPA firmado |
Transferencias internacionales: Para los sub-encargados ubicados fuera del Espacio Economico Europeo (EEE), se aplican las Clausulas Contractuales Tipo (SCCs) aprobadas por la Comision Europea (Decision 2021/914) como mecanismo de transferencia conforme al artículo 46.2.c) del RGPD. Además, se realizan Evaluaciones de Impacto de Transferencias (TIA) para verificar que la legislacion del pais de destino no impide el cumplimiento de las garantías.
8. Conservación de Datos
Los datos personales seran tratados durante la vigencia de la relación contractual entre el Responsable y el Encargado. Una vez finalizada:
| Tipo de dato | Periodo de conservación | Base legal |
|---|---|---|
| Datos del profesional (usuario) | Vigencia del servicio + 5 anos | Obligaciones fiscales y mercantiles |
| Datos de pacientes | Según instrucciones del Responsable, max. 15 anos | Ley 41/2002 (documentación clínica), Art. 17 RGPD |
| Logs de auditoría | 2 anos | Art. 30 RGPD, obligaciones de seguridad |
| Facturas emitidas | 5 anos | Ley General Tributaria (Art. 66) |
| Datos de IA (prompts/respuestas) | 0 (no se almacenan por el sub-encargado) | Política Zero Data Retention |
9. Derechos de los Interésados
Psicofactu asistirá al Responsable para atender las solicitudes de ejercicio de derechos de los interesados (pacientes):
Acceso (Art. 15)
Exportacion de datos del paciente en formato estructurado desde la plataforma
Rectificación (Art. 16)
Herramientas para corregir datos inexactos o incompletos
Supresion (Art. 17)
Eliminación completa de datos del paciente (soft delete + purga definitiva)
Limitación (Art. 18)
Posibilidad de restringir el tratamiento manteniendo el almacenamiento
Portabilidad (Art. 20)
Exportacion en formato CSV/JSON interoperable
Oposición (Art. 21)
Mecanismos para cesar el tratamiento a solicitud del interesado
El plazo máximo de respuesta a solicitudes de derechos es de 30 días naturales desde la recepción de la solicitud, conforme al artículo 12.3 del RGPD.
10. Duración y Resolución
El presente contrato de encargo de tratamiento tiene la misma duración que la relación contractual principal (suscripción al servicio Psicofactu).
A la finalización del contrato, el Encargado:
- Pondra a disposicion del Responsable todas las herramientas necesarias para la exportación completa de sus datos y los de sus pacientes en formatos estandar (CSV, JSON, PDF)
- Procedera a la supresión efectiva de todos los datos personales en un plazo máximo de 90 días tras la finalización del contrato, salvo obligación legal de conservación
- Certificara por escrito la supresión de los datos si el Responsable así lo solicita
- Durante el período de 90 días previo a la supresión, el Responsable podrá solicitar una copia completa de todos sus datos
11. Responsabilidad e Indemnización
Cada parte sera responsable de los daños causados por el incumplimiento de sus obligaciones conforme al artículo 82 del RGPD:
- El Encargado sera responsable de los daños causados por el tratamiento únicamente cuando no haya cumplido las obligaciones del RGPD que van dirigidas específicamente a los encargados, o cuando haya actuado al margen o en contra de las instrucciones del Responsable
- El Encargado quedara exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños (Art. 82.3 RGPD)
12. Legislacion Aplicable y Jurisdiccion
El presente contrato se rige por:
- Reglamento (UE) 2016/679 General de Protección de Datos (RGPD)
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD)
- Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electronico (LSSI-CE)
- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
Para la resolución de cualquier controversia derivada del presente contrato, las partes se someten a la jurisdicción de los Juzgados y Tribunales de Madrid (España), con renuncia expresa a cualquier otro fuero.
13. Modificaciones
Cualquier modificación del presente contrato deberá realizarse por escrito y ser comunicada al Responsable con un preaviso mínimo de 30 días. El uso continuado del servicio tras la comunicación de cambios implica la aceptación de los mismos. Si el Responsable no está de acuerdo con las modificaciones, podrá resolver el contrato y solicitar la exportación y supresión de sus datos.
14. Contacto
Para cualquier cuestion relaciónada con el presente contrato o con la protección de datos:
- Email: soporte@emails.psicofactu.com
- Web: https://psicofactu.com
Asimismo, el Responsable o los interesados pueden presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD):
- Web: https://www.aepd.es
- Teléfono: 901 100 099
- Dirección: C/ Jorge Juan, 6 - 28001 Madrid
Al crear una cuenta en Psicofactu y aceptar este contrato, se formaliza el encargo de tratamiento conforme al artículo 28 del RGPD. Este documento constituye un contrato vinculante entre las partes en formato electrónico, válido conforme a la Ley 34/2002 (LSSI-CE) y el Reglamento (UE) 910/2014 (eIDAS).