Anexo - Acuerdo de Encargo de Tratamiento (DPA)

Acuerdo de tratamiento de datos personales conforme al RGPD

1. Introducción y Partes

El presente Acuerdo de Encargo de Tratamiento (en adelante, el "Acuerdo" o "DPA") forma parte integrante de las Condiciones de Contratación que regulan el uso de la plataforma PsaicoTools. La aceptación electrónica de dichas Condiciones de Contratación por parte del Usuario implica la aceptación plena y sin reservas del presente Acuerdo.

Este Acuerdo detalla las obligaciones y condiciones bajo las cuales PsaicoTools trata datos personales por cuenta del Usuario en la prestación de sus servicios, en estricto cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la normativa española aplicable.

A los efectos del presente Acuerdo, se establecen las siguientes definiciones:

  • Encargado del Tratamiento: PsaicoTools SLU, con CIF B22573836 y domicilio social en Calle Prim 2, 2J, 12005 Castellón (España).
  • Responsable del Tratamiento: El Usuario, entendido como el profesional de la psicología que contrata la licencia de uso de la plataforma PsaicoTools y que, en el ejercicio de su actividad, trata datos personales de sus pacientes a través de la misma.

2. Objeto, Naturaleza y Finalidad del Tratamiento

2.1. Objeto: El objeto del presente Acuerdo es regular el tratamiento de datos personales que el Encargado realizará por cuenta del Responsable para la correcta prestación del servicio de la plataforma PsaicoTools.

2.2. Naturaleza y Finalidad del Tratamiento: El tratamiento consistirá en la recogida, registro, estructuración, conservación, consulta, utilización, comunicación por transmisión y supresión de los datos de los pacientes del Responsable. La finalidad exclusiva es la prestación de los servicios de transcripción de las sesiones de terapia mediante modelos de inteligencia artificial (IA) y la generación de análisis y sugerencias de apoyo al diagnóstico y tratamiento profesional, tal y como se describe en las Condiciones de Contratación.

2.3. Tipología de Datos Personales: Las categorías de datos personales que serán objeto de tratamiento incluyen, sin carácter limitativo:

  • Datos Identificativos: Nombre, apellidos, etc., en la medida en que sean revelados durante las sesiones.
  • Datos Audiovisuales: Imagen y voz de los intervinientes en las sesiones.
  • Categorías Especiales de Datos (Art. 9 RGPD): Datos relativos a la salud (específicamente salud mental), origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, y vida u orientación sexual.
  • Otros Datos: Características personales, circunstancias sociales, detalles de empleo, hábitos y comportamientos.

2.4. Categorías de Interesados: Los datos tratados corresponderán exclusivamente a los pacientes del Responsable del Tratamiento.

3. Duración

El presente Acuerdo tendrá la misma duración que el contrato de prestación de servicios suscrito entre las partes (las Condiciones de Contratación), incluyendo sus eventuales prórrogas. La finalización del servicio principal conllevará la resolución automática del presente Acuerdo.

4. Obligaciones del Encargado del Tratamiento

El Encargado del Tratamiento se compromete a:

4.1. Instrucciones del Responsable: Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, las cuales se entienden conferidas para la ejecución de las finalidades descritas en la Cláusula 2. No tratará los datos con un fin distinto al de la prestación del Servicio. Si el Encargado considera que una instrucción infringe la normativa de protección de datos, informará inmediatamente al Responsable.

4.2. Deber de Confidencialidad: Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria.

4.3. Medidas de Seguridad: Implementar y mantener las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el análisis realizado en la Evaluación de Impacto de la plataforma y lo dispuesto en el artículo 32 del RGPD. Dichas medidas están diseñadas para proteger los datos personales contra la destrucción, pérdida o alteración accidental o ilícita, y contra la comunicación o acceso no autorizados. A continuación, se detallan, sin carácter limitativo, las principales medidas implementadas:

a) Medidas Organizativas:

  • Confidencialidad del Personal: Todo el personal del Encargado del Tratamiento con acceso a datos personales está sujeto a estrictos deberes de confidencialidad por vía contractual.
  • Formación y Concienciación: Se han establecido programas de formación y concienciación en materia de protección de datos y seguridad de la información para todo el personal implicado en las operaciones de tratamiento.
  • Gestión de Subencargados: Se mantiene un proceso de evaluación y selección de subencargados que ofrecen garantías adecuadas de cumplimiento del RGPD, formalizando con ellos los contratos pertinentes.
  • Políticas y Procedimientos Internos: Existencia de políticas internas de protección de datos y un procedimiento para la identificación, gestión y comunicación de brechas de seguridad.

b) Medidas de Protección de Datos desde el Diseño y por Defecto:

  • Minimización y Anonimización: Implementación de un proceso técnico para anonimizar las transcripciones de las sesiones, eliminando datos directamente identificativos del paciente antes de que sean procesadas por los modelos de Inteligencia Artificial de los subencargados. El objetivo es tratar la mínima información personal necesaria para la prestación del servicio.
  • Limitación del Plazo de Conservación: Los datos de las sesiones (archivos de audio/vídeo) y las transcripciones resultantes serán suprimidos en un plazo máximo de 30 días desde su procesamiento. Las copias de seguridad respetarán este mismo plazo de supresión.
  • Acceso Seguro a Resultados: Los resultados del análisis de la IA no se comunican por correo electrónico. Se entregan al Responsable a través de un entorno seguro dentro de la plataforma, que requiere identificación y autenticación robusta por parte del usuario (psicólogo).

c) Medidas Técnicas de Seguridad:

  • Cifrado de Datos:
    • 1.- Cifrado en Tránsito: Todas las comunicaciones de datos se realizan a través de canales seguros utilizando protocolos criptográficos como HTTPS/TLS.
    • 2.- Cifrado en Reposo: Todos los datos personales se almacenan de forma cifrada en los sistemas de los subencargados (AWS S3, Google Firebase).
  • Control de Acceso Lógico: Se utilizan mecanismos de identificación y autenticación para el acceso del Responsable a la plataforma, y el acceso a los datos por parte del personal del Encargado está restringido según el principio de mínima necesidad (RBAC).
  • Seguridad de la Infraestructura: Los servicios se alojan en infraestructuras de subencargados (AWS, Google Cloud) que cuentan con altas medidas de seguridad física y lógica (p. ej., ISO 27001).
  • Resiliencia y Recuperación: Se realizan copias de seguridad periódicas para garantizar la capacidad de restaurar la disponibilidad y el acceso en caso de incidente.
  • Registro y Monitorización: Se utilizan herramientas para el registro de eventos y logs de auditoría que permiten la trazabilidad de los accesos y operaciones.

d) Verificación y Evaluación Regular: Se establece un proceso de verificación y evaluación regular de la eficacia de las medidas técnicas y organizativas.

4.4. Subcontratación (Subencargados del Tratamiento):
El Responsable del Tratamiento autoriza expresamente al Encargado a subcontratar los servicios de las siguientes entidades, necesarias para la prestación del Servicio:

  • OpenAI, L.L.C. (Modelos de IA para transcripción y análisis).
  • Google Cloud (Firebase) (Almacenamiento de base de datos).
  • Amazon Web Services (AWS S3) (Almacenamiento de ficheros de sesiones).
  • Twilio (SendGrid) (Servicios de comunicación por correo electrónico).

El Encargado del Tratamiento impondrá al subencargado, mediante contrato, las mismas obligaciones de protección de datos que las establecidas en el presente Acuerdo.

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados, dándole la oportunidad de oponerse a dichos cambios.

En caso de transferencias internacionales de datos a los subencargados mencionados, el Encargado se asegurará de que se realizan bajo un mecanismo de garantía adecuado (p. ej., Cláusulas Contractuales Tipo, adhesión al Marco de Privacidad de Datos UE-EE.UU., etc.).

4.5. Derechos de los Interesados: Asistir al Responsable, a través de medidas técnicas y organizativas apropiadas, para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados.

4.6. Apoyo al Responsable: Ayudar al Responsable a garantizar el cumplimiento de sus obligaciones en materia de seguridad (Art. 32 RGPD), notificación de violaciones de seguridad (Arts. 33 y 34 RGPD) y evaluaciones de impacto (Arts. 35 y 36 RGPD). El Encargado notificará al Responsable, sin dilación indebida, cualquier violación de la seguridad de los datos personales a su cargo.

4.7. Destino de los Datos: Una vez finalizada la prestación del Servicio, y a elección del Responsable, el Encargado suprimirá o devolverá todos los datos personales. Se establece un periodo máximo de retención de 30 días tras la finalización del servicio para la supresión definitiva de los datos. El Encargado suprimirá las copias existentes a menos que se requiera la conservación de los datos en virtud del Derecho de la Unión o de los Estados miembros.

4.8. Auditorías y Transparencia: Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por él.

5. Obligaciones del Responsable del Tratamiento

El Responsable del Tratamiento se compromete a:

5.1. Garantizar que la base de legitimación para el tratamiento de los datos de sus pacientes a través de la plataforma PsaicoTools es el consentimiento explícito, inequívoco e informado de los mismos, de conformidad con los artículos 6.1.a) y 9.2.a) del RGPD.

5.2. Proporcionar a sus pacientes la información requerida por los artículos 13 y 14 del RGPD, incluyendo la relativa al uso de esta plataforma.

5.3. Realizar su propia Evaluación de Impacto (EIPD) si procede, para lo cual el Encargado le prestará la colaboración necesaria.

5.4. Atender las solicitudes de ejercicio de derechos de sus pacientes.

6. Responsabilidad

Ambas partes responderán de los daños y perjuicios que, por incumplimiento de la normativa de protección de datos o de las cláusulas del presente Acuerdo, causen a la otra parte o a terceros, de acuerdo con lo establecido en el artículo 82 del RGPD.

7. Legislación y Jurisdicción

El presente Acuerdo se rige por la legislación española y la normativa europea de aplicación. Para la resolución de cualquier controversia que pudiera surgir, las partes se someten a la jurisdicción de los Juzgados y Tribunales de Castellón de la Plana, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

Versión

Versión 1.0 - Fecha de última actualización: 10 de julio de 2025