Acuerdo de Encargo del Tratamiento
RGPD art. 28 · Versión v1 · Última actualización: 30 de mayo de 2026
Borrador pendiente de revisión jurídica. Este documento regula la relación cuando el Terapeuta usa las funciones de expediente clínico de la Plataforma. Su redacción definitiva será revisada por asesoría legal; su aceptación in-app deja constancia (versión, fecha e IP) de la voluntad de contratar el encargo.
Este Acuerdo se celebra entre el Terapeuta que lo acepta, en calidad de Responsable del Tratamiento de los datos clínicos de sus clientes, y TerapeutasHolis (el titular de la Plataforma), en calidad de Encargado del Tratamiento. Su objeto es regular el tratamiento de datos personales —incluidos datos de salud (categoría especial, art. 9 RGPD)— que el Encargado realiza por cuenta del Responsable al alojar el expediente clínico: historial clínico modular, formularios de admisión (intake), recomendaciones post-sesión y documentos adjuntos.
El Encargado tratará los datos únicamente conforme a las instrucciones documentadas del Responsable y para la finalidad de prestar el servicio de expediente clínico. El Encargado no utilizará los datos clínicos individuales para finalidades propias —en particular, no los usará para entrenamiento de modelos de IA, analítica comercial ni para alimentar el "Observatorio" de demanda con datos identificables— salvo que medie una base jurídica separada y la evaluación de impacto que proceda. La señal del Observatorio se genera anonimizada en origen (sin datos que identifiquen a nadie). El Encargado no cederá los datos a terceros salvo obligación legal.
- Deber de confidencialidad de las personas autorizadas al tratamiento.
- Cifrado en reposo AES-256-GCM del contenido clínico, con clave de cifrado separada de la clave de la aplicación.
- Aislamiento por filas (Row-Level Security): cada terapeuta solo accede a su propio expediente; el contenido no es legible en la explotación ordinaria de la Plataforma.
- Registro de auditoría de los accesos relevantes y control de acceso por roles.
- Medidas para garantizar la confidencialidad, integridad y disponibilidad (art. 32 RGPD).
El Encargado podrá apoyarse en subencargados (proveedores de infraestructura cloud, almacenamiento y correo) sujetos a obligaciones equivalentes de protección de datos. La lista de subencargados se detalla en la Política de Privacidad.
El Encargado asistirá al Responsable para responder a los derechos de los interesados (acceso, rectificación, supresión, portabilidad, etc.), para notificar violaciones de seguridad sin dilación indebida, y para las evaluaciones de impacto que procedan.
El Acuerdo está vigente mientras el Terapeuta use las funciones de expediente clínico. A su finalización, el Encargado, a elección del Responsable, devolverá o suprimirá los datos, salvo conservación exigida por ley. En ese caso, la supresión se aplica como bloqueo (art. 32 LOPDGDD): los datos quedan reservados, sin tratamiento activo, a disposición exclusiva de jueces, Ministerio Fiscal y autoridades competentes, y se destruyen al vencer el plazo legal aplicable.
La aceptación de este Acuerdo se realiza electrónicamente desde el panel del Terapeuta antes de usar el expediente clínico. La Plataforma registra la versión aceptada, la fecha/hora, la dirección IP y el navegador (user-agent) como evidencia de la aceptación contractual del encargo.