Contrato de Encargo de Tratamiento

ENCARGO DE TRATAMIENTO DE DATOS (RGPD art. 28)
Versión: 2025-12-09

1. Partes
Encargado: Psicogest Solutions SL (CIF B22607246), Calle de Béjar 13, 28028 Madrid, ventas@psicogest.es.
Responsable: El usuario profesional (psicólogo/centro) que se registra y utiliza PsicoGest.

2. Objeto, duración, naturaleza y finalidad
Objeto: la prestación del software PsicoGest para gestión clínica (agenda, pacientes, expedientes, facturación, recordatorios).
Duración: mientras exista la relación contractual con el Responsable.
Naturaleza y operaciones: alojamiento, conservación, organización, consulta, transmisión por cuenta del Responsable.
Finalidad: permitir al Responsable gestionar su actividad clínica conforme a la normativa aplicable.

2 bis. Funciones de IA (aclaración)
Las funciones de IA de PsicoGest están diseñadas para procesar exclusivamente textos previamente anonimizados, sin datos personales. Por tanto, dicho procesamiento queda fuera del ámbito de aplicación del RGPD. Si en el futuro alguna función de IA requiriera tratar datos personales, PsicoGest lo informará previamente, incorporará al proveedor como subencargado, firmará las garantías adecuadas y lo reflejará en /subencargados.

3. Tipos de datos y categorías de interesados
Datos de pacientes (identificativos y de salud) y datos de usuarios profesionales (identificativos), tratados por PsicoGest en calidad de Encargado.
Interesados: pacientes y usuarios profesionales del Responsable.

4. Instrucciones documentadas
PsicoGest tratará los datos únicamente según las instrucciones documentadas del Responsable y para las finalidades indicadas. Cualquier tratamiento no contemplado requerirá instrucción previa y documentada.

5. Confidencialidad
PsicoGest garantiza que las personas autorizadas a tratar datos se han comprometido a la confidencialidad y han recibido formación básica en protección de datos.

6. Medidas técnicas y organizativas (art. 32 RGPD)
PsicoGest aplica medidas adecuadas al riesgo, incluyendo:
– Control de accesos y principio de mínimo privilegio (RLS en tablas sensibles).
– Cifrado de datos en tránsito (TLS) y cifrado fuerte de datos en reposo.
– Gestión de claves mediante variables de entorno y controles de acceso.
– Registro y auditoría de accesos relevantes, con retención razonable.
– Copias de seguridad y pruebas de restauración periódicas.
– Procedimiento de notificación de incidentes y apoyo al Responsable para notificar en menos de 72 horas cuando proceda.
– Políticas de retención y borrado bajo instrucción del Responsable.

7. Subencargados
El Responsable autoriza de forma general la subcontratación necesaria para la prestación del servicio:
– Supabase (infraestructura PaaS/DB/Storage; región UE).
– Vercel (hosting de frontend/edge/logs).
– v0 de Vercel (soporte al desarrollo; no trata datos personales de pacientes).
– Brevo (plataforma de envío de emails transaccionales y de servicio; tratamiento de datos identificativos y de contacto de usuarios y pacientes necesarios para el envío de correos. Servidores ubicados dentro de la Unión Europea).
La lista viva de subencargados y los cambios se publican en /subencargados. PsicoGest notificará cambios con 30 días de antelación para oposición razonable.
Aclaración IA: Los proveedores de IA (p. ej., OpenAI/Azure OpenAI) no tienen la condición de subencargados en PsicoGest porque reciben únicamente texto anonimizado (no es dato personal). Si en el futuro fuera necesario tratar datos personales, se incluirán como subencargados mediante DPA y garantías adecuadas.

8. Asistencia al Responsable
PsicoGest asistirá al Responsable, en la medida de lo posible, para atender derechos de los interesados; para realizar, cuando proceda, evaluaciones de impacto y consultas; y para la gestión de solicitudes/autoridades.

9. Incidentes y notificaciones
PsicoGest notificará sin dilación indebida al Responsable los incidentes de seguridad de los que tenga conocimiento y facilitará información disponible para su gestión y, en su caso, notificación a la AEPD y a los interesados.

10. Destino de los datos al término de la relación
A la finalización del servicio, a elección del Responsable, PsicoGest suprimirá o devolverá los datos, salvo conservación bloqueada si existieran obligaciones legales.

11. Verificaciones
PsicoGest pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del presente encargo y permitirá, cuando sea razonable, auditorías o verificaciones, sin comprometer la seguridad del servicio ni datos de terceros.

12. Transferencias internacionales
PsicoGest diseña sus servicios para que el tratamiento de datos personales se realice preferentemente dentro del Espacio Económico Europeo (EEE). La base de datos principal y el servicio de correo transaccional (Brevo) se alojan en servidores ubicados en la Unión Europea.
El uso de determinados proveedores de infraestructura global, como Vercel, puede implicar transferencias de datos técnicos (por ejemplo, direcciones IP y cabeceras HTTP) fuera del EEE, siempre limitadas a lo necesario para la prestación y securización del servicio. En estos casos, PsicoGest aplicará las garantías adecuadas previstas en el RGPD, incluyendo en su caso las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
Si excepcionalmente fuera necesaria una nueva transferencia de datos personales a un tercer país distinta de las aquí descritas, PsicoGest aplicará las garantías adecuadas e informará previamente al Responsable.

13. Responsabilidad
Cada parte responderá de sus obligaciones. El Responsable es quien determina fines y medios del tratamiento.

14. Contacto
Encargado: Psicogest Solutions SL – ventas@psicogest.es.

Última actualización: 09/12/2025