Contrato de Encargo de Tratamiento

ENCARGO DE TRATAMIENTO DE DATOS (RGPD art. 28)
Versión: 2026-03-21

1. Partes
Encargado: Psicogest Solutions SL (CIF B22607246), Calle de Béjar 13, 28028 Madrid, ventas@psicogest.es.
Responsable: El usuario profesional (psicólogo/centro) que se registra y utiliza PsicoGest.

2. Objeto, duración, naturaleza y finalidad
Objeto: la prestación del software PsicoGest para gestión clínica (agenda, pacientes, expedientes, facturación, recordatorios).
Duración: mientras exista la relación contractual con el Responsable.
Naturaleza y operaciones: alojamiento, conservación, organización, consulta, transmisión por cuenta del Responsable.
Finalidad: permitir al Responsable gestionar su actividad clínica conforme a la normativa aplicable.

2 bis. Funciones de IA (aclaración)
Las funciones de IA de PsicoGest están diseñadas para procesar exclusivamente textos previamente anonimizados, sin datos personales. Por tanto, dicho procesamiento queda fuera del ámbito de aplicación del RGPD. Si en el futuro alguna función de IA requiriera tratar datos personales, PsicoGest lo informará previamente, incorporará al proveedor como subencargado, firmará las garantías adecuadas y lo reflejará en /subencargados.

3. Tipos de datos y categorías de interesados
Datos de pacientes (identificativos y de salud) y datos de usuarios profesionales (identificativos), tratados por PsicoGest en calidad de Encargado.
Interesados: pacientes y usuarios profesionales del Responsable.

4. Instrucciones documentadas
PsicoGest tratará los datos únicamente según las instrucciones documentadas del Responsable y para las finalidades indicadas. Cualquier tratamiento no contemplado requerirá instrucción previa y documentada.

5. Confidencialidad
PsicoGest garantiza que las personas autorizadas a tratar datos se han comprometido a la confidencialidad y han recibido formación básica en protección de datos.

6. Medidas técnicas y organizativas (art. 32 RGPD)
PsicoGest aplica medidas adecuadas al riesgo, incluyendo:
– Control de accesos y principio de mínimo privilegio (RLS en tablas sensibles).
– Cifrado de datos en tránsito (TLS) y cifrado fuerte de datos en reposo.
– Gestión de claves mediante variables de entorno y controles de acceso.
– Registro y auditoría de accesos relevantes, con retención razonable.
– Copias de seguridad y pruebas de restauración periódicas.
– Procedimiento de notificación de incidentes y apoyo al Responsable para notificar en menos de 72 horas cuando proceda (plazos detallados en la cláusula 9).
– Políticas de retención y borrado bajo instrucción del Responsable.

7. Subencargados
El Responsable autoriza de forma general la subcontratación necesaria para la prestación del servicio:
– Supabase (infraestructura PaaS/DB/Storage; región UE).
– Vercel (hosting de frontend/edge/logs).
– v0 de Vercel (soporte al desarrollo; no trata datos personales de pacientes).
– Brevo (plataforma de envío de emails transaccionales y de servicio; tratamiento de datos identificativos y de contacto de usuarios y pacientes necesarios para el envío de correos. Servidores ubicados dentro de la Unión Europea).
La lista viva de subencargados y los cambios se publican en /subencargados. PsicoGest notificará cambios con 30 días de antelación para oposición razonable.
Aclaración IA: Los proveedores de IA (p. ej., OpenAI/Azure OpenAI) no tienen la condición de subencargados en PsicoGest porque reciben únicamente texto anonimizado (no es dato personal). Si en el futuro fuera necesario tratar datos personales, se incluirán como subencargados mediante DPA y garantías adecuadas.
Aclaración dictado por voz: La función opcional de dictado por voz utiliza la Web Speech API del navegador. El audio se procesa transitoriamente por Google (Chrome/Edge) o Apple (Safari) según el navegador usado. Esta tecnología es externa a PsicoGest y no existe DPA específico de PsicoGest con ninguno de estos proveedores para esta API del navegador. El uso queda sujeto a sus respectivas políticas de privacidad. Esta función es opcional y está diseñada para uso exclusivo del profesional al redactar notas propias.

7 bis. Canales de comunicación de terceros (videollamada, calendario y correo)
PsicoGest ofrece, con carácter opcional, integración con servicios de Google (Google Calendar y Google Meet) que el Responsable conecta con su propia cuenta de Google. PsicoGest se limita a generar enlaces y eventos a través de la API de Google con las credenciales del Responsable; no aloja, procesa ni accede al contenido de las videollamadas. La elección del proveedor de videollamada, así como la idoneidad de la cuenta utilizada (Google Workspace con condiciones aptas para datos clínicos frente a una cuenta gratuita de Gmail) y la información que el profesional facilite a sus pacientes sobre dicho canal, son responsabilidad exclusiva del Responsable como responsable del tratamiento. Google actúa, en su caso, como subencargado del Responsable —no de PsicoGest— en virtud del acuerdo que el Responsable haya suscrito directamente con Google. PsicoGest no garantiza el cumplimiento normativo de canales de comunicación de terceros (videollamada, mensajería, correo personal del Responsable) que queden fuera de su control técnico, y advierte de ello en el punto de uso dentro de la aplicación.

8. Asistencia al Responsable
PsicoGest asistirá al Responsable, en la medida de lo posible, para atender los derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición); para realizar, cuando proceda, evaluaciones de impacto y consultas previas; y para la gestión de solicitudes de autoridades de control.
En caso de que PsicoGest reciba directamente del interesado una solicitud de ejercicio de derechos relativa a datos tratados por cuenta del Responsable, la comunicará al Responsable en un plazo máximo de 72 horas hábiles desde su recepción, sin atender por sí misma la solicitud salvo instrucción expresa del Responsable.

9. Incidentes y notificaciones
PsicoGest notificará al Responsable cualquier brecha de seguridad que afecte a datos personales tratados por su cuenta en un plazo máximo de 48 horas desde que tenga conocimiento de la misma, facilitando como mínimo: naturaleza de la brecha, categorías y número aproximado de interesados y registros afectados, posibles consecuencias y medidas adoptadas o propuestas para ponerle remedio. Si en ese plazo no dispusiera de toda la información, realizará una notificación inicial y la completará de forma escalonada conforme la información esté disponible, con el objetivo de permitir al Responsable cumplir el plazo de 72 horas previsto en el art. 33 RGPD frente a la AEPD.

10. Destino de los datos al término de la relación
A la finalización del servicio, a elección del Responsable, PsicoGest suprimirá o devolverá los datos, salvo conservación bloqueada si existieran obligaciones legales.

11. Verificaciones
PsicoGest pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del presente encargo y permitirá, cuando sea razonable, auditorías o verificaciones, sin comprometer la seguridad del servicio ni datos de terceros.

12. Transferencias internacionales
PsicoGest diseña sus servicios para que el tratamiento de datos personales se realice preferentemente dentro del Espacio Económico Europeo (EEE). La base de datos principal y el servicio de correo transaccional (Brevo) se alojan en servidores ubicados en la Unión Europea.
El uso de determinados proveedores de infraestructura global, como Vercel, puede implicar transferencias de datos técnicos (por ejemplo, direcciones IP y cabeceras HTTP) fuera del EEE, siempre limitadas a lo necesario para la prestación y securización del servicio. En estos casos, PsicoGest aplicará las garantías adecuadas previstas en el RGPD, incluyendo en su caso las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
Si excepcionalmente fuera necesaria una nueva transferencia de datos personales a un tercer país distinta de las aquí descritas, PsicoGest aplicará las garantías adecuadas e informará previamente al Responsable.

13. Responsabilidad
Cada parte responderá de sus obligaciones. El Responsable es quien determina fines y medios del tratamiento.

14. Contacto
Encargado: Psicogest Solutions SL – ventas@psicogest.es.

Última actualización: 21/03/2026