Contrato de Encargo de Tratamiento

ENCARGO DE TRATAMIENTO DE DATOS (RGPD art. 28)
Versión: 2025-10-18

1. Partes
Encargado: Psicogest Solutions SL (CIF B22607246), Calle de Béjar 13, 28028 Madrid, ventas@psicogest.es.
Responsable: El usuario profesional (psicólogo/centro) que se registra y utiliza PsicoGest.

2. Objeto, duración, naturaleza y finalidad
Objeto: la prestación del software PsicoGest para gestión clínica (agenda, pacientes, expedientes, facturación, recordatorios).
Duración: mientras exista la relación contractual con el Responsable.
Naturaleza y operaciones: alojamiento, conservación, organización, consulta, transmisión por cuenta del Responsable.
Finalidad: permitir al Responsable gestionar su actividad clínica conforme a la normativa aplicable.

2 bis. Funciones de IA (aclaración)
Las funciones de IA de PsicoGest están diseñadas para procesar exclusivamente **textos previamente anonimizados**, sin datos personales. Por tanto, dicho procesamiento queda **fuera del ámbito de aplicación del RGPD**. Si en el futuro alguna función de IA requiriera tratar **datos personales**, PsicoGest lo informará previamente, incorporará al proveedor como **subencargado**, firmará las garantías adecuadas y lo reflejará en /subencargados.

3. Tipos de datos y categorías de interesados
Datos de pacientes (identificativos y de salud) y datos de usuarios profesionales (identificativos), tratados por PsicoGest en calidad de Encargado.
Interesados: pacientes y usuarios profesionales del Responsable.

4. Instrucciones documentadas
PsicoGest tratará los datos únicamente según las **instrucciones documentadas** del Responsable y para las finalidades indicadas. Cualquier tratamiento no contemplado requerirá instrucción previa y documentada.

5. Confidencialidad
PsicoGest garantiza que las personas autorizadas a tratar datos se han comprometido a la confidencialidad y han recibido formación básica en protección de datos.

6. Medidas técnicas y organizativas (art. 32 RGPD)
PsicoGest aplica medidas adecuadas al riesgo, incluyendo:
– Control de accesos y principio de mínimo privilegio (RLS en tablas sensibles).
– Cifrado de datos en tránsito (TLS) y **cifrado fuerte** de datos en reposo.
– Gestión de claves mediante variables de entorno y controles de acceso.
– Registro y auditoría de accesos relevantes, con retención razonable.
– Copias de seguridad y pruebas de restauración periódicas.
– Procedimiento de notificación de incidentes y apoyo al Responsable para notificar en <72h cuando proceda.
– Políticas de retención y borrado bajo instrucción del Responsable.

7. Subencargados
El Responsable autoriza de forma general la subcontratación necesaria para la prestación del servicio:
– Supabase (infraestructura PaaS/DB/Storage; región UE).
– Vercel (hosting de frontend/edge/logs).
– v0 de Vercel (soporte al desarrollo; **no** trata datos personales de pacientes).
La lista viva de subencargados y los cambios se publican en /subencargados. PsicoGest notificará cambios con 30 días de antelación para oposición razonable.
**Aclaración IA**: Los proveedores de IA (p. ej., OpenAI/Azure OpenAI) **no tienen la condición de subencargados** en PsicoGest porque reciben **únicamente texto anonimizad**o (no es dato personal). Si en el futuro fuera necesario tratar datos personales, se incluirán como subencargados mediante DPA y garantías adecuadas.

8. Asistencia al Responsable
PsicoGest asistirá al Responsable, en la medida de lo posible, para atender derechos de los interesados; para realizar, cuando proceda, evaluaciones de impacto y consultas; y para la gestión de solicitudes/autoridades.

9. Incidentes y notificaciones
PsicoGest notificará sin dilación indebida al Responsable los incidentes de seguridad de los que tenga conocimiento y facilitará información disponible para su gestión y, en su caso, notificación a la AEPD y a los interesados.

10. Destino de los datos al término de la relación
A la finalización del servicio, a elección del Responsable, PsicoGest suprimirá o devolverá los datos, salvo conservación bloqueada si existieran obligaciones legales.

11. Verificaciones
PsicoGest pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del presente encargo y permitirá, cuando sea razonable, auditorías o verificaciones, sin comprometer la seguridad del servicio ni datos de terceros.

12. Transferencias internacionales
**No se prevén transferencias internacionales de datos personales fuera del EEE** en las funciones estándar del servicio. El procesamiento de IA se realiza sobre **texto anonimizado** (no dato personal). Si excepcionalmente fuera necesaria una transferencia de **datos personales**, PsicoGest aplicará las garantías adecuadas (Cláusulas Contractuales Tipo u otras aprobadas) e informará previamente al Responsable.

13. Responsabilidad
Cada parte responderá de sus obligaciones. El Responsable es quien determina fines y medios del tratamiento.

14. Contacto
Encargado: Psicogest Solutions SL – ventas@psicogest.es.

Última actualización: 18/10/2025