Subencargados de Tratamiento

Autorización general

El Responsable autoriza de forma general la subcontratación necesaria para la correcta prestación del servicio PsicoGest. Cualquier alta o cambio relevante de subencargados se notificará con 30 días de antelación para que el Responsable pueda oponerse razonablemente cuando exista un motivo fundado en materia de protección de datos.

PsicoGest procura que el tratamiento de datos personales se realice preferentemente en la Unión Europea. Cuando se valoren nuevos subencargados, se priorizarán aquellos que ofrezcan alojamiento y tratamiento en el EEE y un marco claro de cumplimiento RGPD.

Listado actual

• Supabase – Proveedor PaaS (PostgreSQL, Auth, Storage). Región UE (Frankfurt). Rol: infraestructura principal de base de datos, almacenamiento y autenticación de usuarios de PsicoGest.
• Vercel – Hosting de frontend/edge y logs de ejecución. Rol: alojamiento de la aplicación web y entrega de contenidos. Trata datos técnicos mínimos necesarios (p. ej. IP, user-agent) para la prestación del servicio y la seguridad de la plataforma.
• v0 (Vercel) – Herramienta de generación/desarrollo. No trata datos personales de pacientes ni de usuarios finales.
• Brevo – Plataforma de envío de emails transaccionales y de servicio. Rol: envío de correos electrónicos a usuarios y pacientes, incluyendo emails de bienvenida, comunicaciones sobre uso de PsicoGest y mensajes relacionados con la firma de consentimientos y documentación LOPD.
  Datos tratados: nombre, dirección de correo electrónico y contenido mínimo necesario del mensaje.
  Localización: servidores ubicados dentro de la Unión Europea (principalmente Francia, Alemania y Bélgica) conforme a la información facilitada por el proveedor. Brevo actúa como encargado del tratamiento bajo contrato conforme al art. 28 RGPD.
• Stripe Payments Europe Ltd. – Pasarela de pagos para el cobro de suscripciones de PsicoGest y, cuando el profesional activa Stripe Connect, para el cobro de sesiones a pacientes.
  Datos tratados: nombre y email del pagador (profesional o paciente), importes, conceptos e identificadores de transacción. Stripe gestiona por sí misma los datos de tarjeta y antifraude, actuando en ese ámbito como responsable independiente; en lo demás interviene como subencargado de PsicoGest.
  Localización: sede UE en Irlanda; el grupo Stripe puede implicar transferencias a EE. UU. con garantías adecuadas (Cláusulas Contractuales Tipo y, en su caso, EU–U.S. Data Privacy Framework).
• Meta Platforms Ireland Ltd. – WhatsApp Business API – Envío opcional de recordatorios y comunicaciones al paciente por WhatsApp cuando el Responsable activa la integración.
  Datos tratados: nombre y número de teléfono del paciente y contenido del mensaje (p. ej., recordatorio de cita). Si el Responsable no activa WhatsApp, este proveedor no recibe datos de sus pacientes.
  Localización: sede UE en Irlanda con infraestructura del grupo Meta en EE. UU.; la transferencia internacional se ampara en Cláusulas Contractuales Tipo y, cuando proceda, en el marco EU–U.S. Data Privacy Framework.
• Gladia SAS – Proveedor de transcripción automática y diarización de audio para el add-on opcional Transcripción IA. Solo recibe datos cuando el Responsable contrata y utiliza esta función.
  Datos tratados: audio cifrado de la sesión y transcripción generada. Constituye dato de salud (categoría especial, art. 9 RGPD).
  Localización: París, Francia; infraestructura europea (AWS y OVH Cloud en EU). Certificaciones: SOC 2 Type II e ISO 27001. Retención aplicada a la cuenta de PsicoGest: 1 día (política activada en la cuenta — confirmada por escrito por Gladia el 07/06/2026). Plan Pro contratado con cláusula contractual de no entrenamiento de modelos. DPA público: gladia.io/data-process-agreement.
  Sub-procesadores propios de Gladia (lista oficial completa en trust.gladia.io): AWS, OVH Cloud (FR), Shadow, Pyannote AI (FR), Private AI, Hyperline y Stripe. Importante: la lista oficial de Gladia incluye también OpenAI Ireland Limited, pero Gladia solo enruta datos a OpenAI cuando se activan funcionalidades específicas (summarization, audio-to-LLM, translation, chapterization). PsicoGest no activa ninguna de esas funcionalidades en sus llamadas a Gladia — solo transcripción y diarización. Por tanto, en el flujo de PsicoGest, OpenAI no interviene a través de Gladia; solo interviene directamente cuando el profesional usa la función separada "Convertir a nota clínica" (ver siguiente sub-encargado).
• OpenAI Ireland Limited – Proveedor del modelo de lenguaje para la conversión opcional de transcripción en borrador de nota clínica, dentro del add-on Transcripción IA. Solo se invoca cuando el profesional pulsa "Convertir a nota clínica".
  Datos tratados: transcripción anonimizada de la sesión (con enmascarado previo de PII).
  Localización: Dublín, Irlanda (UE). Política API empresarial: los datos del cliente no se usan para entrenar modelos.

Destinatario legal (no subencargado): AEAT

Cuando el Responsable utiliza el módulo de facturación electrónica VeriFactu, los registros de facturación generados se remiten a la Agencia Estatal de Administración Tributaria (AEAT) en cumplimiento del Real Decreto 1007/2023 (Reglamento de sistemas informáticos de facturación). AEAT actúa como destinatario obligatorio en virtud de norma con rango de ley y, por tanto, no tiene la condición de subencargado de PsicoGest.

Procesamiento de IA

Las funciones de IA incluidas en el plan principal (apoyo en redacción de notas e informes) operan exclusivamente con texto previamente anonimizado por el sistema, por lo que no se comparten datos personales con terceros y los proveedores de IA correspondientes no tienen condición de subencargados en esa modalidad.

Para el add-on opcional Transcripción IA sí se tratan datos personales (audio de sesión y transcripción), por lo que los proveedores implicados (Gladia SAS y OpenAI Ireland Limited) están incorporados como subencargados en el listado anterior, con sus correspondientes DPA, garantías y plazos.

Reconocimiento de voz para dictado de notas

La función de dictado por voz de PsicoGest utiliza la Web Speech API integrada en el navegador. Dependiendo del navegador utilizado por el profesional, el audio se envía transitoriamente a distintos proveedores: Google (Chrome y Edge), Apple (Safari) o el motor nativo del sistema operativo. Estos proveedores afirman no almacenar el audio con fines distintos al reconocimiento en tiempo real.

Esta tecnología está fuera del control directo de PsicoGest (es una funcionalidad del navegador). No existe DPA específico de PsicoGest con Google ni con Apple para la Web Speech API, dado que ninguno lo ofrece para esta función concreta del navegador. Su uso queda sujeto a la Política de Privacidad de Google (Chrome/Edge) o a la Política de Privacidad de Apple (Safari), según el navegador.

Recomendación al profesional: la función de dictado está diseñada para que el psicólogo redacte sus propias notas clínicas, no para grabar conversaciones con pacientes. Se recomienda no mencionar datos identificativos al dictar o, en caso de hacerlo, informar al paciente en la cláusula de privacidad de su consulta. Esta función es completamente opcional.