Subencargados de Tratamiento

Autorización general

El Responsable autoriza de forma general la subcontratación necesaria para la correcta prestación del servicio PsicoGest. Cualquier alta o cambio relevante de subencargados se notificará con 30 días de antelación para que el Responsable pueda oponerse razonablemente cuando exista un motivo fundado en materia de protección de datos.

PsicoGest procura que el tratamiento de datos personales se realice preferentemente en la Unión Europea. Cuando se valoren nuevos subencargados, se priorizarán aquellos que ofrezcan alojamiento y tratamiento en el EEE y un marco claro de cumplimiento RGPD.

Listado actual

• Supabase – Proveedor PaaS (PostgreSQL, Auth, Storage). Región UE (Frankfurt). Rol: infraestructura principal de base de datos, almacenamiento y autenticación de usuarios de PsicoGest.
• Vercel – Hosting de frontend/edge y logs de ejecución. Rol: alojamiento de la aplicación web y entrega de contenidos. Trata datos técnicos mínimos necesarios (p. ej. IP, user-agent) para la prestación del servicio y la seguridad de la plataforma.
• v0 (Vercel) – Herramienta de generación/desarrollo. No trata datos personales de pacientes ni de usuarios finales.
• Brevo – Plataforma de envío de emails transaccionales y de servicio. Rol: envío de correos electrónicos a usuarios y pacientes, incluyendo emails de bienvenida, comunicaciones sobre uso de PsicoGest y mensajes relacionados con la firma de consentimientos y documentación LOPD.
  Datos tratados: nombre, dirección de correo electrónico y contenido mínimo necesario del mensaje.
  Localización: servidores ubicados dentro de la Unión Europea (principalmente Francia, Alemania y Bélgica) conforme a la información facilitada por el proveedor. Brevo actúa como encargado del tratamiento bajo contrato conforme al art. 28 RGPD.

Procesamiento de IA (sin datos personales)

Las funciones de IA en PsicoGest operan exclusivamente con texto previamente anonimizado por el sistema, por lo que no se comparten datos personales con terceros. En consecuencia, los proveedores de IA (p. ej., OpenAI/Azure OpenAI) no tienen la condición de subencargados en este momento. Si en el futuro alguna función requiriese tratar datos personales, el proveedor se incorporará aquí como subencargado, previa firma del correspondiente acuerdo de tratamiento y aplicación de garantías adecuadas (p. ej., Cláusulas Contractuales Tipo).

Reconocimiento de voz para dictado de notas

La función de dictado por voz de PsicoGest utiliza la Web Speech API integrada en el navegador. Dependiendo del navegador utilizado por el profesional, el audio se envía transitoriamente a distintos proveedores: Google (Chrome y Edge), Apple (Safari) o el motor nativo del sistema operativo. Estos proveedores afirman no almacenar el audio con fines distintos al reconocimiento en tiempo real.

Esta tecnología está fuera del control directo de PsicoGest (es una funcionalidad del navegador). No existe DPA específico de PsicoGest con Google ni con Apple para la Web Speech API, dado que ninguno lo ofrece para esta función concreta del navegador. Su uso queda sujeto a la Política de Privacidad de Google (Chrome/Edge) o a la Política de Privacidad de Apple (Safari), según el navegador.

Recomendación al profesional: la función de dictado está diseñada para que el psicólogo redacte sus propias notas clínicas, no para grabar conversaciones con pacientes. Se recomienda no mencionar datos identificativos al dictar o, en caso de hacerlo, informar al paciente en la cláusula de privacidad de su consulta. Esta función es completamente opcional.