← Volver a Términos de Servicio

Acuerdo de Encargado del Tratamiento

Data Processing Agreement (DPA) - Conforme a RGPD Art. 28

Última actualización: 27 de noviembre de 2025

1. Definiciones

A efectos de este Acuerdo:

• "RGPD": Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
• "Responsable del Tratamiento": El terapeuta profesional que contrata los servicios de CogniTrack
• "Encargado del Tratamiento": CogniTrack
• "Subencargado": Tercero que trata datos personales por cuenta de CogniTrack (ej: Speechmatics, OpenAI)
• "Datos Personales": Toda información relativa a pacientes del Responsable, incluyendo datos de salud (categoría especial según Art. 9 RGPD)
• "Tratamiento": Cualquier operación realizada sobre datos personales (recopilación, registro, conservación, modificación, extracción, consulta, utilización, comunicación, supresión, etc.)
• "Interesado": El paciente cuyos datos personales son objeto de tratamiento
• "Violación de Seguridad": Toda brecha de seguridad que ocasione destrucción, pérdida o alteración accidental o ilícita de datos personales, o comunicación o acceso no autorizados

2. Objeto y Duración del Encargo

2.1. Objeto

El Encargado del Tratamiento (CogniTrack) se compromete a tratar por cuenta del Responsable del Tratamiento (el terapeuta) los datos personales de los pacientes de este último, exclusivamente para la prestación del servicio de plataforma tecnológica de seguimiento terapéutico, conforme a las instrucciones documentadas en este Acuerdo.

2.2. Naturaleza y Finalidad del Tratamiento

Aspecto	Descripción
Naturaleza del tratamiento	Almacenamiento, transcripción, análisis mediante IA, y gestión de notas de voz con contenido clínico de salud mental
Finalidad del tratamiento	Facilitar el seguimiento terapéutico entre sesiones presenciales, mediante registro de notas de voz del paciente y análisis clínico preliminar
Tipo de datos personales	- Datos identificativos (nombre, email, código de paciente) - Datos de salud (Art. 9 RGPD - categoría especial): notas de voz con contenido clínico, transcripciones, indicadores de estado anímico, análisis clínicos, objetivo terapéutico - Datos técnicos (IP, logs de acceso)
Categorías de interesados	Pacientes de terapia psicológica del Responsable del Tratamiento
Duración del encargo	Mientras esté vigente el contrato de servicios entre el Responsable y el Encargado

2.3. Instrucciones Documentadas del Responsable

El Encargado tratará los datos personales únicamente conforme a las siguientes instrucciones documentadas:

1. Almacenar los datos personales de pacientes en servidores cifrados ubicados en la Unión Europea
2. Transcribir notas de voz mediante servicios de transcripción autorizados (Speechmatics u OpenAI Whisper)
3. Generar análisis clínicos preliminares mediante inteligencia artificial (OpenAI GPT) bajo supervisión del Responsable
4. Permitir acceso a los datos únicamente al Responsable (terapeuta) y al Interesado (paciente), con autenticación segura
5. Mantener logs de auditoría de accesos y modificaciones
6. Conservar los datos durante el periodo que el Responsable indique mediante la gestión activa de pacientes en la plataforma
7. Eliminar o devolver los datos cuando el Responsable solicite la eliminación de una cuenta de paciente o al finalizar el contrato
8. No comunicar datos a terceros salvo a subencargados autorizados expresamente en este Acuerdo

Si el Encargado considera que alguna instrucción infringe el RGPD u otra normativa de protección de datos, informará inmediatamente al Responsable.

3. Obligaciones del Encargado del Tratamiento

3.1. Tratamiento Conforme a Instrucciones (Art. 28.3.a RGPD)

El Encargado se compromete a tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluyendo las transferencias de datos personales a terceros países u organizaciones internacionales, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado.

3.2. Confidencialidad (Art. 28.3.b RGPD)

El Encargado garantiza que las personas autorizadas para tratar datos personales:

• Se han comprometido a respetar la confidencialidad mediante acuerdos de confidencialidad apropiados
• Están sujetas a una obligación legal apropiada de confidencialidad
• Han recibido formación adecuada en materia de protección de datos

3.3. Medidas de Seguridad (Art. 28.3.c y Art. 32 RGPD)

El Encargado implementa las siguientes medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:

Medidas Técnicas:

• Cifrado en reposo: AES-256 para base de datos y archivos almacenados
• Cifrado en tránsito: TLS 1.2+ (HTTPS) para todas las comunicaciones
• Seudonimización: Códigos únicos de paciente no vinculados directamente a identidad real
• Autenticación robusta: JWT con expiración de 24 horas, contraseñas hasheadas con scrypt
• Control de acceso: Acceso restringido solo a terapeuta asignado y paciente titular
• Limitación de intentos: Rate limiting contra ataques de fuerza bruta (máx 5 intentos / 15 min)
• Auditoría: Logs completos de accesos, modificaciones y eliminaciones con retención de 90 días
• Backups cifrados: Copias de seguridad diarias cifradas con retención según política
• Firewall y segmentación de red: Acceso restringido a servidores de producción

Medidas Organizativas:

• Política de Seguridad de la Información: Documentada y revisada anualmente
• Control de acceso físico: Servidores en centros de datos certificados con acceso restringido
• Gestión de incidentes: Procedimiento documentado de respuesta ante violaciones de seguridad
• Formación del personal: Capacitación anual en protección de datos y seguridad
• Política de escritorio limpio: No almacenamiento de datos en dispositivos locales del personal
• Revisiones de seguridad: Auditorías trimestrales de seguridad y accesos

3.4. Subencargados (Art. 28.2 y 28.4 RGPD)

El Responsable autoriza expresamente al Encargado a contratar los siguientes subencargados:

Subencargados del Tratamiento (procesan datos personales RGPD)

Subencargado	Servicio	Ubicación	Garantías
Speechmatics Ltd.	Transcripción de audio a texto	Reino Unido / UE	Servidores en UE, contrato DPA, certificaciones ISO 27001, cumplimiento RGPD
Proveedor de hosting	Infraestructura de servidores	Unión Europea	Certificaciones ISO 27001, SOC 2, servidores en UE

Proveedores que procesan datos anonimizados (no son subencargados RGPD)

Proveedor	Servicio	Ubicación	Datos Procesados
OpenAI LLC	Análisis clínico mediante IA (GPT)	Estados Unidos	Solo datos completamente anonimizados. No recibe ninguna información identificativa del paciente. Por tanto, no constituye transferencia internacional de datos personales según RGPD Art. 4.1.

El Encargado se compromete a:

• Imponer a los subencargados las mismas obligaciones de protección de datos que este Acuerdo
• Notificar al Responsable con 30 días de antelación cualquier cambio de subencargados
• Permitir al Responsable oponerse a nuevos subencargados por motivos razonables
• Seguir siendo plenamente responsable ante el Responsable del cumplimiento de las obligaciones del subencargado

3.5. Asistencia al Responsable en Derechos de Interesados (Art. 28.3.e RGPD)

El Encargado ayudará al Responsable, mediante medidas técnicas y organizativas apropiadas, a cumplir con las solicitudes de ejercicio de derechos de los interesados:

• Derecho de acceso (Art. 15): Proporcionar funcionalidad de exportación de datos del paciente en formato legible
• Derecho de rectificación (Art. 16): Permitir modificación de datos inexactos
• Derecho de supresión (Art. 17): Eliminación completa y certificada de todos los datos del paciente en plazo máximo de 48h tras solicitud del Responsable
• Derecho de portabilidad (Art. 20): Exportación en formato estructurado, comúnmente utilizado y legible por máquina (JSON, CSV)
• Derecho de limitación (Art. 18): Marcado de datos para suspensión temporal de tratamiento

Plazo de asistencia: El Encargado atenderá solicitudes de asistencia en un plazo máximo de 72 horas.

3.6. Asistencia en Evaluaciones de Impacto y Consultas Previas (Art. 28.3.f RGPD)

El Encargado ayudará al Responsable a garantizar el cumplimiento de:

• Evaluación de Impacto de Protección de Datos (Art. 35): Proporcionará información sobre medidas de seguridad, tratamientos realizados, subencargados y riesgos identificados
• Consulta previa a la Autoridad de Control (Art. 36): Colaborará proporcionando documentación técnica si fuera requerido
• Notificación de violaciones de seguridad (Art. 33-34): Notificará al Responsable sin dilación indebida (máx. 24 horas) desde la detección, incluyendo información relevante para que el Responsable pueda cumplir con su obligación de notificación a la AEPD

3.7. Supresión o Devolución de Datos (Art. 28.3.g RGPD)

Al término de la prestación de servicios, el Encargado:

• Suprimirá o devolverá todos los datos personales al Responsable, según elija el Responsable
• Suprimirá las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación
• Proporcionará certificación escrita de destrucción/devolución de datos en plazo de 30 días tras finalización del contrato

3.8. Auditoría y Derecho de Inspección (Art. 28.3.h RGPD)

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este Acuerdo, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o un auditor autorizado por este.

Condiciones de auditoría:

• Preaviso mínimo de 30 días
• Frecuencia máxima de 1 auditoría por año (salvo causa justificada)
• Horario laboral y sin interferencia con operaciones críticas
• Acuerdo de confidencialidad firmado por auditores externos
• Coste de auditorías extraordinarias a cargo del Responsable

4. Transferencias Internacionales de Datos Personales

4.1. Ausencia de Transferencias Internacionales de Datos Personales

Todos los datos personales permanecen en la Unión Europea.

El Encargado garantiza que:

• Los datos personales de los interesados (pacientes) se almacenan únicamente en servidores ubicados en la Unión Europea
• El servicio de transcripción (Speechmatics) procesa datos en infraestructura europea con cumplimiento RGPD
• No se realizan transferencias de datos personales a terceros países fuera del EEE (Espacio Económico Europeo)

4.2. Uso de Servicios en Terceros Países con Datos Anonimizados

El servicio de análisis clínico (OpenAI LLC, ubicado en Estados Unidos) recibe únicamente datos que han sido previamente completamente anonimizados por el sistema CogniTrack.

Conforme al RGPD Art. 4.1, los datos anonimizados no constituyen "datos personales" y, por tanto, su procesamiento fuera de la UE no se considera una transferencia internacional de datos personales.

4.3. Proceso de Anonimización

Antes de enviar cualquier texto a servicios de análisis, el sistema CogniTrack elimina automáticamente:

• Nombre del paciente
• Dirección de correo electrónico
• Código de paciente
• Cualquier otro identificador directo o indirecto
• Referencias al terapeuta o a la clínica

Los textos enviados contienen únicamente el contenido de las transcripciones sin ningún dato que permita la identificación o reidentificación del interesado, cumpliendo así con el considerando 26 del RGPD.

4.4. Compromiso de Protección de Datos en la UE

El Encargado se compromete a que todos los datos personales tratados bajo este Acuerdo permanezcan en todo momento dentro del territorio de la Unión Europea y países con decisión de adecuación vigente.

5. Violaciones de Seguridad de los Datos

5.1. Obligación de Notificación

El Encargado notificará al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 24 horas desde que tenga conocimiento de ella, toda violación de la seguridad de los datos personales.

5.2. Contenido de la Notificación

La notificación incluirá, como mínimo:

• Descripción de la naturaleza de la violación (tipo de datos afectados, número aproximado de interesados y registros)
• Nombre y datos de contacto del punto de contacto del Encargado
• Descripción de las posibles consecuencias de la violación
• Descripción de las medidas adoptadas o propuestas para poner remedio a la violación
• Cronología de eventos
• Acciones recomendadas para el Responsable

5.3. Asistencia Post-Violación

El Encargado cooperará plenamente con el Responsable para:

• Investigar la causa raíz de la violación
• Implementar medidas correctivas y preventivas
• Preparar comunicaciones a la AEPD y a los interesados afectados, si procede
• Proporcionar documentación y evidencias necesarias

6. Responsabilidad y Garantías

6.1. Responsabilidad del Encargado

El Encargado será responsable ante el Responsable de los daños causados por un tratamiento que no cumpla con este Acuerdo o con las instrucciones legítimas del Responsable.

6.2. Limitación de Responsabilidad

Sin perjuicio de lo anterior, la responsabilidad del Encargado estará limitada conforme a lo establecido en los Términos de Servicio para Profesionales, salvo en casos de negligencia grave o dolo.

6.3. Indemnización

Si el Encargado incumple sus obligaciones RGPD y esto resulta en sanciones administrativas o reclamaciones contra el Responsable, el Encargado indemnizará al Responsable por dichas sanciones o reclamaciones, en la medida en que sean atribuibles al incumplimiento del Encargado.

7. Conservación y Supresión de Datos

7.1. Plazos de Conservación

El Encargado conserva los datos personales mientras el Responsable mantenga activa la cuenta del paciente en la plataforma. Es responsabilidad del Responsable gestionar el ciclo de vida de los datos conforme a sus obligaciones legales y profesionales.

7.2. Supresión Automática

Los logs de auditoría se conservan durante 90 días y se eliminan automáticamente posteriormente.

7.3. Supresión al Finalizar el Contrato

Al finalizar el contrato de servicios:

• El Responsable dispondrá de 30 días para exportar todos los datos que desee conservar
• Transcurrido ese plazo, el Encargado eliminará de forma segura e irreversible todos los datos personales (sobrescritura múltiple de soportes)
• Se proporcionará certificado de destrucción de datos firmado por responsable técnico del Encargado

8. Modificaciones del Acuerdo

Este Acuerdo podrá modificarse para reflejar cambios normativos, mejoras de seguridad, o cambios en los servicios ofrecidos. Las modificaciones se notificarán al Responsable con 30 días de antelación y se considerarán aceptadas salvo oposición expresa.

9. Legislación Aplicable

Este Acuerdo se rige por el RGPD (Reglamento UE 2016/679), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y demás normativa española y europea aplicable en materia de protección de datos.

10. Contacto para Cuestiones de Protección de Datos

Encargado del Tratamiento:
i-Art Serveis SLU
Domicilio: Camí dels Plans 62 Casa 10, AD400 La Massana, Andorra
NRT: L712352Z
Punto de contacto para protección de datos:
Email: dpo@cognitrack.clinic
Email alternativo: info@cognitrack.clinic

---

Términos de Servicio | Volver a CogniTrack