Contrato de Encargado del Tratamiento

1. Partes

Este contrato se celebra entre Tactivo, como encargado del tratamiento, y la clínica, sociedad, autónomo, profesional o entidad que contrata el servicio, como responsable del tratamiento respecto de los datos personales de sus pacientes y otros interesados gestionados en la plataforma.

La persona que acepta este contrato declara tener autorización suficiente para contratar Tactivo y aceptar este contrato en nombre de la clínica.

2. Objeto

El objeto de este contrato es regular cómo Tactivo trata datos personales por cuenta de la clínica para poder prestar el servicio.

3. Duración

Este contrato estará vigente mientras Tactivo preste servicios a la clínica y continúe tratando datos personales por cuenta de la clínica. Las obligaciones de confidencialidad, seguridad, devolución, supresión y bloqueo subsistirán mientras resulten exigibles.

4. Naturaleza y finalidades del tratamiento

Tactivo tratará los datos mediante las operaciones necesarias para prestar la plataforma, como alojamiento, conservación, consulta, organización, modificación, copias de seguridad, transmisión, exportación o supresión.

Las finalidades son gestionar agenda, pacientes, documentos, firmas, comunicaciones, cobros, facturación, métricas, programas de ejercicios, soporte, seguridad e integraciones o funcionalidades activadas por la clínica.

5. Tipos de datos tratados

Tactivo puede tratar por cuenta de la clínica:

• Datos identificativos.
• Datos de contacto.
• Datos administrativos.
• Datos de agenda y citas.
• Datos de salud.
• Historia clínica o información asistencial.
• Documentos, firmas, comunicaciones, imágenes o archivos.
• Datos de facturación relacionados con servicios sanitarios.
• Registros necesarios para seguridad y funcionamiento del servicio.

6. Categorías de interesados

Los interesados pueden ser pacientes, representantes legales de pacientes, profesionales de la clínica, usuarios administradores y personal de la clínica.

7. Obligaciones de la clínica como responsable

La clínica debe contar con base legal suficiente, informar a los interesados, cumplir la normativa sanitaria y de protección de datos, configurar correctamente los permisos de sus usuarios, no introducir datos innecesarios y atender los derechos de sus pacientes.

La clínica es responsable de las instrucciones dadas a Tactivo y de la legalidad de los datos introducidos en la plataforma.

8. Obligaciones de Tactivo como encargado

Tactivo se obliga a:

• Tratar los datos solo siguiendo instrucciones documentadas de la clínica.
• No usar datos de pacientes para fines propios.
• No vender datos.
• No usar datos de pacientes para publicidad.
• No entrenar modelos generales con datos de pacientes salvo acuerdo específico, explícito y documentado.
• Garantizar la confidencialidad del personal autorizado.
• Aplicar medidas de seguridad apropiadas al riesgo.
• Asistir a la clínica en la atención de derechos RGPD.
• Asistir en seguridad, brechas, evaluaciones de impacto y consultas previas cuando proceda.
• Devolver, exportar, suprimir o bloquear datos al finalizar el servicio conforme a este contrato.
• Permitir auditorías razonables conforme a la sección de auditoría.

9. Transcripción, análisis e IA

Tactivo no utilizará datos de pacientes para entrenar modelos generales, crear perfiles comerciales, vender datos o explotarlos para fines propios. Las funcionalidades de transcripción, análisis o IA se prestan bajo instrucciones de la clínica y requieren revisión profesional.

Si una funcionalidad requiere la intervención de un proveedor externo, dicho proveedor figurará como subencargado cuando trate datos personales por cuenta de la clínica.

10. Medidas Técnicas y Organizativas incorporadas

Las medidas técnicas y organizativas forman parte de este contrato aunque no se mencionen de forma individual en el texto corto de aceptación del registro.

Medidas aplicadas por Tactivo:

• Control de acceso por usuario y roles.
• Autenticación de usuarios.
• Separación de la información por clínica.
• Registros de seguridad y actividad cuando son necesarios para el servicio.
• Uso de HTTPS/TLS en comunicaciones web.
• Backups y continuidad proporcionados por proveedores de infraestructura conforme a la configuración contratada.
• Acceso administrativo restringido al personal autorizado.
• Medidas de confidencialidad para personal autorizado.
• Procedimientos de respuesta ante incidencias y brechas de seguridad.

Tactivo revisará estas medidas y las adaptará cuando sea necesario, especialmente por la posible presencia de datos de salud.

11. Subencargados incorporados

La clínica autoriza de forma general a Tactivo a contratar subencargados necesarios para prestar el servicio, siempre que Tactivo imponga obligaciones equivalentes de protección de datos.

Subencargados utilizados para prestar el servicio o disponibles mediante integraciones:

• Supabase: infraestructura, base de datos, autenticación y almacenamiento.
• Stripe: pagos, facturación o gestión de cobros cuando se use.
• Google Calendar: sincronización de calendarios cuando la clínica conecta su cuenta.
• Meta/WhatsApp Business Platform: comunicaciones WhatsApp cuando la clínica activa la integración.
• Brevo: email transaccional si se utiliza para notificaciones.
• Groq: funcionalidades de transcripción, análisis o IA si están activadas.

Tactivo mantendrá una lista accesible y actualizada de subencargados. Los cambios relevantes se notificarán con antelación razonable cuando sea posible. La clínica podrá oponerse por motivos razonables relacionados con protección de datos.

12. Transferencias internacionales

Algunos subencargados pueden tratar datos fuera del Espacio Económico Europeo. Cuando exista una transferencia internacional, Tactivo se apoyará en garantías válidas conforme al RGPD, como decisiones de adecuación, cláusulas contractuales tipo u otros mecanismos aplicables.

13. Brechas de seguridad

Tactivo notificará a la clínica sin dilación indebida cualquier brecha de seguridad que afecte a datos tratados por cuenta de la clínica. Como referencia operativa, Tactivo procurará comunicarla en un plazo máximo de 24/48 horas desde que tenga conocimiento razonable.

La comunicación incluirá, en la medida disponible, la naturaleza de la brecha, los datos o interesados afectados, las posibles consecuencias, las medidas adoptadas o propuestas y un punto de contacto.

14. Derechos, EIPD y consultas previas

Tactivo asistirá razonablemente a la clínica en la atención de derechos de interesados, evaluaciones de impacto, consultas previas y obligaciones de seguridad, teniendo en cuenta la naturaleza del tratamiento y la información disponible.

15. Auditoría

Tactivo pondrá a disposición de la clínica información razonable para demostrar el cumplimiento de este contrato. Las auditorías deberán ser proporcionadas, avisadas con antelación razonable, no comprometer secretos empresariales ni seguridad de otros clientes y no interferir indebidamente en el servicio.

16. Terminación, devolución y supresión

Al finalizar el servicio, la clínica podrá solicitar exportación de sus datos en un formato razonable disponible. Tras la terminación, Tactivo suprimirá o devolverá los datos tratados por cuenta de la clínica, salvo conservación bloqueada cuando sea necesaria para atender responsabilidades legales, cumplimiento normativo o defensa de reclamaciones.

17. Jerarquía documental

Este contrato prevalece sobre los Términos de Servicio en materia de tratamiento de datos por cuenta de la clínica. La Política de Privacidad regula los tratamientos propios de Tactivo.

Las secciones de medidas técnicas y organizativas, subencargados, transferencias internacionales, brechas y devolución o supresión forman parte del propio Contrato de Encargado del Tratamiento, aunque no se mencionen expresamente en el texto corto de aceptación del registro.

18. Validez electrónica y aceptación

Este contrato puede aceptarse mediante un checkbox obligatorio y la pulsación del botón de registro. Tactivo conservará una prueba electrónica de esa aceptación para poder acreditar la contratación.