Therafy
BORRADOR — Este documento está pendiente de revisión por un abogado especializado en protección de datos. No debe considerarse como asesoramiento legal definitivo.

Contrato de Encargado del Tratamiento

Última actualización: 24/02/2026

El presente Contrato de Encargado del Tratamiento (en adelante, "el Contrato") regula las condiciones en las que [NOMBRE DE LA EMPRESA / RAZÓN SOCIAL] (en adelante, "el Encargado") trata datos personales por cuenta del profesional de la psicología que utiliza la plataforma Therafy (en adelante, "el Responsable"), de conformidad con el artículo 28 del Reglamento General de Protección de Datos (RGPD).

1. Objeto y duración

El objeto de este Contrato es definir las condiciones en las que el Encargado trata datos personales por cuenta del Responsable a través de la plataforma Therafy.

La duración de este Contrato coincide con la vigencia de la relación contractual entre el Responsable y el Encargado para la prestación del servicio Therafy.

2. Naturaleza y finalidad del tratamiento

El Encargado tratará los datos personales exclusivamente para las siguientes finalidades:

  • Almacenamiento y gestión de fichas de pacientes y personas responsables
  • Gestión de citas y calendario clínico
  • Almacenamiento y gestión de notas clínicas y de sesión
  • Generación y almacenamiento de facturas
  • Gestión de plantillas de documentos y comunicaciones
  • Registro de auditoría de las operaciones realizadas

3. Tipos de datos y categorías de interesados

Los datos tratados incluyen:

Categorías de interesados:

  • Pacientes del Responsable
  • Personas responsables de pacientes menores o dependientes

Tipos de datos:

  • Datos identificativos (nombre, apellidos, DNI/NIE, fecha de nacimiento)
  • Datos de contacto (teléfono, correo electrónico, dirección)
  • Datos de salud (notas clínicas, historial de sesiones) — categoría especial Art. 9 RGPD
  • Datos económicos (facturas, importes)

4. Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluyendo las transferencias de datos a terceros países
  • Garantizar que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad
  • Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Art. 32 RGPD)
  • No recurrir a otro encargado del tratamiento sin la autorización previa por escrito del Responsable
  • Asistir al Responsable en el cumplimiento de sus obligaciones de responder a las solicitudes de ejercicio de derechos de los interesados
  • Asistir al Responsable en la realización de evaluaciones de impacto y consultas previas a la autoridad de control
  • A elección del Responsable, suprimir o devolver todos los datos personales una vez finalizada la prestación del servicio, y suprimir las copias existentes salvo que la legislación exija su conservación
  • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD

5. Medidas de seguridad

El Encargado implementa las siguientes medidas de seguridad técnicas y organizativas:

  • Cifrado de datos en tránsito mediante HTTPS/TLS
  • Cifrado de datos en reposo en la base de datos
  • Control de acceso basado en roles con autenticación segura
  • Separación lógica de datos entre usuarios de la plataforma
  • Registro de auditoría de todas las operaciones de creación, modificación y eliminación de datos
  • Copias de seguridad regulares con almacenamiento cifrado
  • Alojamiento en servidores ubicados dentro de la Unión Europea
  • Procedimiento de notificación de brechas de seguridad

6. Subencargados del tratamiento

El Responsable autoriza al Encargado a recurrir a los siguientes subencargados del tratamiento para la prestación del servicio:

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados, dando al Responsable la oportunidad de oponerse a dichos cambios.

El Encargado celebrará un contrato con cada subencargado que imponga las mismas obligaciones de protección de datos que las establecidas en el presente Contrato.

  • [PROVEEDOR DE HOSTING] — Infraestructura y alojamiento de servidores ([PAÍS DEL HOSTING])

7. Notificación de brechas de seguridad

El Encargado notificará al Responsable, sin dilación indebida, cualquier violación de seguridad de los datos personales de la que tenga conocimiento, proporcionando al menos la siguiente información:

Esta notificación se realizará en un plazo máximo de 48 horas desde que el Encargado tenga conocimiento de la brecha, para permitir al Responsable cumplir con su obligación de notificación a la AEPD en un plazo de 72 horas.

  • Descripción de la naturaleza de la violación
  • Categorías y número aproximado de interesados y registros afectados
  • Posibles consecuencias de la violación
  • Medidas adoptadas o propuestas para poner remedio a la violación

8. Derechos de los interesados

El Encargado asistirá al Responsable en la atención de solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición).

Si un interesado se dirige directamente al Encargado para ejercer sus derechos, el Encargado lo comunicará al Responsable para que este pueda atender la solicitud.

9. Auditorías

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, realizadas por el Responsable o por un auditor autorizado.

10. Devolución o supresión de datos

Tras la finalización de la prestación del servicio, el Encargado, a elección del Responsable:

La supresión no se aplicará cuando la legislación vigente exija la conservación de los datos. En tal caso, el Encargado mantendrá los datos debidamente bloqueados durante el plazo legalmente establecido.

  • Devolverá todos los datos personales al Responsable en un formato estructurado y de uso común
  • Suprimirá todos los datos personales y las copias existentes

11. Transferencias internacionales

El Encargado no realizará transferencias de datos personales fuera del Espacio Económico Europeo sin la autorización previa del Responsable y sin que se hayan adoptado las garantías adecuadas conforme al capítulo V del RGPD.

12. Responsabilidad

El Encargado será responsable de los daños causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD específicamente dirigidas a los encargados del tratamiento, o cuando haya actuado al margen o en contra de las instrucciones legítimas del Responsable.

13. Legislación aplicable

Este Contrato se rige por el Reglamento General de Protección de Datos (UE) 2016/679, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y la legislación española aplicable.

14. Contacto

Para cualquier consulta relacionada con este Contrato, puede ponerse en contacto con nuestro Delegado de Protección de Datos en dpo@therafy.app.