Contrato de Encargo de Tratamiento

Data Processing Agreement (DPA) - Artículo 28 RGPD

Versión 1.0 - Enero de 2026

Información para profesionales y centros

Este documento establece las condiciones bajo las cuales Terapli trata los datos de tus pacientes como Encargado del Tratamiento. Como profesional o centro sanitario, tú eres el Responsable del Tratamiento de los datos de tus pacientes.

1 Partes del Contrato

R Responsable del Tratamiento

El profesional sanitario o centro que contrata los servicios de Terapli y que determina los fines y medios del tratamiento de datos de sus pacientes.

(Tus datos como cliente figuran en tu cuenta de Terapli)

E Encargado del Tratamiento

Terapli

Dieter José Lorenzo Molina

NIF: 54891162Y

Email: dieterlorenzo@gmail.com

2 Objeto y Descripción del Tratamiento

Terapli proporciona una plataforma de gestión clínica que permite al Responsable administrar la información de sus pacientes. En el marco de esta prestación, Terapli tratará datos personales por cuenta del Responsable.

2.1 Categorías de datos tratados

Datos identificativos

  • • Nombre y apellidos
  • • DNI/NIE/Pasaporte
  • • Fecha de nacimiento

Datos de contacto

  • • Teléfono
  • • Email
  • • Dirección postal

Datos de salud (categoría especial)

  • • Motivo de consulta
  • • Notas de sesión
  • • Historial terapéutico
  • • Objetivos de tratamiento

Datos de gestión

  • • Citas y agenda
  • • Facturación
  • • Bonos de sesiones
  • • Comunicaciones

2.2 Finalidades del tratamiento

Gestión de pacientes y su información clínica
Administración de citas y agenda
Gestión de facturación y cobros
Envío de recordatorios y comunicaciones asistenciales
Almacenamiento seguro y copias de seguridad

2.3 Categorías de interesados

Pacientes del Responsable que reciben servicios de psicología, psicoterapia o salud mental.

3 Obligaciones de Terapli como Encargado

Terapli, como Encargado del Tratamiento, se compromete a:

a)Tratar los datos únicamente siguiendo las instrucciones documentadas del Responsable, incluyendo las transferencias de datos a terceros países.
b)Garantizar que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad.
c)Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
d)Respetar las condiciones para recurrir a otro encargado del tratamiento (subencargados).
e)Asistir al Responsable en la atención del ejercicio de derechos de los interesados.
f)Ayudar al Responsable a garantizar el cumplimiento de las obligaciones de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas.
g)A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación.
h)Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento, así como permitir y contribuir a la realización de auditorías.

4 Medidas de Seguridad Implementadas

Terapli implementa las siguientes medidas técnicas y organizativas para garantizar la seguridad de los datos de categoría especial (datos de salud):

Cifrado de datos

  • En tránsito: TLS 1.3 para todas las comunicaciones
  • En reposo: AES-256 en base de datos PostgreSQL (Supabase)
  • Contraseñas: Hash con bcrypt (no almacenamiento en texto plano)
  • Backups: Cifrados con claves separadas

Control de acceso

  • Row Level Security (RLS): Aislamiento de datos por cliente a nivel de base de datos
  • Autenticación: Tokens JWT con expiración automática
  • Roles y permisos: Segregación de acceso (terapeuta, admin, coordinador)
  • Sesiones: Cierre automático por inactividad

Logs y auditoría

  • Registro de accesos: Logs de autenticación y operaciones sensibles
  • Trazabilidad: Historial de modificaciones en datos de pacientes
  • Alertas: Detección de accesos sospechosos o anómalos

Copias de seguridad

  • Frecuencia: Backups automáticos diarios
  • Retención: 7 días con point-in-time recovery
  • Ubicación: Almacenamiento redundante en UE
  • Pruebas: Verificación periódica de integridad

Infraestructura certificada

  • AWS Amplify: ISO 27001, SOC 1/2/3, PCI DSS Level 1
  • Supabase: SOC 2 Type II, datos en UE (Frankfurt)
  • Protección DDoS: AWS Shield integrado
  • WAF: Firewall de aplicaciones web

5 Subencargados del Tratamiento

El Responsable autoriza a Terapli a recurrir a los siguientes subencargados para la prestación del servicio. Cualquier incorporación o sustitución será comunicada previamente.

SubencargadoServicioUbicaciónGarantías
Supabase Inc.Base de datos, autenticaciónUE (Frankfurt)SOC 2 Type II, DPA
Amazon Web ServicesHosting (Amplify), CDNUE (Irlanda)ISO 27001, SOC, DPF
Google LLCAnalytics (opcional)EE.UU. / UEEU-US DPF, SCCs

Nota: Todos los subencargados han firmado acuerdos de tratamiento de datos conformes al artículo 28 del RGPD y ofrecen garantías suficientes de cumplimiento.

6 Transferencias Internacionales

Los datos se almacenan principalmente en la Unión Europea. Cuando sea necesaria una transferencia fuera del EEE, se aplicarán las siguientes garantías:

Decisiones de adecuación: Para países reconocidos por la Comisión Europea (ej. EU-US Data Privacy Framework)
Cláusulas Contractuales Tipo (SCCs): Aprobadas por la Comisión Europea para transferencias a terceros países
Medidas suplementarias: Cifrado, pseudonimización y evaluaciones de impacto cuando proceda

7 Gestión de Derechos de los Pacientes

Como Responsable del Tratamiento, el profesional o centro es quien debe atender las solicitudes de derechos de sus pacientes. Terapli, como Encargado, se compromete a:

Proporcionar herramientas para que el Responsable pueda exportar los datos del paciente (portabilidad)
Facilitar la rectificación de datos a través de la plataforma
Ejecutar la supresión de datos cuando el Responsable lo solicite
Colaborar en la respuesta a solicitudes de acceso proporcionando la información necesaria
Responder a las solicitudes del Responsable en un plazo máximo de 5 días laborables

Importante: La responsabilidad última de atender los derechos de los pacientes y responder en los plazos legales (1 mes) recae en el Responsable del Tratamiento.

8 Gestión de Brechas de Seguridad

En caso de detectar una brecha de seguridad que afecte a datos personales, Terapli se compromete a:

1

Notificación inmediata

Comunicar al Responsable sin dilación indebida y, en cualquier caso, en un plazo máximo de 24 horas desde su detección.

2

Información detallada

Proporcionar: naturaleza de la brecha, categorías y número aproximado de afectados, consecuencias probables y medidas adoptadas.

3

Colaboración

Asistir al Responsable para que pueda cumplir con su obligación de notificación a la AEPD en 72 horas y, si procede, a los afectados.

Terapli mantiene un procedimiento interno de gestión de incidentes de seguridad documentado y actualizado.

9 Duración y Finalización

Este contrato de encargo tiene la misma duración que la relación contractual de servicios entre el Responsable y Terapli.

Una vez finalizada la prestación, a elección del Responsable:

Opción A: Devolución

Terapli proporcionará los datos en formato estructurado (CSV, JSON) para su descarga.

Opción B: Supresión

Terapli eliminará todos los datos de forma segura, salvo obligación legal de conservación.

Texto para tus pacientes

Puedes copiar y adaptar este texto para tu política de privacidad

Información sobre el tratamiento de sus datos

Para la gestión de su expediente clínico, citas y facturación, utilizamos la plataforma Terapli, un software de gestión especializado para profesionales de la salud mental.

[Nombre del profesional/centro] es el Responsable del Tratamiento de sus datos personales. Terapli actúa como Encargado del Tratamiento, procesando sus datos únicamente siguiendo nuestras instrucciones y con las máximas garantías de seguridad.

Sus datos se almacenan en servidores ubicados en la Unión Europea, con cifrado de nivel bancario (AES-256) tanto en tránsito como en reposo. El acceso está restringido exclusivamente al personal autorizado de nuestra consulta.

Puede ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición contactando con nosotros en [email de contacto].

¿Tienes dudas sobre protección de datos?

Estamos comprometidos con el cumplimiento del RGPD. Contáctanos para cualquier consulta.

Contactar